Door: Caroline Willemse en André Biesheuvel
Aanleiding
Bedrijven en instellingen (hierna bedrijven) maken tegenwoordig (meer en meer) gebruik van IT-clouddiensten van leveranciers zoals Microsoft, Amazon of Google. Microsoft bijvoorbeeld, biedt bedrijven MS 365 en Azure tenants aan voor het effectief organiseren van:
- de (kantoor) activiteiten; en
- het ontwikkelen en toepassen van applicaties.
De motivatie van de leiding IT-clouddiensten toe te passen zijn: de lagere operationele kosten, het waarborgen van continuïteit én het verhogen van de beveiliging van bedrijfs- en persoonsgegevens.
De IT-cloudleveranciers ontwikkelen meer en meer toepassingen waarmee bedrijven hun bedrijfsactiviteiten effectiever kunnen organiseren. Naast het bijblijven met passende maatregelen tegen cybercriminaliteit worden de dienstverlening van het bedrijf, de verkoop- en inkoopprocessen en de relatie met toezichthouders ondersteund. Om van deze ontwikkelingen te profiteren is het nodig dat het bedrijf de tenants adequaat beheert en de medewerkers van de organisatie de capaciteit bezitten veranderingsprocessen succesvol te doorlopen.
In deze blog delen wij onze ervaringen met het afleggen van verantwoording voor het organiseren van compliance met wettelijke en contractuele verplichtingen.
Organisatie
De MS 365 en Azure tenants bieden bedrijven krachtige beheersmaatregelen om de toegewezen taken, bevoegdheden en verantwoordelijkheden van rollen aan medewerkers in afdelingen te managen (zie de blog, Taken, bevoegdheden en verantwoordelijkheden in MS 365 en Azure). Voor een bedrijf met een beperkte bedrijfsomvang onderkennen wij:
- de bedrijfsleiding (rol: wijst rollen toe aan medewerkers);
- de operatie (rol: beheert de tenants);
- de riskmanager (rol: initieert en monitort beveiligingsmaatregelen); en
- de compliance manager (rol: zorgt voor het organiseren van de verantwoording van compliance met wettelijke en contractuele verplichtingen).
Naarmate de bedrijfsomvang groeit zullen rollen aan meerdere medewerkers worden gedelegeerd of kunnen nieuwe rollen worden onderkend.
De praktijk
In de praktijk komen wij bedrijven tegen die in de organisatie geen scheiding in taken, bevoegdheden en verantwoordelijkheden hebben aangebracht. De bedrijfsleiding heeft het beheer feitelijk uitbesteed aan een IT-bedrijf met als resultaat dat de bedrijfsleiding en het IT-bedrijf beiden de rol van globale beheerder bezitten en de medewerkers toegang hebben tot de bedrijfs- en persoonsgegevens, in het bijzonder de bedrijfsgeheimen. De rollen riskmanager en compliance manager zijn niet ingevuld.
Gevolgen
De rol operatie, die de tenant beheert, controleert zichzelf. Als de rol van riskmanager niet is georganiseerd is de kans aanwezig dat onvoldoende aandacht wordt gegeven aan de kwetsbaarheidsrapporten. Het alert reageren op kwetsbaarheden door de rol operatie is nodig omdat deze kunnen leiden tot security incidenten of datalekken. De compliance manager moet de operatie hierbij ondersteunen met zijn professionele kennis en aansturen op juiste prioritering[1] Dit geldt ook voor het organiseren van compliance met wettelijke en contractuele verplichtingen. Compliance maakt immers gebruik van het bewijs van effectief functionerende beheersmaatregelen en de vastlegging van het opvolgen van IT-kwetsbaarheden.
Riskmanager
De riskmanager is getraind in het onderkennen van bedrijfsrisico’s, waaronder IT-risico’s. De riskmanager zal bijvoorbeeld aandacht schenken aan het inschatten van het partner-risico (weet met wie je zakendoet), met behulp van de informatie uit het security center en Defender van MS 365 en Azure tenants de interne kwetsbaarheden beheren en met behulp van een Coordinated Vulnerability Disclosure (CVD) een overzicht beheren van de externe kwetsbaarheden. Op basis van een risico-afweging stelt de riskmanager een lijst samen van de kwetsbaarheden die eerst aangepakt moeten worden.
In de factsheet ‘IT-riskmanagement in de cloud’ werken wij de rol van de riskmanager uit.
Compliance manager
De bedrijfsleiding legt periodiek (veelal jaarlijks) over vele zaken verantwoording af aan toezichthouders, partners waarmee verantwoordingsverplichtingen zijn afgesproken en interne verantwoordingsverplichtingen. Wij kunnen denken aan:
- Betrouwbare financiële informatie; denk aan een jaarrekening;
- Betrouwbare fiscale informatie: vennootschapsbelasting-, inkomstenbelasting-, loonbelasting- en betaling toegevoegde waarde-aangifte;
- Betrouwbare informatie over ontvangen subsidies;
- Betrouwbare productinformatie; denk aan voedselveiligheid;
- Betrouwbare, beschikbare en vertrouwelijke informatie over het effectief beschermen van persoonsgegevens; denk aan datalek of overleggen van verzoeken van de betrokkene;
- Betrouwbare, beschikbare en vertrouwelijke bedrijfsgeheimen; denk aan receptuur;
- Beschikbare informatie over de informatievoorziening; denk aan het pareren van een ransomware-aanval.
