Home Security NSA versus Google: een les voor bedrijven

NSA versus Google: een les voor bedrijven

56

Onlangs werd ik gevraagd om voor het journaal te reageren op de trend dat steeds meer bedrijven naar Europese datacenters vluchten. Is hun bedrijfsdata in een Nederlands datacenter veiliger dan ergens in de VS? Ik denk dat het niet te ontkennen valt dat dit juridisch gezien veiliger is, maar 100 procent veilig? In de wereld van de informatiebeveiliging is dat helaas een utopie.

Als bedrijf ben je natuurlijk niet volledig machteloos. Om een zo optimaal mogelijk beveiligingsniveau te bereiken voor je bedrijfsgegevens moet je om te beginnen een datacenter gebruiken dat aan alle geldende ISO-standaarden voldoet op het gebied van beveiliging. Maar uiteindelijk moet ook je eigen verantwoordelijkheid nemen en kritisch kijken naar je bedrijfssystemen en processen. Zelfs een grootheid als Google moest onlangs erkennen dat alle beveiligingsinspanningen moeiteloos door de NSA werden omzeild doordat één zwak punt over het hoofd werd gezien.

Risicoanalyse
Of je bedrijfsapplicaties nu op locatie of in het datacenter draaien, als organisatie kun je er nooit blind op vertrouwen dat je data veilig is. Elke beveiliging valt in theorie te breken. Hoe data wordt opgeslagen en via allerlei diensten via het internet worden uitgewisseld is hierbij heel bepalend. Vanuit mijn rol als softwareontwikkelaar heb ik dagelijks te maken met klanten die hun businessmodel hebben opgebouwd rond webservices. Hun diensten moeten vanzelfsprekend zo veilig mogelijk zijn, want zij verzamelen allerlei persoonlijke en financiële informatie van hun klanten. Daar zijn allerlei standaarden en best practices voor, waar je als ontwikkelaar op zijn minst aan behoort te voldoen. Zorg er ook voor dat je dit contractueel vastlegt.
Maar daar bovenop moet een organisatie met zijn IT-dienstverlener of ontwikkelaar in gesprek gaan om te bepalen welk beveiligingsniveau gewenst is. Een gedegen risicoanalyse is van belang, waarbij er gekeken moet worden naar verschillende aspecten, zoals de waarde van de bedrijfsdata en de impact die het lekken ervan zou hebben op de business. Zo hoeft een database met de transactiegegevens van de gemiddelde webwinkel niet de bescherming van Fort Knox te hebben, terwijl een bank vanzelfsprekend wel het maximaal mogelijke beveiligingsniveau zal eisen.

Waarde van data
Elke organisatie moet voor zichzelf de afweging maken: ‘Wat is mijn bedrijfsdata waard en daarmee de beveiliging ervan?’ Vervolgens moet er gekeken worden naar de infrastructuur, de bedrijfsprocessen en waar er mogelijk zwakke punten in het systeem zitten. Die zijn er namelijk altijd, zo zal elke beveiligingsexpert ter wereld bevestigen. Uiteindelijk is elk beveiligingsysteem zo sterk als de zwakste schakel. Encryptie is een steeds belangrijker element in dit verhaal, zowel voor het opslaan van data op servers als voor de uitwisseling van gegevens via internet. Een tijdje geleden bleek nog uit een lek van Edward Snowden dat de NSA het onversleutelde netwerkverkeer tussen de datacenters van Google afluistert. Een wijze les voor bedrijven die denken hun zaken goed voor elkaar te hebben. Kijk daarom nog eens kritisch met je IT-dienstverlener of ontwikkelaar naar je bedrijfssystemen en de processen, zeker als je een online onderneming leidt.

Erik Seveke is medeoprichter van GlobalOrange

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in