Er is een trend te bespeuren in het aantal cloudproviders waar organisaties gebruik van maken. Waar dat eerst veelal om één partij ging, maken acht op de tien bedrijven wereldwijd ondertussen gebruik van minstens twee cloudproviders. De multicloud is daarmee geen uitzondering meer. Daarnaast staat hier ook steeds meer gevoelige data in opgeslagen. Beide trends laten zien dat het gebruik van de cloud – en vaak dus meerdere clouds – alleen maar verder toeneemt. Dit betekent ook dat databeveiliging nóg noodzakelijker wordt. Toch is 41 procent van de Nederlandse bedrijven het afgelopen jaar slachtoffer geworden van een datalek in hun cloudomgeving. Genoeg werk aan de winkel dus. In deze blog daarom drie maatregelen die veilig werken in de (multi)cloud bevorderen.
1. Datamindset
Cloudbeveiliging begint met de juiste datamindset. Er wordt nog weleens gedacht dat naar de cloud gaan een vrijgeleide is voor databescherming. Niets is minder waar. Jij als Data Owner blijft verantwoordelijk voor de beveiliging van je data, of je deze nu on premise opslaat of naar de cloud brengt. De cloudprovider draagt nooit verantwoordelijkheid over de beveiliging van jouw data. Dat maakt dat data in de cloud allesbehalve automatisch veilig of beschermd is. Het beeld dat jouw data in de cloud veilig is wordt nog weleens versterkt door cloudproviders, maar is niet per definitie waar. Het is afhankelijk van onder andere de controles en toegangsrechten die cloudproviders hanteren. Het komt erop neer dat je de cloud moet zien als verlengstuk van je bestaande IT-infrastructuur. En dat geeft je ook de verantwoordelijkheid om zelf het beheer van databeveiliging op je te nemen.
2. Juist menselijk handelen
Dat een goede datamindset niet onbelangrijk is, blijkt wel uit het feit dat een meerderheid (57%) van de Nederlandse IT- en securityprofessionals menselijke fouten als belangrijkste oorzaak aanwijzen van datalekken in de cloud. Menselijk handelen is een grote risicofactor in databeveiliging. Slechte authenticatie staat met stip op nummer één als de grootste oorzaak van datalekken in de cloud. Toch wordt het belang van authenticatie nog steeds weleens over het hoofd gezien. Veel bedrijven gebruiken nog altijd standaardwachtwoorden. En van (goed) key management is nog lang niet overal sprake. Daarnaast zijn interne regulaties en guidelines rondom dataclassificatie voor cloudbeveiliging erg belangrijk. Wat voor soort data mag er eigenlijk naar de cloud? En wat niet? Gaat het om gevoelige klant- of bedrijfsgegevens? Daar moet je goed over nadenken voordat je data in de (multi)cloud opslaat. Geef medewerkers in je organisatie handvatten om die afweging zelf te kunnen maken, bijvoorbeeld via trainingen.
3. Technologische middelen
Natuurlijk kunnen technologische hulpmiddelen ook niet ontbreken in een goede beveiligingsstrategie. Investeren in goede encryptie van data, enerzijds van “Data in rest” in je eigen datacenter of de cloud, maar anderzijds ook voor “Data in transit” wanneer het zich in transit tussen datacenters bevindt, is een voorbeeld van zo’n technologisch hulpmiddel. Toch is wereldwijd slechts 45 procent van de gevoelige data in de cloud versleuteld. In Nederland gaat het zelfs om maar 17 procent van de organisaties die meer dan zestig procent van hun gevoelige clouddata hebben versleuteld. Waar je idealiter al je gevoelige data beveiligt met encryptie, is er dus nog een flinke stap te zetten. Maar naast encryptie gaat het ook om zaken als access management. Wie heeft toegang tot welke gegevens? Regel dat met multifactorauthenticatie access management oplossingen die ervoor zorgt dat ook medewerkers binnen de organisatie alleen toegang hebben tot de data die ze nodig hebben. Niet meer of niet minder.
Laat je niet verrassen
Met IT-landschappen waarin organisaties steeds vaker meerdere cloudproviders gebruiken en gevoelige data achter de clouddeur zetten, is de grote vraag rondom cloudbeveiliging: hoe nu verder? Want voor wat betreft de cloud, en daarmee de beveiliging ervan, is er geen weg meer terug. Datalekken zijn immers inherent aan de manier waarop je data beveiligt. Het liefst neem je de drie besproken maatregelen daarom in samenspel, zodat je op alle fronten en zowel aan de binnen- als buitenkant een zo sterk mogelijk slot hangt aan de verschillende clouddeuren waar je gebruik van maakt. Of je nu weinig of juist al veel data in één of in meerdere clouds hebt staan, databeveiliging heb je in eigen beheer. Dus pak die verantwoordelijkheid en laat je niet door een datalek verrassen.
Steven Maas, Sales Director Encryption Benelux bij Thales
