Ervaringen NCSC met (public) cloud gebruik

Het NCSC ondersteunt en adviseert organisaties in Nederland bij het vergroten van hun digitale weerbaarheid. Eén van de technische uitdagingen waar organisaties op dit moment mee te maken hebben vormt de adoptie van (publieke) clouddiensten. De inzet daarvan heeft namelijk aanzienlijk gevolgen voor hun security- en procesarchitectuur, het benodigde kennisniveau in de organisatie en het eigen technisch landschap.

Net als de meeste andere Rijksorganisaties staan we als NCSC nu nog aan het begin van onze cloud journey. De afgelopen twee jaar hebben we wel al ervaring op gedaan met de inzet van enkele private en public clouddiensten. Inzet van clouddiensten helpt ons beter (want, sneller) in te spelen op de veranderingen die zich in het dynamische cyberlandschap afspelen. Daarbij geldt dat de belangrijke technische innovaties van de komende jaren, zoals AI, advanced analytics en IoT alleen goed werken vanuit de publieke cloud. Een beheerste adoptie van cloud is daarom onontbeerlijk. 

In dit document beschrijven we een aantal van onze ervaringen en de aanpassingen die we hebben gedaan of (gaan) doen aan ons technisch landschap, processen en vooral ook aan onze security architectuur. Onze be-langrijkste leerervaring is namelijk dat cloud adoptie majeure gevolgen heeft voor de wijze waarop we onze informatievoorziening organiseren. In het stuk hebben we het over zaken als de risico’s en voordelen van cloud gebruik, over cloud certificering, Zero Trust Architecture en de manier waarop we daar zelf als organisatie mee omgaan.

Dit document is geen advies, voorschrift of whitepaper maar een document waarin we beschrijven hoe we zelf zo goed en veilig mogelijk cloud diensten inzetten in ons IT landschap en hoe we omgaan met de verschillende uitdagingen die cloud adoptie met zich mee brengt. We merken dat verschillende andere organisaties voor vergelijkbare uitdagingen staan. Mogelijk biedt hen dit de nodige nuttige inzichten.