Content marketing – Hoe bereik je 100% safe SaaS?

Tijdens een kennissessie van Heliview en Previder discussieerden specialisten, directeuren en technische consultants over safe SaaS. Bizzer media heeft de content marketing verzorgd.

Het is niet meer de vraag of een SaaS-applicatie getroffen wordt door een hack of DDoS attack, maar wanneer. Natuurlijk nemen softwarevendors daarom passende beveiligingsmaatregelen, maar zij zijn voor een belangrijk deel afhankelijk van het hostingplatform waarop de software draait. Wat is er nodig voor een 100% veilige SaaS-hostingomgeving?

Kennissessie

Tijdens een kennissessie van Heliview georganiseerd samen met hostingprovider Previder discussieerden securityspecialisten, directeuren en technische consultants van Nederlandse software vendors over dit belangrijke thema. Zij wilden tijdens deze bijeenkomst inspiratie opdoen om hun bestaande cloudomgeving verder te verbeteren, horen welke tooling anderen gebruiken of achterhalen wat de waarde van certificeringen is voor andere deelnemers.

De aanwezigen gaven aan dat ze vaak vragen krijgen van hun klanten over de beveiliging van een geboden oplossing. Veel organisaties (bijvoorbeeld ziekenhuizen) ‘hikken aan’ tegen een SaaS-oplossing en geloven niet dat het echt betrouwbaar kan zijn. Zij vinden het een eng idee dat het beheer van de data niet meer on-premise gebeurt en zijn bezorgd over privacy en de bescherming van persoonsgegevens.

Risicoanalyse

Hoewel certificeringen misschien een papieren tijger zijn en niet beschermen tegen datalekken, werd hier toch vanaf het begin van de sessie veel over gediscussieerd. Als antwoord op de vragen ‘welke eisen stel je aan een hostingprovider?’ en ‘wat heb je nodig als het gaat om wet- en regelgeving om risico’s af te dekken’ werd steeds ‘de juiste certificeringen’ genoemd.

ISO 27001 voor informatiebeveiliging dekt voor de meeste aanwezigen de belangrijkste risico’s af en werkt zinvol als ‘kapstokcertificering’; veel van hun klanten willen deze zien. Inhoudelijk gezien betekent ISO 27001 dat een organisatie een risicomanagementsysteem heeft geïmplementeerd, met risicoanalyses en passende maatregelen binnen de scope die is gekozen. Het is echter heel relevant, zo bleek gedurende de discussie, om verder te kijken en het gesprek met partners aan te gaan over hoe in de keten risico’s zijn afgedekt.

Want natuurlijk stel je als vendor functionele eisen (bijvoorbeeld ten aanzien van back-ups en testprocedures) aan een hostingprovider, maar de nieuwe Europese wetgeving – waar organisaties binnen twee jaar aan moeten voldoen – en de Meldplicht datalekken bepalen dat de hele keten moet borgen dat zogenaamde bewerkingsovereenkomsten door alle schakels heen worden doorgevoerd. “Zo’n risicoanalyse is best ingewikkeld en daar kunnen we nog veel slagen maken”, aldus een van de aanwezigen.

Bewustwording

Beveiliging gaat echter niet alleen om techniek, maar zeker ook om mensen, zo was de consensus aan tafel. Menselijke fouten, zoals het slordig omspringen met wachtwoorden, staan vaak aan de basis van datalekken. Juist daarom draaien veel certificeringen om dit aspect van security.

Bewustwording is hierbij het sleutelwoord: een certificering heeft pas waarde als mensen snappen wat er gebeurt wanneer bijvoorbeeld persoonsgegevens openbaar worden én als zij vervolgens hun gedrag echt veranderen. De securitymaatregelen moeten voor medewerkers echter wel werkbaar blijven: two factor authentication werd als voorbeeld gegeven van een gemakkelijke manier om veel te bereiken terwijl werknemers niet het gevoel krijgen dat ze er veel tijd aan kwijt zijn.

Tot slot gaven de aanwezige vendors aan dat de zachte kant, het vertrouwen tussen partijen die met elkaar zaken doen, vaak een doorslaggevende factor is, zeker bij SaaS. “Het belangrijkste is dat je elkaar helpt”, werd er gezegd. Zaken als certificeringen en SLA’s zijn van belang, maar niet in het dagelijks contact met partners: “Als je naar de SLA moet kijken, is dat geen goed teken.”

Conclusie

De conclusie van de kennissessie is daarom dat je weliswaar technisch gezien alles kunt beveiligen –providers kunnen tegenwoordig vrijwel alles realiseren – maar dit moet wel betaalbaar en uitvoerbaar blijven. Risicoanalyses moeten uitwijzen welke securitymaatregelen je besluit wel en niet te implementeren. Honderd procent veilig is dus een utopie, maar als je naast techniek aandacht besteedt aan wat de relevante wet- en regelgeving is en als klanten binnen hun organisatie een helder veiligheidsbeleid weten te communiceren, kom je een heel eind.

Quotes

  • ‘Doe onderzoek naar je data. Pas dan ben je een gesprekspartner voor je IT-dienstverlener.’
  • ‘Je moet nu nadenken over wat je wilt monitoren.’
  • ‘Een SLA moet je wel kunnen uitleggen. Daarmee bouw je aan de relatie en win je vertrouwen.’
  • ‘Certificering is mooi, maar beschermt je niet tegen datalekken.’
  • ‘Security staat of valt met awareness binnen een organisatie.’
  • ‘In Nederland werk je vaak met een hostingpartner puur op vertrouwen. Dat vind ik geen goed idee.’
  • ‘De grote corporates werken allemaal met Salesforce, dus dat er dingen in de cloud staan is een gegeven.’
  • ‘We willen niet zoals in Amerika 400 juristen optrommelen voordat we een contract kunnen afsluiten.’
  • ‘Schaalgrootte is belangrijk. Je wilt geen nummer zijn voor je leverancier.’
  • ‘Binnenkort krijgen wij een audit. Ik heb gelukkig veel dingen gehoord die we al doen!’

 

No Comments

Sorry, the comment form is closed at this time.