Bij het selecteren van een cloudserviceprovider moet je rekening houden met verschillende criteria, waaronder het type cloudservice en het cloudmodel, evenals het type gegevensclassificatie.

Hieronder zijn enkele belangrijke factoren waarmee je rekening moet houden wanneer je een dienst gaat onderbrengen in de cloud. Wees je ervan bewust dat je een deel of groot deel van de controle over jouw data, wat in alle gevallen jouw data en jouw verantwoordelijkheid zal blijven, niet meer in eigen handen is.

Hoofd criteria voor het selecteren van een cloudserviceprovider vanuit security oogpunt:

• Betrouwbaarheid van de aanbieder: de organisatie, bestuur, planning en risicobeheer. Maar ook is de organisatie niet op rand van failliessement.
• Security & Privacy by design en default. Standaard best practices toepassen bij ontwikkeling van nieuwe releases en changes op cloud systemen. (CICD pipeline, DAST, SAST etc.)
• Hybride vermogen Beveiligingsinfrastructuur en beleid Identiteitsbeheer.
• Herstel na een ramp Servicebeleid, -procedures en -plannen: de zogenaamde BCDR plannen en regelmatig testen ervan.
• Herstelbaarheid van archieven en backups.
• Operationeel beheer conform SLA performance afspraken.
• Datalek en security incident meldingen aan de clouddienst afnemer.
• Patching en hardening van systemen in de cloud.
• Type clouddienst en cloudmodel: Publieke, private of hybride cloud Infrastructuur as a Service (IaaS), Platform as a Service (PaaS) of Software as a Service (SaaS) en daarbij behorende verschillende verantwoordelijkheden.
• Type gegevensclassificatie: Gegevensgevoeligheid en classificatieschema.
• Nalevingsvereisten (bijv. AVG, NEN7510, BIO, ISO27001, PCI DSS, NIST).
• Betrokken beveiligingsaspecten: Uitgebreide beveiligingsinfrastructuur voor alle niveaus en soorten cloudservices.
• Uitgebreid beveiligingsbeleid en -procedures voor het controleren van de toegang tot systemen van leveranciers en klanten.
• Autorisatie van wijzigingen aan een applicatieservice of hardwarecomponent op basis van persoonlijke of groepsrollen.
• Implementatie van toepasselijke beveiligingsmechanismen voor cloud computing
• Regelmatige beoordelingen, beoordelingen en goedkeuringen van alle benodigde documentatie
• Een goede exit strategie om Vendor Lockin en Lockout te voorkomen.
• Right to audit. Ten alle tijden kan een externe beoordeling plaatsvinden waaraan de cloudprovider moet meewerken.
• Regelmatige rapportage op basis van SOC 2.
• In het algemeen geldt: hoe hoger de dataclassificatie hoe meer scheiding er binnen de cloud zal plaatsvinden bij opslag van data, backup van data, gebruik van data door applicaties, overdracht van data binnen een cloudprovider en tussen cloud provider en gebruikers.
• Logging en monitoring van gebruik van data.
• Duidelijk inzicht van de assets waarop data wordt gebruikt.

Het is belangrijk om cloudserviceproviders zorgvuldig te beoordelen op basis van deze criteria om ervoor te zorgen dat de provider voldoet aan de unieke behoeften en vereisten van uw organisatie. Door de juiste cloudserviceprovider te selecteren en passende beveiligingsmaatregelen te implementeren, kunnen organisaties profiteren van de voordelen van cloud computing en tegelijkertijd de daaraan verbonden risico’s minimaliseren.