image

Duitse overheid geeft beveiligingstips voor cloudgebruik

zaterdag 24 oktober 2015, 07:16 door Redactie, 6 reacties

Steeds meer mensen maken gebruik van clouddiensten, wat zowel voordelen als risico's met zich meebrengt. Aanleiding voor het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse Ministerie van Binnenlandse Zaken, om verschillende tips te geven.

Hoewel cloudaanbieders voor de veiligheid verantwoordelijk zijn en het gebruik van clouddiensten eenvoudig is, moeten gegevens niet zomaar in de cloud worden geplaatst, aldus het BSI. Zo kunnen gegevens onversleuteld worden verstuurd waardoor anderen ze kunnen onderscheppen en is het niet altijd duidelijk waar de data zijn opgeslagen. Door verschillende aanbevelingen op te volgen kan er echter veilig van de cloud gebruik worden gemaakt, zo stelt het BSI. De dienst raadt aan om alleen via een beveiligd systeem de cloud te benaderen.

Verder moet er een veilig wachtwoord voor clouddiensten worden ingesteld en moet inloggen op de cloud via een onbeveiligd wifi-netwerk worden vermeden. Daarnaast moeten gebruikers de algemene voorwaarden van de clouddienst doorlezen en de locatie van de gebruikte datacentra uitzoeken. In het geval van gevoelige of belangrijke gegevens moeten die alleen versleuteld in de cloud worden opgeslagen. Als laatste moeten gebruikers controleren hoe hun gegevens uit de cloud worden verwijderd. Sommige cloudaanbieders slaan back-ups namelijk in verschillende datacentra op.

Reacties (6)
24-10-2015, 07:46 door Anoniem
Ik heb ook een tip: gebruik geen cloud.

Het is toch van de zotte dat al je data ergens bij iemand ligt en dat je maar moet hopen dat jij de enige bent die access heeft!? Nog afgezien van de beveiliging van off-site backups.
24-10-2015, 10:05 door karma4
ncsc 2011[ur] https://www.ncsc.nl/actueel/whitepapers/whitepaper-cloudcomputing.html [/ur] Deze bouwt voort op de ISO27001 en "ISO 27002 staat vermeld op de lijst met open standaarden waarvoor geldt dat (semi-)publieke organisaties
het ‘pas toe of leg uit’-principe17 moeten volgen. (pag 16)

De leverancier verantwoordelijk? Die is echt fout,: "Anwender sollten genau prüfen, welche Rechte durch das Akzeptieren der Nutzungsbedingungen und Datenschutzbestimmungen eingeräumt werden. Ofwel de uitbestedende partij dient zich er van te vergewissen dat de aanbieder zich aan vereiste regels houdt!!
http://www.iso27001security.com/html/27036.html , http://pvib.nl/kenniscentrum&collectionId=17679330 "Achter de wolken schijnt de zon, (te schijnen) " taken en activiteiten wel kunnen worden overgedragen, maar de
verantwoordelijkheden niet. En bij die verantwoordelijkheden hoort dat verantwoording moet kunnen worden afgelegd over datgene waarover men verantwoordelijk is. Dat wil men vaak niet horen...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile
24-10-2015, 10:25 door Anoniem
Gooi het in de wolken, dan kunnen WIJ (lees: BSI en NSA) er nog veel gemakkelijker bij.

Er is namelijk geen enkele goede reden te verzinnen om iets in de cloud te hangen.
Backup? Nee, offsite ja, maar nooit aan internet.
Outsourcing? Ja, maar dat kunnen ze ook met de data in huis
Geen aanschaf hardware? Ja, maar dat kunnen ze ook via lease constructies, doe ik nu ook al

Waarom niet?
#1 zodra je data buiten de poort is, is het niet meer van jou
#2 iets waardevols aan internet hangen is altijd dom
#3 De uptime van de diverse cloud diensten is vergelijkbaar met wat ik zelf kan leveren, bovendien weet ik dan wat er aan de hand is en waarom en hoe lang het gaat duren voordat het opgelost is. Hierop kan ik dan klanten informeren. Nu zie ik vaak dat bedrijven afhankelijk van de cloudprovider of NIETS horen, zeker nooit hoe lang het gaat duren en al helemaal nooit zullen horen wat de oorzaak was. Dat levert in mijn optiek een vertrouwensbreuk op met de klant. Als jij de klant moet vertellen "Ja, der zit een zwarte wolk in mijn cloud en daarom kunnen jullie allemaal niet gebruik maken van mijn diensten.. ennne, ik weet niet wat er aan de hand is en hoe lang het gaat duren... dus ga maar wat koffie drinken ofzo...kan elk moment terug komen, kan ook pas overmorgen zijn"... Klanten kunnen op basis van deze informatie geen beslissingen nemen. "Moet ik mijn personeel vandaag naar huis sturen? moet ik nu alles met de hand doen? heeft dat wel nut? ik ga niet moeilijk doen als over 30 minuten de boel weer in de lucht is? enz enz.
#4 juridische problemen. Je mag simpelweg niet je data van je klanten in Amerika hebben, volgens waakhonden is het daar niet veilig, dus mag het daar niet zijn. PUNT. Klinkt ook een beetje als "Nee, de grote boze wolf is echt wel te vertrouwen hoor.. en dat zeg je dan als varken...
24-10-2015, 15:11 door ben987
Door Anoniem: Ik heb ook een tip: gebruik geen cloud.

Het is toch van de zotte dat al je data ergens bij iemand ligt en dat je maar moet hopen dat jij de enige bent die access heeft!? Nog afgezien van de beveiliging van off-site backups.
heb het ook nooit begrepen, dat gehype over de cloud, wat is er mis met een eigen externe hd oid ?
clouds zijn m.i. alleen maar voor data graaien en handig voor de overheid.
24-10-2015, 15:47 door karma4
Door ben987: heb het ook nooit begrepen, dat gehype over de cloud, wat is er mis met een eigen externe hd oid ? clouds zijn m.i. alleen maar voor data graaien en handig voor de overheid.
Het is het management / bestuur dat het voor het zeggen heeft. De eigen ICT faalt met een flinke mismatch in verwachtingen en realisaties. Dan proberen ze het toch op een andere manier. Die verkoper heeft toch een mooi verhaal daar kunnen die minkukels hier van de ICT nooit aan tippen.....
Het is maar wat voor beeld daar leeft. Of het waar is of niet maakt niet uit.
27-10-2015, 14:53 door Anoniem
Hier vindt je ook cloud baselining........https://benchmarks.cisecurity.org/downloads/multiform/
Fr. Information Security Engineering
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.