Cloud en veilige software. Botst dat?

Cloud en veilige software. Botst dat?

In de vorige blog beschreef mijn collega dat softwareontwikkelaars IT-processen steeds vaker uitbesteden, waarbij de keuze voor cloud, vaak public cloud, voor de hand ligt. Tegelijkertijd willen softwareontwikkelaars een veilige dienstverlening richting hun klanten garanderen. Is dat samen mogelijk?

We doen de laatste jaren steeds meer beheer, onder andere voor softwareontwikkelaars die hun applicatie willen onderbrengen bij een bedrijf zoals het onze. Die softwareleveranciers willen dan de zekerheid dat alles in goede handen is. Ik merk dat ze steeds kritischer worden. Ze kijken bijvoorbeeld heel goed naar de SLA (Service Level Agreement) die we opstellen. Welke garanties worden daarin afgegeven? Wat staat er in de kleine lettertjes? Dat is een goede ontwikkeling. Ik zou precies hetzelfde doen. Want uiteindelijk zijn zij verantwoordelijk richting hun klanten, ook voor de processen die ze uitbesteden.

ISAE 3402 en cloud

Daarnaast wordt er, zoals we in de vorige blog beschreven, steeds vaker om ISAE 3402 gevraagd, een audit-standaard voor rapportage, specifiek voor de beheersing van uitbesteedde processen. Daarmee kan een bedrijf aan toezichthouders en ketenpartners aantonen dat het de diensten die het levert onder controle heeft. Niet voor niets hebben we zelf zo’n verklaring op zak en kiezen ook steeds meer softwareleveranciers daarvoor.

De hamvraag blijft: gaat een veilige dienstverlening samen met de cloud? Is een ISAE 3402-verklaring nog steeds te halen wanneer jouw software in de private cloud draait? En is dat in het geval van public cloud nog steeds zo? Het simpele antwoord is: ja, dat kan prima. Voor het halen van een ISAE 3402-verklaring is het van cruciaal belang dat je grip hebt op de hele situatie. Breng in kaart waar de risico’s liggen en zorg dat je weet wat een cloudleverancier doet, bijvoorbeeld waar de data staat en wie er toegang tot hebben. Werk zoveel mogelijk met die partijen samen en streef daarbij altijd naar continue verbetering.

Cloud Insight as a Service

Eén van de manieren om dat voor elkaar te krijgen is met onze dienst Cloud Insight as a Service. We meten continu hoe het staat met securitymaatregelen binnen de Azure-infrastructuur. Dat doen we aan de hand van toonaangevende frameworks zoals PCI-DSS, HIPAA, NIST en CIS. De resultaten van die metingen analyseren we, en die bespreekt onze cloudexpert met de klant. We helpen vervolgens met het doorvoeren van verbeteringen. Door dat hele proces verlagen we de kans op een securityprobleem drastisch.

Daarnaast zorgt het ervoor dat de softwareleveranciers, of de andere klanten, hun Azure-infrastructuur voorzien van de juiste beheersmaatregelen. De softwareleverancier toont daarmee aan dat hij ‘in control’ is. Bovendien maken we meetbaar en dus ook aantoonbaar of er sprake is van continue verbetering. En dat is precies wat er nodig is als je als softwareleverancier een ISAE 3402-verklaring wilt behalen.

Softwareontwikkelaars kunnen zich daardoor met een gerust hart richten op waar ze goed in zijn: software ontwikkelen, functionaliteiten toevoegen en daarmee klanten blij maken.