Blog

10 vragen over beveiliging die u iedere provider zou moeten stellen

Elke provider kan u vertellen hoe zij de beveiliging van systemen en netwerken hebben ingericht. Maar misschien heb je wel extra vragen over de security hiervan of worden er onderwerpen die van toepassing zijn op jouw organisatie overgeslagen. Het is daarom aan te raden om een aantal extra vragen of onderwerpen over security voor te leggen aan uw provider. We geven je 10 vragen die u iedere provider moet stellen over beveiliging.

 

We hopen dat het voor u een mooi startpunt is als u een selectie doet voor een nieuwe hosting provider. Ongetwijfeld is het voor u ook waar dat er andere vragen relevant zijn voor uw dienstverlening en die u hieraan wilt toevoegen. Kijk dus bij de provider of deze vragen reeds beantwoord worden in hun beleid en andere stukken en stel de resterende vragen apart.

1. Welke security certificeringen hebben jullie?

Door het behalen van beveiligingscertificeringen toont een provider aan dat deze security serieus neemt en de vereiste maatregelen heeft genomen om dit in de praktijk te realiseren. Er zijn verschillende certificeringen (zoals ISO 27001, ISAE 3402 of PCI-DSS) die relevant kunnen zijn voor uw bedrijf. Vraag ook naar de verklaring van toepasselijkheid van de provider; die geeft namelijk onder meer de scope van de certificering aan, zodat u weet dat het certificaat ook van toepassing is op de dienst die u bij de provider afneemt. Als u zelf (of uw leveranciers of partners) mogelijk extra (tussentijdse) audits verlangen, kunt u ook bij de provider vragen hoe dat werkt.

2. Hoe zijn back-ups en disaster recovery ingericht?

De tweede security vraag gaat over back-ups en disaster recovery. Beschikken over een back-up is essentieel om dataverlies tegen te gaan. Vraag uw provider gerust hoe vaak er back-ups worden gemaakt, hoe lang de retentieperiode is, of back-ups versleuteld zijn en of ze op een fysiek andere plaats worden opgeslagen. De techniek kan ook van belang zijn; zijn het file-level back-ups of snapshots van hele servers. Vraag ook of het mogelijk is een afwijkend backup schema aan te houden dat is afgestemd op uw behoeften.

Naast het maken van de back-up zelf is het belangrijk om te weten hoe snel men deze kan terugzetten als dat nodig is. En stel nu dat er in het datacenter iets echt misgaat, hoe snel bent u dan weer up-en-running in een ander datacenter?

3. Hoe worden uw servers en diensten gemonitord?

U wilt het niet alleen weten als uw servers down zijn, maar ook de applicaties en services daarop. Welke dingen onderdelen worden door uw provider standaard voor u gemonitord en kunt u ook terecht voor specifieke wensen en controles? Verder is het natuurlijk van belangrijk hoe snel storingen kunnen worden gedetecteerd zodat erop kan worden ingegrepen. Wie krijgt de notificaties en via welk medium?

4. Wat doen jullie aan firewalling en filtering van dataverkeer?

De vierde beveiligingsvraag die u kan stellen aan uw provider heeft betrekking tot firewalling en filtering. Er zijn veel manieren om ongewenst bezoek buiten de deur te houden. Naast het gebruik van netwerksegmentatie en het gebruik van VLAN’s is een firewall wel een standaardmaatregel. Levert de provider ook geavanceerde (applicatie) firewalls en intelligente diensten zoals Intrusion Detection & Prevention of SIEM oplossingen (Security Information & Event Management). Als u meer bescherming wenst, kan de provider dat dan leveren?

5. Is er bescherming tegen DDOS aanvallen?

De DDoS aanval is een ongemeen populair middel van cybercriminelen en kan veel schade veroorzaken. Heeft uw provider hier voldoende bescherming tegen? Welke oplossing zet deze hiervoor in? Is dat een eigen, lokale oplossing of maakt men gebruik van partijen zoals CloudFlare of de Nationale Anti-DDoS Wasstraat (NaWas)?

6. Wie heeft er toegang tot mijn servers? En hoe?

Als u vragen over beveiliging stelt daar mag een vraag of toegang niet ontbreken. Dat uw website voor iedereen toegankelijk moet zijn, betekent zeer zeker niet dat dat geldt voor uw systemen zelf. Op welke manier en aan wie wordt er toegang verleend voor beheerswerkzaamheden? Is er een autorisatiematrix? Wordt toegang verder beperkt door bijvoorbeeld een VPN, access lists en/of persoonlijke sleutels? Op welke wijze worden wachtwoorden en persoonlijke sleutels verstrekt? Als er zaken fout gaan, bestaat er dan altijd een audit trail om te achterhalen wat er misgegaan is?

