Spring naar content

RDI geeft richting aan verantwoord cloudgebruik: drie aandachtspunten voor organisaties

Veiligheid realiseer je niet alleen. Ook de toezichthouder geeft informatie die nuttig kan zijn voor organisaties. Dit keer zoomen we in op de cloud.

Steeds meer organisaties maken gebruik van clouddiensten voor e-mail, opslag, software, back-ups en bedrijfsprocessen. Dat biedt veel voordelen, maar zorgt tegelijkertijd voor nieuwe afhankelijkheden van leveranciers en digitale ketens.

De Nederlandse toezichthouder Rijksinspectie Digitale Infrastructuur (RDI) heeft hierover onlangs een whitepaper gepubliceerd. Daarin beschrijft de toezichthouder een aantal aandachtspunten die organisaties kunnen helpen om meer grip te houden op hun cloudomgeving.

De publicatie sluit aan bij de bredere ontwikkeling waarbij organisaties steeds meer aandacht besteden aan digitale weerbaarheid, leveranciersbeheer en afhankelijkheden binnen hun IT-landschap.

  1. Risicoanalyse: weet waar je afhankelijk van bent

Volgens de RDI begint verantwoord cloudgebruik met inzicht.

Organisaties doen er verstandig aan om in kaart te brengen:

  • Welke clouddiensten worden gebruikt?
  • Welke bedrijfsprocessen zijn daarvan afhankelijk?
  • Wat gebeurt er als een dienst tijdelijk uitvalt?
  • Welke data is opgeslagen bij externe partijen?
  • Hoe snel kan de organisatie herstellen bij een verstoring?

Voor veel organisaties blijkt dat een aanzienlijk deel van de dagelijkse werkzaamheden afhankelijk is geworden van één of meerdere cloudleveranciers. Het kennen van deze afhankelijkheden helpt bij het maken van bewuste keuzes en het beperken van risico’s.

  1. Ketenbeheer: maak duidelijke afspraken

Een tweede aandachtspunt uit de cloudpaper is ketenbeheer.

Hierbij gaat het onder andere om:

  • Heldere contractuele afspraken met leveranciers.
  • Inzicht in eventuele onderaannemers.
  • Afspraken over beveiliging, beschikbaarheid en incidentmeldingen.
  • Een exit-strategie wanneer een organisatie wil overstappen naar een andere leverancier.

Vooral bij kritische processen wordt het steeds belangrijker om niet alleen naar de directe leverancier te kijken, maar ook naar de bredere keten waar die leverancier onderdeel van uitmaakt.

  1. Beleidseffectiviteit: controleer of maatregelen werken

Het nemen van maatregelen alleen is niet voldoende. De RDI benadrukt ook het belang van evaluatie en monitoring.

Denk daarbij aan vragen zoals:

  • Worden risico’s periodiek beoordeeld?
  • Worden leveranciers regelmatig geëvalueerd?
  • Zijn afhankelijkheden nog acceptabel?
  • Is duidelijk wanneer aanvullende maatregelen nodig zijn?

Door periodiek te toetsen of beleid en maatregelen daadwerkelijk effectief zijn, ontstaat een beter beeld van de werkelijke digitale weerbaarheid van de organisatie.

Aansluiting bij NIS2 en leveranciersbeheer

Deze aandachtspunten sluiten aan bij ontwikkelingen die veel organisaties momenteel zien rondom cybersecurity, leveranciersmanagement en de aankomende Cyberbeveiligingswet (NIS2).

Zowel binnen NIS2 als binnen algemeen risicomanagement wordt steeds meer nadruk gelegd op:

  • Inzicht in afhankelijkheden.
  • Risicobeoordeling van leveranciers.
  • Contractuele afspraken.
  • Monitoring van risico’s.
  • Continuïteitsmaatregelen bij verstoringen.

De publicatie van de RDI laat zien dat toezichthouders steeds meer richting geven aan praktische maatregelen die organisaties kunnen nemen om hun digitale weerbaarheid te vergroten.

Organisaties die hun cloudgebruik, leveranciersketen en afhankelijkheden structureel in kaart brengen, creëren daarmee niet alleen meer grip op hun IT-omgeving, maar versterken ook hun algemene cyberweerbaarheid.

Meer informatie is beschikbaar op de site van de RDI: https://www.rdi.nl/onderwerpen/digitale-weerbaarheid/cloud/toezicht-op-gebruik-van-clouddiensten

Gerelateerde artikelen

Zo maakt HR van elke nieuwe medewerker een cybersecuritytroef

Meer dan 100 MSP’s zetten volop in op NIS2 Supply Chain certificering

Onderzoek: Maakindustrie moet nog meer aan de slag voor Cyberbeveiligingswet

Van Rooijen versterkt digitale weerbaarheid met NIS2 SC 20-certificering

De 4 grootste cyberrisico’s die HR kan helpen voorkomen
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht