Organisaties die van plan zijn om clouddiensten in te kopen moeten vooraf vijf maatregelen treffen om onbeheerste risico's te voorkomen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in een nieuwe factsheet.
Volgens het NCSC blijkt in de praktijk dat organisaties clouddiensten regelmatig niet veilig inkopen, wat leidt tot onbeheerste risico's. Deze risico's zijn na het inkopen deels nog wel te verhelpen, maar voor een aantal maatregelen geldt dat die alleen effectief zijn als ze vooraf getroffen worden. "Als medewerkers zich bijvoorbeeld niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld gevoelige gegevens in cloudomgevingen staan", stelt het NCSC.
Wanneer organisaties geen aanvullende maatregelen voor veilig cloudgebruik treffen, loopt de organisatie een verhoogd risico op beveiligingsincidenten zoals datalekken of overtredingen van wetgeving. Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang.
Daarmee worden risico's verholpen die na het sluiten van de overeenkomst met de cloudaanbieder nog nauwelijks te verhelpen zijn, aldus het NCSC. De overheidsdienst merkt op dat de opsomming van genoemde maatregelen niet volledig is. Zo zijn er veel meer maatregelen die genomen kunnen worden. Daarnaast kunnen er binnen organisaties aanvullende belangen of beveiligingsbehoeften spelen wanneer er voor de cloud wordt gekozen.
Deze posting is gelocked. Reageren is niet meer mogelijk.