Geen zorgen, mijn cloud is compliant

Gert-Jan Schotsman en Max Webber - Natuurlijk weet u dat de bedrijfsprocessen en bedrijfsinformatie kwetsbaar zijn voor storingen of fraude. Is dat voor u een reden om niet naar de cloud te gaan?

Aan de andere kant moet uw business wel snel en voordelig nieuwe diensten en producten lanceren en steeds vaker schaalbaar ingezet worden Met traditionele IT is dat steeds moeilijker te realiseren.

Wat zijn mijn informatiebeveiligings risico's met cloud?

Wilt u overstappen naar de cloud? Dan zijn de juiste risico analyses en cloud-beveiligingsmaatregelen essentieel. Hiermee vermindert u de kans op cyber security incidenten, fraude, vergissingen en non-compliance. In deze blog gaan we dieper in op dit laatste aandachtspunt. We leggen uit hoe u compliant blijft in de cloud en wat dat betekent. Ook geven wij een handreiking voor een geïntegreerde compliance-aanpak voor uw cloud.

cloud compliant met goede informatiebeveiliging

Hoe blijf ik compliant in de cloud?

C-level Management Support, Leadership en ‘in control’, zijn de IT-GRC (IT Governance, Risk management & Compliance) buzzwords van vandaag de dag. Het realiseren van een cloud die voldoet aan deze buzzwords is voor de één gesneden koek en voor de ander een enorme opgave. Zeker als marges onder druk staan en de business uitgedaagd wordt steeds sneller nieuwe diensten of producten te lanceren.

Een eerste voorwaarde is een veilige toegang tot uw cloud. Welke stappen u hiervoor kunt zetten leest u in de blog ‘Stay out of my cloud’ van Peter den Ouden en Max Webber. Hier worden deze vraagstukken tot in detail behandeld.

Compliant zijn, wat betekent dat?

Compliant zijn betekent niet meer en niet minder dan voldoen aan de wet- en regelgeving. Auditors toetsen uw processen en IT op  best practices, risico analyses en maatregelen, op basis van informatie beveiliging standaarden , en uw eigen beleid. Steeds vaker worden certificeringen ‒ zoals ISO27001, ISO20000, ISAE3402 of ISO9001 ‒ gebruikt om aan te tonen dat een bedrijf in control is. Maar let op, een organisatie kan de relevante certificeringen bezitten en toch niet voldoen aan de wet- en regelgeving. Een bedrijf kan bijvoorbeeld ISO27001 gecertificeerd zijn voor hun Information Security Management System (ISMS). Maar dat wil niet zeggen dat deze onderneming de privacy conform de richtsnoeren van het College Bescherming Persoonsgegevens (CBP) respecteert. In uw Cloud is het nog mistiger met betrekking tot waar uw processen en systemen ophouden en waar die van uw leveranciers beginnen. Hoe zorgt u dat u wèl compliant bent?

Compliant via geïntegreerde periodieke procescontrole

Wilt u gegarandeerd compliant zijn in de cloud? Dan is het belangrijk om een geïntegreerde periodieke procescontrole te hanteren. Daarbij is een aantal punten van belang.

Het is belangrijk om helderheid te hebben over het toetsingskader: de relevante wet- en regelgeving en best practices. Daarna is het noodzakelijk om een Business Impact Assessment (BIA) te doen. Hiermee definieert u de risico’s en risicomitigerende generieke (IT) controls. Met al deze elementen kunt u een cross reference lijst opstellen: het verband tussen het toetsingskader, de geïdentificeerde risico’s en de (IT) controls. Zo’n cross reference-lijst zorgt voor meer draagvlak en acceptatie van de uit te voeren controles. Vervolgens kunt u deze controles in de bedrijfsprocessen implementeren.

Parallel hieraan kunt u centraal controleren of het gevalideerde controlebewijs wordt opgeslagen. Hiermee toont u een auditor aan dat u de nodige zaken heeft gedaan om aan compliancy richtlijnen te voldoen.  We raden u aan het controlebewijs centraal op te slaan. Uit ervaring weten we dat audits dan minder chaotisch en met een beter voorspelbaar resultaat verlopen. Uiteraard profiteert u, maar zeker ook uw klant, van het ‘in control’ zijn. U beschikt hierdoor namelijk over een gewaarborgde dienstverlening.

Compliant in de cloud

Wees gerust, in essentie is compliancy in de cloud oude wijn in nieuwe zakken. Alles wat van toepassing is op uw huidige IT-omgeving is ook van toepassing op de bedrijfsprocessen in de cloud. Natuurlijk zijn er ook verschillen. Ten eerste wordt een cloud-dienst vaak afgenomen van een third party IT-provider. Dat betekent dat uw IT niet meer in-house is. Ten eerste doet u er goed aan in het Service Level Agreement (SLA) specifieke afspraken op te nemen die in lijn zijn met uw eigen compliancy richtlijnen. Hierin kunt u ook afspraken over belangrijke security-aspecten vastleggen, zoals over privacy en continuïteit. Ten tweede is het vanuit kosten – en efficiency oogpunt handig om vooraf aspecten als IT Governance, Risk Management en Compliance (IT-GRC) te adresseren. Dat doet u met een assessment op de processen en IT systemen van uw leverancier.

Informatiebeveiliging van uw cloud

Er zijn voldoende positieve business cases om naar de cloud over te stappen. Dus wat houdt u tegen? Beveiliging is een belangrijk onderwerp. Het lijkt vanzelfsprekend om de toegang tot uw bedrijfsinformatie te beschermen, maar helaas gebeurt dat niet altijd in de cloud. Daarnaast ligt het voor de hand om vooraf na te denken over de in control-aspecten en het IT-GRC-vraagstuk. Zorg er voor dat u deze aspecten adresseert voordat u naar de cloud overstapt.

Ondersteuning nodig van security specialisten bij overgang naar cloud?

Sogeti ondersteunt u bij het overstappen naar uw cloud. Daarvoor hebben we ervaren security-specialisten in huis. Mensen die u op het gebied van IT Governance, Risk Management en Compliance (IT-GRC) en Identity & Access Management (IAM) kunnen adviseren. Bovendien kunnen ze ook op deze gebieden uw applicaties en websites onderwerpen aan security-testen.

Wilt u meer weten over informatiebeveiliging (van uw Cloud)? E-mail dan naar Rogier van Agt of bel hem via: T: +31 886 606 600.

Stuur e-mail