Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

100 procent veilige SaaS is utopie

 

Computable Expert

Pieter de Haer
Marketing & Productmanager, Previder. Expert van Computable voor de topics Cloud Computing, Datacenters en Beheer.

Wat is er nodig voor een 100 procent veilige SaaS-omgeving? Natuurlijk nemen software-vendors passende beveiligingsmaatregelen, maar zij zijn voor een belangrijk deel afhankelijk van het hostingplatform waarop de software draait. Hoe ga je om met deze verantwoordelijkheid en welke eisen stel je aan je hostingpartner? Heliview organiseerde onlangs een kennissessie samen met hostingprovider Previder rondom deze security-issues.

Hoewel certificeringen misschien papieren tijgers zijn en applicaties niet beschermen tegen datalekken, werd hier toch vanaf het begin van de sessie veel over gediscussieerd. Als antwoord op de vragen ‘welke eisen stel je aan een hostingprovider?’ en ‘wat heb je nodig als het gaat om wet- en regelgeving om risico’s af te dekken’ werden steeds certificeringen genoemd, samen met de maatregelen die een provider neemt om deze op een hoog niveau te houden.

Certificeringen

Voor informatiebeveiliging dekt ISO 27001 voor de meeste aanwezigen de belangrijkste risico’s af. Inhoudelijk gezien betekent ISO 27001 dat een organisatie een risicomanagementsysteem heeft geïmplementeerd, met risicoanalyses en passende maatregelen binnen de scope die is gekozen. Het is echter heel relevant, zo bleek gedurende de discussie, om verder te kijken dan de certificering alleen. Het gesprek aangaan met hostingpartners over hoe de risico’s in de keten zijn afgedekt, is minstens zo belangrijk.

Natuurlijk stel je als vendor functionele eisen aan een hostingprovider, bijvoorbeeld ten aanzien van back-ups en testprocedures. Binnen twee jaar moeten organisaties echter voldoen aan nieuwe Europese wetgeving. Samen met de Meldplicht datalekken bepaalt deze wetgeving dat de hele keten moet borgen dat zogenaamde bewerkingsovereenkomsten door alle schakels heen worden doorgevoerd.'“Zo’n risicoanalyse is best ingewikkeld en daar kunnen we nog veel slagen maken', aldus Jeroen Renard, security officer van de Odin Groep.

Vragen van klanten

Tijdens de kennissessie gaven de aanwezige securityspecialisten, directeuren en technische consultants aan dat zij graag inspiratie wilden opdoen om hun bestaande cloudomgeving te verbeteren en wilden horen wat bijvoorbeeld de waarde is van certificeringen voor andere deelnemers.

Alle deelnemers vertelden dat ze vaak vragen krijgen van hun klanten over de beveiliging van een geboden oplossing. Veel organisaties (bijvoorbeeld ziekenhuizen) ‘hikken aan’ tegen een SaaS-oplossing en geloven niet dat het echt betrouwbaar kan zijn. Zij vinden het een eng idee dat het beheer van de data niet meer on-premise gebeurt en zijn bezorgd over privacy en de bescherming van persoonsgegevens. Dat on-premise zeker niet veiliger is en dat het vooral gaat om een gevoel, wordt door softwarevendors in zo’n geval benadrukt. Ook zijn de vendors van mening dat het juist voor klanten die twijfelen goed is om een hostingprovider te kiezen die de juiste specificaties en certificeringen heeft.

Zachte kant vaak doorslaggevend


Beveiliging gaat niet alleen om techniek, maar zeker ook om mensen, zo was de consensus aan tafel. Menselijke fouten, zoals het slordig omspringen met wachtwoorden, staan vaak aan de basis van datalekken. Juist daarom draaien veel certificeringen om dit aspect van security.

Bewustwording is hierbij het sleutelwoord: een certificering heeft pas waarde als mensen snappen wat er gebeurt wanneer bijvoorbeeld persoonsgegevens openbaar worden én als zij vervolgens hun gedrag echt veranderen. De securitymaatregelen moeten voor medewerkers echter wel werkbaar blijven: two factor authentication werd als voorbeeld gegeven van een gemakkelijke manier om veel te bereiken, terwijl werknemers niet het gevoel krijgen dat ze er veel tijd aan kwijt zijn.

Tot slot gaven de aanwezige vendors aan dat de zachte kant, het vertrouwen tussen softwarevendor, cloudhoster en klant, vaak een doorslaggevende factor is, zeker bij SaaS. 'Het belangrijkste is dat je elkaar helpt', werd er gezegd. Zaken als certificeringen en sla’s moeten op orde zijn, maar spelen geen rol in het dagelijks contact met partners: 'Als je naar de sla moet kijken, is dat geen goed teken.'

Conclusie

De conclusie van de kennissessie is daarom dat je weliswaar technisch gezien alles kunt beveiligen - providers kunnen tegenwoordig vrijwel alles realiseren - maar dit moet wel betaalbaar en uitvoerbaar blijven. Risicoanalyses moeten uitwijzen welke securitymaatregelen je besluit wel en niet te implementeren. Er is daarmee een duidelijke behoefte aan een hostingprovider die verder denkt dan techniek of prijs.

100 procent veilig is dus een utopie, maar als je naast techniek aandacht besteedt aan wat de relevante wet- en regelgeving is en als klanten binnen hun organisatie een helder veiligheidsbeleid weten te communiceren, kom je een heel eind.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5860014). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Een stapje verder in de "security keten"; maak de keuze voor een SaaS leverancier (en hun ketenpartners) die in het bezit zijn van een ISAE3402-verklaring (type 1 en 2).

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×