In vijf stappen naar een veilige cloudprovider

In een eerdere blog heb ik uitgelegd welke kansen cloud computing specifiek voor het MKB biedt. In die tekst heb ik al aangeduid waar men op moet letten bij het kiezen van de juiste cloud-oplossing. Nu ga ik dieper in op het misschien wel meest belangrijke aspect bij het kiezen van een cloud-oplossing: security. Hoewel een cloud-oplossing in principe net zo veilig of veiliger is dan IT in eigen huis, loont het voldoende tijd te nemen voor een goede evaluatie van de aanbiedingen van de verschillende providers. Als je tijd investeert in het zoeken en vergelijken van verschillende modellen en aanbieders verdien je dat later zo terug door veilige en betrouwbare IT-diensten te gebruiken zonder je zorgen te maken over gegevenslekken of dataverlies.

Deze checklist helpt je te bepalen met welke cloudprovider je in zee gaat:

1. Controleer in eerste instantie de reputatie van de service provider. Een eerste, eenvoudige stap is naar de berichtgeving op het internet te kijken. Check hiervoor ook het nieuws op de websites van de bekende ICT publicaties. Kijk vooral of de beoogde provider over onafhankelijke certificeringen beschikt. Denk hierbij bijvoorbeeld aan certificeringen als ISAE 3402 of ISO 27001. Meestal zijn deze terug te vinden op de website van de provider. Vraag het direct aan de provider als je hier twijfels over hebt.

2. Kijk ook goed of de provider al meerdere klanten uit jouw branche bedient. Ook dit is meestal eenvoudig terug te vinden via de website van de provider. Binnen een branche zijn de veiligheidseisen vaak vergelijkbaar en als je bijvoorbeeld in de juridische wereld zit, is het een goed idee met een cloud provider in zee te gaan die al redelijke ervaring heeft op dit gebied.

3. Het is ook belangrijk te weten welke maatregelen een provider neemt om jouw data te beschermen. Kijk hiervoor naar onderstaande punten. Als het goed is heb je op basis van de reputatie, certificering(en) en ervaring van de kandidaten al een selectie kunnen maken. Voor de volgende punten ontkom je er niet aan de providers uit jouw selectie te benaderen en hen de volgende vragen voor te leggen. Versleuteling: hanteert de provider versleuteling van de data? Zo ja, welke technologie gebruikt hij hiervoor? Worden alleen de data in het rekencentrum versleuteld of ook de datastromen tussen jouw locatie(s) en het datacenter?

Hoe werkt de authenticatie? Zorgt de provider wel voor sterke authenticatie van elke gebruiker die wil inloggen en zijn er mechanismen om een sessie automatisch te beëindigen als er bijvoorbeeld een bepaalde tijd geen data meer heen en weer gaan tussen datacenter en gebruiker? Hoe staat het met de veiligheid van het datacenter zelf? Een betrouwbaar datacenter wordt niet alleen regelmatig gecontroleerd op virtuele veiligheid. Ook fysiek moet een datacenter over voldoende beveiliging beschikken. En als de bescherming er eenmaal is, moet regelmatig gecontroleerd worden of deze nog voldoet aan de veranderende bedreigingen. Zijn er verslagen beschikbaar over deze controles?

Dat een professioneel datacenter gebruikmaakt van een firewall, anti virus software en een Intrusion Detection System is bijna vanzelfsprekend. Check het voor de zekerheid toch even en laat bevestigen dat die systemen niet alleen zijn geïnstalleerd, maar ook regelmatig worden geactualiseerd.

4. Wie is uiteindelijk verantwoordelijk voor de veiligheid van jouw data. Controleer goed wat de voorwaarden hiervoor zijn. Vraag ook of derde partijen betrokken zijn bij de beveiliging van jouw data. Zo kan het zijn dat de cloud provider bijvoorbeeld derde partijen inschakelt om de firewall te beheren of de authenticatie te regelen. Als dit het geval is, maakt het de controle van de veiligheid voorafgaande aan jouw beslissing niet alleen complexer. In het geval van een dataverlies of inbreuk is ook de verantwoordelijkheid moelijker vast te leggen.

5. Over het geheel is de informatiepolitiek van de provider heel erg belangrijk. Is het moeilijk om de bovenstaande vragen beantwoord te krijgen, dan is dit een goede indicatie dat er iets mis is met de beveiliging. Het is nog een vaak voorkomend idee dat men data goed kan beschermen door niets te vertellen over hoe dit gebeurt, welke soort encryptie wordt toegepast etc. Dit soort “security by obscurity” werkt echter niet. State of the art-encryptie ontleent bijvoorbeeld haar kracht aan algoritmes en niet aan een zweem van geheimzinnigheid. Een goede versleutelingstechniek weet bovendien af te schrikken, doordat iedereen weet dat zij normaliter niet te kraken is.

Op het eerste gezicht lijkt het misschien lastig een goed antwoord te krijgen op de vragen hierboven. Maar zoals gezegd, verdien je de aan het begin geïnvesteerde tijd meervoudig terug. Zeker als MKB-er wil je je niet continu bezig houden met de vraag of jouw gegevens wel of niet veilig zijn en heb je niet de mankracht in huis dit permanent te controleren. Door je huiswerk aan het begin van een cloud traject goed te doen, heb je er verder ook geen omkijken naar. Laat je wel regelmatig door je provider op de hoogte houden via rapportages. Een goede provider hoef je hier niet eens om te vragen. Dit soort updates biedt hij je zelf aan.