Insights, technology, people and more

Altijd up-to-date met onze laatste artikelen.

@
10 vragen die u iedere provider zou moeten stellen over beveiliging

10 vragen die u iedere provider zou moeten stellen over beveiliging

16 August 2018 door in Hosting Security

Elke provider heeft natuurlijk een verhaal paraat over hoe het de beveiliging van systemen en netwerken heeft ingericht. Dit is natuurlijk belangrijk, maar het beantwoordt mogelijkerwijs niet alle zaken die u als klant zou willen en misschien worden er wel belangrijke onderwerpen overgeslagen. Het kan daarom in het geheel geen kwaad om zelf ook een lijst van onderwerpen of vragen te hebben om voor te leggen aan uw provider.

Hieronder noemen wij er 10. We hopen dat het voor u een mooi startpunt is als u een selectie doet voor een nieuwe hosting provider. Ongetwijfeld is het voor u ook waar dat er andere vragen relevant zijn voor uw dienstverlening en die u hieraan wilt toevoegen. Kijk dus bij de provider of deze vragen reeds beantwoord worden in hun beleid en andere stukken en stel de resterende vragen apart.

1. Welke security certificeringen hebben jullie?

Door het behalen van beveiligingscertificeringen toont een provider aan dat deze security serieus neemt en de vereiste maatregelen heeft genomen om dit te kunnen borgen. Er zijn verschillende certificeringen (zoals ISO 27001, ISEA3402 of PCI-DSS) die relevant kunnen zijn voor uw bedrijf. Vraag ook naar de verklaring van toepasselijkheid van de provider; die geeft namelijk onder meer de scope van de certificering aan, zodat u weet dat het certificaat ook van toepassing is op de dienst die u bij de provider afneemt. Als u zelf (of uw leveranciers of partners) mogelijk extra (tussentijdse) audits verlangen, kunt u ook bij de provider vragen hoe dat werkt.

2. Hoe zijn back-ups en disaster recovery ingericht?

Beschikken over een back-up is essentieel om dataverlies tegen te gaan. Vraag uw provider gerust hoe vaak er back-ups worden gemaakt, hoe lang de retentieperiode is, of back-ups versleuteld zijn en of ze op een fysiek andere plaats worden opgeslagen. De techniek kan ook van belang zijn; zijn het file-level back-ups of snapshots van hele servers. Vraag ook of het mogelijk is een afwijkend backup schema aan te houden dat is afgestemd op uw behoeften.

Naast het maken van de back-up zelf is het belangrijk om te weten hoe snel men deze kan terugzetten als dat nodig is. En stel nu dat er in het datacenter iets echt misgaat, hoe snel bent u dan weer up-en-running in een ander datacenter?

3. Hoe worden uw servers en diensten gemonitord?

U wilt het niet alleen weten als uw servers down zijn, maar ook de applicaties en services daarop. Welke dingen onderdelen worden door uw provider standaard voor u gemonitord en kunt u ook terecht voor specifieke wensen en controles? Verder is het natuurlijk van belangrijk hoe snel storingen kunnen worden gedetecteerd zodat erop kan worden ingegrepen. Wie krijgt de notificaties en via welk medium?

4. Wat doen jullie aan firewalling en filtering van dataverkeer?

Er zijn veel manieren om ongewenst bezoek buiten de deur te houden. Naast het gebruik van netwerksegmentatie en het gebruik van VLAN’s is een firewall wel een standaardmaatregel. Levert de provider ook geavanceerde (applicatie) firewalls en intelligente diensten zoals Intrusion Detection & Prevention of SIEM oplossingen (Security Information & Event Management). Als u meer bescherming wenst, kan de provider dat dan leveren?

5. Is er bescherming tegen DDoS aanvallen?

De DDoS aanval is een ongemeen populair middel van cybercriminelen en kan veel schade veroorzaken. Heeft uw provider hier voldoende bescherming tegen? Welke oplossing zet deze hiervoor in? Is dat een eigen, lokale oplossing of maakt men gebruik van partijen zoals CloudFlare of de Nationale Anti-DDoS Wasstraat (NaWas)?

6. Wie heeft er toegang tot mijn servers? En hoe?

Dat uw website voor iedereen toegankelijk moet zijn, betekent zeer zeker niet dat dat geldt voor uw systemen zelf. Op welke manier en aan wie wordt er toegang verleend voor beheerswerkzaamheden? Is er een autorisatiematrix? Wordt toegang verder beperkt door bijvoorbeeld een VPN, access lists en/of persoonlijke sleutels? Op welke wijze worden wachtwoorden en persoonlijke sleutels verstrekt? Als er zaken fout gaan, bestaat er dan altijd een audit trail om te achterhalen wat er misgegaan is?

7. Hoe verzorgen jullie software updates en patches?

Verouderde software is vaak inherent onveilig. Vraag uw provider hoe men omgaat met de installatie van periodieke (beveiligings)updatesƒ aan het besturingssysteem. Hoe vaak en hoe snel wordt die geïnstalleerd? Specifieke software die speciaal voor u wordt geïnstalleerd; wordt die ook actief geüpdatet? Is er lokale antivirus en malware detectie?

8. Hoe is het juridisch gesteld met mijn data?

Wetgeving rondom privacy en bescherming van uw bedrijfsdata is onderhevig aan wetgeving. Het is belangrijk dat u weet onder welk (internationaal) recht uw data valt. U wilt dus weten waar uw data wordt opgeslagen, bijvoorbeeld in Nederlandse datacenters. Afspraken over en maatregelen ter bescherming van persoonsgegevens wilt u vastleggen in een verwerkersovereenkomst. Wellicht is het voor uw bedrijfsvoering zeer relevant om ook inzicht te krijgen in de subverwerkers die uw provider inzet voor hun dienstverlening. Stel dat derden (bedrijven of personen, maar ook de overheid) aanspraak doen op uw gegevens, wat is dan het beleid van de provider?

9. Hoe leggen jullie rechten en verantwoordelijkheden vast?

Het is belangrijk om goede afspraken te maken en deze vast te leggen zodat beide partijen weten wat ze aan elkaar hebben en wie waar voor verantwoordelijk is. Tot hoever neemt de provider de verantwoordelijkheid voor het correct functioneren van uw dienstverlening? Stopt dat bij de beschikbaarheid van de server, het besturingssysteem, aanwezige services of zelfs uw eigen applicaties? Deze afspraken worden over het algemeen vastgelegd in uw service level agreement of DAP (Document Afspraken en Procedures). Daarin worden ook de procedures beschreven waarin verdere afspraken gemaakt zijn over de bewaking en verantwoordelijkheid voor alle relevante processen.

10. Wat is het kennisniveau van de security officers en ander personeel?

Menselijke fouten zijn moeilijk technisch te voorkomen, maar de kans erop is aanzienlijk kleiner te maken door betrouwbaar en kundig personeel. Zorgt uw provider dat medewerkers goed worden getraind, gecontroleerd en permanent worden bijgeschoold?

Mist u vragen?

Zoals gezegd: deze lijst is uiteraard niet compleet. Zijn er specifieke vragen die u altijd door uw provider beantwoord wilt zien? Laat het ons gerust weten, zodat wij kunnen nagaan of wij daar wel aan gedacht hebben.


Altijd up-to-date met onze laatste artikelen.

@

Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider