11-06-2013

Visie: Lucht versus bakstenen, waarom de cloud de veiligste plek voor data moet zijn

Deel dit bericht


Als ik zou beweren dat bedrijven hun IT-diensten naar de cloud zouden moeten brengen om de veiligheid te verbeteren, is de kans groot dat ik word uitgelachen. Ondanks dat bedrijven de voordelen zien van een verhuizing naar de cloud, laat onderzoek zien dat voor maar liefst 61% van de Europese CIO’sbeveiliging nog steeds de grootste zorg is als zij zo’n verhuizing overwegen.

Veel netwerkprofessionals vinden het een comfortabele gedachte dat er een virtuele omheining  rond hun netwerk staat waarbinnen zich de bedrijfsgegevens en applicaties bevinden. Bijna de helft van de IT professionals in de Verenigde Staten geeft dan ook aan(onderzoek van CIO.com) dat hun grootste zorg het ontbreken van zo’n virtueleomheining is.

Als verder inzoomen op de hindernissen die een overstap naar decloud in de weg staan, gaat het zeer specifiek over opslag van data en privacy. Van oudsher hebben CIO voor een goede nachtrust gezorgd door hun data ‘binnen’ te houden, beschermd door firewalls, systemen die indringers detecteren en talloze andere technologieën om data tegen de buitenwereld te beschermen. Dat levert een ruimte vol  apparatuur met knipperende lichtjes op,hetis toch de vraag of die aanpak wel zo veilig is. Of dat het gevoel van veiligheid komt doordat je als het ware de data, en zeker de systemen die alles moeten beschermen, kunt zien en aanraken?

Naar de cloud gaan vereist een andere mind-set. Je besteedt het vertrouwen en de controle immers uit.Juist het verplaatsen van IT naar de cloud kan een enorme verbetering van de dataveiligheid opleveren, met meer controle en ‘accountability’. En dat kan, alles in beschouwing genomen, een veiliger gevoel geven.

De eerste stap in de overschakeling naar de cloud moet een diepgravende audit zijn van de IT-stand van zaken, het beheer en de applicatiestrategie.Dit soort audits kunnen oncomfortabele feiten boven water halen. Door beveiliging te benaderen vanuit het perspectief van een hek rond het netwerk, is het makkelijk om het overkoepelende ecosysteem dat de data verwerkt, uit het oog te verliezen. Dat is niet noodzakelijkerwijs een IT-uitdaging, het kan ook gewoon een fysiek proces zijn dat voor problemen zorgt. Zo zou een bedrijf gedetailleerde richtlijnen moeten hebben voor het veilig vernietigen van oude apparatuur.In de praktijk wordt daar misschien eengespecialiseerd bedrijf voor ingeschakeld, maar het kan ook zijn dat die apparatuur gewoon wordt gerecycled of aan een goed doel geschonken.

Maar hoe rigoureus wordt de apparatuur gecontroleerd die het bedrijf verlaat? Wordt echt alle apparatuur door het gespecialiseerde bedrijf vernietigd, of alleen de apparatuur met voor de hand liggende beveiligingsrisico’s zoals pc’s en servers? Worden zowel de persoonlijke als de bedrijfsgegevens vanelke afgedankte Blackberry volledig gewist, of wordt zo’n toestel gewoon aan de IT-afdeling gegeven? En hoelang ligt die Blackberry dan bij de IT-afdeling voordat er iets mee wordt gedaan? IT-teams worden vaak omringd door stoffige toetsenborden, monitors en oude laptops, zeker als deze teams geregeld met verhuizingen en herstructureringen te maken hebben. Stapels oude apparatuur liggen te wachten op het moment tot de tijd rijp is om ze te ontdoen van vertrouwelijke data.

Als er ergens een storing optreedt en er moet snel even wat hardware worden vervangen, neemtde IT-afdeling dan de tijd om de data op de juiste manier te wissen?Hierbij komt nog het risico van goedbedoelende werknemers die vertrouwelijke data wissen door deze in de digitale prullenbak te gooien, de mogelijkheid van hardwarediefstal, werknemers die bedrijfsgegevens op hun privé-apparatuur zetten en de kans dat werknemers hun bedrijfslaptop of hun eigen apparatuur in het openbaar vervoer laten staan.De omheining  rondde gegevens kan het dus betrekkelijk gemakkelijk begeven.Het verplaatsen van data naar de cloud gaat niet over het afschuiven van schuld of het spreiden van risico. Juist cloudleveranciers handhaven een zeer streng veiligheidsbeleid. Veilig zijn en hun platform draaiende houden zijn van levensbelang voor hun business.

