Nieuws

dinsdag 23 mei 2017

Certificeringen in de cloud

Door: Kees Mastwijk, business area manager Security Management

Cloud diensten nemen nog steeds in populariteit toe. Grote kans dat binnen uw organisatie ook gebruik maakt wordt van diensten van cloud aanbieders, of dat er plannen zijn om een cloud oplossing te gaan gebruiken.

Naast de (functionele) meerwaarde die de cloud oplossing kan brengen is het van belang dat u zekerheid verkrijgt over de beveiliging van de oplossing. Een risico analyse is uiteraard een eerste begin. Daarnaast kan het goed zijn dat de cloud aanbieder beschikt  over een onafhankelijk (audit) rapport of certificering. In dit artikel gaan wat in op de verschillende soorten rapporten en certificeringen die cloud aanbieders in hun bezit kunnen hebben.

We maken een onderscheid in rapporten en certificeringen. Een voorbeeld van een onafhankelijk rapport is het Service Organisation Control (SOC) rapport. SOC rapporten zijn er in verschillende varianten. Vraag naar een SOC2 rapport. Een SOC2 rapport wordt geboden in twee varianten: type I en type II. Vraag naar een SOC2 type II rapport. Dit rapport beschrijft de werking van beveiligingsmaatregelen over een langere periode, doorgaans een half jaar. Let bij een SOC2 type II rapport ook op ‘Trust principles’ die de scope vormen voor het rapport: Security, Availability, Processing Integrity, Confidentiality and Privacy. De cloud aanbieder kan zelf bepalen welke van deze principles in het rapport worden beschreven.

Naast onafhankelijke rapporten kunnen we ook ISO certificeringen tegenkomen. Onafhankelijke auditors toetsten de cloud aanbieder tegen de internationale normenkaders.

De meest bekende beveiligingsstandaard is ISO27001, het managementsysteem voor informatiebeveiliging. Andere, wellicht minder bekende, maar specifieke ISO standaarden zijn ISO 27017 en ISO27018.

De ISO27017 norm is gebaseerd op een aantal van de beveiligingsmaatregelen uit de ISO27002 norm. Echter, er zijn specifieke beveiligingsmaatregelen opgenomen voor aanbieders van cloud oplossingen. Bijvoorbeeld afspraken over verantwoordelijkheid over de beveiliging van aanbieder en klant, monitoring van activiteit in de cloud oplossing, afscherming van klantomgevingen etc.

ISO27018 is de internationale standaard voor de bescherming van persoonsgegevens in de cloud, en specifiek voor cloudaanbieders die de rol van bewerker innemen.

De laatste twee, cloud specifieke, normen zijn minder bekend dan ISO27001. Mocht een cloud aanbieder niet beschikken over deze certificeringen, dan kunnen de beveiligingsmaatregelen in deze normen helpen bij de selectie van een cloud aanbieder.

Print

Nieuwsbrief

Blijf op de hoogte van de laatste ontwikkelingen en schrijf je in voor de Vest nieuwsbrief!

Inschrijven nieuwsbrief


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie