Juist verbetering van de veiligheid en continuïteit van systemen is voor de board van een organisatie een belangrijk motief om informatiesystemen te migreren naar de cloud. Door te kiezen voor een SaaS-oplossing in plaats van een on-prem applicatie, wordt het zelf moeten managen van changes en patches vermeden. En organisaties kiezen tegenwoordig ook voor cloud-gebaseerde it-securityoplossingen. Security as a service (SECaas) en managed security services (mss) zijn sterk in opkomst: het via de cloud bieden van technische, op hard- of software gebaseerde security-diensten.
Managed cloud providers zijn prima in staat om die beveiligingsprocessen adequaat in te richten, uit te voeren en transparant over de effectiviteit te rapporteren. Toch is het goed om enkele in de praktijk veel voorkomende misvattingen weg te nemen.
Security as a service
De eerste misvatting is dat een organisatie haar eigen verantwoordelijkheid voor informatiebeveiliging kan uitbesteden. Hoewel een term als security as a service suggereert dat de provider de verantwoordelijkheid overneemt, is dit feitelijk nooit het geval – en al helemaal niet vanuit het perspectief van wet- en regelgeving. De organisatie moet aantoonbaar altijd zélf in control zijn als het gaat om het beveiligen van haar informatie, ook als de uitvoering is uitbesteed. Een goede managed cloud provider helpt zijn klanten daarbij, door het bieden van transparante informatie over de effectiviteit van de controls die voor de gebruikersorganisatie zijn ingericht. Maar het is en blijft aan de organisatie zelf om die informatie te beoordelen en een eigen oordeel te vormen over de impact op haar informatiebeveiliging. En uiteraard waar nodig bij te sturen.
De tweede misvatting is dat informatiebeveiliging volledig wordt afgedekt door it-security. Deze begrippen zijn echter geen synoniemen. Denk aan informatie op papier en aan de kennis van mensen. Ook die typen informatie dienen beschermd te worden, maar dat valt buiten de scope van it. Om alle informatie aantoonbaar op een verantwoorde wijze te beschermen, hebben veel organisaties hun informatiebeveiliging geformaliseerd door middel van beleid en procedures. Vooral het creëren van bewustzijn voor de risico’s is hierbij cruciaal. Zodra er clouddiensten worden afgenomen, moet een organisatie dus ook goed kijken naar de impact die dat heeft op risico’s voor de non-it aspecten van de uitbesteding.
SLA’s gedreven dienstverlening
Kortom: overstappen naar de cloud is vanuit security-oogpunt absoluut aan te bevelen. Maar het ontslaat de organisatie niet van haar eindverantwoordelijkheid. Om die reden moet de keuze van de cloudleverancier afhankelijk zijn van zijn houding: denkt de provider goed mee over de specifieke eisen van de klant op het gebied van compliance? Hoe transparant zijn de it-controls? Hoe wordt daarover gerapporteerd? Is er maatwerk nodig? Is de provider bereid dat te leveren? Is de uitbesteding een partnership of een uitsluitend door SLA’s gedreven dienstverlening?
Kijk ook eens naar de eigen organisatie. Security awareness blijft noodzakelijk, ook als informatiesystemen in de cloud draaien. En houdt in de gaten of de uitbestede it-security blijft passen in het bedrijfsbrede informatiebeveiligingsbeleid.
Als u denkt dat naar de cloud gaan hetzelfde is als ‘over de schutting gooien’, komt u van een koude kermis thuis.
Om te kunnen beoordelen moet u ingelogd zijn: