• Skip to primary navigation
  • Skip to content
  • Skip to primary sidebar
  • Skip to footer

iTRACTION

Outsourcing - systems and people

  • Home
  • Consultancy & 2nd Opinion
  • Security & Compliance
  • Blog
  • Over ons
  • Videos
  • Contact

Hoe herken je een cloudleverancier die beveiliging serieus neemt?

Cloud computing strategie, De Cloud, Dutch, Outsourcing (nl) · 05/06/2019

Beveiliging en de cloud gaan hand in hand, daar zal iedereen het mee eens zijn. Toch zien we elke dag dat de praktijk weerbarstig is. Want hoe herken je nou een cloudleverancier die beveiliging echt serieus neemt? Waar moet je allemaal op letten? En hoe kan een organisatie een cloudleverancier selecteren die de beveiliging van persoonsgegevens serieus neemt? De iTRACTION-whitepaper ‘5 valkuilen bij het afsluiten van Cloudcontracten‘ behandelt een aantal manieren om dat te doen.

Check 1: Legt de Cloudleverancier zijn beveiligingsbeleid uit?
‘Is de Cloudleverancier überhaupt bezig met het beveiligen van gegevens?,’ zegt manager Christian Prickaerts van het ‘Forensic Services’ team van Fox-IT in de whitepaper. ‘Als dat in een offerte bijvoorbeeld al niet eens benoemd wordt, dan kun je je afvragen of beveiliging wel op het netvlies staat van zo’n leverancier.’

IT Security and Privacy
IT Security and Privacy

Check 2: Stel vragen over de beveiliging
Daarnaast is het verstandig om een uitgebreide reeks vragen voor te leggen aan de Cloudleverancier, over de manier waarop deze de beveiliging van vragen geregeld heeft. Prickaerts: ‘Hoe wordt gegarandeerd dat gegevens alleen toegankelijk zijn voor geautoriseerd personeel? Worden gegevens bijvoorbeeld versleuteld, zodat de schade bij diefstal beperkt blijft? Hoe wordt toezicht gehouden op de beveiliging? Wordt de infrastructuur gedeeld met andere partijen die wellicht andere eisen stellen aan diezelfde omgeving?’

Check 3: Laat een externe partij een assessment uitvoeren
Maar hoe beoordeel je de juistheid op de beantwoording van dit type technische vragen? Prickaerts: ‘Dat kan lastig zijn. Bedrijven hebben niet per se voldoende omvang om de benodigde deskundigheid daartoe in huis te hebben. Je kunt natuurlijk een externe partij vragen om een assessment te maken van het beveiligingsniveau van de leverancier.

Check 4: Stel dezelfde beveiligingsvragen aan verschillende Cloudleveranciers
Prickaerts: ‘Daarnaast loont het de moeite om verschillende aanbieders om offertes te vragen en hen allemaal dezelfde beveiligingsvragen voor te leggen. Bedrijven die beveiliging serieus nemen zullen er op een andere manier over communiceren dan bedrijven die zeggen: maak je maar geen zorgen, dat is allemaal goed geregeld.’

Check 5: Biedt de Cloudleverancier extra beveiligingsopties?
Cloudleveranciers die een goede beveiligingscultuur hebben zijn daarnaast volgens Prickaerts te herkennen aan allerlei extra beveiligingsopties. Op het gebied van online werkplekbeheer kan een organisatie volgens Prickaerts bijvoorbeeld letten op de volgende zaken: ‘Hoe wordt er toegang gegeven tot de desktop of online werkplek? Is dat met een gebruikersnaam en wachtwoord, of wordt er gebruik gemaakt van sterkere authenticatie zoals een apart token of sms? Maar wat misschien nog belangrijker is: wordt er actief gemonitord op login-activiteiten? Wanneer de klant aangeeft wat een normaal activiteitenpatroon inhoudt, dan kan zo’n leverancier aan de bel trekken als hij zaken ziet die afwijken van normaal gedrag. Daarbij kan het bijvoorbeeld gaan om login-pogingen op vreemde momenten of vanaf ongebruikelijke en buitenlandse IP-adressen.’

Meer lezen over de risico’s van opslag van persoonsgegevens in de Cloud? Download de iTRACTION-whitepaper ‘5 valkuilen bij het afsluiten van Cloudcontracten‘.

 

Hoe gaat u om met privacy in uw organisatie? Waar loopt u tegenaan in de praktijk? En hoe heeft u dit opgelost? Wij stellen uw bijdrage erg op prijs, laat het ons en onze lezers weten in het commentaarveld beneden.

Filed Under: Cloud computing strategie, De Cloud, Dutch, Outsourcing (nl) Tagged With: cloud, online werkplek, privacy, security

Previous Post: « 7 Belangrijke Aspecten van Security by Design en Security by Default in de GDPR
Next Post: GDPR en artikel 30: het Verwerkingsregister »

Primary Sidebar

Ons adres:

Vestiging Almere
Transistorstraat 58A
1322 CG Almere
Tel. 036 5367 888

BLOG

GDPR en artikel 30: het Verwerkingsregister

De nieuwe Europese GDPR, General Data Protection Regulation bij ons de AVG geheten, spreekt in artikel 30 over ‘Record of processing activities’ ook wel bekend als een ‘Verwerkingsregister’ of kortweg VR. Is een VR altijd verplicht, ook voor kleine bedrijven? Waar moet je op letten bij het opstellen van het verwerkingsregister? En wat moet er [Meer…]

Hoe herken je een cloudleverancier die beveiliging serieus neemt?

Beveiliging en de cloud gaan hand in hand, daar zal iedereen het mee eens zijn. Toch zien we elke dag dat de praktijk weerbarstig is. Want hoe herken je nou een cloudleverancier die beveiliging echt serieus neemt? Waar moet je allemaal op letten? En hoe kan een organisatie een cloudleverancier selecteren die de beveiliging van persoonsgegevens serieus [Meer…]

7 Belangrijke Aspecten van Security by Design en Security by Default in de GDPR

De nieuwe Europese GDPR, General Data Protection Regulation bij ons ook wel de AVG geheten, spreekt in artikel 25 over Security by Design en Security by Default. Klinkt goed maar wat is eigenlijk het verschil? En hoeveel impact gaan deze eisen hebben op bedrijven en directies als ze op 25 mei aanstaande samen met de GDPR [Meer…]

Footer

Volg ons

  • Email
  • Facebook
  • LinkedIn
  • Twitter
  • YouTube

Meer info

  • Blog
  • Contact
  • WERKEN BIJ iTRACTION
  • Privacyverklaring
(c) 2017 | iTRACTION BV