Audit van externe cloud-leverancier noodzaak

Tachtig procent van de Nederlandse managers gaat er vanuit dat de verantwoordelijkheid voor de gegevensbeveiliging bij de cloud-provider ligt, blijkt uit nieuw onderzoek van Iron Mountain. En hoewel EU-richtlijnen de verantwoordelijkheid voor gegevensverliezen duidelijk bij de eigenaar leggen, denkt meer dan de helft van de Nederlandse ondervraagden (56 procent) dat problemen met hun data meer reputatieschade veroorzaakt bij de cloud-leverancier dan bij hun eigen bedrijf. Tijd om wakker te worden: Iron Mountain heeft een 7 Punts Cloud Controlelijst opgesteld voor een snelle audit van de externe cloud-leverancier.

Iron Mountain ondervroeg IT, financiële en juridische beslissers in middelgrote tot grote bedrijven in Nederland, Duitsland, Frankrijk, Hongarije, het Verenigd Koninkrijk en Spanje. Uit de resultaten blijkt dat cloud-gebaseerde data-opslag een immens populaire optie is voor bedrijven. Zo heeft 57 procent van de ondervraagde managers aangegeven dat ze gegevens naar de cloud hebben verhuisd, of plannen hebben om dat de komende 12 maanden te doen.

Uit het Iron Mountain-onderzoek blijkt dat managers vinden dat ze verantwoordelijk met hun cloud-opslag omgaan. 81 Procent van de Nederlandse ondervraagden geeft aan enig onderzoek te doen naar zijn cloud-opslagleverancier. Maar nu een vijfde (22,5 procent) van de Nederlandse respondenten aangeeft ál zijn gegevens in de cloud op te willen slaan, is meer begrip over aansprakelijkheid en risico´s noodzakelijk.

"Cloud-opslag is aantrekkelijk in termen van flexibiliteit, toegankelijkheid en efficiëntie", zegt Christian Toon, hoofd informatiebeveiliging van Iron Mountain Europa. "Maar de noodzaak van een informatiestrategie blijft. Bedrijven die de cloud benutten, moeten een combinatie van cloudopslag en offline tape-backup overwegen. "

7-Punts Cloud Controlelijst
Iron Mountain biedt een 7-Punts Cloud Controlelijst voor een snelle audit van de externe cloud-leverancier:

1. Zoek uit waar de gegevens worden opgeslagen, wie er toegang toe heeft, en of de gegevens zullen of kunnen worden verplaatst. Dit is van cruciaal belang voor het waarborgen van gegevensbeveiliging en integriteit. Sommige gegevens, zoals HR-administratie, mogen wettelijk niet over internationale grenzen worden verplaatst.
2. Houd rekening met de fysieke en de IT-infrastructuur van het datacentrum. Hoe veilig is het gebouw? Waar staat de IT-apparatuur, zoals servers en kabels en hoe wordt het centrum beveiligd? Apparatuur kan geïnfecteerd raken met malware met gevolgen voor alle gehoste data.
3. Vergeet de mensen niet. Medewerkers die met de gegevens omgaan, moet je kunnen vertrouwen. Controleert de cloud-provider zijn medewerkers en krijgen die opleiding en oefening?
4. Zoek uit hoe het zit met de bedrijfscontinuïteit. Zijn de gegevens veilig als er iets misgaat? Welke herstelfaciliteiten heeft de leverancier, zoals reservesystemen en noodstroom-voorzieningen?
5. Omvang telt. Hoeveel gegevens heeft u opgeslagen? Als er iets misgaat is grootschalig herstel in de cloud zeer problematisch. Verplaatsen van informatie van en naar de cloud vereist grote bandbreedte. Herstel van meer dan 20 Gigabyte gaat wel vanaf tape.
6. Niet op één paard wedden. Afhankelijkheid van één of één soort back-up is te riskant. Bouw een gelaagde informatiebescherming die de cloud-, tape- en disk-opslag combineert.
7. Bescherm gevoelige informatie. De cloud is waarschijnlijk geen goede optie voor het opslaan van hoogstgevoelige, unieke of wettelijk beschermde gegevens zoals intellectuele eigendommen, HR-gegevens en financiële plannen. Dit soort informatie kan veiliger bewaard worden op papier, op back-up tape of disk.