Compliance in de cloud: een wereld vol uitdagingen voor de financiële sector

Overstappen naar de cloud: het klinkt tegenwoordig als de gewoonste zaak van de wereld, maar afscheid nemen van uw eigen datacenter en vertrouwen op systemen van derden brengt heel wat hoofdbrekens met zich mee. Voor organisaties die in de financiële sector werkzaam zijn, zijn er nog net wat meer uitdagingen. Hoe gaat uw organisatie voldoen aan alle regels die toezichthouders en overheden stellen? Hoe bewijst u dat uw organisatie compliant is? Met welk deel van de IT gaat u naar de cloud? En is de organisatie goed genoeg voorbereid? Een eerste tip: het is een flinke lijst met complexe vraagstukken. Probeer vooral zelf het wiel niet uit te vinden.

In control

Bij een cloudtransitie, ontkomt u niet aan de meest essentiële vraag: is mijn data wel veilig? Dat uw organisatie secuur met gegevens omgaat, moet u kunnen bewijzen. Of u uw gegevens nou opslaat op eigen servers of in de cloud. Onder de streep betekent compliant zijn dat u wet- en regelgeving naleeft, zowel regels van externe partijen als interne bedrijfsafspraken. Vooral in de financiële sector gaat het om gevoelige gegevens. Denk dan aan bank- en in sommige gevallen zelfs gezondheidsgegevens, zoals bij verzekeringen of hypotheken. Daar moet u extreem voorzichtig mee zijn.

Organisaties in de financiële sector moeten aan allerlei verplichtingen voldoen. Denk aan wetten van de overheid en regels van de AFM, De Nederlandsche Bank en andere toezichthouders. Uw organisatie moet verklaringen kunnen afleggen van compliancy, denk bijvoorbeeld aan ISAE 3402 type 2 en SOC 2. Of voldoen aan wetgeving zoals de AVG of Schrems 2, dat uitspraken doet over waar u, geografisch gezien, data van EU-ingezetenen al dan niet mag onderbrengen. Om echt compliant te zijn moet u aantonen dat u voor alle problemen een oplossing hebt en dat uw organisatie in control is.

Veiligheid in de cloud

Een transitie naar de cloud is een lange reeks hordes die u moet nemen. Vooral op het gebied van veiligheid liggen er uitdagingen. Om te beginnen moet u de toegang beperken voor iedereen die er niets te zoeken heeft. Waar minder vaak aan gedacht wordt, is dat bestanden niet alleen onleesbaar moeten zijn voor derden zijn als ze onderweg zijn naar de cloud (encryptie “in transit”), maar ook als ze op de bestemming zijn (encryptie “at rest”). Is de standaard hardeschijfversleuteling van de clouddienst voldoende? Of heeft de systeembeheerder daar dan ook de sleutel van en kan er alsnog worden meegelezen?

Als u naar de cloud verhuist, zet u simpel gezegd spullen van uw organisatie op een computer van een ander. De risico’s daarvan moeten duidelijk zijn. Hoe borgt u bijvoorbeeld dat u toegang blijft houden? Hoe kan uw business draaien als het datacenter het even niet doet? Daar moet u van tevoren goed over nadenken en protocollen voor maken.

Zo kunt u overwegen om gebruik te maken van meerdere datacenters. Is er in één van de twee datacenters iets aan de hand, dan merkt uw organisatie daar niet veel van in processen. Mits u alles goed heeft ingericht. Maar, staan deze datacenters in verschillende landen, mag dat dan wel van nationale of Europese wetgeving? En kan een buitenlandse overheid op basis van haar wetten dan daar zomaar toegang claimen tot uw bedrijfsgegevens?

Business weer laten draaien

Zeker voor bedrijven in de financiële sector is het in de periode voor een livegang essentieel om alle risico’s die er zijn in kaart te brengen. Hoe snel moet u uw business weer draaiende hebben als er zich een ramp voordoet? Stel dat dat binnen acht uur moet kunnen, dan heeft u even de tijd en hoeft u niet per se twee systemen naast elkaar live te hebben. Maar heeft u de verplichting opgelegd gekregen van een van de toezichthouders of een belanghebbende, om binnen een minuut weer live te zijn, dan moet u wél zorgen dat alles wat belangrijk is stand-by staat. Stel dat u als bank geen geld meer kan overschrijven, omdat het datacenter het tijdelijk niet doet, dan raakt dat de hele sector, en misschien zelfs de hele maatschappij. Dat mag dus nooit gebeuren.

Voor de klantengroep van Info Support zijn er twee grote cloudaanbieders: Amazon en Microsoft met hun Azure-platform. Daarnaast maakt een steeds grotere groep klanten gebruik van de Info Support-cloudomgeving, die in onze eigen datacenters draait. Info Support snapt die systemen als geen ander en weet weet hoe security-officers of de risk- & compliance-officers van een bedrijf kunnen aantonen dat ze compliant zijn. Bij dat laatste ligt een grote uitdaging. U moet als organisatie namelijk zelf laten zien dat u compliant bent. Dat doet u door – naast verklaringen aan te leveren – bewijzen te verzamelen.

Bij het inregelen van een nieuw systeem raadt Info Support klanten aan om er een pentest op los te laten door een extern beveiligingsbureau. Schiet maar een gat in de verdediging. Vervolgens kan het Security Operations Center (SoC) van de klant zelf, als het live staat, monitoren op security-incidenten, of dat overlaten aan Info Support dat ook SoC-diensten levert.

