Nieuwe versie CloudControls - Nederlands Raamwerk Beschikbaar

General

CloudVPS gelooft dat cloud assurance en certificering enorm belangrijk zijn om serieuze partijen comfortabel te maken met cloud-gebaseerde oplossingen. Daarom hebben wij een een leidende rol in het CloudControls project genomen. De CloudControls zijn een serie maatregelen die door een cloud-provider geïmplementeerd kunnen worden om cloud-specifieke risico's te beheersen. De controls zijn gebaseerd op een uitgebreide lijs met cloud-gerelateerde risico's die wij samen met KPMG in 2012 hebben gedefineeerd. Het raamwerk bevat ook een lijst met vragen die een cloud-afnemer aan een (mogelijke) provider zou moeten vragen.

Wij hebben zelf versie 2.0 van de CloudControls geïmplementeerd die in september 2012 beschikbaar is gekomen. In januari 2013 hebben wij de audit van de CloudControls succesvol afgerond. Deze audit heeft samen met de audit voor de ISO 27002 / NEN 7510 plaatsgevonden. Versie 3.0 van de controls is nu beschikbaar en deze zullen we vanaf nu gebruiken. De CloudControls zijn ook vertaald naar het Nederlands. U kunt u de Nederlandse versie van de cloud risico's, vragen voor cloud providers en de controls nu downloaden.

Toepassing van CloudControls

Het doel van de CloudControls is om de cloud gerelateerde risico's gerelateerd aan het outsourcen naar een Infrastructure as a Service (IaaS) af te dekken. Dit betekent dat de controls aannemen dat de klant verantwoordelijkheid neemt voor de software configuratie van de cloud omgevingen en voor de verbinding naar de cloud. Hiernaast worden de interne beveiligings procedures en beschikbaarheids verhogende maatregelen van de cloud provider niet beschouwd als cloud specifieke risico's omdat deze risico's ook binnen een in-house IT organaisatie voorkomen. Een gebrek aan informatie over de beveiliginsprocedures en de status van de infrastructuur wordt daarintegen wel als cloud specifiek risico beschouwd.

De controls zijn gebaseerd op een uitgebreide lijst van 61 cloud gerelateerde risico's. De CloudControls zijn de maatregelen die nodig zijn om deze risico's te beheersen. Deze maatregelen bestaan uit 39 controls die gerelateerd zijn aan outsourcing-risico's en 5 controls voor multi-tenancy-gerelateerde risico's.

Volgende stappen

Wij zullen doorgaan met het verder verbeteren van de CloudControls en ook meer partijen uitnodigen om de controls te gaan gebruiken. Wij zullen de CloudControls ook inbrengen bij relevante ontwikkelingen op het gebied van cloud assurance. Zo zullen wij ze als input gebruiken voor het werk dat wij met de NEN commissie voor Distributed Application Platforms and Services doen. Deze Nederlandse commissie maakt onderdeel uit van de inspanningen die de International Organization for Standardization (ISO) nu op het gebied van cloud-standardisatie aan het maken is. Binnenkort verwachten wij hier meer over te berichten.

Nederlandse versie CloudControl Framework: download
Engelse versie CloudControl Framework: download