Optimale datacontinuïteit en beveiliging met de soevereine Cloud van Fundaments

In de vorige artikelen in deze blogreeks hebben we gesproken over toenemende datavolumes, de uitdagingen om die data goed te beschermen en het belang van het nadenken over de verschillende Cloud-routes. In dit artikel staan we stil bij één van deze Cloud-routes: de soevereine Cloud. Wat is dit precies? Wat maakt het soeverein? Aan de hand van het Sovereign Cloud Framework doorlopen we de eigenschappen van deze specifieke Cloud-route in dit artikel.

Fundaments heeft in 2022 als eerste Cloud Service Provider de VMware Sovereign Cloud status behaald. Met deze status laten we zien dat Fundaments de soevereiniteit van de Cloud naar een hoger niveau tilt. Dit betekent dat we ons inzetten om gegevensbescherming en compliance te waarborgen, terwijl we rekening houden met nationale wet- en regelgeving en daarnaast alle gegevens in de Cloud beschermen tegen de toenemende digitale dreigingen. Dit doen we door continu te streven naar verbetering op de controle van de locatie waar data landt.

Wat is de soevereine Cloud van Fundaments?

Met onze soevereine Fundaments Cloud bieden we onze partners het meest veilige en betrouwbare Cloud-fundament. Kijkende naar de Fundaments Cloud kunnen we deze onafhankelijk opereren en hebben we alles van A tot Z in control: van mens tot proces en techniek. Dit begint bij hoe we een datacenter inrichten, tot aan hoe we de continuïteit van organisaties borgen met de keuzes voor hardware, software en de inrichting daarvan. Daarnaast zorgen we dat we het dagelijkse beheer naar het hoogste niveau tillen met onze kundige collega’s. Hoe de Cloud geconsumeerd wordt, moet dus door de hele keten heen duidelijk zijn en hier zijn we ontzettend kritisch op. Hierin is continuïteit het sleutelwoord: bedrijfskritische applicaties moeten altijd, zonder onderbrekingen, kunnen blijven draaien. Zo zijn onze datacenters geografisch gescheiden en maken we enkel gebruik van Nederlandse datacenters. Daarnaast voldoen wij als organisatie en onze datacenters aan de juiste certificeringen met betrekking tot informatiebeveiliging en continuïteit.

De voordelen van de soevereine Cloud van Fundaments zijn:

• De soevereine Cloud van Fundaments beschermt kritieke gegevens tegen cyberaanvallen en toegang van buitenaf;
• Gegevens staan op Nederlandse bodem en worden volledig beheerd door de hele keten: van datalocatie, hardware tot ieder proces voor beheer en beveiliging;
• Naleving van veranderende lokale regelgeving.

‍

Sovereign Cloud Framework

Door middel van het Sovereign Cloud Framework brengen wij onze partners de meest optimale datacontinuïteit en beveiliging. In dit framework zitten, zoals hieronder afgebeeld, een aantal stappen die we inzetten om data op de beste plek te laten landen, in de juiste Cloud en met de juiste maatregelen om te zorgen voor beschikbaarheid en continuïteit.

‍

Stap 1: in deze eerste stap kijken we of we onze klant snappen en leggen we de focus op het gevraagde specialisme. Hebben wij de expertise daarvoor in huis? Veel organisaties bevinden zich in een bepaald marktsegment. Voor Fundaments geldt dat de organisatie die we helpen wensen en eisen heeft, die wij met onze oplossingen kunnen invullen. Kijk naar een bedrijf als TriOpSys, zij bouwen en beheren Mission Critical IT-systemen voor onder andere de overheid. Denk hierbij aan meldkamers en verkeerscentrales. Deze systemen mogen nooit uitvallen, want dit zou grote economische schade of zelfs menselijk leed kunnen veroorzaken.
Rob Timman, Algemeen Directeur van TriOpSys, zegt het volgende over de samenwerking met Fundaments: “Het snel reageren, het snappen dat het om essentiële systemen gaat, het bieden van hoge kwaliteit: dat zijn voor ons essentiële zaken en dat biedt Fundaments. Dat doen ze echt heel goed.

