Cloud (computing)beveiliging
Cloud Computing/Service is het proces van toegang tot databases, software en bronnen via het internet, waarbij de beperkingen van lokale hardware worden omzeild. Het biedt organisaties flexibiliteit door het beheer van de infrastructuur gedeeltelijk of grotendeels over te dragen aan externe hostingproviders.
Ondanks het belang van clouddiensten is er een gebrek aan vertrouwen in de beveiliging van providers en hun klanten, met verwarring over wiens verantwoordelijkheid het is om de gegevens die naar de server gaan te beschermen.
De rol van de serviceprovider (CSP) is om het risico op inbreuken op de informatiebeveiliging te beperken, terwijl de verantwoordelijkheid van de servicegebruiker (CSC) is om controles en processen voor informatiebeveiliging binnen de organisatie te implementeren.
ISO 27017 is een norm die de rollen van zowel dienstverleners als gebruikers verduidelijkt en richtlijnen geeft voor informatiebeveiligingsaspecten bij cloud computing. Het adviseert en helpt bij het implementeren van cloud-specifieke
informatiebeveiligingscontroles, als aanvulling op de richtlijnen in ISO/IEC 27002:2013 en andere ISO 27000-normen. Het is van toepassing op organisaties die diensten leveren in het kader van cloud computing en die een ISMS (Information Security
Management System) hebben opgezet.
ISO 27017 biedt richtlijnen voor het toepassen van 37 informatiebeveiligingscontroles uit Bijlage A van ISO 27001, samen met zeven nieuwe cloud-gerelateerde controles:
- Verantwoordelijkheden definiëren tussen dienstverleners en dienstgebruikers
- Verwijdering/teruggave van activa wanneer het contract wordt beëindigd
- Bescherming en scheiding van de virtuele omgeving van de klant
- Configuratie virtuele machine
- Administratieve werkzaamheden en procedures met betrekking tot het milieu
- Monitoren van gebruikersactiviteiten
- Virtuele en netwerkomgevingen op elkaar afstemmen
Voordelen van ISO 27017 voor serviceproviders:
- Bouwt vertrouwen op in uw bedrijf – biedt klanten en belanghebbenden meer zekerheid dat gegevens en informatie veilig zijn
- Concurrentievoordeel – demonstreert sterke controle op gegevensbescherming
- Beschermt de reputatie van uw merk – vermindert het risico op negatieve publiciteit als gevolg van overtredingen van de regelgeving
- Beschermt tegen boetes – zorgt voor naleving van regelgeving om het risico op boetes te minimaliseren
- Helpt bedrijfsontwikkeling – biedt consistente richtlijnen in verschillende landen, waardoor het gemakkelijker wordt om wereldwijd te opereren en een voorkeursleverancier te worden
Voordelen voor servicegebruikers:
- Biedt praktische richtlijnen over wat u van serviceproviders kunt verwachten
- Beschrijft de rollen en verantwoordelijkheden van de gebruiker
- Draagt bij tot een beter begrip van gedeelde verantwoordelijkheid
- Helpt de organisatie te beschermen
De meeste serviceproviders volgen best practices op het gebied van beveiliging en ondernemen actieve stappen om de integriteit van hun servers te beschermen. Organisaties moeten echter hun eigen oplossingen overwegen bij het beveiligen van gegevens en toepassingen in de cloud en deze afstemmen op de standaard. Zonder de beveiliging actief te verbeteren, lopen organisaties aanzienlijke beheerrisico’s.
Cloudbeveiliging zou een belangrijk gespreksonderwerp moeten zijn, ongeacht de grootte van uw bedrijf. Cloudinfrastructuur volgens ISO 27017 ondersteunt bijna elk aspect van modern computergebruik in alle sectoren. Of uw organisatie nu werkt in een publieke, private of hybride omgeving, beveiligingsoplossingen en best practices zijn essentieel voor het waarborgen van de bedrijfscontinuïteit.