Hoe bereik je 100% safe SaaS?


Wat is er nodig voor een 100% veilige SaaS-omgeving? Natuurlijk nemen softwarevendors passende beveiligingsmaatregelen, maar zij zijn voor een belangrijk deel afhankelijk van het hostingplatform waarop de software draait. Hoe ga je om met deze verantwoordelijkheid en welke eisen stel je aan je hostingpartner? Heliview organiseerde onlangs een kennissessie samen met hostingprovider Previder rondom deze security-issues. In dit blog lees je hoe de softwarevendors die daar aanwezig waren, er tegenaan kijken.

Hoewel certificeringen misschien papieren tijgers zijn en applicaties niet beschermen tegen datalekken, werd hier toch vanaf het begin van de sessie veel over gediscussieerd. Als antwoord op de vragen ‘welke eisen stel je aan een hostingprovider?’ en ‘wat heb je nodig als het gaat om wet- en regelgeving om risico’s af te dekken’ werden steeds certificeringen genoemd, samen met de maatregelen die een provider neemt om deze op een hoog niveau te houden.

Certificeringen
Voor informatiebeveiliging dekt ISO 27001 voor de meeste aanwezigen de belangrijkste risico’s af. Inhoudelijk gezien betekent ISO 27001 dat een organisatie een risicomanagementsysteem heeft geïmplementeerd, met risicoanalyses en passende maatregelen binnen de scope die is gekozen. Het is echter heel relevant, zo bleek gedurende de discussie, om verder te kijken dan de certificering alleen. Het gesprek aangaan met hostingpartners over hoe de risico’s in de keten zijn afgedekt, is minstens zo belangrijk.

Natuurlijk stel je als vendor functionele eisen aan een hostingprovider, bijvoorbeeld ten aanzien van back-ups en testprocedures. Binnen twee jaar moeten organisaties echter voldoen aan nieuwe Europese wetgeving. Samen met de Meldplicht datalekken bepaalt deze wetgeving dat de hele keten moet borgen dat zogenaamde bewerkingsovereenkomsten door alle schakels heen worden doorgevoerd. “Zo’n risicoanalyse is best ingewikkeld en daar kunnen we nog veel slagen maken”, aldus Jeroen Renard, Security Officer van de Odin Groep.

Vragen van klanten
Tijdens de kennissessie gaven de aanwezige security-specialisten, directeuren en technische consultants aan dat zij graag inspiratie wilden opdoen om hun bestaande cloudomgeving te verbeteren en wilden horen wat bijvoorbeeld de waarde is van certificeringen voor andere deelnemers.

Alle deelnemers vertelden dat ze vaak vragen krijgen van hun klanten over de beveiliging van een geboden oplossing. Veel organisaties (bijvoorbeeld ziekenhuizen) ‘hikken aan’ tegen een SaaS-oplossing en geloven niet dat het echt betrouwbaar kan zijn. Zij vinden het een eng idee dat het beheer van de data niet meer on-premise gebeurt en zijn bezorgd over privacy en de bescherming van persoonsgegevens. Dat on-premise zeker niet veiliger is en dat het vooral gaat om een gevoel, wordt door softwarevendors in zo’n geval benadrukt. Ook zijn de vendors van mening dat het juist voor klanten die twijfelen goed is om een hostingprovider te kiezen die de juiste specificaties en certificeringen heeft.

Zachte kant vaak doorslaggevend
Beveiliging gaat niet alleen om techniek, maar zeker ook om mensen, zo was de consensus aan tafel. Menselijke fouten, zoals het slordig omspringen met wachtwoorden, staan vaak aan de basis van datalekken. Juist daarom draaien veel certificeringen om dit aspect van security.

Bewustwording is hierbij het sleutelwoord: een certificering heeft pas waarde als mensen snappen wat er gebeurt wanneer bijvoorbeeld persoonsgegevens openbaar worden én als zij vervolgens hun gedrag echt veranderen. De security-maatregelen moeten voor medewerkers echter wel werkbaar blijven: two factor authentication werd als voorbeeld gegeven van een gemakkelijke manier om veel te bereiken, terwijl werknemers niet het gevoel krijgen dat ze er veel tijd aan kwijt zijn.

Tot slot gaven de aanwezige vendors aan dat de zachte kant, het vertrouwen tussen softwarevendor, cloudhoster en klant, vaak een doorslaggevende factor is, zeker bij SaaS. “Het belangrijkste is dat je elkaar helpt”, werd er gezegd. Zaken als certificeringen en SLA’s moeten op orde zijn, maar spelen geen rol in het dagelijks contact met partners: “Als je naar de SLA moet kijken, is dat geen goed teken.”

Conclusie
De conclusie van de kennissessie is daarom dat je weliswaar technisch gezien alles kunt beveiligen –providers kunnen tegenwoordig vrijwel alles realiseren – maar dit moet wel betaalbaar en uitvoerbaar blijven. Risicoanalyses moeten uitwijzen welke security-maatregelen je besluit wel en niet te implementeren. Er is daarmee een duidelijke behoefte aan een hostingprovider die verder denkt dan techniek of prijs.

Honderd procent veilig is dus een utopie, maar als je naast techniek aandacht besteedt aan wat de relevante wet- en regelgeving is en als klanten binnen hun organisatie een helder veiligheidsbeleid weten te communiceren, kom je een heel eind.

previder-rondetafel

Geschreven door Ewald Lucas (Previder)

Dit ingezonden artikel is geschreven door Ewald Lucas van Previder.

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

ISPam.nl Job board

Nog geen reacties

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

Roestvorming bij Interconnect toont aan dat koelen met buitenlucht niet zonder risico is
Marcel Stegeman: Equinix Zwolle idem dito. Zelfs nadat een onafhankelijk stof onderzoek was gedaan en er overduidelij...

Roestvorming bij Interconnect toont aan dat koelen met buitenlucht niet zonder risico is
Pascal: Dan moet je eens bij Colocenter in Zoetermeer kijken. Niet alleen de servers vertonen enorme roest (...

Test Marketingfacts toont opmerkelijke verschillen in performance webhosting
Stefan: Arnout had je niet beter laadtijd van Wordpress over kunnen nemen in het artikel, dit is veel meer g...

Let’s Encrypt websites kwetsbaarder voor malware?
Mapsi: Dat je niet aan bronvermelding doet, als auteur, snap ik - maar als lezer mag ik het vast wel: http...