Richtlijnen en waarschuwingen banken voor gebruik Cloud Computing

Voorafgegaan door een publicatie van het NIST “Guidelines on Security and Privacy in Public Cloud Computing” heeft het FFIEC hier een sausje overheen gegoten voor de bancaire sector. Dit komt niet zomaar uit de lucht vallen: niet alleen hebben banken te maken met risico’s rondom het omgaan met klant data, ook is de hele sector kwetsbaar voor (al dan niet frauduleuze) verstoringen in operationele systemen zoals bijvoorbeeld Internet bankieren.

Het is duidelijk dat een bank niet zomaar over een nacht ijs zal gaan alvorens een ‘outsourced cloud strategy’ te omarmen, immers het risico op bovengenoemde zaken wordt alleen maar groter. Maar toch is het een aantrekkelijke overweging om de kosten in de hand te houden.

Wat beveelt het FFIEC aan om te doen?
1. Due Diligence van de Cloud provider, ga eerst eens grondig onderzoeken of het bedrijfprofiel van de aanbieder overeenkomt met de doelstellingen van de bank. En dan met name ook, hoe er met data wordt omgegaan. Komt het niet overeen? Ga dan op zoek naar een ander.
2. Vendor Management – controleer de aanbieder zoveel mogelijk en op allerlei terreinen, met name ook op de bekendheid met financiële processen en wettelijke aansprakelijkheden. 3. Audit de procesbesturing, en ook hoe de service provider de controls heeft geïmplementeerd. Doe dit regelmatig en zie er op toe dat de audit staf hier goed op getraind is.
4. Informatiebeveiliging, en dan wel completer dan compleet. Versleutel alles. Houd een goede boekhouding bij van alle data sources. Wees er zelfs zeker van dat als data wordt weggegooid, dat het dan ook echt “weg” is.
5. Wettelijk kader. Idealiter zou er een soort “dashboard” moeten zijn om te zien hoe compliant een outsourced Cloud is. Overigens zijn hier diverse tools voor op de markt, waar het FFIEC geen uitspraak over doet.
6. Continuïteits planning. Ook dit moet gezien worden als een (security) risico. Zorg ervoor dat er plannen hiervoor zijn en test deze ook regelmatig.

Is dit nieuw?
Ja en nee. De meeste documenten van het FFIEC dateren van 200x. Wel zijn er ontwikkelingen binnen het (card) betalingsdomein – PCI/DSS. De meeste elementen hierboven genoemd vind je er in terug (voor wat betreft card data). Wat nieuw is, is het outsourcings aspect. Eigenlijk het overdragen van verantwoordelijkheden aan een derde partij zoals bijvoorbeeld een Datacenter (aan den lijve ondervonden in een project voor groep Zweedse banken).

Is dit van toepassing voor de Nederlandse bankensector?
Jazeker. In ieder geval zouden de huidige security policies herbezien moeten worden in het licht van de Cloud. Een goede analyse helpt hierbij en geeft inzicht in de dingen die nog moeten gebeuren.

Auteur: Jan van der Sluis, Manager IDentity Solutions bij Unisys.