Vanuit COMPAREX zien wij steeds meer organisaties overgaan naar de Cloud. Een logische keuze want het is immers altijd bereikbaar, schaalbaar, vanuit de eigen organisatie zijn geen resources nodig en de kosten zijn goed te budgetteren. Dat we steeds meer de kant van de Cloud op gaan is wel duidelijk, maar hoe zit het nu met de beveiliging ervan?
De cloud-provider is niet verantwoordelijk voor de data
Als we kijken naar het traditionele on-premise model waarbij de data op de servers staat van de organisatie, dan zien we dat deze vaak beschermd is met tal van securityoplossingen. Denk aan een firewall, web en mail gateway, IPS etc. Schakelen we echter over naar de Cloud, dan hebben deze oplossingen geen directe impact meer op functionaliteiten zoals e-mail omdat deze via een geheel nieuwe route gaan.
Ook vertrouwen veel organisaties, zowel groot als klein, op de Cloudproviders wanneer het gaat om security. Nemen wij Microsoft als voorbeeld, dan zien we daar dezelfde trend. Omdat alles op de datacenters van Microsoft staat, vertrouwt men erop dat de informatie voldoende beveiligd is. Maar is dat ook daadwerkelijk zo?
Uiteraard heeft Microsoft securitymaatregelen toegepast. Toch kan men zich afvragen of dit voldoende is. Daarnaast spelen er nog twee andere zaken: hoe is de beveiliging tussen het datacenter van de Cloudprovider en de ontvanger? En als tweede en wellicht meest belangrijke: de Cloudprovider is niet verantwoordelijk voor de data, dat is altijd de organisatie zelf! Met de privacywetgeving die nu van kracht is en de daarbij bekende boetes, is dit een zeer belangrijk punt om kritisch naar te kijken.
Om toch te profiteren van de voordelen van de clouddiensten en daarbij de nodige securitymaatregelen te treffen, dienen de volgende stappen genomen te worden:
Beveiliging via encryptie
Zorg dat zowel de data versleuteld is, als de verbinding tussen de Clouddienstverlener en de ontvanger. Ga daarmee dus verder dan schijfencryptie (BitLocker). Verzeker u ook van een veilige verbinding met de Cloudprovider via Transport Layer Security (TLS/SSL). Daarmee voorkomt u een zogenaamde ‘man-in-the-middle-attack’ waarbij een kwaadwillende tussen de verzender en ontvanger de boodschap onderschept. Zo krijgt u zelf de controle over wie er toegang heeft tot de informatie.
Data Loss Prevention
Veel organisaties hebben inmiddels een Data Loss Prevention (DLP) oplossing. Dit is in mijn ogen een steeds belangrijker onderdeel, ook met betrekking tot wetgeving. Welke gegevens verlaten de Cloud? Wie is de ontvanger? Welke bijlagen? Op deze manier kan worden aangetoond wie welke data aangeraakt heeft en waar deze heen is gegaan. Dit is niet anders wanneer u met de Cloud werkt. U wilt dat gevoelige data geclassificeerd en op de juiste manier beschermd is, zodat deze niet zomaar bij de verkeerde personen terecht kan komen.
Verder is het goed om een securityplatform te bouwen. Dus niet allerlei losse oplossingen (point solutions) die allemaal een eigen functie hebben, maar een geïntegreerd en communicerend geheel om zodoende het beveiligingsniveau te verbeteren.
Daarnaast en volledig in lijn met de Cloud, is het van belang dat overal de gewenste data opgevraagd kan worden. Naast een technologische heroverweging, zal dit ook impact hebben op uw securitybeleid.
Data Loss Prevention
Het belang van Cloud en Security is evident, maar het vergt een hoge mate van specialisatie om de juiste afwegingen en keuzes te maken. Bij COMPAREX hebben we deze specialisatie in huis en denken wij graag met u mee om hierbij ondersteuning te bieden. Bent u ook in de transitie naar de Cloud en wilt u uw beveiliging waterdicht maken? Neem dan contact met mij op via eric.bruseker@comparex.nl.
Eric Bruseker, Solution Advisor gespecialiseerd in: Security, Meldplicht Datalekken, Informatiebeveiliging