Vragen

Hoe data benaderd wordt is puur een zaak van de cloudaanbieder. Die moet werken met versleuteling, authenticatie en autorisatie op een veel hoger niveau dan van een willekeurig bedrijf.Vraag waar zij je data opslaan en welke interne en externe controlemechanismen zij hanteren rond dataopslag. Behandelde cloudleverancier alsof je hem de sleutels van je bedrijf overhandigt, de serverruimten openstelt, de toegangsrechten tot het netwerk geeft, plus de volledige toegang tot de inloggegevens van je medewerkers.

Wie zijn data toevertrouwt aan een cloud provider zal grote voordelen ondervinden. Voor de juiste provider hebben het beveiligen van het platform en data van klanten de grootste prioriteit en vanwege hun schaalgrootte kunnen ze daar de middelen voor inzetten waar vrijwel geen enkel ander bedrijf over kan beschikken.Denk aan specialisten die permanent  zorgen dat hetplatform en de data beveiligd zijn en blijven tegen alle mogelijke bedreigingen. Dat is nog een reden waarom migreren naar de cloud de veiligheid kan bevorderen.

Neem een CIO die de uitgaven aan besturingssysteem, software en virus updates wil uitstellen. In de cloud is het niet langer nodig om een flink deel van het budget te reserveren voor dit soort uitgaven omdat ze al zijn opgenomen inde prijs van de service. Maar denk er wel aan te informeren naar de financiële stabiliteit van de cloud provider. Praat met hun klanten en verzamel zelf informatie over hoe de provider zaken doet.En wat te doen als die provider omvalt en de hardware waarop uw data staat hun eigendom is, hoe gaat u dan uw data terugkrijgen?

Kijk ook niet alleen naar wat de provider doetom zich tegen de buitenwereld te beveiligen, maar ook naar hoe interne issues worden opgelost.Verifieer dat toegang tot fysieke apparatuur net zo moeilijk is als toegang krijgen tot de kluis van de Nederlandsche Bank. Achterhaal wat de procedures zijn voor data retention, toegangscontrole, verwijderen van oude of defecte apparatuur en nog talloze andere zaken die van belang zijn als uw data op die apparatuur staat. Leveranciers moeten verantwoordelijkheid nemen voor beveiligingslekken en bewijs leveren dat zij hun veiligheidsvoorschriften naleven. Ook moet de provider stringente Service Level Agreements hebben, idealiter met ISO 27001 en ISO9002 certificeringen om aan te geven dat deze processenworden gevolgd.

Tot slot, ik hebweliswaar aangegeven welke belangrijke vragen aan een provider gesteld moeten worden, maar je moet ook nog nagaan of je zelf niet de zwakste schakel bent in de keten. Zeker, de bewijslast voor de beveiliging ligt bij de cloud provider. Maar als alles misgaat is volgens de EU-richtlijnen uiteindelijk de eigenaar van de data verantwoordelijk. En volgens het College Bescherming Persoonsgegevens (CBP) blijvenNederlandse bedrijven en organisaties zelf verantwoordelijk voor de naleving van de Wet bescherming persoonsgegevens, ook al zijn die gegevens in de cloud ondergebracht.

Jawel, het komt voor dat de beveiliging van data in de cloud heeft gefaald. Maar in werkelijkheid zijn mensen de zwakste schakel,of het nu gaat om hacking-incidenten, DDoS-aanvallen, phishing, ongeoorloofde toegang tot gevoelige informatie of diefstal van hardware. Een bedrijf kan enkele eenvoudige stappen nemen om er voor te zorgen dat de verhuizing naar de cloud veilig verloopt. Zorg ervoor dat de wachtwoorden van de medewerkers niet voor de hand liggend zijn, dat is belangrijker dan ooit. Er zijn tools zoals LastPass, die een aantal verschillende wachtwoorden achter één master wachtwoord kunnen verbergen, maar een goede ouderwetse training van medewerkers is eveneens cruciaal hier.We weten dat mensen een groter risico zijn dan computers.Een stevige omheining om uw bedrijfsnetwerkzal dat risico dus niet verzachten.De cloud biedt vele voordelen, en als je het goed doet, is het fundamenteel veiliger maken van je netwerk daar een van.

Dirk Peeters is Managing Director Northern Europe bij Easynet

 

Tags:

Cloud

Partners