Als ik zou beweren dat bedrijven hun IT-diensten naar de cloud zouden moeten brengen om de veiligheid te verbeteren, is de kans groot dat ik word uitgelachen. Ondanks dat bedrijven de voordelen zien van een verhuizing naar de cloud, laat onderzoek zien dat voor maar liefst 61% van de Europese CIO’sbeveiliging nog steeds de grootste zorg is als zij zo’n verhuizing overwegen.
Veel netwerkprofessionals vinden het een comfortabele gedachte dat er een virtuele omheining rond hun netwerk staat waarbinnen zich de bedrijfsgegevens en applicaties bevinden. Bijna de helft van de IT professionals in de Verenigde Staten geeft dan ook aan(onderzoek van CIO.com) dat hun grootste zorg het ontbreken van zo’n virtueleomheining is.
Als verder inzoomen op de hindernissen die een overstap naar decloud in de weg staan, gaat het zeer specifiek over opslag van data en privacy. Van oudsher hebben CIO voor een goede nachtrust gezorgd door hun data ‘binnen’ te houden, beschermd door firewalls, systemen die indringers detecteren en talloze andere technologieën om data tegen de buitenwereld te beschermen. Dat levert een ruimte vol apparatuur met knipperende lichtjes op,hetis toch de vraag of die aanpak wel zo veilig is. Of dat het gevoel van veiligheid komt doordat je als het ware de data, en zeker de systemen die alles moeten beschermen, kunt zien en aanraken?
Naar de cloud gaan vereist een andere mind-set. Je besteedt het vertrouwen en de controle immers uit.Juist het verplaatsen van IT naar de cloud kan een enorme verbetering van de dataveiligheid opleveren, met meer controle en ‘accountability’. En dat kan, alles in beschouwing genomen, een veiliger gevoel geven.
De eerste stap in de overschakeling naar de cloud moet een diepgravende audit zijn van de IT-stand van zaken, het beheer en de applicatiestrategie.Dit soort audits kunnen oncomfortabele feiten boven water halen. Door beveiliging te benaderen vanuit het perspectief van een hek rond het netwerk, is het makkelijk om het overkoepelende ecosysteem dat de data verwerkt, uit het oog te verliezen. Dat is niet noodzakelijkerwijs een IT-uitdaging, het kan ook gewoon een fysiek proces zijn dat voor problemen zorgt. Zo zou een bedrijf gedetailleerde richtlijnen moeten hebben voor het veilig vernietigen van oude apparatuur.In de praktijk wordt daar misschien eengespecialiseerd bedrijf voor ingeschakeld, maar het kan ook zijn dat die apparatuur gewoon wordt gerecycled of aan een goed doel geschonken.
Maar hoe rigoureus wordt de apparatuur gecontroleerd die het bedrijf verlaat? Wordt echt alle apparatuur door het gespecialiseerde bedrijf vernietigd, of alleen de apparatuur met voor de hand liggende beveiligingsrisico’s zoals pc’s en servers? Worden zowel de persoonlijke als de bedrijfsgegevens vanelke afgedankte Blackberry volledig gewist, of wordt zo’n toestel gewoon aan de IT-afdeling gegeven? En hoelang ligt die Blackberry dan bij de IT-afdeling voordat er iets mee wordt gedaan? IT-teams worden vaak omringd door stoffige toetsenborden, monitors en oude laptops, zeker als deze teams geregeld met verhuizingen en herstructureringen te maken hebben. Stapels oude apparatuur liggen te wachten op het moment tot de tijd rijp is om ze te ontdoen van vertrouwelijke data.
Als er ergens een storing optreedt en er moet snel even wat hardware worden vervangen, neemtde IT-afdeling dan de tijd om de data op de juiste manier te wissen?Hierbij komt nog het risico van goedbedoelende werknemers die vertrouwelijke data wissen door deze in de digitale prullenbak te gooien, de mogelijkheid van hardwarediefstal, werknemers die bedrijfsgegevens op hun privé-apparatuur zetten en de kans dat werknemers hun bedrijfslaptop of hun eigen apparatuur in het openbaar vervoer laten staan.De omheining rondde gegevens kan het dus betrekkelijk gemakkelijk begeven.Het verplaatsen van data naar de cloud gaat niet over het afschuiven van schuld of het spreiden van risico. Juist cloudleveranciers handhaven een zeer streng veiligheidsbeleid. Veilig zijn en hun platform draaiende houden zijn van levensbelang voor hun business.
Vragen
Hoe data benaderd wordt is puur een zaak van de cloudaanbieder. Die moet werken met versleuteling, authenticatie en autorisatie op een veel hoger niveau dan van een willekeurig bedrijf.Vraag waar zij je data opslaan en welke interne en externe controlemechanismen zij hanteren rond dataopslag. Behandelde cloudleverancier alsof je hem de sleutels van je bedrijf overhandigt, de serverruimten openstelt, de toegangsrechten tot het netwerk geeft, plus de volledige toegang tot de inloggegevens van je medewerkers.
