Hoe veilig is uw Cloud

Neemt u gerust contact met ons op 0682692429

Hoe veilig is uw Cloud

26 augustus 2021 Cyber security 0

Ook al zijn organisaties er meestal 100% van overtuigd dat hun IT-omgeving goed beveiligd is, toch duikt in werkelijkheid een hack vaak gepaard met een datalek sneller op dan u denkt. U loopt al snel risico’s wanneer u de beveiliging niet serieus neemt. Maar als u hier zelf te weinig kennis van heeft, is het lastig om de juiste vragen te stellen. En stel, u wordt gehackt en data komt handen van derden dan mag het bestuur uitleggen hoe dit heeft kunnen gebeuren. Belangrijk is dus dat u richtlijnen meegeeft aan uw uitvoerder(s). Dit kan middels afspraken die u maakt bijvoorbeeld via een SLA, maar dit kan ook door in uw IT-beleid duidelijke kaders te scheppen voor uw uitvoerder. Niet hoe ze het moeten doen maar wel wat u van hen verwacht.

Uitvoerder

Denk er ook aan dat wanneer u activiteiten heeft uitbesteed en de uitvoeringsorganisatie wordt gehackt, u als organisatie verantwoordelijk blijft als het gaat om persoonsgegevens. U kunt zich niet verschuilen achter de uitvoerder, ”ich habe es nicht gewusst”. Dan had u hier vooraf goed afspraken over moeten maken.

Schade

De schade van een hack kan groot zijn. Een lek of inbreuk op data kan zwaarwegende juridische, financiële en reputatieschade opleveren.

Vergeet niet dat wanneer er privé data zijn gehackt, hier binnen 72 uur melding van moet worden gedaan bij de Autoriteit Persoonsgegevens. Want als die melding niet tijdig gebeurt. loopt u hier ook nog een kans om een boete te krijgen. Deze boete kan oplopen tot maximaal 20 miljoen euro of 4% van de jaaromzet.

Belangrijke vragen/onderwerpen

Het is dus belangrijk dat u goede afspraken maakt met uw uitvoerder(s). Vragen/onderwerpen die hierbij aan de orde moeten komen, zijn de volgende.

Veel organisaties hebben hun data verplaatst naar de Cloud. Bent u zich bewust welke data in de Cloud staat van uzelf of van uw uitvoerder(s)? Waar staat deze data? In de EU of erbuiten?

Persoonsgegevens mogen namelijk uitsluitend worden overgedragen vanuit een land binnen de Europese Economische Ruimte (EER) naar landen buiten de EER (‘externe landen’) die door de Europese Commissie worden geacht over een passend beschermingsniveau te beschikken.

Wordt deze Cloudomgeving gemonitord? Wordt deze Cloudomgeving voldoende beveiligd? Anders loopt u het risico dat uw data misschien gehackt wordt.

De verbinding met de Cloud is vaak een zwakke schakel als het gaat om de beveiliging hiervan. U kunt zich voorstellen dat dit wel een heel cruciale schakel is. Tenslotte lopen alle data en applicaties via een verbinding met de Cloud provider. De perfecte ingang voor cybercriminelen dus.

Provider

Vooral belangrijk is in hoeverre een Cloudservice-provider zich bezighoudt met beveiliging van de Cloud. Veel providers zijn zich hier terdege van bewust en bieden u zelfs toegang tot beveiligingstools en dashboards. Maar u moet zich er zelf wel van bewust blijven welke data er naar de Cloud gaat, hoe dit werkt en wat de veranderende risico’s zijn zodat u deze zoveel mogelijk kunt mitigeren.

Enkele tips die wij u hierbij willen geven zijn:

  • Zorg voor een IT-beleid en leg hierin vast wat u verwacht van uw Cloudprovider of, bij uitbesteding, van uw uitvoerder(s).
  • Maak afspraken over verantwoordingsrapportages.
  • Houd de regie.
  • Geef aan wat u verwacht en monitor uw provider of uitvoerder.
  • Stel vragen.
  • Hoe is de veiligheid geregeld?
  • Door welke personen is de Cloudomgeving benaderbaar?

In het geval van Clouddiensten dient de organisatie hierop, voorafgaand aan de uitbesteding, verplicht een risicoanalyse uit te voeren en deze aan DNB voor te leggen (dit laatste geldt alleen voor onder toezicht staande organisaties).

Vanuit de optiek van privacy en de AVG dient de organisatie tevens inzicht te hebben waar de data is ondergebracht.

Een belangrijke vraag die u mag stellen, is of de verbindingen voortdurend gemonitord worden opdat netwerkverstoringen direct gedetecteerd worden.

Hoe worden de netwerkcomponenten gemonitord op mogelijk ongewenste apparatuur in het netwerk? Worden deze netwerkcomponenten, en niet te vergeten de poorten, actief gemonitord zodat er bij veranderingen en onderbrekingen van het signaal direct alarmbellen afgaan? Dit zijn indicaties dat er mogelijk ongewenste apparatuur in het netwerk is geplaatst.

Bijzondere aandacht

Cybersecurity en de daarmee gepaarde gaande risico’s verdienen bijzondere aandacht. De uitvoeringsorganisatie dient te beschikken over een beveiligingsorganisatie die geëquipeerd is om, voor zover mogelijk, de met cybersecurity gepaard gaande risico’s te beheersen door proactieve maatregelen te treffen, tijdig eventuele security breaches te detecteren, daarop adequaat te reageren en eventuele gevolgen van een incident te minimaliseren. Continu verbeteren is een van de kenmerken van deze beveiligingsorganisatie.

Bezoekadres: Wessemerdijk 11 | 6031 SG Nederweert | KvK 83125205

Info@c-i-c.nl (algemeen) edcreusen@c-i-c.nl nataschawesten@c-i-c.nl

Ed Creusen +31(0)6 20493611 Natascha Westen +31 (0)6 82692429 Robbert van Schaik +31 (0)6 46271081

©  2024 . Compliance-i-Consultancy B.V. | Follow us on LinkedIn and Twitter