Witold Kepinski - 19 oktober 2024

Rijksoverheid onderzoek cloud beleid belicht SaaS en Microsoft toepassingen

De Auditdienst Rijk (ADR) heeft in opdracht van de CIO Rijk onderzoek gedaan naar de praktische toepassing van het Rijksbrede Public Cloudbeleid (RPCB). Dit beleid, dat in 2022 werd ingevoerd, stelt voorwaarden waaraan het gebruik van publieke clouddiensten door overheidsorganisaties moet voldoen. Er zijn ook risico's belicht. De overgang naar een digitale werkplek op basis van Microsoft 365 brengt specifieke risico's met zich mee, zoals een grotere aantrekkingskracht voor cyberaanvallen, aldus de ADR.

Rijksoverheid onderzoek cloud beleid belicht SaaS en Microsoft toepassingen image

Onderzoek naar drie diensten 

Voor het onderzoek zijn drie veelgebruikte clouddiensten binnen de Rijksoverheid onder de loep genomen: een software-as-a-service applicatie en twee diensten gerelateerd aan de digitale werkplek van rijksambtenaren, zoals Microsoft 365 en Teams.

Bevindingen:

  • Onvolledige implementatie: Het RPCB is nog niet volledig geïntegreerd in het beleid van alle departementen.
  • Verschillen in risicobeoordeling: De manier waarop de risico's van cloudgebruik worden beoordeeld, verschilt per dienst en is vaak tijdrovend.
  • Gebrek aan centraal inzicht: Er is nog geen volledig overzicht van het gebruik van publieke clouddiensten binnen de Rijksoverheid.
  • Beperkte focus op exitstrategie: De huidige focus ligt vooral op het beëindigen van contracten met cloudproviders en minder op het waarborgen van de continuïteit van bedrijfsprocessen bij een eventuele overstap.
  • Grootschalige implementatie van digitale werkplek: De overgang naar een digitale werkplek op basis van Microsoft 365 brengt specifieke risico's met zich mee, zoals een grotere aantrekkingskracht voor cyberaanvallen.

Aanbevelingen:

  • Uitbreiding van het RPCB: Het beleid moet worden aangevuld met richtlijnen voor het werken in ketens en voor het kiezen van externe dienstverleners.
  • Verbetering van risicobeoordeling: Er moet een efficiëntere en effectievere manier worden gevonden om de risico's van cloudgebruik te beoordelen.
  • Versterking van de rapportage: Departementen moeten beter rapporteren over hun gebruik van publieke clouddiensten om een beter overzicht te krijgen.
  • Uitwerking van exitstrategieën: De focus moet verschuiven naar het waarborgen van de continuïteit van bedrijfsprocessen bij een eventuele beëindiging van een clouddienst.
  • Aandacht voor digitale werkplek: Er moeten specifieke maatregelen worden genomen om de risico's van de grootschalige implementatie van digitale werkplekken te beheersen.

Conclusie 

Het onderzoek van de ADR laat zien dat het Rijksbrede Public Cloudbeleid een goede basis vormt, maar dat er nog wel wat verbeterpunten zijn. De Rijksoverheid zal de komende tijd aan de slag gaan om het beleid aan te scherpen en de implementatie te verbeteren.

Axians 12/11/2024 t/m 26/11/2024 BN+BW