Cloud Security Gids

version FR

Context

De laatste jaren is er heel wat discussie over het al dan niet verwerken van gevoelige gegevens in een cloud omgeving buiten de eigen perimeter. Drijfveren zijn o.a. kostenbesparingen, flexibiliteit en vlot beheer. Of het verantwoord is om gegevens door een externe speler te laten verwerken hangt af van zowel de veiligheidsmaatregelen van de clouddienst als de gevoeligheid van de data die er verwerkt zouden worden. Die afweging is complex en vaak ontbreekt het aan objectivering.

Het model

Smals Research heeft daarom in samenwerking met de sectie Informatieveiligheid een model ontwikkeld voor haar lidinstellingen om op een gefundeerde en objectieve wijze de beveiligingsaspecten van clouddiensten in kaart te brengen en te mappen op de noden van de lidinstelling. Voor een correcte interpretatie van de resultaten van het model dringen wij er op aan dat men een beroep doet op de raadgevers/deskundigen in IT-beveiliging binnen de sector.

Luik A – Cloud service

Resultat-DfB

Met de vragenlijst “Security-assessment-cloud-service.xlsm” wordt inzicht verkregen in het maturiteitsniveau van de beveiliging van een specifieke clouddienst, op basis van een reeks meerkeuzevragen. Deze vragen zijn opgedeeld in vier dimensies (of hoofdcriteria), zijnde governance, identiteitsbeheer en toegangscontrole, IT-beveiliging en tot slot operationele beveiliging. Het resultaat wordt overzichtelijk gevisualiseerd in een radardiagram, zoals geïllustreerd in de figuur hiernaast, waarbij elke windrichting overeenkomt met één dimensie.

The donutdiagrammen geven per dimensie een inschatting wat betreft de conformiteit met de Veiligheidspolicy met betrekking tot Cloud Computing Services gepubliceerd door de KSZ.

De kleurcodes zijn hetzelfde voor zowel de radar- als donutdiagrammen. De groene zones en rode zones representeren de mate waarin vragen respectievelijk positief of negatief beantwoord werden. Geel geeft de mate van onzekerheid, ofwel gebrek aan transparantie aan; naarmate meer vragen door gebrek aan publiek beschikbare informatie niet beantwoord konden worden, groeit de gele zone.

Luik B – Veiligheidsvereisten

Resultat-DfB-Comparaison Op basis van de vragenlijst in “Client-guide-cloud-assessment.xlsm” wordt per dimensie een inschatting gemaakt van het minimaal vereiste veiligheidsniveau waaraan de clouddienst voor een specifiek gebruik moet voldoen. Luik B vult het radardiagram uit luik A aan met een zwarte rechthoek. Deze geeft per dimensie het minimaal vereiste veiligheidsniveau weer. Idealiter liggen de vier hoekpunten van deze rechthoek allen in de groene zone.  

Het model laat, ten slotte, toe om op geobjectiveerde wijze per dimensie meerdere clouddiensten te vergelijken,  waarbij het minimaal vereiste veiligheidsniveau uit luik B als baseline genomen wordt. Dit wordt geïllustreerd in onderstaande figuur, waarin 5 clouddiensten vergeleken worden. De zwarte lijn komt overeen met het minimaal vereiste veiligheidsniveau.

Resultat-governance Resultat-iam Resultat-itsec Resultat-opesec

Hoe het model gebruiken?

Luik A – Cloud service

De bedoeling van luik A is dat het hoofdzakelijk gebruikt wordt door de raadgevers en deskundigen in IT-beveiliging die een rol als evaluator zullen hebben. De gebruiksprocedure van luik A is als volgt.

  1. Wanneer een evaluator geïnteresseerd is in een clouddienst, vult hij de vragenlijst “Security-assessment-cloud-service.xlsm” in.
  2. Zodra de vragenlijst ingevuld is, kan de evaluator zijn resultaten rechtstreeks gebruiken (in een unieke analyse ofwel in combinatie met luik B).

Luik B – Cloud Service

Luik B van het model is bedoeld voor elke persoon die een clouddienst wil gebruiken en die zich afvraagt of die clouddienst voldoet aan zijn behoeften en eisen qua beveiliging. Het zou wenselijk zijn dat deze persoon (hierna de klant genoemd) een basiskennis heeft van informaticaveiligheid. De gebruiksprocedure van luik B is als volgt.

  1. De klant die gegevens naar de clouddienst wil overbrengen, vult de vragenlijst “Client-guide-cloud-assessment.xlsm” in.
  2. Daarna kiest de klant de geanalyseerde clouddiensten via luik A (geëvalueerd door een deskundige in IT-beveiliging) die hij wil gebruiken, en kopieert de resultaten in de vragenlijst “Client-guide-cloud-assessment.xlsm”.
  3. De klant verkrijgt dan een vergelijking van zijn behoeften en eisen met de gekozen clouddiensten. Het eindresultaat helpt de klant om:
    • bepaalde diensten die niet compatibel zijn te elimineren,
    • de potentiële kandidaten te selecteren.
  4. De klant kan zich dan tot zijn raadgever/deskundige in IT-beveiliging richten en hem vragen om de beste dienst te valideren.

Het model (luik A en B)

Security-assessment-cloud-service

2020/01, v 3
Client-guide-cloud-assessment

2020/01, v 3