Controleer nieuwe software leveranciers altijd! Deze 14 cloud beveiliging principes helpen je

Tips

Hoe selecteer je een betrouwbare leverancier van cloudsoftware? Door vooraf te controleren of die veilig omgaat met de gegevens van je onderneming en je klanten. Deze 14 cloud beveiliging principes van het Britse National Cyber-Security Center (NCSC) helpen je daarmee.

""
Weet je zeker dat de leverancier van je online meeting-software veilige software aflevert? © Foto Dylan Ferreira, Unsplash

Je zoekt een nieuwe dienst voor online vergaderingen? Of je wilt documenten veilig delen tussen collega’s en intens online samenwerken? Dan wil je er ook zeker van zijn dat de videogesprekken zelf en alle andere informatie (zoals berichten, gedeelde bestanden, spraaktranscripties en eventuele opnames) beschermd zijn.

Het advies van cybersecurity -experten?

Voer voordat je een nieuwe online dienst overweegt een beveiligingsrisico-scan uit op de dienstverleners die je op het oog hebt. Daarbij volg je de 14 cloudbeveiligingsprincipes van het Britse National Cyber-Security Center (NCSC).

Deze principes beschrijven beveiligingsdoelstellingen waaraan een goede clouddienst moet voldoen. Ze gelden voor alle cloudplatformen en voor Software-as-a-Service.

Controleer je leverancier van software op deze 14 principes

Principe 1: Bescherming van transit van gegevens

Je gegevens moeten adequaat worden beschermd tegen bewerken en afluisteren terwijl ze door netwerken naar en van de cloud flitsen. Softwareleveranciers moet hiervoor gebruik maken van encryptie, verificatie en bescherming op netwerkniveau.

Lees Principle 1: Data in transit protection

Principe 2: Bescherming tegen manipulatie en verlies

Je gegevens en de hardware die deze opslaan of verwerken, moeten worden beschermd tegen fysieke manipulatie, verlies, beschadiging en inbeslagname. De bescherming moet gebeuren volgens de wetgeving en volgens de beste manieren van versleuteling, beveiliging van datacentra, mogelijkheden om veilig te wissen en resilience van diensten.

Lees Principle 2: Asset protection and resilience

Principe 3: Veiligheidsgrenzen tussen klanten

Een kwaadwillende of gecompromitteerde afnemer van dezelfde dienst als waarop jij beroep wil doen, mag geen toegang hebben tot of invloed hebben op de dienst of gegevens van anderen. De softwareleverancier moet effectieve veiligheidsgrenzen invoeren in de manier waarop hij code draait, gegevens opslaat en het netwerk beheert.

Lees Principle 3: Separation between customers

""
Hoe goed zijn de veiligheidsgrenzen tussen klanten? © Foto Brooke Cagle, Unsplash

Principe 4: Beveiligingsbeheer moet vastliggen

De dienstverlener moet een kader voor beveiligingsbeheer vastgelegd hebben. Dit coördineert en stuurt  het beheer van de dienst en de informatie daarin. Zo kan jij erop vertrouwen dat er regelmatig controles worden uitgevoerd.

Lees Principle 4: Governance framework

Principe 5: Operationele veiligheid

De dienst moet veilig worden geëxploiteerd en beheerd. Zo worden aanvallen verhinderd, opgespoord en voorkomen. Aan te raden, zijn een combinatie van doeltreffend kwetsbaarheidsbeheer, beschermende monitoring, configuratie- en wijzigingsbeheer en incidentenbeheer.

Lees Principle 5: Operational security

Principe 6: Personeelsbeveiliging

Wanneer het personeel van dienstverleners toegang heeft tot je gegevens en systemen, moet een hoge mate van vertrouwen aangetoond worden in hun betrouwbaarheid en in de technische maatregelen die de acties van dat personeel controleren en beperken.

Lees Principle 6: Personnel security

Principe 7: Veilige ontwikkeling

Clouddiensten moeten worden ontworpen, ontwikkeld en ingezet op een manier die bedreigingen voor hun veiligheid minimaliseert en beperkt. Dit vraagt om een robuuste levenscyclus voor softwareontwikkeling waarbij gebruik wordt gemaakt van een geautomatiseerde en gecontroleerde integratie- en ontwikkelingspijplijn.

Lees Principle 7: Secure development

Principe 8: Beveiliging van de toeleveringsketen

De dienstverlener moet ervoor zorgen dat zijn toeleveringsketen aan dezelfde beveiligingsnormen voldoet als deze die hij voor zichzelf hanteert. Dit geldt ook wanneer een derde partij toegang heeft tot klantgegevens of de dienst, en wanneer de dienstverlener afhankelijk is van een derde partij, zoals bij het aankopen van hardware en software.

Lees Principle 8: Supply chain security

Principe 9. Veilig gebruikersbeheer

Je provider moet je de middelen ter beschikking stellen om het gebruik van hun dienst veilig te beheren. Zo wordt ongeoorloofde toegang tot en wijziging van je middelen, toepassingen en gegevens voorkomen.

Lees Principle 9: Secure user management

Principe 10: Beperkte toegang

De toegang moet worden beperkt tot een veilig geauthenticeerde en geautoriseerde identiteit. Deze kan zowel aan een menselijke gebruiker als aan een machine toebehoren. 

Lees Principle 10: Identity and authentication

Principe 11: Bescherming van externe interfaces

Alle externe of minder vertrouwde interfaces van de dienst moeten worden geïdentificeerd en op passende wijze worden verdedigd. Dit omvat externe API 's, webconsoles en opdrachtregelinterfaces (command-line-interfaces).

Lees Principle 11: External interface protection

👉 Alle interfaces moeten worden geïdentificeerd en verdedigd, ook API 's. Lees Wat is een API? Welke gevaren levert de API-economie op? Hoe bescherm je je kmo tegen de risico’s?

Principe 12: Veilig dienstenbeheer

Het ontwerp, de implementatie en het beheer van de administratiesystemen van de clouddienstverlener moeten voldoen aan goede, veilige bedrijfspraktijken. Essentieel is dat hun hoge waarde voor aanvallers wordt erkend.

Lees Principle 12: Secure service administration

Principe 13: Waarschuwingen voor klanten

Je moet beveiligingsincidenten kunnen identificeren en over de nodige informatie beschikken om na te gaan hoe en wanneer deze zich voordoen. De dienst moet je auditinformatie verstrekken en beveiligingswaarschuwingen geven wanneer aanvalspogingen worden gedetecteerd.

Lees Principle 13: Audit information and alerting for customers

Principe 14: Veilig gebruik van de dienst

De cloudaanbieder moet het je gemakkelijk maken om aan je verantwoordelijkheden op het gebied van gegevensbescherming te nemen. Software moet qua ontwerp en standaard veilig zijn. Als dit niet het geval is, moet de provider je helpen je beveiligingsverantwoordelijkheden na te komen.

Lees Principle 14: Secure use of the service

""
De cloudaanbieder moet het je gemakkelijk maken om aan je verantwoordelijkheden op het gebied van gegevensbescherming te nemen. © Foto Franck, Unsplash

Dubbelcheck de informatie die je krijgt

Sommige clouddiensten publiceren op hun website hoe ze voldoen aan deze cloudbeveiligingsprincipes. Dat maakt het je gemakkelijk om te zien hoe zij menen aan de doelstellingen te voldoen. Anderen zullen je vragen mondeling of via mail beantwoorden.

Bekijk deze informatie en dubbelcheck ze. Enkel zo kan je voldoende vertrouwen krijgen in de verklaringen van de cloud provider.

Op de pagina Choosing a cloud provider stelt het NCSC een aantal manieren voor om te verifiëren of een cloudaanbieder aan de doelstellingen van deze principes voldoet en hoe zij deze mogelijk hebben aangetoond.

👉 Lees over een concrete toepassing van deze principes in het artikel Beveiligingsadvies voor bedrijven: Hoe kies je een dienst om online te vergaderen? van Cybersecurity -bites.be
TwitterLinkedIn