Hoe bereik je 100% safe SaaS?

Wat is er nodig voor een 100% veilige SaaS-omgeving? Natuurlijk nemen software-vendors passende beveiligingsmaatregelen, maar zij zijn voor een belangrijk deel afhankelijk van het hostingplatform waarop de software draait. Hoe ga je om met deze verantwoordelijkheid en welke eisen stel je aan je hostingpartner? Heliview organiseerde onlangs een kennissessie samen met hostingprovider Previder rondom deze security-issues. In dit blog lees je hoe de softwarevendors die daar aanwezig waren ertegen aankijken.

Hoewel certificeringen misschien papieren tijgers zijn en applicaties niet beschermen tegen datalekken, werd hier toch vanaf het begin van de sessie veel over gediscussieerd. Als antwoord op de vragen ‘welke eisen stel je aan een hostingprovider?’ en ‘wat heb je nodig als het gaat om wet- en regelgeving om risico’s af te dekken’ werden steeds certificeringen genoemd, samen met de maatregelen die een provider neemt om deze op een hoog niveau te houden.

De juiste certificeringen

Voor informatiebeveiliging dekt ISO 27001 voor de meeste aanwezigen de belangrijkste risico’s af. Inhoudelijk gezien betekent ISO 27001 dat een organisatie een risicomanagementsysteem heeft geïmplementeerd, met risicoanalyses en passende maatregelen binnen de scope die is gekozen. Het is echter heel relevant, zo bleek gedurende de discussie, om verder te kijken dan de certificering alleen. Het gesprek aangaan met hostingpartners over hoe de risico’s in de keten zijn afgedekt, is minstens zo belangrijk.

Natuurlijk stel je als vendor functionele eisen aan een hostingprovider, bijvoorbeeld ten aanzien van back-ups en testprocedures. Binnen twee jaar moeten organisaties echter voldoen aan nieuwe Europese wetgeving. Samen met de Meldplicht datalekken bepaalt deze wetgeving dat de hele keten moet borgen dat zogenaamde bewerkingsovereenkomsten door alle schakels heen worden doorgevoerd. “Zo’n risicoanalyse is best ingewikkeld en daar kunnen we nog veel slagen maken”, aldus Jeroen Renard, Security Officer van de Odin Groep.

Vragen van klanten

Tijdens de kennissessie gaven de aanwezige securityspecialisten, directeuren en technische consultants aan dat zij graag inspiratie wilden opdoen om hun bestaande cloudomgeving te verbeteren en wilden horen wat bijvoorbeeld de waarde is van certificeringen voor andere deelnemers.

Alle deelnemers vertelden dat ze vaak vragen krijgen van hun klanten over de beveiliging van een geboden oplossing. Veel organisaties (bijvoorbeeld ziekenhuizen) ‘hikken aan’ tegen een SaaS-oplossing en geloven niet dat het echt betrouwbaar kan zijn. Zij vinden het een eng idee dat het beheer van de data niet meer on-premise gebeurt en zijn bezorgd over privacy en de bescherming van persoonsgegevens. Dat on-premise zeker niet veiliger is en dat het vooral gaat om een gevoel, wordt door softwarevendors in zo’n geval benadrukt. Ook zijn de vendors van mening dat het juist voor klanten die twijfelen goed is om een hostingprovider te kiezen die de juiste specificaties en certificeringen heeft.

Zachte kant vaak doorslaggevend

Beveiliging gaat niet alleen om techniek, maar zeker ook om mensen, zo was de consensus aan tafel. Menselijke fouten, zoals het slordig omspringen met wachtwoorden, staan vaak aan de basis van datalekken. Juist daarom draaien veel certificeringen om dit aspect van security.

Bewustwording is hierbij het sleutelwoord: een certificering heeft pas waarde als mensen snappen wat er gebeurt wanneer bijvoorbeeld persoonsgegevens openbaar worden én als zij vervolgens hun gedrag echt veranderen. De securitymaatregelen moeten voor medewerkers echter wel werkbaar blijven: two factor authentication werd als voorbeeld gegeven van een gemakkelijke manier om veel te bereiken, terwijl werknemers niet het gevoel krijgen dat ze er veel tijd aan kwijt zijn.

Tot slot gaven de aanwezige vendors aan dat de zachte kant, het vertrouwen tussen softwarevendor, cloudhoster en klant, vaak een doorslaggevende factor is, zeker bij SaaS. “Het belangrijkste is dat je elkaar helpt”, werd er gezegd. Zaken als certificeringen en SLA’s moeten op orde zijn, maar spelen geen rol in het dagelijks contact met partners: “Als je naar de SLA moet kijken, is dat geen goed teken.”

Conclusie

De conclusie van de kennissessie is daarom dat je weliswaar technisch gezien alles kunt beveiligen –providers kunnen tegenwoordig vrijwel alles realiseren – maar dit moet wel betaalbaar en uitvoerbaar blijven. Risicoanalyses moeten uitwijzen welke securitymaatregelen je besluit wel en niet te implementeren. Er is daarmee een duidelijke behoefte aan een hostingprovider die verder denkt dan techniek of prijs.

Honderd procent veilig is dus een utopie, maar als je naast techniek aandacht besteedt aan wat de relevante wet- en regelgeving is en als klanten binnen hun organisatie een helder veiligheidsbeleid weten te communiceren, kom je een heel eind.

Ewald Lucas

Ewald Lucas heeft ruim 20 jaar ervaring in de ICT-wereld, waarvan 8 jaar bij Previder. Ewald heeft alle kennis in huis om een passende oplossing te vinden voor de klant. Kernwaarde voor Ewald is de ‘personal touch’: in de techniek kan je je onderscheiden, maar niets is zo onderscheidend als de band die je opbouwt met een klant.

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden