Informatie veilig in de cloud met de 4C-benadering

Public, private of hybrid cloud: waarop baseert u de keuze? En op welke gronden selecteert u een leverancier? Niet alleen wet- en regelgeving spelen een belangrijke rol, ook uw eigen eisen en wensen rondom informatiebeveiliging zijn bepalend. Als u data in de cloud onderbrengt, weet u immers niet precies waar deze zich bevindt. Daar wilt u uw strategische plannen voor de komende jaren niet zomaar aan blootstellen. Centric security-expert Gerard Stroeve legt uit waar u op kunt letten bij het onderbrengen van uw data in de cloud.

Hoe beveilig je gegevens in de cloud? Stroeve maakt direct duidelijk dat er voor deze vraag niet één standaard antwoord is: “Welke informatiebeveiliging het meest geschikt is, verschilt van organisatie tot organisatie en per informatieset. Het is in elk geval niet noodzakelijk om altijd naar de hoogste mate van beveiliging te zoeken. Ik praat liever over de best passende informatiebeveiliging.” Simpel gezegd is ook voor informatiebeveiliging de afweging tussen kosten en baten van groot belang.

Gerard Stroeve ontwikkelde een stappenplan dat organisaties helpt bij de keuze voor het juiste cloudtype en de geschikte cloudleverancier. “We classificeren de data, voeren een dreigingenanalyse uit en vormen een risicobeeld. Pas daarna gaan we over public, private of hybrid cloudtypen nadenken.” In de eerste plaats bepalen klanten óf de data in de cloud geplaatst kan worden. Daarna komt het eisenpakket om aan (potentiële) cloudleveranciers te overhandigen. “Om die vertaalslag van het risicobeeld naar een pakket van eisen en wensen te maken, hanteren wij de 4C-benadering.”

Dataclassificatie

Maar voor de 4 C’s aan bod komen, gaat het dus in eerste instantie om het classificeren van de gegevens. Hoe goed gegevens beveiligd moeten worden, hangt namelijk af van de aard van de gegevens. “Daarom wil je je data eerst beoordelen op drie aspecten, namelijk vertrouwelijkheid, integriteit en beschikbaarheid”, vertelt Stroeve. “Je wilt waarschijnlijk dat alleen geautoriseerde personen toegang hebben tot de salarisgegevens, je vindt fouten in financiële gegevens niet acceptabel en ordergegevens van klanten moeten mogelijk altijd te benaderen zijn. Door data te classificeren kom je erachter welke informatie het meest bedrijfskritisch is voor de organisatie.”

Dreigingenanalyse

“De tweede stap op weg naar een compleet risicobeeld, is om een dreigingen- en kwetsbaarheidsanalyse uit te voeren”, gaat de security-expert verder. Want u wilt niet alleen weten hoe groot de impact is als er op het gebied van vertrouwelijkheid, integriteit of beschikbaarheid iets fout gaat. Inzicht in de kans dat dat ook gebeurt is minstens zo belangrijk. Stroeve: “We kijken naar verschillende aandachtsgebieden, zoals ‘mens’, ‘organisatie’, en ‘techniek’, wat er mis kan gaan en hoe groot de kans daarop is.”

Risicobeeld

De dataclassificatie en de dreigingen- en kwetsbaarheidsanalyse komen samen in het risicobeeld. “Hiervoor geldt de eenvoudige formule: risico = kans x impact.” Met andere woorden: het risico dat u loopt, wordt bepaald door de kans dat er iets misgaat en de grootte van de impact als dat ook daadwerkelijk gebeurt. Op basis van het risicobeeld ziet u precies op welke punten uw informatie extra beveiligingsaandacht verdient. “En die aandachtsgebieden laten zich op hun beurt weer gemakkelijk vertalen naar een pakket van eisen (PvE) dat u aan uw potentiële cloudleveranciers kunt voorleggen.”

De 4 C’s

Nu pas is het tijd om na te denken over een pakket van beveiligingseisen en -wensen voor uw leveranciers. “En dan komt dus de 4C-benadering in het spel. Aan de hand van het risicobeeld, stellen we eisen en wensen op binnen vier verschillende hoofdgroepen: compliancy, continuity, controls en communication.” Het begint dus met compliancy, het voldoen aan de randvoorwaarden gesteld vanuit zowel externe instanties als vanuit de eigen organisatie. “Als het gaat om de verwerking en opslag van gegevens, moeten we nu eenmaal rekening houden met wet- en regelgeving. Denk hierbij aan de archiefwet, de Wet Bescherming Persoonsgegevens of aan specifieke privacywetgeving. Per organisatie en branche verschillen de regels waaraan klanten zich moeten houden.”

