Als overheid naar de publieke cloud, kan dat zomaar? Er is publieksinformatie, voor iedereen toegankelijk. Maar er is ook vertrouwelijke informatie, die niet op straat mag komen te liggen. Het cloudbeleid van de rijksoverheid beschrijft vier stappen voor het gebruik van publieke cloud diensten: Risicoanalyse, Maatregelen, Toestemming en Advies. Blog 3 in de serie 'Overheid en Publieke Cloud'.
Een partner als Microsoft kan helpen met inhoudelijke context of een referentiecase. | Beeld: Microsoft
Aanvullende maatregelen, goedkeuring en advies
Vanuit de centrale overheid is er cloudbeleid. Dit zijn geen handreikingen of richtsnoeren, hier dient u zich aan te houden. Grofweg mag informatie en data in de publieke cloud worden gezet als u de volgende stappen succesvol hebt doorlopen:
- Op basis van een risicoanalyse bepaalt u de restrisico’s. Kijk welke informatie voor handen is en maak gebruik van gestandaardiseerde en indien nodig specifieke informatie om de risicoanalyse af te ronden. In dit geval is een partner als bijvoorbeeld Microsoft onderdeel van uw risicoanalyse.
- Passende voorzieningen voor APT’s (Advanced Persistent Threats) zoals statelijke actoren. Dit kan betekenen de inzet van geavanceerde security tooling die relevante informatie oplevert aan het Security Operating Center (SOC). Denk hierbij aan de inzet van bijvoorbeeld het Microsoft Defender portfolio en Azure Sentinel.
- De verwerking van Departementaal Vertrouwelijke (DepV) gerubriceerde informatie moet goedgekeurd worden door de Secretaris-Generaal. Voor de onderbouwing is informatie nodig. Ook hier kan een partner als Microsoft helpen met inhoudelijke context of een referentiecase.
- Het expertadvies van het Nationaal Bureau voor Verbindingsbeveiliging (NBV) over clouddiensten dient meegewogen te worden. Ook hier helpt een partner als Microsoft met referentiearchitecturen en best-practises.
In de praktijk ziet dat er misschien zo uit: u start een werkplek vernieuwingstraject. Dat begint met het opstellen van de wensen en eisen van de organisatie en eindgebruikers. Dit geldt ook voor security, privacy en compliance. De Baseline Informatiebeveiliging Overheid (BIO) kan hiervoor goed gebruikt worden en misschien zijn er andere internationale standaarden, zoals ISO27701 waar u aan wilt voldoen. Als de uitvraag of aanbesteding eenmaal in de markt staat, stromen de aanbiedingen binnen. Van lokale partijen tot publieke cloudproviders, waaronder waarschijnlijk ook Microsoft. Als blijkt dat een bepaalde cloudprovider de beste papieren in huis heeft, begint uw cloudreis waarbij de route wordt bepaald door bovengenoemde vier stappen.
Kijk snel welke informatie u kan inzetten om uw cloud project te versnellen.
Neem eventuele maatregelen, vraag goedkeuring en win advies in.
Blogs
- Als overheid naar de public cloud, wat nu?
- Voer een solide risicoanalyse uit
- Volgende week verschijnt de vierde en laatste blog in deze reeks: ‘BIO, wat moet u weten?’
