Het artikel lezend is het nog eens extra problematisch dat dit gebeurt in de extra beveiligde cloudomgeving van Microsoft. Als daar al onduidelijk is wat de risico's zijn, dan durf ik er geen vergif op in te nemen dat de reguliere, minder beveiligde cloudomgeving (althans, de cloudomgeving waar mogelijk minder stringente maatregelen van kracht zijn) voldoet aan de eisen die de meeste bedrijven wensen of denken te krijgen bij "een partij die haar zaken op orde heeft". Daarnaast, en dat merk ik vooral in mijn eigen werk, leunen een hoop organisaties op certificeringen, onder het mom "een onafhankelijke auditor heeft er al naar gekeken en we gaan geen dubbel werk doen om alle beoordeelde maatregelen nogmaals tegen het licht te houden". Het eigen onderzoek blijft in dat soort situaties beperkt tot de gap die wordt geconstateerd. Als die certificering op deze manier wordt aangevlogen en afgegeven, dan is dat geen valide methode meer om te kunnen spreken van een beheerste IT-omgeving. De known and unknown ...