SaaS-provider bij hack nauwelijks aanspreekbaar
Afnemers van clouddiensten zijn niet tevreden over de beveiliging van hun gegevens. Dat geldt met name waar het om cloud-applicaties ('SaaS') gaat. Dat constateert Gartner. De IT-marktonderzoeker stelt vast dat providers vaak nogal halfslachtige voorwaarden hanteren wat betreft het de handhaving van de vertrouwelijkheid van gegevens, de integriteit van de data en de mogelijkheden van dataherstel na calamiteiten. Afnemers storen zich daaraan.
Shutterstock
Shutterstock
Onder meer omdat het hun positie bemoeilijkt als toezichthouders vragen hebben over het risicobeheer.
Jaarlijkse audit is wel het minimum
Volgens analist Alexa Bona van Gartner zouden SaaS-providers ten minste jaarlijkse audits door onafhankelijke deskundigen mogelijk moeten maken, met daaraan verbonden het recht om de overeenkomst op te zeggen als er duidelijke gebreken of fouten in de beveiliging aan het licht komen. Een online inbraak of datadiefstal zou al helemaal als een onbetwistbare grond voor ontbinding van de SaaS-overeenkomst moeten gelden.
Gartner ziet in die situatie niet snel verbetering optreden en zegt te verwachten dat volgend jaar nog altijd zo'n 80 procent van de IT-inkopers negatief zal zijn over de garanties die SaaS-providers hen voorhouden.
Standaard moet nog ontstaan
Ook verbaast het Bona dat veel providers niet alle informatie beschikbaar stellen die kopers nodig zouden hebben als ze hun keuze voor een aanbieder zouden willen baseren op een evaluatie aan de hand van de Cloud Controls Matrix (CCM). Dat is een door de Cloud Security Alliance (CSA) opgestelde spreadsheet waarin leden van de CSA de door hen relevant bevonden controle-aspecten in kaart brengen. Bona zegt er overigens wel vertrouwen in te hebben dat deze CCM op termijn tot een standaard kan uitgroeien doordat meer IT-inkopers hem zullen hanteren en providers er zodoende steeds minder omheen zullen kunnen.
Boetes die wat voorstellen
De bepalingen die bij SaaS-providers voor service-level-garanties (SLA's) door moeten gaan, zijn bij nadere lezing fors onder de maat, stelt Bona vast. "Hoe je zo'n SLA verwoordt doet er niet toe, maar IT-inkopers moeten er op kunnen rekenen dat hun gegevens worden gevrijwaard van aanvallen, dat hun bestanden na een calamiteit kunnen worden hersteld en dat de garanties daarvoor in het contract zijn terug te vinden. (..) We raden aan dat ook reactie- en hersteltijden en de concrete maatregelen rond data-integriteit worden vermeld, samen met boetes die iets voorstellen indien die doelen niet worden gehaald."
Maar vooralsnog is er geen consensus over wat in de cloud als data-bescherming mag gelden en hoe dat contractueel kan worden vastgelegd. SaaS-providers grijpen die situatie aan om zichzelf zo min mogelijk op wat dan ook vast te leggen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee