Controleer nieuwe software leveranciers altijd! Deze 14 cloud beveiliging principes helpen je
Hoe selecteer je een betrouwbare leverancier van cloudsoftware? Door vooraf te controleren of die veilig omgaat met de gegevens van je onderneming en je klanten. Deze 14 cloud beveiliging principes van het Britse National Cyber-Security Center (NCSC) helpen je daarmee.
Je zoekt een nieuwe dienst voor online vergaderingen? Of je wilt documenten veilig delen tussen collega’s en intens online samenwerken? Dan wil je er ook zeker van zijn dat de videogesprekken zelf en alle andere informatie (zoals berichten, gedeelde bestanden, spraaktranscripties en eventuele opnames) beschermd zijn.
Het advies van cybersecurity -experten?
Voer voordat je een nieuwe online dienst overweegt een beveiligingsrisico-scan uit op de dienstverleners die je op het oog hebt. Daarbij volg je de 14 cloudbeveiligingsprincipes van het Britse National Cyber-Security Center (NCSC).
Deze principes beschrijven beveiligingsdoelstellingen waaraan een goede clouddienst moet voldoen. Ze gelden voor alle cloudplatformen en voor Software-as-a-Service.
Controleer je leverancier van software op deze 14 principes
Principe 1: Bescherming van transit van gegevens
Je gegevens moeten adequaat worden beschermd tegen bewerken en afluisteren terwijl ze door netwerken naar en van de cloud flitsen. Softwareleveranciers moet hiervoor gebruik maken van encryptie, verificatie en bescherming op netwerkniveau.
Principe 2: Bescherming tegen manipulatie en verlies
Je gegevens en de hardware die deze opslaan of verwerken, moeten worden beschermd tegen fysieke manipulatie, verlies, beschadiging en inbeslagname. De bescherming moet gebeuren volgens de wetgeving en volgens de beste manieren van versleuteling, beveiliging van datacentra, mogelijkheden om veilig te wissen en resilience van diensten.
Lees Principle 2: Asset protection and resilience
Principe 3: Veiligheidsgrenzen tussen klanten
Een kwaadwillende of gecompromitteerde afnemer van dezelfde dienst als waarop jij beroep wil doen, mag geen toegang hebben tot of invloed hebben op de dienst of gegevens van anderen. De softwareleverancier moet effectieve veiligheidsgrenzen invoeren in de manier waarop hij code draait, gegevens opslaat en het netwerk beheert.
Principe 4: Beveiligingsbeheer moet vastliggen
De dienstverlener moet een kader voor beveiligingsbeheer vastgelegd hebben. Dit coördineert en stuurt het beheer van de dienst en de informatie daarin. Zo kan jij erop vertrouwen dat er regelmatig controles worden uitgevoerd.
Lees Principle 4: Governance framework
Principe 5: Operationele veiligheid
De dienst moet veilig worden geëxploiteerd en beheerd. Zo worden aanvallen verhinderd, opgespoord en voorkomen. Aan te raden, zijn een combinatie van doeltreffend kwetsbaarheidsbeheer, beschermende monitoring, configuratie- en wijzigingsbeheer en incidentenbeheer.
Lees Principle 5: Operational security
Principe 6: Personeelsbeveiliging
Wanneer het personeel van dienstverleners toegang heeft tot je gegevens en systemen, moet een hoge mate van vertrouwen aangetoond worden in hun betrouwbaarheid en in de technische maatregelen die de acties van dat personeel controleren en beperken.
Lees Principle 6: Personnel security
Principe 7: Veilige ontwikkeling
Clouddiensten moeten worden ontworpen, ontwikkeld en ingezet op een manier die bedreigingen voor hun veiligheid minimaliseert en beperkt. Dit vraagt om een robuuste levenscyclus voor softwareontwikkeling waarbij gebruik wordt gemaakt van een geautomatiseerde en gecontroleerde integratie- en ontwikkelingspijplijn.
👉 Cybersecurity is belangrijk in de hele toeleveringsketen. Lees Waarom en hoe bewijzen dat je product cyberveilig is? Maak kennis met supply chain security!
Principe 8: Beveiliging van de toeleveringsketen
De dienstverlener moet ervoor zorgen dat zijn toeleveringsketen aan dezelfde beveiligingsnormen voldoet als deze die hij voor zichzelf hanteert. Dit geldt ook wanneer een derde partij toegang heeft tot klantgegevens of de dienst, en wanneer de dienstverlener afhankelijk is van een derde partij, zoals bij het aankopen van hardware en software.
Lees Principle 8: Supply chain security
Principe 9. Veilig gebruikersbeheer
Je provider moet je de middelen ter beschikking stellen om het gebruik van hun dienst veilig te beheren. Zo wordt ongeoorloofde toegang tot en wijziging van je middelen, toepassingen en gegevens voorkomen.
Principe 10: Beperkte toegang
De toegang moet worden beperkt tot een veilig geauthenticeerde en geautoriseerde identiteit. Deze kan zowel aan een menselijke gebruiker als aan een machine toebehoren.
Lees Principle 10: Identity and authentication
Principe 11: Bescherming van externe interfaces
Alle externe of minder vertrouwde interfaces van de dienst moeten worden geïdentificeerd en op passende wijze worden verdedigd. Dit omvat externe API 's, webconsoles en opdrachtregelinterfaces (command-line-interfaces).
👉 Alle interfaces moeten worden geïdentificeerd en verdedigd, ook API 's. Lees Wat is een API? Welke gevaren levert de API-economie op? Hoe bescherm je je kmo tegen de risico’s?
Principe 12: Veilig dienstenbeheer
Het ontwerp, de implementatie en het beheer van de administratiesystemen van de clouddienstverlener moeten voldoen aan goede, veilige bedrijfspraktijken. Essentieel is dat hun hoge waarde voor aanvallers wordt erkend.
Lees Principle 12: Secure service administration
Principe 13: Waarschuwingen voor klanten
Je moet beveiligingsincidenten kunnen identificeren en over de nodige informatie beschikken om na te gaan hoe en wanneer deze zich voordoen. De dienst moet je auditinformatie verstrekken en beveiligingswaarschuwingen geven wanneer aanvalspogingen worden gedetecteerd.
Lees Principle 13: Audit information and alerting for customers
Principe 14: Veilig gebruik van de dienst
De cloudaanbieder moet het je gemakkelijk maken om aan je verantwoordelijkheden op het gebied van gegevensbescherming te nemen. Software moet qua ontwerp en standaard veilig zijn. Als dit niet het geval is, moet de provider je helpen je beveiligingsverantwoordelijkheden na te komen.
Dubbelcheck de informatie die je krijgt
Sommige clouddiensten publiceren op hun website hoe ze voldoen aan deze cloudbeveiligingsprincipes. Dat maakt het je gemakkelijk om te zien hoe zij menen aan de doelstellingen te voldoen. Anderen zullen je vragen mondeling of via mail beantwoorden.
Bekijk deze informatie en dubbelcheck ze. Enkel zo kan je voldoende vertrouwen krijgen in de verklaringen van de cloud provider.
Op de pagina Choosing a cloud provider stelt het NCSC een aantal manieren voor om te verifiëren of een cloudaanbieder aan de doelstellingen van deze principes voldoet en hoe zij deze mogelijk hebben aangetoond.