Toen de eerste cloud-concepten hun intrede deden, werd er vanuit het security-kamp een beetje lacherig over gedaan. “Niemand zal toch z’n data bij een onbekende partij stallen waar iedereen bij kan?” Natuurlijk was het door de efficiënte van de infrastructuur een stuk goedkoper om data in de cloud op te slaan, maar bedrijven zullen toch nooit het risico nemen bedrijfskritische data in de cloud te plaatsen?
Nu de industrie een paar jaar verder is, wordt er veel serieuzer naar de cloud gekeken. De cloud heeft een fase bereikt waarbij informatiebeveiliging en de cloud hand in hand gaan. In plaats van een bedreiging is de cloud nu een kans geworden voor het beter beveiligen van de data. Niet voor niets zie je steeds meer multinationals delen van hun informatievoorziening in de cloud onderbrengen. Uiteraard met een gedegen risicoanalyse vooraf.
In het ‘traditionele model’ werd bedrijfsdata in de eigen vertrouwde omgeving opgeslagen. Vaak nog op kantoor of in een extern datacentrum, maar dan wel op eigen apparatuur. Ook het beheer werd toevertrouwd aan de eigen mensen die je kende en waar je op vertrouwde. Of, als je ICT-beheer had uitbesteed, een bedrijf die het allemaal voor je regelde. Maar de data bleef onder eigen hoede.
Het verplaatsen van de servers naar een datacentrum en het outsourcen van de ICT-diensten was een overgang die relatief soepel en geruisloos verliep. Maar toen ook de data zelf uit handen werd gegeven, kwam de discussie over informatiebeveiliging pas echt op gang. De hamvraag was natuurlijk of de data in de cloud beter beschermd werd dan in de eigen omgeving. Met de hedendaagse complexiteit van informatiebeveiliging is het geen rol meer die de druk bezette systeembeheerder naast zijn gewone werkzaamheden kan doen. Daarvoor is het risicogebied te groot geworden. Waar vroeger het kantoor de enige plek was die toegang gaf tot de bedrijfsinformatie, willen organisaties tegenwoordig overal en altijd de informatie toegankelijk hebben: een nachtmerrie om te beveiligen.
Het is een cliché, maar de keten is zo sterk als de zwakste schakel. De aanvaller hoeft maar één keer geluk te hebben, terwijl de beveiliger continue bezig moet zijn de organisatie veilig te houden. Dit maakt informatiebeveiliging meer dan ooit een vakgebied voor specialisten en is onmisbaar in een organisatie. Een parallel kan getrokken worden met bijvoorbeeld systeembeheer. Organisaties waar systeembeheer bij een klein team of zelfs één medewerker was ondergebracht kwamen al snel tot de conclusie dat het beter en efficiënter was om dit in laten te vullen door specialisten. Nu ook de data wordt toevertrouwd aan een cloud-leverancier geldt dat deze data beter beschermd kan worden door een team specialisten die op gestructureerde wijze de risico’s tot een minimum beperken. Dit terwijl de klant z’n data altijd en overal op een veilige manier beschikbaar heeft.
Marc Breve, systeem- en netwerkmanager bij ilionx
