Beveiliging, meer dan alleen cybersecurity

WEB_Michael-van-den-Assem--

Data is tegenwoordig ’s werelds meest waardevolle bezit. Hoogwaardige content, ‘personal records’, camera en foto beelden of de big data-initiatieven die als brug tussen IT en business worden gelegd: het is allemaal digitale informatie. Het is dan ook niet vreemd dat bedrijven zich steeds meer zorgen maken over de veiligheid van hun data. Onderzoek dat Interxion dit jaar heeft uitgevoerd bevestigt dat; een grote meerderheid van de middelgrote en grote financiële instellingen, overheidsorganisaties en IT-bedrijven maakt zich zorgen over een datalek of cyberaanval.

Doordat een steeds groter deel van de data van bedrijven in de cloud wordt opgeslagen, gaat de aandacht van deze bedrijven in eerste instantie uit naar virtuele beveiligingsmaatregelen. Met de adoptie van cloud computing hebben bedrijven steeds minder invloed op de manier waarop het beheer wordt uitgevoerd. Daarbij komt het feit dat veel cloud-achtige diensten gebaseerd zijn op het principe dat meerdere afnemers de onderliggende infrastructuur gedeeld gebruiken, om zo de voordelen van schaalgrootte ten volle te benutten. Hieruit leiden bedrijven af – overigens ten onrechte – dat anderen zich gemakkelijk toegang tot hun data kunnen verschaffen. De vereisten van de organisatie, de applicatie en de dataset bepalen of een cloud-dienst geschikt is en welke cloud-vorm dat moet zijn. Voor de meeste organisaties bestaat de beste oplossing uit een combinatie van een publieke cloud, een private cloud en infrastructuur die ‘on premise’ draait. Het is dan ook niet voor niets dat een dergelijke, hybride oplossing in meerdere onderzoeken als het meest gekozen uit de bus komt.

Virtueel en fysiek

Waar cloud-dienstverleners in principe zorgdragen voor de virtuele beveiliging, is de aanbieder van colocatie-datacenterdiensten waar de cloud-oplossing wordt gehuisvest verantwoordelijk voor de fysieke beveiliging. Ook ons nieuwste datacenter, AMS8 op de Schiphol Campus, moet daarom voldoen aan de hoogste beveiligingsrichtlijnen en heeft meerdere niveaus van beveiliging. Dit betekent ten minste ‘perimeter’ beveiliging van het terrein en bij de ingang, ‘mantraps’ in het datacenter, toegangssystemen bij de ingang naar de verschillende ruimtes in het datacenter, afgesloten datacenterkasten en biometrische controles zoals het scannen van de vinger. Niemand kan bovendien het terrein van een datacenter op of af zonder dat vooraf zijn of haar identiteit is vastgesteld door security. Bezoekers moeten sowieso vooraf worden aangemeld en alleen geautoriseerde personen hebben toegang tot de datavloer.

Blog-9-Beveiliging Maar de beveiliging van uw data gaat verder dan dat. Er zijn daarnaast nog additionele maatregelen getroffen die de veiligheid van de data in het datacenter waarborgen, zoals 24/7 cameratoezicht overal in en om het datacenter, in combinatie met gespecialiseerde beveiligers die de omgeving controleren. Binnen in het datacenter zijn de verschillende ruimtes afgesloten en zijn de klant, en eventueel de beheerder van het datacenter de enige sleutelhouders. Dat houdt in dat zelfs de medewerkers van het datacenter enkel toegang hebben tot de servers wanneer de klant daar toestemming voor geeft: zo is de eigenaar van de data verzekerd van een veilige omgeving.

Certificering

Net als bij ieder ander Interxion datacenter, zullen ook in AMS8 een aantal strikte normen worden gehandhaafd. Zo zijn de processen volgens ITIL-normen ingericht, zijn in de SLA garanties opgenomen over de stroomvoorziening, koeling en luchtvochtigheid, en zijn fysieke systemen en veiligheidsprocessen voorzien van het ISO 27001-certificaat voor informatiebeveiligingsmanagement en de BS25999-certificering voor het adequaat beheren en bewaken van zijn Business Continuity Managementsysteem. ISO 27001 is de meest vergaande internationale standaard voor fysieke systemen en fysieke veiligheidsprocessen. Het audit- en certificatieproces richt zich op alle aspecten van het datacenter, van fysieke infrastructuur en toegangsbeheer tot back-up systemen en de capaciteiten van het personeel. Bij processen gaat het ook om ogenschijnlijk logische gedragscodes die een bedreiging kunnen vormen voor de fysieke veiligheid van de data, zoals geen eten en drinken op de datavloer en geen brandbare materialen en stoffen binnen het datacenter. Een belangrijke vertrouwensfactor voor bedrijven dus.

Gelaagdheid

Wanneer iemand voor het eerst een van onze datacenters bezoekt is men over het algemeen onder de indruk van de zichtbare en merkbare veiligheidsmaatregelen. Dat komt doordat de beveiligingsmaatregelen in een onafhankelijk colocatie-datacenter normaal gesproken de beveiligingsmaatregelen van een bedrijf met een eigen on-site datacenter ver overstijgt. Dit uit zich vaak in een groter gevoel van vertrouwen bij het totale cloudconcept. En dat is logisch, aangezien de fysieke beveiligingsmaatregelen een stuk beter zichtbaar en meer tastbaar zijn dan de virtuele beveiligingsmaatregelen van cloud-providers en IT-dienstverleners. De beveiliging van de cloud beperkt zich echter niet tot alleen cybersecurity. Ook de fysieke locatie van ‘de cloud’ heeft een even fysieke beveiliging.

Michael van den Assem is Algemeen Directeur Interxion Nederland