Transitieplan

Uit bovenstaande blijkt dat migreren naar de cloud en de bijbehorende transitie veel aandacht verdient. Een goede tip: neem de tijd om een gedegen transitieplan te maken. Zoek een partij die op de hoogte is van alle eisen en regels waar u aan moet voldoen. Laat iemand adviseren over wat er wel en niet naar de cloud kan. Ga pas live als er een kant-en-klaar draaiboek ligt waarbij ook het omschakelmoment tot in detail in kaart is gebracht.

Bij een dergelijke transitie hoort mogelijk ook een migratie van applicaties. Afhankelijk van het gekozen scenario ‘cloud native’, ‘lift & shift’ of ‘hybride” zijn vaak nog aanpassingen aan applicaties nodig. Daarvoor heeft Info Support ook een aantal publicaties beschikbaar via haar website.

Het omschakelmoment verdient sowieso extra aandacht. Dan zijn er namelijk applicaties al naar de cloud verhuisd, maar die moeten soms nog wel verbinden met applicaties die nog op een server in het eigen datacenter staan. Dat wil wel eens misgaan als de netwerken en firewalls niet goed ingeregeld zijn. Dan zal toegang worden geweigerd. Om dat werkend te krijgen moeten niet tijdelijk alle poorten opengezet worden, maar moet u terug naar de tekentafel gaan. U maakt uw organisatie anders dus enorm kwetsbaar. Een dergelijke vertraging is doorgaans kostbaar, wat dus te voorkomen is met een gedegen infrastructuurontwerp en transitieplan.

Kosten

Valkuilen, gevaren en potentiële problemen zijn er dus genoeg. Waarom zou een organisatie een overstap nog wagen? De voordelen zijn groot. Een eigen serverpark beveiligen en compliant krijgen – en houden – kost óók de nodige effort. Werken in de cloud is snel en praktisch. U schaalt makelijk capaciteit op of af. U kunt gebruikmaken van geografische risicospreiding door data op verschillende locaties op te slaan. Dat gaat allemaal veel eenvoudiger dan wanneer u zelf servers in beheer hebt.

Qua kosten valt er zeker wat te winnen. U betaalt namelijk voor de capaciteit die u nodig heeft. Dat is logisch, maar u hoeft niet 24 uur per dag te betalen voor alle diensten die u afneemt. Dat kan ook een valkuil zijn. Neem een acceptatie-testomgeving, die draait meestal alleen tijdens kantooruren. Het is zonde om daar een hele dag voor te betalen. Daar moet u als afnemer wel aan denken. Degene die ’s avonds het licht uit doet, moet ook de servercapaciteit uitzetten. Tenminste, als het resources zijn die afgerekend worden per tijdseenheid. Er zijn bijvoorbeeld ook clouddiensten die afgerekend worden op basis van het aantal keer dat ze worden aangesproken. Dus, of dit relevant is en of dit wel zomaar kan, is afhankelijk van het doel dat uw organisatie heeft met de transitie naar de cloud.

Het zijn vraagstukken waar Info Support graag hun tanden inzet. Als een bedrijf het zelf wil doen, dan kan dat ook, maar moet u wel keer op keer op zoek naar een oplossing voor een probleem dat waarschijnlijk al een aantal keer getackeld is door anderen. Probeer dus niet het wiel opnieuw uit te vinden.

De drie grootste valkuilen volgens Peter Jansen, Consultant bij Info Support

Peter Jansen is consultant bij Info Support en begeleidt regelmatig transities voor bedrijven in de financiële sector. Hij weet als geen ander waar de moeilijkheden liggen bij compliance in de cloud.

 

1. Zelf wetten van de overheid vertalen naar beleid
“Dat je moet voldoen aan wetten en regels, is volkomen logisch. Waar de moeilijkheid in zit? Het is complexe materie, want je moet de eisen van een toezichthouder zelf vertalen naar beleid. Dat zijn de vraagstukken die wij als Info Support vaak van onze klanten krijgen. Denk aan vragen als: ‘Is uitwijk geregeld?’, ‘Hoe gaan we om met de bedrijfsvoering bij een outage?’, ‘Wat doe ik als ik niet meer bij mijn data kan?’”

2. Het schort aan een goede voorbereiding
“Er wordt nog wel eens te licht gedacht over een overstap naar de cloud en aan compliant zijn. Het is niet zo eenvoudig als dat sommige bedrijven denken. Je kunt de server aanzetten, een applicatie uitrollen en dan kijken of het werkt. Dankzij interne audits en eisen van toezichthouders gebeurt dat niet zo vaak meer, maar nog altijd komen we bedrijven tegen die ons later in de transitie pas om hulp vragen. Dan blijkt dat er nog zaken zijn waar niet aan gedacht is. Dat kan van alles zijn: van beveiligingsissues, geen goede inrichting van virtuele cloudnetwerken, tot geen goede back-up. Daarnaast staat een server aanzetten en een applicatie uitrollen, zoals je dit ook on-premises deed (lift & shift), niet gelijk aan overstappen op een cloud native-architectuur, waarbij je echt voordeel gaat halen uit alle mogelijkheden die de cloud biedt. Afhankelijk van de situatie kan dit overigens wel een heel valide eerste stap zijn.”

3. Je authenticatie en autorisatie op orde hebben
“Identity & Access Management (IAM), zeg maar authenticatie en autorisatie kan een technisch complex, veelkoppig monster zijn voor bedrijven die naar de cloud verhuizen. Een simpel voorbeeld: hoe log je met een werkaccount in op de nieuwe locatie? Dat ging altijd goed bij een applicatie die op een server in je eigen datacenter stond, maar kan dat nog steeds als het gemigreerd is? Aan dergelijke mechanismes moet je vaak nog het een en ander sleutelen. Kan je oude applicatie wel omgaan met andere inlog methodes die je in de cloud moet gebruiken, moet je accounts migreren of synchroniseren?”