De kosten voor het vervullen van de verantwoordingsverplichtingen voor de organisatie van compliance met wettelijke, contractuele en beleidsmatige verplichtingen kunnen snel oplopen als professioneel compliance management ontoereikend is.
Rol van compliance manager
Vanuit de bedrijfsactiviteiten overziet de compliance manager de compliance-behoefte van een bedrijf. Met behulp van een integrale compliance-aanpak, de compliance tools in MS 365 en Azure tenants en aanvullende werkzaamheden ontstaat operationele synergie.
Zie de factsheet ‘IT-compliance in de cloud’.
Compliance-aanpak
De professionals van Duthler Associates hebben voor de gebruikers van het MYOBI Vertrouwensnetwerk een compliance-aanpak samengesteld. Het toepassen van deze compliance-aanpak resulteert in een Accountability Seal.
Een bedrijf verantwoordt zich met een Accountability Seal aan het maatschappelijk verkeer voor het organiseren van compliance met wettelijke en contractuele verplichtingen, speciaal gericht op het beschermen van persoonsgegevens zoals is aangegeven in de wet en uitgewerkt in de TTP Gedragscode AVG.
De compliance manager neemt de TTP Gedragscode AVG, samen met andere normenkaders, op in MS 365 en Azure tenants. Hiermee ontstaat een integraal afwegingskader voor het toetsen van de kwaliteit (betrouwbaarheid, vertrouwelijkheid en continuïteit van gegevensbewerking) van het informatie-ecosysteem van het bedrijf.
Voor de verantwoordingen aan verschillende toezichthouders, partners en de bedrijfsleiding geeft de compliance manager praktische tips voor de kwaliteit van de verantwoordingsprocessen.
Compliance-tools
Wij beperken ons in deze blog tot de compliance-tools in MS 365 en Azure tenants.
De cloudleveranciers begrijpen dat aantoonbaar vertrouwen in clouddiensten noodzakelijk is bedrijven succesvol te verleiden gebruik te maken van clouddiensten. De cloudtoepassingen zijn daarom voorzien van “security en data protection by design” en “compliance by default” maatregelen. Zij creëren hierdoor de mogelijkheid voor bedrijven die hun gegevensverwerking overbrengen naar een cloudomgeving, compliance effectief te organiseren.
Architectuur
Vanuit het perspectief van compliance is het essentieel dat de identiteiten van personen in de tenants geauthenticeerd en bekend zijn en als dat niet zo is de toegang tot de tenant wordt geblokkeerd waarna een melding bij de riskmanager wordt gedaan. Een identiteit koppelt de operatie aan objecten, bijvoorbeeld rollen, devices en programma’s. De beveiligingsarchitectuur van MS 365 en Azure tenants gaat verder met het samenstellen en logisch en volledig koppelen van virtuele netwerken (met subnets) waarin devices en resourses zijn opgenomen. Er ontstaat een “zero trust” netwerk dat door de riskmanager wordt monitort.
Security Center en Defender
Het Security Center en Defender bieden de operatie en de riskmanager de mogelijkheid de MS 365 tenant (met name kantoortoepassingen) en Azure tenants (met name applicaties) te beheren. De uitkomsten van het beheer vormen de input voor het organiseren van compliancewerkzaamheden.
De compliance manager heeft de beschikking over een scala aan normenkaders, denk aan ISO 27001, NIST, normenkaders AVG waaronder de gedragscode AVG en eigen beleid. Deze normenkaders en achterliggende verantwoording van effectieve werking van beheersmaatregelen worden gebruikt door de compliance manager.
Aanvullende werkzaamheden
Een randvoorwaardelijk deel van de compliance kan vanuit de tenants georganiseerd worden. De organisatorische inbedding en application controls, die buiten de werking van MS 365 en Azure tenant vallen, pakt de compliance manager – al dan niet ondersteund door IT – separaat op.
Tenslotte
Hoe ingewikkelder het IT-landschap van een organisatie eruit ziet, des te groter is de foutenkans en des te belangrijker is het om de compliance zorgvuldig en overzichtelijk in te richten. Bedrijven doen er dus goed aan om een visie te ontwikkelen waarbij gestreefd wordt naar standaardisatie en eenvoud.
In de loop der jaren hebben bedrijven vaak een beheerorganisatie ingericht die inmiddels een lappendeken van maatregelen is geworden. Er kan overlap zijn maar, erger, er kunnen ook witte vlekken zijn. Cloudproviders bieden een integrale beheeroplossing aan die zowel effectief als efficiënt is en mogelijk toereikend kan zijn als beheersinstrument voor bedrijven.
Het uitbesteden van IT-clouddiensten bij IT-leveranciers kan plaatsvinden zolang het riskmanagement en het compliance managent door professionals worden uitgevoerd; niet zijnde een interne of externe medewerker van operatie. De tegengestelde belangen tussen de operatie en risk- en compliance-management vergroot de effectiviteit van het organiseren van de bedrijfsactiviteiten.
Meer weten?
Wilt u meer weten naar aanleiding van de bovenstaande blog? Neem dan gerust contact met ons op.
[1] Kwetsbaarheden in de MS 365 en Azure tenants vinden hun oorzaak in een stroeve operationele organisatie van het bedrijf, aanvallen van cybercriminelen of niet doorgevoerde verbeteringen in de IT-middelen (bijvoorbeeld beveiligingsupdates van computers).