Beveiligingsstrategie noodzakelijk bij migreren naar cloudoplossingen
Informatiebeveiliging wordt steeds belangrijker binnen het bedrijfsleven. Men moet ook wel, want op het niet goed beveiligen van informatie staan sinds 1 januari 2016 met het ingaan van de wet meldplicht datalekken, hoge boetes. Ook migreren veel momenteel bedrijven (een deel van) hun infrastructuur naar cloud oplossingen, met als doel een goedkoper en beter beschikbaar applicatielandschap te bewerkstelligen voor klanten en medewerkers. Valkuilen die bij de gang naar IaaS, PaaS of SaaS vaak over het hoofd gezien worden zijn de beveiliging van informatie die gemigreerd moet worden. In deze blogpost zal ik ingaan op het eerste, over de opslag en het migreren van informatie bij cloud migratie zal ik in een latere blogpost praten. Een goede beveiligingsstrategie is noodzakelijk wanneer bedrijven migreren naar cloudoplossingen
Beschikbaarheid, Vertrouwelijkheid en Integriteit
Binnen informatiebeveiliging kijken we naar drie belangrijke aspecten wanneer ons gevraagd wordt om informatie binnen een SaaS, PaaS of IaaS oplossing naar een cloudomgeving te brengen.
Beschikbaarheid:
Hoe belangrijk is het dat de informatie, die aan gebruikers ter beschikking gesteld wordt, daadwerkelijk beschikbaar is?
Hierbij moet u denken aan bijvoorbeeld uw klantenbeheer systeem waar uw medewerkers van de afdeling verkoop dag-in, dag-uit van afhankelijk zijn. Wanneer uw bedrijf een groot aantal mensen in de buitendienst heeft kan het heel handig zijn om uw klantenbeheer systeem in de cloud te plaatsen, waardoor de buitendienst medewerkers, zolang zij de beschikking hebben over een internet verbinding, altijd bij de gegevens van hun klanten kunnen. En dat zonder afhankelijk te zijn van het internetgebruik op kantoor.
Één van de voordelen van het gebruik van cloud oplossingen bij het ter beschikking stellen van informatie aan (potentiële-) klanten en medewerkers is beschikbaarheid van intern gehoste informatie bij een aanval op via het internet ontsloten informatie. Bedrijven die gespecialiseerd zijn in het via de cloud ontsluiten van informatie, bieden geografisch gescheiden oplossingen aan met 1 doel voor u, het beschikbaar hebben van de informatie of toepassing, die u daar geplaatst heeft.
Een ander verhaal wordt het, wanneer u voor het grootste deel afhankelijk bent van een verkoop binnendienst, waarbij de medewerkers altijd vanaf de kantoorlocatie werken. In dat geval kan een cloud oplossing negatief uitpakken, bijvoorbeeld wanneer er een storing is bij uw internetprovider. Kunnen uw medewerkers dan nog steeds hun werk doen, of stuurt u ze naar huis om vanuit daar te werken?
Bij het bepalen of informatie in een cloud oplossing geplaatst kan worden is daarom belangrijk dat u van tevoren bepaalt welke beschikbaarheidsstrategie u gaat volgen. Op basis van deze strategie kunt u vervolgens een leverancier van cloud diensten selecteren en met de geselecteerde leverancier afspraken maken over de beschikbaarheid.
Vertrouwelijkheid:
Hoe belangrijk is het dat de informatie, die aan gebruikers ter beschikking gesteld wordt, alleen door hen betrokken kunnen worden die daartoe gemachtigd zijn?
Om deze vraag te beantwoorden is het belangrijk te weten hoe wij binnen TechGourmet informatie classificeren.
