Pieter Kuijpers – Business Consultant
Toen de vorige versie van de ISO 27001-norm werd ontwikkeld, was het gebruik van de clouddiensten door bedrijven beperkt. De techniek was indertijd nog volop in ontwikkeling en niet geschikt om grootschalig te worden ingezet. Anno 2023 staan we er heel anders voor. Er zijn nog weinig organisaties over die geen gebruik maken van clouddiensten. En met een goede reden. Clouddiensten zijn schaalbaar, in verhouding tot on-premise oplossingen zeer betrouwbaar en vragen weinig onderhoud.
Toch brengt het gebruik van clouddiensten ook een aantal risico’s met zich mee op het gebied van informatiebeveiliging. Bij de nieuwste versie van de ISO 27001, de ISO 27001:2022 is er logischerwijs een specifieke beheersmaatregel toegevoegd voor het gebruik clouddiensten. In deze blog leest u hoe deze beheersmaatregel te implementeren in uw organisatie.
Om als organisatie compliant te zijn aan deze nieuwe beheersmaatregel dient u een aantal processen te implementeren. Het betreft processen voor:
Een belangrijke afweging voor u de keuze maakt voor een clouddienst, is de informatiebeveiliging. Kies altijd voor een clouddienst die voldoet aan uw eigen security eisen van een betrouwbare leverancier. Door het opstellen van een inkoopproces gespecificeerd op clouddiensten, borgt u dat informatiebeveiliging altijd meegenomen wordt.
Het is daarnaast verstandig om in dit proces een risicoanalyse op te nemen. Bepaal eerst welke informatie in de cloud wordt opgeslagen en analyseer daarna ook de mogelijke risico’s. Komt uit deze analyse naar voren dat de informatie vooral beschikbaar en integer moet blijven? Dan kunt u bijvoorbeeld letten op de gegarandeerde uptime. Deze wordt vaak in een percentage aangegeven bijvoorbeeld 99.9%. Houd er rekening mee dat een uptime van 99.9% betekent dat de dienst op jaarbasis 8 uur niet beschikbaar is. Bepaal of dit voor uw organisatie acceptabel is. Komt uit de analyse naar voren dat de informatie vooral vertrouwelijk moet blijven? Dan kunt u letten op de versleutelingsmethoden en bijvoorbeeld of de mogelijkheid om 2FA te activeren geboden wordt.
Een laatste belangrijke overweging is de exitstrategie. Een dergelijk beleid zorgt ervoor dat uw organisatie niet afhankelijk is van één leverancier en dat er – zonder onnodig hoge kosten- overgestapt kan worden. Denk tenslotte ook zelf na over welke eisen voor uw organisatie nog meer relevant zijn en hoe u een cloud-leverancier hierop wilt toetsen. Maak een lijst aan eisen en gebruik deze om potentiële clouddiensten te beoordelen.
Als u goed heeft nagedacht over de securityeisen aan de clouddienst en een keuze heeft gemaakt, bent u er dan? Nog niet helemaal, de dienst moet natuurlijk op de juiste manier gebruikt worden. U kunt bijvoorbeeld als eis hebben opgenomen dat de clouddienst 2FA moet ondersteunen, echter als niemand dat binnen de organisatie ook instelt heeft het geen waarde. En wat als medewerkers ineens gevoelige informatie in de cloud zetten terwijl dit niet de bedoeling is? Dit lijkt misschien logisch, maar het gaat in de praktijk echt vaak fout. Bepaal eerst wie de dienst gaat gebruiken en aan welke regels ze zich moeten houden. Bewaar daarnaast ook de gedragsregels met betrekking tot clouddiensten op een centrale plek en communiceer deze actief met alle betrokkenen.
Als alles goed werkt wilt u dat natuurlijk ook graag zo houden. Het is daarom goed om een aantal periodieke controles uit te voeren. Beoordeel ten eerste periodiek de clouddienst. Te vaak gaan organisaties er vanuit dat een clouddienst goed beveiligd is omdat deze grootschalig gebruikt wordt. Toch is het belangrijk om ook kritisch blijven. Denk als voorbeeld aan Lastpass, een wachtwoordbeheerder waarbij je wachtwoorden in de cloud bewaard worden. Deze dienst is al jaren zeer populair en wordt ook door security bedrijven zelf gebruikt. Lastpass kende in de eerste jaren geen incidenten en veel organisaties gingen er vanuit dat dit wel zo zou blijven. Toch heeft Lastpass in 2022 een groot datalek gehad. Hackers hebben persoonsgegevens en versleutelde wachtwoordkluizen buit gemaakt. Ook kwam hierbij aan het licht dat in de jaren ervoor er al meerdere incidenten waren geweest. Als dit u was opgevallen tijdens de periodieke controle had u mogelijk gekozen voor een andere oplossing en had u geen last gehad van dit datalek.
Beoordeel ten tweede met geplande tussenpozen of de gebruikersrechten nog kloppen. Wat we vaak zien in de praktijk is dat een medewerker de organisatie verlaat maar het account niet wordt verwijderd. Of dat een medewerker van functie veranderd maar de rechten niet worden aangepast.
Wat als u toch over wilt stappen naar een andere clouddienst? Dan wilt u ook de informatie over kunnen zetten naar deze nieuwe dienst. Dit kan standaard niet altijd even makkelijk bij elke clouddienst. Zeker niet als u hier niet vooraf over heeft nagedacht en er aanvullende afspraken zijn gemaakt met de leverancier. Onderzoek bij kritieke clouddiensten vooraf de mogelijkheden en maak indien nodig afspraken met de leverancier.
Met deze blog hoop ik u een representatief beeld te geven over wat deze beheersmaatregel inhoudt en hoe u deze kunt toepassen binnen uw organisatie. Mogelijk dient u meer maatregelen te treffen voor uw organisatie dan beschreven zijn, dit is geheel afhankelijk van het totaal risico’s.
In de ISO 27017 kunt u meer best practices vinden over het gebruik van clouddiensten. Dit is een handig hulpmiddel mocht het gebruik van cloudservices veel risico’s met zich meebrengen binnen uw organisatie.
Wilt u dat een van onze ervaren consultants meedenkt over het gebruik clouddiensten of over de andere 10 nieuwe beheersmaatregelen in de nieuwe ISO 27001? Neem contact op.
Blog geschreven door Pieter Kuijpers, Business Consultant
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.