Veilig werken met cloud computing in tien stappen

Stap veilig en goed voorbereid de cloud in

28 november 2017

Veel ondernemers zijn nog terughoudend om bedrijfsgegevens over te hevelen naar de cloud. Ze zijn vaak bang voor internetcriminelen die hun gegevens voor het oprapen hebben. Toch is angst in veel gevallen niet nodig.

1. Zorg voor een betrouwbare internetverbinding

Ga je gebruik maken van cloud computing dan is een goede en betrouwbare internetverbinding op al je werklocaties van groot belang. Je wilt natuurlijk overal ten volle deze diensten benutten. Zeker als je gebruik gaat maken van softwaretoepassingen of platforms om met je klanten, partners en andere partijen te communiceren. Denk aan bellen vanuit de cloud, videoconferencing of het houden van webinars. Dan wil je niet dat je door een haperende internetverbinding wegvalt. Zorg daarom voor een absoluut betrouwbare internetverbinding, met voldoende bandbreedte en garanties over de uptime. Spreid eventueel de risico’s met meervoudige verbindingen, op basis van verschillende technologie.

2. Inventariseer en beveilig alle apparatuur die wordt ingezet voor de cloud

Niet alleen desktops en laptops, maar ook alle tablets, smartphones of PDA’s die nu gebruikt worden binnen het bedrijfsnetwerk, zullen straks ook contact leggen met de cloud. Ze vormen daardoor een potentieel veiligheidsrisico en je zult ze dus allemaal moeten inventariseren en beveiligen om cybercriminelen geen kans te geven via het apparaat of bedrijfsnetwerk toegang te krijgen tot bedrijfsdata. Denk hierbij ook aan het fenomeen BYOD (Bring Your Own Device), de privéapparatuur van medewerkers die wordt ingezet voor de bedrijfsvoering. Maak op elk apparaat tenminste gebruik van virusscans, wachtwoorden, versleuteling en specifieke persoonsgebonden permissies.

3. Maak een goede schifting van al je data

Voordat je de cloud instapt, is het zaak al je data nauwkeurig onder de loep te nemen en te rangschikken. Stel jezelf hierbij steeds de vraag welke gegevens veilig de cloud in kunnen, welke absoluut niet en welke onder bepaalde condities. Maak onderscheid tussen bedrijfsgevoelige data,

privacygevoelige data, transparante data, enzovoorts. Een dergelijke schifting bespaart je achteraf tijd en draagt uiteindelijk bij aan een zo veilig en optimaal mogelijke inrichting van je cloud.

4. Houd privacygevoelige data in Nederland

Voor de beveiliging van persoonsgegevens geldt sinds 1995 een centrale EU-richtlijn, die echter door de afzonderlijke lidstaten verschillend wordt uitgelegd. Het resultaat is een bont palet aan wetten en regels die een werkelijke Europese cloud in de weg staan. In januari 2012 zijn er in Brussel voorstellen gedaan voor een nieuwe wet, die wél direct en ongewijzigd in alle 27 lidstaten van kracht zal worden. Verwachte implementatie is ergens tussen 2014 en 2016. Tot die tijd kun je privacygevoelige data het beste binnen Nederland houden. Maak hierover heldere afspraken met je cloudaanbieder, want een dergelijke restrictie is technisch prima mogelijk.

5. Kies een cloudoplossing op maat

De cloud is niet homogeen, de cloud is divers. Dat is natuurlijk prettig, want het verschaft je de mogelijkheid een oplossing te kiezen die het beste aansluit bij de structuur van je bedrijf. Er zijn grofweg vier hoofdvarianten van cloudoplossingen:

- Public cloud: kenmerkt zich door een infrastructuur die volledig in handen is van de provider. Je gegevens worden ‘ergens ter wereld’ opgeslagen. Waar precies is onbekend en er zijn ook geen afspraken over gemaakt.

- Private cloud: biedt een infrastructuur die exclusief voor jou is bestemd. Hierbij kun je precies zeggen op welke locatie je gegevens zich bevinden.

- Hybride cloud: is deels public, deels private en geeft je de mogelijkheid gevoelige data gescheiden van de rest onder te brengen, in een afgeschermde private omgeving.

- Community cloud: deel je met een handvol vergelijkbare bedrijven of organisaties.

Een publieke cloud is logischerwijs niet geschikt voor gevoelige bedrijfsdata. Een private cloud daarentegen biedt bijna volledige controle, maar heeft ook zo zijn prijskaartje. Voor de meeste bedrijven zal daarom een hybride cloud het aantrekkelijkst zijn, of eventueel een community cloud. Bij de uiteindelijke keuze zal de expertise van je cloudaanbieder uitkomst bieden.

6. Mijd ongecertificeerde cloudaanbieders

Alhoewel certificaten geen keiharde garanties bieden, vormen ze een welkome leidraad bij het vinden van een betrouwbare cloudaanbieder. Het wel of niet voeren van een certificaat zegt op z’n minst iets over de instelling van het betreffende bedrijf. Mijd daarom ongecertificeerde aanbieders en let vooral op de aanwezigheid van de volgende certificaten:

- PCI DSS (Payment Card Industry Data Security Standards). Dat is een pakket met maar liefst 297 voorschriften, opgelegd door de internationale creditcardorganisaties.

- ISO 27001, een belangrijke ISO-standaard voor informatiebeveiliging

- ISO 9001, een norm die eisen stelt aan het kwaliteitsbeleid van organisaties

- ISAE 3402, een nieuwe standaard voor ‘third party reporting’.

De zogenaamde ‘scope’ van deze certificaten is van groot belang. Als deze jouw data en omgeving niet voldoende omschrijven, heeft het certificaat voor jou immers geen enkele waarde.

7. Maak een overeenkomst (SLA)

Welke cloudoplossing je ook kiest, ga nooit in zee met een provider zonder duidelijke afspraken te maken. Leg deze altijd schriftelijk vast. Gebruik hiervoor een SLA (Service Level Agreement) en betitel deze bij voorkeur als formeel contract. Dat is een SLA namelijk niet per definitie,

de betrokken partijen kunnen er elke status aan geven die ze willen.

Het is goed je te realiseren dat je altijd zelf verantwoordelijk blijft voor je data. Gecertificeerde partners of niet. Aan de andere kant mag je ook best wat verwachten van je cloudprovider. Vertrouwen, betrouwbaarheid en stabiliteit zijn ook voor zijn/haar business van groot belang. Hij/zij zal daarom zijn uiterste best doen geen steken te laten vallen. Profiteer van die wetenschap, maar bedenk tegelijkertijd dat alles zijn prijs heeft. Ook in de cloud.

8. Zorg dat je werknemers ermee kunnen werken

Zodra je de cloud instapt is het goed om je werknemers bewust te maken van de voordelen en hen te leren hoe het werkt. Wil je alles uit de cloud halen, dan is het goed dat je werknemers het volledig onder de knie krijgen en niet slechts de helft van de mogelijkheden gaan benutten. Dit kun je doen door intern overleg of door een training of webinar te volgen van de aanbieder of een andere externe partij.

Auteur

Henk Jansen