Organisaties die clouddiensten willen inkopen, doen er goed aan vooraf vijf maatregelen te treffen om onbeheerste risico’s te voorkomen. Dit adviseert het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid in een recentelijk gepubliceerde factsheet.
Security awareness
In de praktijk blijkt dat organisaties clouddiensten regelmatig niet veilig inkopen. De risico’s die zij daarbij lopen, zijn na de inkopen deels nog te verhelpen. Voor een aantal maatregelen geldt echter dat die alleen effectief zijn, als ze vooraf genomen worden. “Als medewerkers zich bijvoorbeeld niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld gevoelige gegevens in cloudomgevingen staan”, aldus het NCSC.
Exitstrategie
Wanneer organisaties het verzuimen om aanvullende maatregelen te nemen om veilig cloud in de cloud te werken, lopen zij een verhoogd risico. Hierbij gaat het om beveiligingsincidenten waaronder datalekken of overtredingen van wetgeving. Het NCSC raadt aan om geen clouddienst in te kopen zonder vooraf een aantal maatregelen te nemen. Het betreft risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audit-toegang. Daarmee worden volgens het NCSC risico’s vermeden die na het afsluiten van de overeenkomst met de cloudaanbieder nog amper zijn te verhelpen.
Klik hier voor de factsheet met adviezen van het NCSC.