Informatieveiligheid is wat ons betreft één van de hoogste prioriteiten bij het kiezen van een cloudprovider. Of het nu gaat om een SaaS-oplossing of een complete werkplek, op veiligheid moet u geen concessies willen doen. Maar hoe herkent u een veilige cloudprovider?
Het Nationaal Cyber Security Center publiceerde hierover een factsheet waar ik in dit blog verder op in ga.
Maak een risicoanalyse
Het uitbesteden van de IT-dienstverlening biedt een hoop voordelen, maar brengt ook risico’s met zich mee. Daarom is het te adviseren om vooraf een risicoanalyse te maken. Kijk hierbij naar privacy, compliance, security en financieringsrisico’s. Welke gevolgen zou een overstap naar een cloudprovider op deze onderdelen hebben voor uw organisatie? En hoe zorgt u ervoor dat deze onderwerpen ook gedurende de looptijd van de overeenkomst regelmatig opnieuw getoetst worden?
Afspraken over inrichting en monitoring
Het grootste spanningsveld bij clouddiensten is de verdeling van verantwoordelijkheden. Dit kunt u laten vastleggen in een Service Level Agreement (SLA). U blijft als uitbestedende partij uiteindelijk altijd eindverantwoordelijke over uw data, geen SLA kan dit overdragen. Dus wie uitbesteedt, moet een goede vinger aan de pols kunnen houden. Zorg er daarom voor dat er monitoring van systemen plaatsvindt zodat verstoringen snel gevonden en verholpen kunnen worden.
Bepaal uw exit strategie
Zeker bij het afnemen van SaaS applicaties, waarin data vaak in een niet-universeel formaat wordt opgeslagen, is het terugkrijgen van uw data een potentieel probleem. Check daarom bij iedere overeenkomst hoe deze bij afloop netjes afgewikkeld kan worden.
Stem het dagelijks beheer af en zorg voor veilige toegang
Als u een volledige werkplek uit de cloud afneemt, is het belangrijk om te bespreken wie de dagelijkse ondersteuning aan medewerkers gaat geven. Blijft er bijvoorbeeld iemand bij u op locatie verantwoordelijk, of stelt de cloudprovider een externe beheerder aan? Onderdeel van dit beheer is ook de beveiliging en authenticatie van gebruikers. Kies bijvoorbeeld altijd voor een cloudprovider die minstens twee factor authenticatie vereist. Ook kunt u uw cloudprovider vragen naar hoe de veiligheid van systemen gecontroleerd en gewaarborgd worden op de lange termijn.
Zorg voor auditmogelijkheden
Transparantie is de sleutel tot het succesvol uitbesteden van uw IT aan een cloudprovider. Bepaal van tevoren hoe u informatie kunt opvragen bij de leverancier over hoe uw systemen werken en wat er met uw data gebeurt. Omdat u vaak niet de enige gebruiker op het cloudplatform van de dienstverlener bent, is directe toegang tot de systemen niet altijd mogelijk. Dan moet u vertrouwen op bijvoorbeeld auditrapporten van een derde partij. Kijk bij het kiezen van een cloudprovider ook naar welke normen de dienstverlener hanteert (denk aan ISO27001, ISAE 3402 en ISAE3000) voor het uitvoeren van haar diensten.
Meer weten over het kiezen van een nieuwe cloudomgeving: download het e-book
Samen met onze Lexxyn Groep Partners schreven wij voor de juridische praktijk een speciaal e-book over het werken in de cloud. U kunt dit e-book, vol met tips over het kiezen van een nieuwe cloudprovider, gratis downloaden op www.lexxyn.nl/cloud.
Auteur: Frank Sijpkes – Senior Business Advisor ICT Concept