image

NCSC adviseert vijf maatregelen voor inkoop clouddiensten

maandag 2 november 2020, 16:27 door Redactie, 4 reacties
Laatst bijgewerkt: 03-11-2020, 09:43

Organisaties die van plan zijn om clouddiensten in te kopen moeten vooraf vijf maatregelen treffen om onbeheerste risico's te voorkomen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in een nieuwe factsheet.

Volgens het NCSC blijkt in de praktijk dat organisaties clouddiensten regelmatig niet veilig inkopen, wat leidt tot onbeheerste risico's. Deze risico's zijn na het inkopen deels nog wel te verhelpen, maar voor een aantal maatregelen geldt dat die alleen effectief zijn als ze vooraf getroffen worden. "Als medewerkers zich bijvoorbeeld niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld gevoelige gegevens in cloudomgevingen staan", stelt het NCSC.

Wanneer organisaties geen aanvullende maatregelen voor veilig cloudgebruik treffen, loopt de organisatie een verhoogd risico op beveiligingsincidenten zoals datalekken of overtredingen van wetgeving. Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang.

Daarmee worden risico's verholpen die na het sluiten van de overeenkomst met de cloudaanbieder nog nauwelijks te verhelpen zijn, aldus het NCSC. De overheidsdienst merkt op dat de opsomming van genoemde maatregelen niet volledig is. Zo zijn er veel meer maatregelen die genomen kunnen worden. Daarnaast kunnen er binnen organisaties aanvullende belangen of beveiligingsbehoeften spelen wanneer er voor de cloud wordt gekozen.

Reacties (4)
02-11-2020, 18:59 door Anoniem
Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang.

Hadden die CTOs, CISOs en managers dit niet gewoon kunnen leren op school?

De rol van NCSC moet niet een LOI-cursus voor domme ambtenaren zijn, maar een actieve organisatie die ons land verbetert.
02-11-2020, 19:03 door Anoniem
Wil je helemaal losgaan? https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment bied nog een verdiepingsslag.
02-11-2020, 19:54 door Anoniem
Door Anoniem:
Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang.

Hadden die CTOs, CISOs en managers dit niet gewoon kunnen leren op school?

De rol van NCSC moet niet een LOI-cursus voor domme ambtenaren zijn, maar een actieve organisatie die ons land verbetert.
Jij denkt dat elk MKB-bedrijf een fulltime CTO en/of CISO heeft?

Ik zie hier een NCSC die juist het voortouw neemt om het land weerbaarder te maken. Dat doe je niet alleen door je te richten op de bedrijven die hun zaakjes het best op orde hebben, maar de meeste winst valt JUIST te behalen bij de bedrijven die nog volwassenheidsstappen te maken hebben. Dat nihilistische negativisme is echt heel erg vermoeiend en zet onze complete industrie in een negatief daglicht. Ik daag je uit om de volgende keer een positiever uitgangspunt te nemen.
03-11-2020, 08:49 door Anoniem
Door Anoniem:
Door Anoniem:
Het NCSC adviseert dan ook om geen clouddienst in te kopen zonder vooraf vijf maatregelen te nemen. Het gaat om risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang.

Hadden die CTOs, CISOs en managers dit niet gewoon kunnen leren op school?

De rol van NCSC moet niet een LOI-cursus voor domme ambtenaren zijn, maar een actieve organisatie die ons land verbetert.
Jij denkt dat elk MKB-bedrijf een fulltime CTO en/of CISO heeft?

Ik zie hier een NCSC die juist het voortouw neemt om het land weerbaarder te maken. Dat doe je niet alleen door je te richten op de bedrijven die hun zaakjes het best op orde hebben, maar de meeste winst valt JUIST te behalen bij de bedrijven die nog volwassenheidsstappen te maken hebben. Dat nihilistische negativisme is echt heel erg vermoeiend en zet onze complete industrie in een negatief daglicht. Ik daag je uit om de volgende keer een positiever uitgangspunt te nemen.

Helemaal mee eens.

En afgezien daarvan zijn er ook nog heel wat mensen op de arbeidsmarkt die op school zaten in een tijdperk dat cloud alleen nog bestond als je naar boven keek als je buiten stond.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.