Stap 2: vervolgens voeren we een gesprek met de Data Officer, Security Officer en CISO. Volgens welke beleidsregels wordt er gewerkt en welke partijen zijn er betrokken in het beheer van applicaties? Door het in kaart brengen van de totale governance aan de klantzijde, kan Fundaments met haar eigen beheerorganisatie volledig instaan voor de verwerking van data die op een platform landt. Mocht dit deels niet kunnen, dan is het duidelijk maken van de demarcatie op verantwoordelijkheden en risico’s ook onderdeel van deze stap.‍

Stap 3: in deze derde stap is het belangrijk dat er bekeken wordt welke data er allemaal is en hoe die geclassificeerd wordt. Denk hierbij aan classificaties als ‘publiek’, ‘intern’, ‘vertrouwelijk’ of ‘geheim’. Maar daarnaast kan ook een classificatie gedaan worden op de impact voor de bedrijfsprocessen: wanneer data niet beschikbaar is, wat is dan de impact voor een organisatie? Maar ook: wat betekent het als data in verkeerde handen komt? Al deze eigenschappen worden in deze stap geïdentificeerd.

‍Stap 4: vanuit de dataclassificatie in de voorgaande stap en vooral ook vanuit de beleidsregels over het beheer van data, wordt in deze vierde stap een analyse gedaan op waar data mag worden opgeslagen en verwerkt.

‍Stap 5: naast het opslaan en weten welke waarde data heeft vanuit de classificatie is het van belangrijk om te weten wie en hoe data verwerkt wordt. Wie is de exacte beheerorganisatie die de data beschermt en zorgt dat deze beschikbaar is? Welke personen werken met de data en welke processen zorgen voor het borgen van een juiste verwerking? Door de organisatie voor beheer vast te stellen en ook te bepalen binnen welke jurisdictie de organisatie opereert, kan een risicoprofiel worden vastgesteld.

‍Stap 6: in deze stap wordt gekeken hoe de continue naleving wordt geborgd. Het beschermen en beschikbaar houden van data is een continu proces dat steeds in een deming cycle aandacht moet krijgen. In veel certificeringen is dit geborgd. Voor Fundaments betekent dit dat dit vanuit onder andere onze ISAE3402 type I en II verklaringen in een verslag over onze procesverbeteringen inzichtelijk wordt gemaakt. Maar ook beleid op innovatie, research op productbeveiliging en het verbeteren van kennis door trainingen van medewerkers vallen onder dit onderdeel van het framework.

‍Stap 7: vanuit alle voorgaande stappen blijkt welke Cloud er gekozen kan worden. Voor publieke data kan een hyperscaler uitkomst bieden, maar voor overheidsapplicaties moet door de gehele keten duidelijk worden waar data gehost is en wie deze verwerkt. Daarnaast kunnen ook technische eisen hierin een rol spelen; denk aan de fysieke afstand tussen gebruiker en verwerking van zijn of haar data. Fundaments kijkt daarbij ook zeker naar de portabiliteit van data tussen de Clouds, zeker wanneer een exit-strategie zeer expliciet gewenst is, wordt juist de migratie van en naar een Cloud uitgebreid bekeken.

‍Stap 8: in de groei en afhankelijkheid van data, is het beschermen en beschikbaar houden een eis, maar ook de set van applicaties en het onderliggende platform zijn continu in beweging. Meegaan met ontwikkelingen is een belangrijk onderdeel, juist omdat heel vaak ook beveiligingsmethoden in deze ontwikkeling steeds diverser en sterker worden. Het gekozen Cloud-platform dient hierin ook te kunnen faciliteren."Tegenwoordig is online beschikbaar maken en beschermen van data het centrale vraagstuk, Cloud is daarin een middel en niet meer het doel."‍Larik-Jan Verschuren - CTO bij Fundaments.

‍

Door het doorlopen van het framework worden alle relevante zaken voor uw data in kaart gebracht. Met het soevereine Cloud-platform van Fundaments kunt u alle ingrediënten vinden om de juiste keuzes te maken. Daarnaast zorgen de Cloud Experts van Fundaments voor een solide, goed beargumenteerde strategie voor uw bedrijfskritische data.

‍

‍

‍