De cloud: veilig is niet goed genoeg
De cloud is in veel opzichten een zegening voor bedrijven. IT wordt er efficiënter, overzichtelijker en veiliger van. Maar beter is helaas nog niet goed genoeg. Cloudcomputing heeft specifieke uitdagingen op het gebied van security waar bedrijven nu nog veel te weinig rekening mee houden.
In deze tijden van innovatie en transformatie wordt IT steeds complexer. Het managen van die complexiteit is tegenwoordig zelfs een van de belangrijkste taken van de IT-afdeling. Die doet daarbij steeds vaker een beroep op de specialistische kennis van derden, zoals de zeer specifieke expertise van cloudproviders voor het hosten van data en applicaties.
Het ligt voor de hand dat cloudproviders er alles aan doen om hun datacentra te beschermen tegen hackers, aanslagen, natuurrampen en andere bedreigingen van buiten, zodat ze een ideale omgeving kunnen bieden waar hun klanten altijd snel en veilig bij hun data kunnen. Providers zijn specialisten in uptime, high availability en maximale connectiviteit, en dan ook nog eens zo groen en goedkoop mogelijk. Vanuit die optiek is de overstap naar de cloud voor veel organisaties een enorme stap vooruit.
Maar je kunt niet één stap zetten en dan denken dat je er al bent. De belangen van de cloudproviders overlappen met de jouwe – maar ze komen niet volledig overeen. Complexiteit kun je uitbesteden, maar verantwoordelijkheid niet, als het gaat om de gevoelige gegevens die door je organisatie worden verwerkt.
Het businessmodel van cloudproviders leunt zwaar op efficiency. Door de kosten voor bijvoorbeeld netwerkverbindingen, hardware, energie en koeling te spreiden over een groot aantal klanten kunnen, ondanks de kleine marges, standaard services van hoge kwaliteit tegen relatief lage prijzen worden aangeboden. Daar hoort een solide basisniveau van security bij, maar die security is vooral bedoeld om de verantwoordelijkheid van de providers af te dekken. De verantwoordelijkheid die afnemers zelf hebben voor de data in hun organisatie, vraagt om andere, op maat gesneden maatregelen.
Als iemand bijvoorbeeld het wachtwoord van een van je medewerkers raadt, of op een andere manier van binnenuit toegang krijgt tot je netwerk in de cloud, krijg je te maken met cybercrime waar je cloudprovider niet op berekend is. De detectie van activiteiten die duiden op dit soort cybercrime hoort bij de meeste cloudproviders niet tot het standaard arsenaal, en moet dus worden opgepakt door je eigen security-team. Je kunt het ook uitbesteden aan security specialisten, zoals Thales, die bijvoorbeeld vanuit een Security Operations Center (SOC) je dataverkeer controleren – maar in beide gevallen heb je voor detectie toegang nodig tot bijvoorbeeld loggegevens.
Innovatie en digitale transformatie zijn tegenwoordig vrijwel ondenkbaar zonder cloud computing.
Lang niet alle cloudproviders zijn bereid of in staat dergelijke loggegevens zomaar te verstrekken. Sterker nog: in sommige gevallen van shared hosting is het technisch bijna ondoenlijk unieke loggegevens van één enkele klant uit de shared servers te halen. In ieder geval zal daar dan een (stevig) prijskaartje aan hangen – en naar mijn ervaring hebben de meeste CIO’s dáár bij hun keuze voor de cloud geen rekening mee gehouden.
Daar komt nog bij dat steeds meer bedrijven gebruik maken van verschillende cloudproviders – tot soms tientallen aan toe. Dat heeft duidelijk voordelen vanuit business-perspectief, maar elk van die providers gaat anders om met loggegevens, en als je die data niet allemaal goed weet te koppelen, valt de bodem uit je securitymodel. En daarbij hoe organiseer je de security (gecorreleerd over deze omgevingen heen). Zo kan je voordeel omslaan in een serieus nadeel, als blijkt dat de beveiliging van bedrijfsgevoelige gegevens op al die verschillende locaties een uitdaging is die alleen effectief is op te pakken tegen een forse meerprijs.
Innovatie en digitale transformatie zijn tegenwoordig vrijwel ondenkbaar zonder cloud computing. Maar wie bij de stap naar de cloud onvoldoende rekening houdt met de security-implicaties, kan voor nare verrassingen komen te staan. Zorg daarom dat je cybersecurity zo vroeg mogelijk meeneemt in je cloudstrategie, zodat je zeker weet dat de oplossingen die je kiest (en de partners waarmee je werkt) klaar zijn voor een effectieve én efficiënte beveiliging van je data.