Wij classificeren vertrouwelijkheid van informatie in 4 categorieën :
- V1: Publiek toegankelijke informatie (Bijvoorbeeld de informatie die u op uw website zet, reclame, publieke bedrijfsgegevens)
- V2: Vertrouwelijke informatie (Bijvoorbeeld offerten, facturen of projectinformatie, die u met derden deelt)
- V3: Strikt vertrouwelijke, of interne informatie (Bijvoorbeeld interne bedrijfsprocedures, financiële gegevens, relatiegegevens, interne email)
- V4: Geheime informatie (Bijvoorbeeld directieverslagen, personeelsgegevens, functioneringsgegevens)
Om te bepalen welke strategie u moet volgen bij het verplaatsen van informatie naar een SaaS, IaaS of PaaS oplossing, zult u eerst moeten bepalen in welke van de vier hierboven genoemde categorieën de informatie valt. V1 en V2 informatie is redelijk eenvoudig naar een cloud oplossing te verplaatsen, bij V3 en V4 informatie komen wet- en regelgeving, alsmede uw eigen procedures kijken. Houdt er rekening mee dat veel leveranciers van cloud diensten grensoverschrijdend opereren en dat u er, tenzij u goede afspraken maakt met uw leverancier, weinig tot geen invloed op hebt. Hierbij geldt dat doorgifte van privacygevoelige data buiten de EER (EU-landen, IJsland, Liechtenstein en Noorwegen) verboden is, tenzij sprake is van een passend beschermingsniveau in dat land. Buiten die gevallen is doorgifte slechts toegestaan indien de betrokkene daartoe zijn ondubbelzinnige toestemming heeft gegeven. Daarnaast moet er een overeenkomst worden gesloten tussen het bedrijf en de service provider, die voldoende beschermingsmaatregelen biedt op basis waarvan het Ministerie van Justitie een vergunning heeft gegeven voor de doorgifte.
Wanneer u V2, V3 of V4 informatie naar de cloud wilt brengen is het altijd verstandig om dit onder begeleiding te doen, om te voorkomen dat uw gegevens worden ingezien door bedrijven, overheden en personen die daar geen toegang tot zouden moeten hebben.
Integriteit
Hoe belangrijk is het dat de informatie, die aan gebruikers ter beschikking gesteld wordt volledig, tijdig en/of geautoriseerd is?
De integriteit van de informatie die u aan klanten en medewerkers ter beschikking stelt bepaalt hoe betrouwbaar u als bedrijf gezien wordt. Wanneer u informatie binnen een cloud omgeving plaatst, is het van het grootste belang dat u deze, net zoals informatie die u op binnen uw eigen bedrijfsomgeving heeft staan, waarborgt.
Voorbeelden van vragen over het bewaken van integriteit van informatie waarmee rekening gehouden moet worden zijn:
- Hoe vaak en op welke wijze wordt er van de opgeslagen informatie een back-up gemaakt?
- Hoe lang worden back-ups van informatie bewaard, zodat u ze kunt herstellen op het moment dat informatie onverhoopt gecorrumpeerd raakt. (data retentie)
- Wordt uw bedrijfsinformatie versleuteld opgeslagen? Zo ja, op welke wijze?
- Wordt uw bedrijfsinformatie versleuteld getransporteerd? Zo ja, op welke wijze?
- Hoe is uw bedrijfsinformatie gescheiden van de bedrijfsinformatie van andere bedrijven bij dezelfde leverancier van cloud diensten?
- Hoe is de toegang tot- en autorisatie ingeregeld voor uw bedrijfsinformatie?
De antwoorden op deze vragen helpen u bepalen of een leverancier van cloud diensten bij uw bedrijf en/of de informatie die u binnen een cloud oplossing wilt plaatsen past. Het toepassen van de juiste strategie voor uw bedrijfsinformatie zorgt ervoor dat uw bedrijf minder risico’s loopt op rondom privacyschending en het ongewenst aanpassen van de informatie.
Tevens is het van belang dat u afspraken maakt met uw leverancier over de wijze waarop deze omgaat met uw bedrijfsinformatie en deze ook vastlegt. Hiermee voorkomt u dat uw bedrijf onnodige risico’s loopt door informatie in een cloud oplossing te plaatsen.
Strategie
Het bepalen van de juiste security strategie voor uw bedrijfsinformatie is belangrijk wanneer u naar een cloud oplossing wilt migreren. Zorg dat u weet wat voor waarde de bedrijfsinformatie heeft voor uw bedrijf, welke risico’s u loopt en hoe uw leverancier van cloudvdiensten met uw informatie omgaat. Hiermee waarborgt u de beschikbaarheid van uw bedrijfsinformatie en voorkomt u dat u juridisch aansprakelijk kunt worden gesteld wanneer (privacygevoelige-) informatie van/over uw klanten in verkeerde handen valt.
Mocht u twijfelen over wat voor uw bedrijfsinformatie de beste strategie is? Laat u dan bijstaan in het opstellen van een security strategie die past bij uw bedrijf.
Daarmee wordt de migratie naar cloud oplossingen voor uw bedrijf een succes.