Wie zijn data toevertrouwt aan een cloud provider zal grote voordelen ondervinden. Voor de juiste provider hebben het beveiligen van het platform en data van klanten de grootste prioriteit en vanwege hun schaalgrootte kunnen ze daar de middelen voor inzetten waar vrijwel geen enkel ander bedrijf over kan beschikken.Denk aan specialisten die permanent zorgen dat hetplatform en de data beveiligd zijn en blijven tegen alle mogelijke bedreigingen. Dat is nog een reden waarom migreren naar de cloud de veiligheid kan bevorderen.
Neem een CIO die de uitgaven aan besturingssysteem, software en virus updates wil uitstellen. In de cloud is het niet langer nodig om een flink deel van het budget te reserveren voor dit soort uitgaven omdat ze al zijn opgenomen inde prijs van de service. Maar denk er wel aan te informeren naar de financiële stabiliteit van de cloud provider. Praat met hun klanten en verzamel zelf informatie over hoe de provider zaken doet.En wat te doen als die provider omvalt en de hardware waarop uw data staat hun eigendom is, hoe gaat u dan uw data terugkrijgen?
Kijk ook niet alleen naar wat de provider doetom zich tegen de buitenwereld te beveiligen, maar ook naar hoe interne issues worden opgelost.Verifieer dat toegang tot fysieke apparatuur net zo moeilijk is als toegang krijgen tot de kluis van de Nederlandsche Bank. Achterhaal wat de procedures zijn voor data retention, toegangscontrole, verwijderen van oude of defecte apparatuur en nog talloze andere zaken die van belang zijn als uw data op die apparatuur staat. Leveranciers moeten verantwoordelijkheid nemen voor beveiligingslekken en bewijs leveren dat zij hun veiligheidsvoorschriften naleven. Ook moet de provider stringente Service Level Agreements hebben, idealiter met ISO 27001 en ISO9002 certificeringen om aan te geven dat deze processenworden gevolgd.
Tot slot, ik hebweliswaar aangegeven welke belangrijke vragen aan een provider gesteld moeten worden, maar je moet ook nog nagaan of je zelf niet de zwakste schakel bent in de keten. Zeker, de bewijslast voor de beveiliging ligt bij de cloud provider. Maar als alles misgaat is volgens de EU-richtlijnen uiteindelijk de eigenaar van de data verantwoordelijk. En volgens het College Bescherming Persoonsgegevens (CBP) blijvenNederlandse bedrijven en organisaties zelf verantwoordelijk voor de naleving van de Wet bescherming persoonsgegevens, ook al zijn die gegevens in de cloud ondergebracht.
Jawel, het komt voor dat de beveiliging van data in de cloud heeft gefaald. Maar in werkelijkheid zijn mensen de zwakste schakel,of het nu gaat om hacking-incidenten, DDoS-aanvallen, phishing, ongeoorloofde toegang tot gevoelige informatie of diefstal van hardware. Een bedrijf kan enkele eenvoudige stappen nemen om er voor te zorgen dat de verhuizing naar de cloud veilig verloopt. Zorg ervoor dat de wachtwoorden van de medewerkers niet voor de hand liggend zijn, dat is belangrijker dan ooit. Er zijn tools zoals LastPass, die een aantal verschillende wachtwoorden achter één master wachtwoord kunnen verbergen, maar een goede ouderwetse training van medewerkers is eveneens cruciaal hier.We weten dat mensen een groter risico zijn dan computers.Een stevige omheining om uw bedrijfsnetwerkzal dat risico dus niet verzachten.De cloud biedt vele voordelen, en als je het goed doet, is het fundamenteel veiliger maken van je netwerk daar een van.
Dirk Peeters is Managing Director Northern Europe bij Easynet
24 en 25 april 2024 Organisaties hebben behoefte aan data science, selfservice BI, embedded BI, edge analytics en klantgedreven BI. Vaak is het dan ook tijd voor een nieuwe, toekomstbestendige data-architectuur. Dit tweedaagse seminar geeft antwoord ...
16 mei 2024 Praktische en interactieve workshop met Nigel Turner Data-gedreven worden lukt niet door alleen nieuwe technologie en tools aan te schaffen. Het vereist een transformatie van bestaande business modellen, met cultuurverandering, een heront...
23 mei 2024 (halve dag online) Praktische en interactieve workshop met Nigel Turner In ons digitale tijdperk willen veel organisaties datagedreven worden en investeren zij fors in nieuwe technologieën om dit mogelijk te maken. Maar deze i...
29 - 31 mei 2024Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare rich...
3 t/m 5 juni 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare richtl...
10 t/m 12 juni 2024 Praktische workshop Data Management Fundamentals door Chris Bradley - CDMP-examinatie optioneel De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Managem...
17 t/m 19 juni 2024Praktische driedaagse workshop met internationaal gerenommeerde trainer Lawrence Corr over het modelleren Datawarehouse / BI systemen op basis van dimensioneel modelleren. De workshop wordt ondersteund met vele oefeningen en prakti...
15 oktober 2024 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met i...
Deel dit bericht