Cloud-diensten zijn steeds opener over de plaats waar de klantgegevens worden opgeslagen en over de veiligheidsmaatregelen. Kan certificering van cloud-leveranciers ook helpen bij het maken van deze keuze?
Consumenten en bedrijven zijn vooral bezorgd over de veiligheid van hun data in de cloud. Het vertrouwen in de cloud-leverancier speelt hierbij de sleutelrol. “Zijn mijn gegevens bij outsourcing naar de cloud in goede handen?” en “Wie heeft toegang tot deze gegevens?”, zijn dan ook vaak gestelde vragen.
Eurocommissaris Neelie Kroes schrijft in haar blog dat de gang naar de cloud mogelijk veiliger gemaakt kan worden door certificeringen van cloud-leveranciers. Hoewel certificering nooit een 100% garantie kan zijn dat leveranciers zich ook daadwerkelijk aan de bij de certificaat behorende normen zullen houden, kan deze volgens Kroes wel zorgen dat bepaalde risico’s voor de afnemers inzichtelijk worden gehouden en daarmee ook beperkt. Daarbij zal ook helpen om de certificeringen van tijd tot tijd te evalueren en waar nodig aan te scherpen. Maar we weten ook sinds de Diginotar-affaire dat certificeringen niet zaligmakend zijn. Er moeten altijd contractuele zekerheden gesteld worden. Bovendien zijn doortastende toezichthouders in dit stadium onmisbaar voor de industrie.
Netwerk-en informatiebeveiliging Agentschap ENISA heeft samen met de cloud-industrie in kaart gebracht hoe met de reeds bestaande certificeringen cloud gebruikers en bedrijven kunnen bepalen hoe veilig verschillende oplossingen zijn. Dit heeft geresulteerd in een lijst van certificatieschema’s voor de cloud waarin niet alleen bestande beveiligings- en veiligheidsmaatregelen van de verschillende oplossingen zijn opgenomen maar ook welke zekerheden bij de betreffende oplossing binnen afzienbare tijd gegeven kunnen worden. Deze lijst zal binnenkort op de website van ENISA gepubliceerd worden. Volgens Kroes is dit slechts een eerste stap bij werk in uitvoering maar er volgen in de komende maanden nog andere maatregelen volgen om te helpen bij het maken van de lastige keuze.
U kunt het laatste beschikbare Cloud Computing Security Risk Assessment hier downloaden.
Wij houden u graag op de hoogte van de ontwikkelingen op het gebied van cloud computing en de juridische euvels daarbij.