Bedrijven die concurrerend willen blijven in onze snel veranderende wereld hebben bovenal twee dingen nodig: snelheid en flexibiliteit. Dat is precies wat cloudinfrastructuren en -diensten beloven te bieden. Met schaalvoordelen en flexibele, op verbruik gebaseerde tarieven geven ze toegang tot uiterst geavanceerde technologie op vrijwel onbeperkte wereldwijde schaal, maar zonder de forse investeringen die gepaard gaan met een in eigen beheer ontwikkelde oplossing.
Het ontsluiten van het volledige potentieel van de cloud vraagt echter om ingrijpende veranderingen. Dat geldt niet alleen voor het ontwerp, de implementatie en het beheer van IT- en OT-diensten, maar ook voor de bedrijfscultuur en structuur van organisaties.
Voor cybersecurity is een sleutelrol in deze transitie weggelegd. Die stelt de business in staat om de kansen te benutten die de cloud biedt en te voorkomen dat de overstap hiernaar de organisatie in gevaar brengt. Het aangaan van deze uitdaging vraagt security-teams om hun eigen cloudtransitie door te maken. Dit kan een overweldigende opgave lijken. Ze kunnen echter de volgende acht stappen ondernemen die in de praktijk van cruciaal zijn voor succes.
1. Omarm diversiteit
De voorkeur voor een cloudomgeving zal vaak per team verschillen, al naargelang de kennis van specifieke platformen van de teamleden of hun specifieke behoeften en doelstellingen. Iedereen dwingen om gebruik te maken van één centraal geselecteerde optie zorgt weliswaar voor een ingrijpende vereenvoudiging van het beheer, maar is in de praktijk vaak geen haalbare kaart. Dit kan ten koste gaan van de werknemerstevredenheid, resulteren in een langere time-to-value en het moeilijk maken om de voordelen te realiseren die de business met de cloud voor ogen heeft.
76% van alle organisaties maakt momenteel gebruik van twee of meer cloud providers.1 Dat betekent dat security- en netwerkteams de business moeten ondersteunen door dezelfde mate van bescherming en connectiviteit naar een divers scala aan cloudomgevingen te brengen en deze cloudomgevingen met elkaar te integreren.
2. Standaardisering
De enige manier om consistente beveiliging naar sterk uiteenlopende cloudplatformen te brengen is via standaardisering. Door het abstraheren van de beveiliging van de onderliggende omgeving kunnen organisaties dezelfde beveiliging van grootzakelijke kwaliteit toepassen op een divers scala aan omgevingen. Dit is mogelijk met een geïntegreerd security-framework. Zo krijgt de business de vrijheid om met vertrouwen zijn voorkeursplatform te selecteren.
3. Maak gebruik van DevOps-praktijken
Om de beveiliging te integreren met deze flexibele cloudomgevingen moeten security- en netwerkteams overstappen op DevOps-praktijken en -tools en de bijbehorende cultuur en mentaliteit. Cybersecurity groeit daarmee uit tot code of tot een dienst die naar wens kan worden afgenomen. Deze Security-as-Code of Security-as-a-Service kenmerkt zich door selfservice, flexibiliteit en een modulaire opzet. Dankzij realtime beveiligingsmechanismen kunnen risico’s proactief teruggedrongen worden, of het nu gaat om cyberaanvallen, beveiligingslekken of simpele menselijke fouten. Voeg daar AI en machine learning aan toe en de beveiligingsprocessen verlopen soepel. Tot slot spelen automatisering en API’s een sleutelrol.
4. Het voordeel van DevSecOps
Als de beveiliging een integraal onderdeel van de IT-omgeving vormt, zoals het geval is bij een DevSecOps-aanpak (Development, Security en Operations), kunnen de risico’s tijdens elk stadium van de softwarelevenscyclus effectiever worden beheerd. Ook kunnen veilige ontwerpen voortdurend worden getest en gevalideerd. Dit minimaliseert de kans op verrassingen op het laatste nippertje terwijl de code van de ontwikkelingsfase naar de implementatiefase gaat. Cloudomgevingen kunnen tijdens de verschillende fasen van elkaar afwijken, maar een cross-platformaanpak van de beveiliging vereenvoudigt de beveiliging daarvan.
5. Investeer in upskilling
Als organisaties zich willen aanpassen aan deze nieuwe werkbenaderingen, omgevingen en tools, zullen hun medewerkers dat eveneens moeten doen. Alles is nu omgezet in code, en elke cloudomgeving is volstrekt uniek. Teams moeten begrijpen hoe ze de beveiliging voor deze verschillende omgevingen moeten ontwerpen, inzicht verwerven in de beschikbare diensten en opties en nagaan hoe zij die optimaal kunnen inzetten. Investeer daarom in upskilling van het huidige personeel en weet dat je hierbij een beroep kunt doen op de expertise van leveranciers.
6. Maak optimaal gebruik van de cloud
Naast het ondersteunen en in goede banen leiden van de overstap van andere teams naar de cloud kunnen security- en netwerkteams de cloud ook inzetten om hun eigen diensten te te verbeteren. Wanneer nieuwe projecten in gang worden gezet of bestaande beveiligingsoplossingen aan vervanging toe zijn, vormt dat de ideale gelegenheid om de opties op dezelfde manier te evalueren als collega’s die verantwoordelijk zijn voor de aanschaf van applicaties. De cloud biedt zo de kans om voor een transformatie te zorgen van de manier waarop security en connectiviteit worden aangeboden.
7. Richt een Cloud Center of Excellence op
De overstap naar de cloud vraagt om de juiste vaardigheden, organisatorische structuur en afstemming tussen de verschillende functies en teams. Een Cloud Center of Excellence (CCoE) is een best practice om deze transitie te faciliteren. Dit multidisciplinaire team zorgt voor snelheid door vaardigheden samen te brengen die nodig zijn voor de standaardisatie en automatisering. Let wel: we hebben het hier niet over een statisch team van IT-experts, maar een dynamische groep van vertegenwoordigers van de IT-afdeling, financiële afdeling, inkoopafdeling en de business. Deze groep past zijn activiteiten aan de bedrijfsbehoeften aan om de clouddoelstellingen te realiseren en grip op de risico’s te houden.
8. Betrek de directie bij het proces
Tot slot is het verkrijgen van draagvlak bij het management van cruciaal belang, zeker omdat het gaat over nieuwe processen en structuren en een aanzienlijke upskilling van het personeel. Het goede nieuws is dat zowel cloud computing als cybersecurity inmiddels belangrijke aandachtsgebieden zijn in de directiekamer van organisaties. Zakelijk onderlegde security-professionals geven hierbij best aan wat de voordelen zijn qua time-to-value, concurrentievoordeel, bedrijfswaardering, risicobeheer en compliance. Dit kan van onschatbare waarde zijn om steun te krijgen voor strategische initiatieven.
Een succesvolle overstap naar de cloud zal uiteindelijk zorgen voor de snelheid, flexibiliteit en geavanceerde diensten die de organisatie klaarstomen voor digitaal succes. Voor security- en netwerkteams vertegenwoordigt dit een kans om zichzelf te positioneren als een pijler van zakelijk succes. Bekijk ons 2021 Cloud Security Report.
Sherelle Farrington, Cloud Security Solutions Manager bij Fortinet
