Het in de cloud onderbrengen van de it biedt diverse voordelen. Je hoeft als organisatie bijvoorbeeld geen beheerkennis meer in huis te houden en doorgaans neemt ook de flexibiliteit van de it-omgeving toe. Maar de stap naar de cloud is er ook een die vragen met zich mee brengt. Een belangrijke is: welke beveiligingseisen stel ik aan de cloudleverancier? Het antwoord op die vraag vind je met wat ik de ‘Foresee-’ of de ‘4C-benadering’ noem.
I can C clearly now, the rain is gone. I can C all obstacles in my way.
Begin met het risicobeeld
Voor je aan de slag gaat met de 4 C’s, wil je een compleet risicobeeld van de data vormen. Besef dat je niet altijd naar de hoogste mate van beveiliging hoeft te zoeken. Denk liever na over wat voor jouw situatie de best passende informatiebeveiliging is.
Begin daarom door je data te classificeren op drie vlakken: vertrouwelijkheid, integriteit en beschikbaarheid. Voer daarna een dreigingenanalyse en een kwetsbaarheidsanalyse uit, zodat je ook weet hoe groot de kans is dat er daadwerkelijk iets fout gaat met de informatiebeveiliging.
Als je je gegevens hebt geclassificeerd en de dreigingen hebt geanalyseerd, kun je de resultaten daarvan bundelen in het risicobeeld. Hierbij geldt de formule: risico = kans x impact. Anders gezegd: het risico dat je loopt wordt bepaald door de kans dat er iets misgaat en de grootte van de impact als dat ook daadwerkelijk gebeurt.
Gone are the dark clouds that had me blind.
Van risicobeeld naar pakket van eisen: de 4C-benadering
De volgende stap is om de 4C-benadering toe te passen. Aan de hand van het risicobeeld, stel je eisen en wensen op binnen vier verschillende hoofdgroepen. Dat zijn de 4 C’s: Compliancy, Continuity, Controls en Communication.
Compliancy
Het begint met compliancy, het opstellen van eisen waarmee je voldoet aan de randvoorwaarden gesteld vanuit zowel externe instanties als vanuit de eigen organisatie. Hoewel ze voor iedere organisatie verschillen, zijn er altijd wetten, regels en uitgangspunten waaraan je je moet houden. Denk bijvoorbeeld aan de archiefwet, aan de Wet bescherming Persoonsgegevens of aan specifieke privacywetgeving.
Continuity
Daarna is het de vraag hoelang je zonder de beschikbaarheid van bepaalde gegevens kan. Dat is belangrijk als het gaat om het vaststellen van de continuïteitseisen. Want hoewel sommige informatie altijd beschikbaar moet zijn, kan je op andere gegevens soms best een dagje wachten.
Controls
De derde groep van eisen gaat over de middelen die moeten worden ingezet om jouw informatiestromen te beschermen. De totale set van informatiebeveiligingsmaatregelen die je van een leverancier vraagt, omvat diverse vormen zoals procedures, mens en techniek. Vergeet niet om ook afspraken te maken over hoe die maatregelen worden getoetst op effectiviteit.
Communication
Tot slot bepaal je je wensen en eisen op het gebied van communicatie. Denk bijvoorbeeld op voorhand na over hoe je wilt dat je input wordt ingebracht en gewogen in het beveiligingsproces van je leverancier. En of je nu veel te zeggen wilt hebben of juist de teugels iets wilt laten vieren, een heldere service level agreement en periodieke rapportages zijn altijd belangrijk. Vaak is het bovendien zinvol om te zorgen voor één centraal aanspreekpunt.
Regeren is vooruitzien
Samengevat helpt het inzicht in de eisen en wensen voor elk van de 4 C’s je bij het nemen van weloverwogen beslissingen op het gebied van informatiebeveiliging. Door de stappen van classificatie, analyse en daarna de Foresee- of 4C-methode te doorlopen, kom je tot een gedegen pakket van eisen. Zo voorkom je onduidelijkheden, misverwachtingen en schijnveiligheid en kan de ontzorging beginnen. En zo kun je zachtjes neuriën: It’s gonna be a bright, bright, sun-shiny day!
Een erg goed artikel Gerard.
Want de combinatie met het liedje en de 4C-benadering zal ons helpen met bewustwording voor beveiliging in de cloud.
En dit sluit precies aan bij de CBP Richtsnoeren uit 2013 voor beveiliging van persoonsgegevens bij verwerking in de cloud. De Richtsnoeren van deze toezichthouder bevat tevens praktijkvoorbeelden bij: beveiligingsincidenten bij verwerking door een bewerker, faillissement clouddienstverlener, stroomstoring bij een subbewerker, afspraken in de bewerkersovereenkomst en toezicht op naleving van de afspraken.
Bij de vraag “wah kost dah en wie gaat dat betale ?” moet je zeker “dont worry, be happy” zingen.
Goed artikel, maar een van de kernpunten van de Cloud is dat je datgene krijgt dat de Cloud Provider aanbiedt. Je eigen eisen voor de 4 C’s opstellen lijkt dus leuk, maar je kan ze vaak helaas niet afdwingen bij de Cloud provider. Met name voor de kleinere klanten is het antwoord op eeb beveiligingsvraagstuk of compliancy eis toch vaak ‘ zie onze voorwaarden’. Er zou net als met PKI omgevingen een onafhankelijke audit (WebTrust) ingesteld moeten worden, zodat je als afnemer in een oogopslag kan zien aan welke eisen, regels en wetten de Cloud Provider voldoet.
Gerard,
Compliancy is niet iets wat je kunt uitbesteden, Continuity heeft in deze context weinig met de cloud te maken, Control gaat helemaal niet over de middelen maar de processen en Communication slaat hier al helemaal als een tang op een varken.
Allen, bedankt voor de reacties.
@Ewout, mee eens dat je compliancy niet kunt uitbesteden. Toch (of juist daarom) is het een onderwerp om goed bij stil te staan voordat je een keuze maakt voor een Cloud-leverancier/-dienst. In hoeverre past de betreffende dienst binnen de kaders waar je als organisatie mee te maken hebt?
In mijn ogen is Continuity een zeer relevant vraagstuk rond de Cloud. Wat zijn de beschikbaarheidsascpecten rond de dienstverlening, maar ook; wat als de cloud-leverancier failliet gaat. Hoe wordt de data ontvlecht en welke prioriteit krijgt dat van een curator?
Met Controls wordt gedoeld op de beheersmaatregelen die de betreffende leverancier heeft geimplementeerd.
De relevantie van Communicatie zou ik niet willen onderschatten. Het is belangrijk afspraken duidelijk vast te leggen(SLA). Ook adviseer ik om goed te kijken naar de communicatie binnen processen als bijvoorbeeld capacity management en incidentmanagement.