Risico’s in geval van gebruik van IT Outsourcing diensten

Uit Nl Ikoula wiki
Versie door Woussen.alexis59c630e (overleg | bijdragen) op 15 dec 2020 om 10:15 (Nieuwe pagina aangemaakt met ' {{#seo: |title=Risico’s in geval van gebruik van IT Outsourcing diensten |title_mode=append |keywords=these,are,your,keywords |description=Ontdek in dit artikel...')
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Jump to navigation Jump to search

Risico’s in geval van gebruik van IT Outsourcing diensten

Uitbesteding brengt een aantal risico's met zich mee waarvan klanten zich bewust moeten zijn voordat ze hun toevlucht nemen tot uitbesteding.

Risico's in verband met het verlies van controle over zijn informatiesysteem

Een van de belangrijkste risico's waarmee een klant te maken kan krijgen, is het verlies van controle over zijn informatiesysteem.

Risico's in verband met uitbesteding

Om te reageren aan een aanbesteding kan een aanvrager zijn toevlucht nemen tot uitbesteding.

De dienstverlener moet alle veiligheidsgaranties bieden in het geval dat de opdrachtgever een beroep doet op deze vorm van onderaanneming die uitbesteding is.

Uitbesteding kan financiële en veiligheidsrisico's met zich meebrengen. Het is belangrijk dat de dienstverlener de veiligheid van zijn klant garandeert en de financiële risico's tot een minimum beperkt.

Risico's met betrekking tot de lokalisatie van gegevens

Niet alle uitbesteding managementsystemen maken het mogelijk om gehoste gegevens met zekerheid te lokaliseren. Dit is het geval bij hostingoplossingen zoals bijvoorbeeld de Cloud.

Deze oplossingen kunnen de risico's op schending van de vertrouwelijkheid van gegevens vergroten.

In het geval van uitbesteding moet het risico van openbaarmaking van belangrijke informatie worden onderzocht voordat beide partijen een beroep doen op deze informatie.

Een ongecontroleerde locatie van gegevens kan leiden tot de volgende risico’s:

- Moeilijkheden om te reageren op verschillende gerechtelijke bevelen om fiscale redenen

- Moeilijkheid om controle uit te oefenen op het personeel van de dienstverlener.

- Moeilijkheid om een veiligheidsaudit van de infrastructuur uit te voeren.

IKOULA host de data in twee datacenters die we in Frankrijk bezitten. Het bedrijf voldoet aan de Europese normen voor gegevensbescherming. Zo garanderen wij onze klanten de bescherming van de gegevens en de traceerbaarheid.

Risico's met betrekking tot persoonsgegevens

De overdracht van gegevens buiten de EU wordt geregeld door een Europese richtlijn en de wet van 6 januari 1978 met betrekking tot informatietechnologie, bestanden en vrijheden.

In het kader van deze bepalingen wordt daarom overeengekomen om na te gaan of de ontvanger van deze doorgifte als "voor de verwerking verantwoordelijke" of als "verwerker" optreedt.

IKOULA blijft tot uw dienst staan door middel van 4 niveaus van uitbesteding, afhankelijk van het type infrastructuur en de behoeften waaraan u voldoet, en treedt op als onderaannemer.

De CNIL heeft een onderscheid gemaakt tussen hun rollen:

- De verantwoordelijke voor de verwerking wordt gekenmerkt door zijn autonomie in het beheer en de uitvoering van een verwerking.

- De taak van de verwerker is het beheren van taken onder de verantwoordelijkheid en instructies van de controleur.

De verwerking van persoonsgegevens of de overdracht van persoonsgegevens door een verwerker of infomanager mag dus alleen worden uitgevoerd in opdracht van de verantwoordelijke voor de verwerking en op voorwaarde dat de verwerker een contract sluit waarin de beveiligings- en vertrouwelijkheidsmaatregelen zijn vastgelegd.

Dit contract moet ook door de partijen worden ondertekend.

Zo zijn bijvoorbeeld de hosters van gezondheidsgegevens onderworpen aan specifieke veiligheidsverplichtingen, net als de kredietinstellingen. Wettelijke verplichtingen moeten worden gerespecteerd in de uitbestedingsomgeving. Er moet ook voor worden gezorgd dat ze op de juiste manier worden uitgevoerd.

Risico's van interventies op afstand

De risico's zijn afhankelijk van de kenmerken van de gebruikte apparaten. Ze zijn ook afhankelijk van de context waarin ze worden uitgevoerd.

Zoals hierboven vermeld, biedt IKOULA echter 4 niveaus van uitbesteding aan, afhankelijk van het type infrastructuur en de behoeften die u tegenkomt.

Met deze 4 niveaus profiteert u van echte voordelen waarmee u uw IT-apparatuur met een gerust hart kunt toevertrouwen.

- Het Liberty-niveau biedt de klant ondersteuning aan en een garantie op de hardware.

- Prime niveau biedt bovendien aan het systeemtoezicht en een volledige veiligheidsaudit.

- Business niveau biedt op maat gemaakte procedures aan en supervisie- en back-up diensten.

- First niveau biedt een volledige uitbesteding van uw systeem aan (technisch beheer, advies, evolutie, beveiliging...).

Elk niveau biedt mogelijkheden aan klanten. Elk niveau brengt beperkte risico's met zich mee dankzij zijn kenmerken.

Met name dankzij de geboden garanties en het gebruik van erkende expertise.

Hieronder staan een aantal zwakke punten die vaak in verband worden gebracht met systemen voor onderhoud op afstand:

- De band met de buitenwereld is permanent gevestigd.

- Standaard wachtwoorden (wereldwijd bekend) of zwakke wachtwoorden.

- Het bestaan van gebreken in de toegangsinterfaces.

- De besturingssystemen van de apparaten worden niet up-to-date gehouden.

- Gebrek aan traceerbaarheid van de acties.

- Personeel dat verantwoordelijk is voor deze apparaten is niet op de hoogte van veiligheidskwesties of is slecht opgeleid.

- Interconnectie van vertrouwde veilige systemen met low-level systemen (bijv. internet).

De exploitatie van kwetsbaarheden op een apparaat voor onderhoud op afstand zal waarschijnlijk de inbraak in het informatiesysteem vergemakkelijken en zo de veiligheid van de hele IS beïnvloeden.

De belangrijkste risico's met betrekking tot apparaten die bestemd zijn voor interventies op afstand zijn:

- Inbraak in het informatiesysteem door een onbevoegd persoon (gebruik van een zwak wachtwoord, een maas in de wet of een achterdeur) met min of meer ernstige gevolgen, afhankelijk van de motivatie van de aanvaller en zijn vermogen om niet gedetecteerd te worden, inclusief:

• Het onbeschikbaarheid van apparatuur die kan leiden tot het onbeschikbaarheid van het informatiesysteem.

• En een aanval op de vertrouwelijkheid of integriteit van de gegevens die op het informatiesysteem aanwezig zijn.


- Het misbruiken van de rechten van een technicus van een ondersteuningscentrum tijdens een interventie:

• Wat kan leiden tot toegang tot vertrouwelijke gegevens of het massaal downloaden van de laatstgenoemde.

• En de wijziging van gegevens op het informatiesysteem, eventueel zonder sporen na te laten (afwezigheid van traceerbaarheidsfunctie of mogelijkheid om achteraf sporen te wissen).

Risico's met betrekking tot shared hosting

- Verlies van beschikbaarheid

• Een ontkenning of serviceaanval zorgt er meestal voor dat de server die het doelwit van de aanval host niet beschikbaar is. Wanneer meerdere diensten op dezelfde server worden gehost, kunnen diensten die niet gericht waren indirect worden beïnvloed.

- Verlies van integriteit

• Als een van de websites het doelwit wordt van een aanval zoals (informatiediefstal, websitedefacement, rebound-aanvallen), kan de uitvoering van de code invloed hebben op alle diensten.

- Verlies van vertrouwelijkheid

• Wanneer diensten dezelfde fysieke omgeving delen, kan dit leiden tot een cross-over van informatie. In een ongecontroleerde omgeving nemen de risico's waaraan een mede-gastheer wordt blootgesteld toe.

Gevolgtrekking

Concluderend, het gebruik van uitbesteding brengt bepaalde risico's met zich mee waarvan de klant zich bewust moet zijn voordat hij overgaat.

Desalniettemin heeft outsourcing veel voordelen die bedrijven helpen.

Overgenomen van "https://nl-wiki.ikoula.com/index.php?title=Risico’s_in_geval_van_gebruik_van_IT_Outsourcing_diensten&oldid=11985"