Veel organisaties falen bij de inkoop van clouddiensten. Ze letten onvoldoende op de veiligheid wat leidt tot onbeheerste risico's.
Het Nationaal Cyber Security Centrum (NCSC) luidt hierover de noodklok. De dienst van het ministerie van Justitie en Veiligheid adviseert om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exit-strategie, functioneel beheer en audittoegang.
Daarmee worden risico’s verholpen die na het sluiten van de overeenkomst met de cloud-aanbieder nog nauwelijks te verhelpen zijn, aldus het NCSC. Voor een aantal maatregelen geldt dat die alleen effectief zijn als ze vooraf getroffen worden. ‘Als medewerkers zich niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld ongevoelige gegevens in cloud-omgevingen staan’, stelt het NCSC.
Wanneer aanvullende maatregelen voor veilig cloudgebruik achterwege blijven, loopt men een verhoogd risico op beveiligingsincidenten zoals datalekken of overtredingen van wetgeving. De overheidsdienst merkt op dat de opsomming van genoemde maatregelen niet volledig is. Zo zijn er veel meer maatregelen die genomen kunnen worden. Daarnaast kunnen er binnen organisaties aanvullende belangen of beveiligingsbehoeften spelen wanneer er voor de cloud wordt gekozen.
De factsheet met adviezen staat op de site van het NCSC.
