Skip to main content

De Cloud Controls Matrix (CCM) als toetsingskader voor interne audits

9 mei 2025

In een wereld waarin steeds meer organisaties hun data en processen naar de cloud migreren, zijn vragen rondom informatiebeveiliging en compliance rondom Cloud-oplossingen steeds urgenter. Voor internal audit afdelingen is het essentieel om een gestructureerd en erkend toetsingskader te hanteren bij het beoordelen van cloud omgevingen. De Cloud Security Alliance (CSA) biedt hiervoor een krachtig instrument: de Cloud Controls Matrix (CCM). In deze blog verkennen we hoe je de CCM kunt toepassen in internal audits en welke voordelen dit biedt. Tevens geven we een aantal praktijkvoorbeelden.

Wat is de Cloud Controls Matrix (CCM)?

De CSA Cloud Controls Matrix is een uitgebreide set van beheersingsmaatregelen op het gebied van informatiebeveiliging, specifiek ontwikkeld voor cloud omgevingen. Het raamwerk bevat 197 beheersingsmaatregelen, verdeeld over 17 domeinen, waaronder Governance, Risk Management, Compliance, Applicatiebeveiliging en Identity & Access Management. De CCM maakt gebruik van gangbare normen en frameworks zoals ISO 27001, NIST en GDPR, waardoor het zeer geschikt is voor organisaties die te maken hebben met uiteenlopende compliance vereisten.

Hoe pas je de CCM toe in een audit?

De toepassing van de CCM binnen een auditproces verloopt in grote lijnen als volgt (zie ook figuur 1 hieronder):

  1. Scope bepalen: Stel vast welke cloud toepassingen en -diensten binnen de scope van de audit vallen.
  2. Selectie relevante beheersingsmaatregelen: Selecteer, op basis van het risicoprofiel van de organisatie en de relevante wet- en regelgeving, de interne beheersingsmaatregelen uit de CCM die van toepassing zijn.
  3. Toetsing en interviews: Gebruik de geselecteerde interne beheersingsmaatregelen als leidraad voor documentatie reviews, analyses en interviews met key stakeholders.
  4. Gap-analyse en rapportage: Breng in kaart waar de organisatie voldoet en waar verbetermaatregelen nodig zijn. De CCM maakt het eenvoudig om bevindingen te structureren en te relateren aan erkende normen.
Figuur 1 Cloud audit in 4 stappen met CSA CCM

Wat zijn de voordelen van de CCM?

De CCM biedt verschillende voordelen:

  • Toegankelijk en overzichtelijk: Ondanks de omvang is de CCM goed gestructureerd en biedt het een praktische indeling, ook voor middelgrote en kleinere organisaties.
  • Erkenning en aansluiting: Het gebruik van een internationaal erkend framework geeft audits extra waarde richting klanten, leveranciers en toezichthouders.
  • Flexibiliteit: De CCM is modulair inzetbaar. Dit maakt het mogelijk om te starten met de belangrijkste domeinen en later uit te breiden.
  • Benchmarking: Door aansluiting bij andere normen kunnen organisaties eenvoudig hun compliance positie vergelijken met bredere standaarden.
  • Pragmatische adviezen: De genoemde beheersingsmaatregelen bieden goede handvatten om bij bevindingen effectieve adviezen te geven.

Praktijkvoorbeelden:

  • Cloud opslagdienst bij een accountantskantoor: Tijdens een audit bleek dat een accountantskantoor onvoldoende had geborgd dat klantdata in de cloudomgeving uitsluitend toegankelijk was voor geautoriseerde medewerkers. Door toepassing van de CCM-domeinen ‘Identity & Access Management’ en ‘Data Security & Privacy’ werd dit risico inzichtelijk gemaakt en zijn er maatregelen geadviseerd, zoals multi-factor authenticatie en periodieke beoordelingen van toegang.
  • Middelgrote softwareleverancier: Een softwarebedrijf maakte gebruik van een publieke cloud omgeving voor het hosten van klantapplicaties. Met de CCM werd vastgesteld dat het bedrijf geen formeel proces had voor incident management. Door de controls uit het domein ‘Threat and Vulnerability Management’ en ‘Incident Management’ toe te passen, werd een incident response plan opgesteld en periodiek getest.
  • Zorginstelling met cloudapplicaties: Een zorgorganisatie die patiëntgegevens in een SaaS-oplossing verwerkt, werd geaudit op basis van de CCM-domeinen ‘Compliance’ en ‘Privacy & Data Protection Management’. Hieruit bleek dat het verwerkingsregister onvolledig was en dat verwerkersovereenkomsten niet actueel waren. Met behulp van de CCM werden deze tekortkomingen gestructureerd aangepakt.

Conclusie:

De CSA Cloud Controls Matrix biedt interne auditors een krachtig en gestructureerd hulpmiddel bij het toetsen van cloud omgevingen. De matrix maakt risico’s inzichtelijk, helpt prioriteiten stellen en ondersteunt bij het aantoonbaar voldoen aan relevante eisen. Met de opgenomen praktijkvoorbeelden wordt duidelijk hoe toepasbaar en effectief de CCM in de praktijk is.

Ben je benieuwd hoe de CCM kan bijdragen aan het versterken van jouw cloud audits?

Of wil je samen met ons een quickscan uitvoeren op jouw cloud omgeving? Neem contact met ons op voor een vrijblijvend adviesgesprek of demo van de CSA Cloud Controls Matrix in de praktijk. Samen tillen we jouw cloud security en compliance naar een hoger niveau!