Een veilige cloud oplossing kies je zo

Werken in de cloud biedt veel voordelen. Juist in deze tijd waarin veel mensen thuis en op afstand werken. Wij horen ondernemers heel vaak zeggen dat ze veilig zijn omdat ze in de cloud werken. Dat is een hardnekkige fabel waar we al eerder aandacht aan besteedden. Je hebt de digitale veiligheid zeker niet per definitie op orde als je in de cloud werkt. Maar, als je op de juiste zaken let bij het selecteren en inrichten van een cloud dienst behaal je een enorme winst. In dit artikel geven wij je 8 criteria om op te letten. Een veilige cloud oplossing kies je zo.

Cloud dienst kiezen

1. De SLA oftewel Service Level Agreement

In deze overeenkomst zijn belangrijke afspraken opgenomen die de het serviceniveau van de cloud dienstverlener aan jou als potentiële klant bepalen. De zaken die je goed moet doornemen om een beeld te krijgen van de verantwoordelijkheid die ze op zich nemen ten aanzien van de veiligheid zijn bijvoorbeeld:

  • Performance en uptime: de garanties die ze bieden ten aanzien van de minimale tijd dat de dienst online en werkend is. 
  • Beveiligingsspecificaties
  • Compliance 
  • Beveiligings- en versleutelingspraktijken voor gegevensbescherming en gegevensprivacy
  • Verwachtingen ten aanzien van noodherstel in het geval van een incident
  • De fysieke locatie waar gegevens worden opgeslagen
  • Toegang tot en overdraagbaarheid van gegevens.

De inhoud van de SLA is vaak best wel specialistisch en technisch. Je hoeft je absoluut niet te schamen als je het niet helemaal snapt. Je kunt bijvoorbeeld heel goed jouw IT-leverancier vragen om je hierbij te helpen en van advies te voorzien.

2. Toegangscontroles

 Een van de grote voordelen van de cloud is dat het overal en bijna altijd bereikbaar is. De keerzijde daarvan is dat het ook de kans op ongewenste en ongeautoriseerde gebruikers vergroot. Maak het hen zo moeilijk mogelijk om jouw netwerk binnen te dringen door toegangscontroles in te stellen. Houd goed in de gaten wie toegangs heeft tot je gegevens, pas waar mogelijk verschillende gebruikersrollen toe  en stel minimaal 2-staps-authenticatie in. Dat betekent dat je met alleen een inlognaam en wachtwoord niet ver komt (en cybercriminelen dus ook niet!), maar dat je ook nog een code van bijvoorbeeld je telefoon nodig hebt. 

Een goede cloud service provider biedt tools die helpen bij het veilig managen van gebruikers. Ga dus altijd goed na wat de mogelijkheden zijn voordat je voor een bepaalde aanbieder kiest.

3. Veiligheidsstandaarden

Cloud aanbieders en data centra doen steeds beter hun best om te voldoen aan internationale veiligheidsstandaarden. Dat is de snelste manier om aan te tonen dat informatiebeveiliging een hoge prioriteit heeft en dat ze hun interne processen op orde hebben. Bekijk voor de cloud aanbieder of het data center dat jij overweegt te kiezen of voldoen aan een bekende veiligheids certificering zoals ISO27001, SOC2, GDPR, PCI DSS. Dit geeft enige houvast voor de veiligheid van jouw data en laat in ieder geval zien dat de aanbieder informatiebeveiliging serieus neemt.  

4. Netwerk en opslag versleuteling

Encryptie op het netwerk betekent dat alle data die over het netwerk wordt getransporteerd eerst versleuteld wordt. Daardoor voorkom je dat data die onderschept wordt ook direct leesbaar is voor een buitenstaander.  Data-encryptie betekent dat de data versleuteld wordt opgeslagen op een harddisk. Met data-excryptie voorkom je dan weer dat iemand die ongeoorloofd in het bezit van bijvoorbeeld een laptop komt, de data zomaar kan uitlezen. De data-ecnyptie moet je zelf regelen, maar check bij de cloudaanbieder hoe het gesteld is met de netwerk versleuteling. Vergeet niet daarbij na te gaan hoe de sleutels beheerd worden; de sleutels geven immers toegang tot de versleutelde informatie. Om een goed beeld te krijgen van de veiligheid stel je dan ook de vragen: wie beheert de encryptie sleutels en hoe worden de sleutels bewaakt?

5. Configuratie

Onjuist geconfigureerde clouddiensten zijn een groot potentieel beveiligingsrisico. Doordat er steeds meer gebruik wordt gemaakt van een wirwar aan cloud services en aanbieders, is het soms moeilijk overzicht houden. Data wordt op verschillende platformen en door verschillende medewerkers opgeslagen, bewerkt en ook uitgewisseld.  Een ongelukje met de toegankelijkheid zit dan in een klein hoekje.  Onjuiste configuratie kan ertoe leiden dat data publiek toegankelijk is, bewerkt en zelfs verwijderd kan worden. Veelvoorkomende oorzaken zijn het behouden van de standaardinstellingen van toegangsmanagement voor gevoelige data. Anderen zijn verkeerd instellen van deze programma’s die ongeautoriseerde mensen toegang geeft. Kies aanbieders die scherpe maatregelen hebben om jou te helpen om overzicht te houden.

6. Terms of Service

Als je overweegt gebruik te maken van grote cloud applicaties zoals Salesforce, G-Suite, Office 365 (SaaS service model) heb je meestal weinig inspraak in de beveiliging van je gegevens. Die zijn vastgesteld door de leverancier van de software. Soms kun je wat veiligheidscontroles instellen, vooral op het gebied van toegangs- en identiteitscontroles. Maar het zal er grotendeels op neerkomen dat je de instellingen van de aanbieder maar gewoon moet accepteren als je gebruik wilt maken van de dienst. Daarom is het juist bij deze aanbieders van groot belang om vooraf de Terms of Service, oftewel de Algemene Voorwaarden,  van de clouddienst grondig door te nemen. Hierin vind je belangrijke bepalingen over de veiligheid van data. 

7. Locatie waar data wordt opgeslagen

Bij het selecteren van een cloud service-provider moet je weten waar de fysieke locatie is waar je data opgeslagen, verwerkt en beheerd zal gaan worden. Anders loop je het risico niet aan de AVG te voldoen. 

8. Bewaking en incidentmanagement

Sterke cloudbeveiliging helpt bij het bewaken van je bedrijfscontinuïteit en beschermt je tegen dreigingen zoals een DDoS-aanval. Onderzoek wat voor mogelijkheden de clouddienst biedt tegen verschillende vormen van malware. De ideale provider heeft ook een vooraf gepland proces voor incidentmanagement voor veel voorkomende bedreigingen. Dit kunnen ze vervolgens direct inzetten bij aanvallen. Er zal een afgesproken contact route zijn naar je toe om incidenten te melden, met een acceptabele tijdlijn en format afgesproken.

Hulp nodig? Vraag een gratis intake met een van onze cyber experts aan.

    Brochure

    Ons aanbod rustig doorlezen? Download hier onze brochure.

    Vul hier je gegevens in