7. Hoe verzorgen jullie software updates en patches?

Verouderde software is vaak inherent onveilig. Vraag uw provider hoe men omgaat met de installatie van periodieke (beveiligings)updates aan het besturingssysteem. Hoe vaak en hoe snel wordt die geïnstalleerd? Specifieke software die speciaal voor u wordt geïnstalleerd; wordt die ook actief geüpdatet? Is er lokale antivirus en malware detectie?

8. Hoe is het juridisch gesteld met mijn data?

De volgende beveiligingsvraag gaat over wetgeving. Uw provider moet op de hoogte zijn van wet en regelgeving en dit ook implementeren. Wetgeving rondom privacy en bescherming van uw bedrijfsdata is onderhevig aan wetgeving. Het is belangrijk dat u weet onder welk (internationaal) recht uw data valt. U wilt dus weten waar uw data wordt opgeslagen, bijvoorbeeld in Nederlandse datacenters. Afspraken over en maatregelen ter bescherming van persoonsgegevens wilt u vastleggen in een verwerkersovereenkomst. Wellicht is het voor uw bedrijfsvoering zeer relevant om ook inzicht te krijgen in de subverwerkers die uw provider inzet voor hun dienstverlening. Stel dat derden (bedrijven of personen, maar ook de overheid) aanspraak doen op uw gegevens, wat is dan het beleid van de provider?

9. Hoe leggen jullie rechten en verantwoordelijkheden vast?

Het is belangrijk om goede afspraken te maken en deze vast te leggen zodat beide partijen weten wat ze aan elkaar hebben en wie waar voor verantwoordelijk is. Tot hoever neemt de provider de verantwoordelijkheid voor het correct functioneren van uw dienstverlening? Stopt dat bij de beschikbaarheid van de server, het besturingssysteem, aanwezige services of zelfs uw eigen applicaties? Deze afspraken worden over het algemeen vastgelegd in uw service level agreement of DAP (Document Afspraken en Procedures). Daarin worden ook de procedures beschreven waarin verdere afspraken gemaakt zijn over de bewaking en verantwoordelijkheid voor alle relevante processen.

10. Wat is het kennisniveau van de security officers en ander personeel?

De laatste vraag over beveiliging in dit rijtje gaat over het kennisniveau. Menselijke fouten zijn moeilijk technisch te voorkomen, maar de kans erop is aanzienlijk kleiner te maken door betrouwbaar en kundig personeel. Zorgt uw provider dat medewerkers goed worden getraind, gecontroleerd en permanent worden bijgeschoold?

Mist u nog vragen over beveiliging die u uw provider zou willen stellen?

Zoals gezegd: deze lijst is uiteraard niet compleet. Zijn er specifieke vragen die u altijd door uw provider beantwoord wilt zien? Vertel ons gerust jouw vragen over beveiliging, zodat wij kunnen nagaan of wij daar wel aan gedacht hebben.

Wil je op de hoogte blijven van de laatste ontwikkelingen op IT gebied. Meld je dan hier aan voor de nieuwsbrief.

Benieuwd naar de mogelijkheden? Let’s talk!

Cyso stories

24/05/2024

Mijn node crasht. Wat zou de oorzaak hiervan kunnen zijn?

Met deze blog hopen we je inzicht en handvatten te bieden om inzicht te krijgen in je knelpunten. We helpen je graag bij het verbeteren van je platform!
centralized loggin
06/10/2020

Vier Security voordelen van centralized logging

Door logfiles op een centrale locatie te verzamelen en regelmatig op problemen te controleren, wordt een basis gelegd voor security monitoring en forensische incidentrespons.
Cyber Security
05/10/2023

NIS2: wat is de impact voor je bedrijf en wat kun je nu al doen?

30% van alle webverkeer is kwaadaardig (!). Nieuwe NIS2-wetgeving vergroot de cyberbeveiliging en onze digitale weerbaarheid. Wat betekent dat voor jouw bedrijf?

Interesse in een van onze diensten?

Wat is je vraag? Neem nu contact met ons op.

Wil je dat wij contact met jou opnemen? Laat je gegevens achter en wij bellen je terug.

Cyso contact