Blog

Experimenteren in de publieke cloud? Ook dan geldt de BIO

BIO en experimenteren in Azure

In de vorige blog beschreef mijn collega Jos dat de BIO, die sinds 2020 van kracht is, overheden niet alleen richtlijnen geeft, maar ook eisen stelt. Als het om cloud gaat, blijven gemeenten verantwoordelijk voor de manier waarop een cloudleverancier met informatiebeveiliging omgaat. Maar hoe zit dat met IaaS via de publieke cloud?

Steeds meer overheden kiezen voor Infrastructure as a Service (IaaS) bij publieke clouds zoals Microsoft Azure. De BIO en de aanvullende handreikingen schrijven voor dat ze via een Service Level Agreement (SLA) beheerafspraken moeten maken met hun cloudleverancier en dat ze geen genoegen moeten nemen met een standaard SLA wanneer die niet past bij wat je als gemeente wilt. Maar bij grote bedrijven zoals Microsoft hoef je niet te verwachten dat je als gemeente veel meer kunt regelen dan een standaard contract.

BIO zegt: risico’s dragen

Dat betekent niet dat werken met Azure niet kan. Zorg dat je als gemeente maatregelen hebt genomen om de risico’s onder controle te houden en leg die maatregelen vast. Dat kan bijvoorbeeld gaan om het binnen Europa houden van data. Daarvoor is het ook van belang dat je je eigen omgeving goed hebt ingericht en dat je eigen ontwikkelaars zich houden aan de afspraken die je maakt. Je moet dus zelf de risico’s gaan dragen en zorgen dat je zeker weet dat je aan alle richtlijnen voldoet.

Experimenteren in de cloud

Belangrijk is ook om te beseffen dat de BIO vanaf het allereerste moment van de ontwikkeling geldt. Er staat onder andere: “Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.” En ook: “Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging.”

Dus: voor kleine bedragen in de publieke cloud experimenteren zonder dat je weet of je voldoet aan securitystandaarden is sinds de BIO niet meer mogelijk. Ook niet als dat in een zogeheten ‘sandbox’ gebeurt. Daar zit het grote verschil tussen gemeenten en bedrijven. Bedrijven kunnen experimenteren met IaaS en de public cloud, totdat het naar productie gaat. Gemeenten kunnen dat niet en daar zijn ze zich niet altijd van bewust. CISO’s zijn vaak bezig om grip te krijgen op SaaS-applicaties, maar vergeten dan dat er ook al met IaaS in de publieke cloud geëxperimenteerd wordt.

Het belangrijkste om BIO-compliant te zijn

Grip is bij de BIO het belangrijkste begrip. Je moet vanaf de allereerste stap in de public cloud zorgen dat je alles hebt geregeld om die grip te hebben en te houden. Daarvoor is inzicht van groot belang. Als je als CISO inzicht hebt, kun je verbeteringen doorvoeren en daarmee aantonen dat je grip hebt. Wij hebben daar met Telindus de dienst Cloud Insight as a Service voor. We werken daarbij actief samen met de CISO om hem of haar te helpen om met de cloud om te gaan en risico’s te verkleinen. Bovendien helpen we cloudbeheerders om de cloudomgeving ook daadwerkelijk veiliger te maken. In de volgende blog gaat mijn collega Jos daar dieper op in.

 

Auteur: Ruud Oude Maatman

Ruud Oude Maatman is Portfolio Manager bij Telindus en richt zich op het ontwikkelen van het Telindus dienstenaanbod voor de korte en middellange termijn. Vanuit zijn business en IT-achtergrond haalt hij zijn energie uit het optimaal combineren van de beide werelden. Ruud is altijd op zoek naar nieuwe ontwikkelingen en kijkt daarbij vooral naar de mogelijkheden en toegevoegde waarde. Hij houdt ervan om de omgeving, zichzelf en de status quo uit te dagen en gelooft dat je op deze manier meer kunt bereiken. Ruud heeft altijd op het snijvlak van business en IT gewerkt en heeft daarbij ervaring opgedaan als consultant en Agile Project Manager. In zijn vrije tijd kun je hem in de kart, op ski’s en hardloopschoenen vinden.

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.