Daarna is het de vraag hoelang een organisatie zonder de beschikbaarheid van gegevens kan? “Dat is een belangrijke vraag als het gaat om het vaststellen van de continuïteitseisen, de tweede C. Sommige informatie moet altijd beschikbaar zijn, op andere gegevens kan best een dagje gewacht worden.” Bij het zoeken naar een cloudleverancier, gaat het er verder om dat deze passende maatregelen heeft genomen om informatiestromen te beschermen. Alle overwegingen die hierbij komen kijken, vallen onder de C van controls. Stroeve: “De totale set van maatregelen die organisaties van een leverancier zal moeten vragen, omvat diverse vormen zoals procedures, mens en techniek. En je wilt afspraken maken over hoe die maatregelen worden getoetst op effectiviteit.”

“Tot slot komen we tot de eisen en wensen op het gebied van communicatie”, licht Gerard Stroeve de vierde en laatste C toe. “Sommige klanten willen graag veel inspraak hebben, anderen minder. Het kan doorgaans allemaal, zolang er goede afspraken over worden gemaakt.” Vragen die in deze fase aan bod komen, gaan bijvoorbeeld over hoe de input van de klant wordt ingebracht en gewogen in het beveiligingsproces van een leverancier. “Een andere wens die vaak geformuleerd wordt, is het hebben van één centraal aanspreekpunt.” Stroeve benadrukt nog eens dat voor elke organisatie de eisen en wensen verschillend kunnen zijn en dat deze vooral aan moeten sluiten op de aard van de gegevens. “Maar communicatie is altijd belangrijk. Leg afspraken daarom vast in een heldere service level agreement en zorg voor periodieke rapportages.”

De 4 C’s vertegenwoordigen dus belangrijke aandachtsgebieden op het vlak van informatiebeveiliging. “Inzicht in de eisen en wensen voor de 4 C’s helpt bij het maken van weloverwogen keuzes op het gebied van de cloud. Wil je je gegevens eigenlijk wel in een cloudomgeving onderbrengen en, zo ja, wat voor cloud is dat dan? En waaraan moeten leveranciers voldoen? Door het proces van classificatie, analyse en daarna de 4 C’s te doorlopen, voorkom je problemen en is je informatie altijd op een passende manier beveiligd.”

Hans Vandam is journalist
 

Lees ook
Informatiebeveiliging in de praktijk: Mission (Im)Possible?

Informatiebeveiliging in de praktijk: Mission (Im)Possible?

Hoe ga ik alle securityrisico’s van de organisatie in kaart brengen en deze mitigeren? Hoe ga ik het hoofd bieden aan de steeds complexere externe en interne dreigingen? Hoe kan ik tegelijkertijd meewerken aan business groei van de organisatie? Essentiële en herkenbare vragen voor iedere Corporate Information Security Officer (CISO) van een willek1

Ctac ontvangt nieuwste ISO-certificaat voor informatiebeveiliging

Ctac ontvangt nieuwste ISO-certificaat voor informatiebeveiliging

ICT Solution Provider Ctac heeft het nieuwe ISO 27001-2013-certificaat behaald. Het bedrijf ontvangt het certificaat voor het gedegen op orde hebben van de informatiebeveiliging. De nieuwe ISO-norm gaat meteen van kracht en sluit aan op de voortdurende ontwikkeling van de techniek en samenleving. Ctac is met het behalen van dit nieuwe certificaat1

Zonder dataclassificatie geen passende informatiebeveiliging

Zonder dataclassificatie geen passende informatiebeveiliging

Eén van de kritische succesfactoren voor informatiebeveiliging, is ervoor zorgen dat deze passend is. Maar wat is passend? Het antwoord op deze vraag wordt, naast de dreigingen en kwetsbaarheden, voor een belangrijk deel bepaald door de classificatie van de informatie. Welke data moet na een calamiteit als eerste weer beschikbaar zijn? Hoe lang ma1