Loop niet achter de feiten aan met cloud-beveiliging – omarm het vanaf dag één

De cloud is inmiddels alom geaccepteerd als methode om ICT-diensten aan te leveren, maar biedt veel meer dan dat. Cloud computing verandert ook de traditionele leveringsmodellen door ze flexibeler te maken, zodat ze het karakter van een nutsdienst krijgen. De cloud bevordert daarmee innovatie en zakelijke transformatie en geeft bovendien een nieuwe invulling aan de rol van de ICT-afdeling. De beveiliging van de cloud blijft voor veel organisaties een topprioriteit, en niet zonder reden: cloud-omgevingen hebben namelijk te maken met dezelfde beveiligingsrisico’s als datacenters.

In een recent onderzoek van Harvard Business Review Analytic Services in opdracht van Verizon, gaven respondenten van grote en middelgrote ondernemingen aan dat veiligheid géén reden is om workloads niet naar de cloud te verhuizen. De meerderheid gelooft dat de cloud hun veiligheid niet negatief beïnvloed (65 procent) en dat in sommige gevallen de cloud zelfs de veiligheid verbeterd (36 procent). Het is waar dat de veiligheid van de zakelijke cloud niet langer een barrière is voor cloud adoptie, maar dit betekent niet dat ondernemingen cloud-beveiliging moeten negeren als ze infrastructuur- en serviceleveranciers in overweging nemen.

Succes staat of valt met beveiliging — stel daarom de juiste vragen

Managers die verantwoordelijk zijn voor de inkoop van ICT-oplossingen moeten hun cloud-leverancier flink aan de tand voelen en uitsluitend genoegen nemen met transparante antwoorden op hun vragen. Niet alle workloads vragen om dezelfde beveiliging, maar het is belangrijk dat inkopers goed op de hoogte zijn van alle risico’s.

Cloud-omgevingen kennen dezelfde beveiligingsrisico’s als datacenters. Worden ze op juiste wijze geconfigureerd, gepatcht en bewaakt? Worden de workloads beschermd door firewalls, intrusion prevention- en denial of service-oplossingen? En hoe zit het met de fysieke beveiliging?

Cloud-oplossingen zijn evenmin immuun voor menselijke factoren. Bedrijven moeten hun cloud-aanbieder dezelfde vragen voorleggen als een leverancier van traditionele datacenters. Hoe bewaakt en beperkt de cloud-aanbieder de toegang van zijn personeel tot klantengegevens? Welke bescherming biedt de leverancier tegen de schade die een onzorgvuldige of kwaadwillende werknemer kan veroorzaken?

Effectief risicobeheer omvat veel meer

De risico’s rond de cloud beperken zich niet tot databeveiliging en privacybescherming. Bedrijfsgegevens mogen dan veilig blijven in het geval van een storing, maar dat is een schrale troost als bedrijven met honderden geïrriteerde werknemers en klanten te maken krijgen. En dan hebben we het nog niet eens over de schade die dit kan opleveren voor het imago van een bedrijf.

De volgende zaken zouden bovenaan het verlanglijstje moeten staan wanneer een nieuwe cloud-aanbieder wordt overwogen:

• Transparantie: De enige manier om grip te houden op de dienstverlening van een cloud-aanbieder is om te beschikken over actuele en volledige managementinformatie. Het is daarom belangrijk een leverancier te kiezen die operationele, rapportage- en monitoring dashboards biedt, zodat organisaties optimaal kunnen toezien op de cloud-dienst en naleving van de SLA’s.
• Leverancierszekerheid: Het onderbrengen van bedrijfsapplicaties en –gegevens bij een externe leverancier roept automatisch vragen op over de financiële levensvatbaarheid van die partij. Kan de leverancier de beschikbaarheid en continuïteit van cloud-diensten in de relevante regio’s garanderen? Beschikt het bedrijf over voldoende kapitaal, bedrijfsmiddelen en schaalomvang om als partner voor de lange termijn te fungeren? Organisaties moeten over een ‘plan B’ beschikken, zodat hun diensten operationeel blijven wanneer een dienstverlener zijn activiteiten plotseling staakt en moeten nagaan in hoeverre zij vastgepind zitten aan de technologie in de cloud van deze partij.
• Privacy en compliance: Er kan wet- en regelgeving van toepassing zijn op applicaties en data in de cloud. Organisaties moeten daarom nagaan of de leverancier hen kan helpen met de naleving van deze richtlijnen. Voldoet deze aanbieder aan alle relevante normen? Een cloud-aanbieder die betalingsgegevens verwerkt, moet bijvoorbeeld voldoen aan de PCI Data Security Standard (DSS). En hoe zit het met de wetgeving rondom gegevensbescherming? Kan de leverancier verzekeren dat de bedrijfsgegevens alleen in bepaalde rechtsgebieden worden opgeslagen indien de regelgeving dat voorschrijft?

Stel de beveiliging van meet af aan centraal

Goede cloud-beveiliging moet vanaf dag één aanwezig zijn. Dat zal de kans dat in de toekomst voortdurend brandjes moeten worden geblust aanzienlijk verkleinen.

Er zijn talloze vormen van cloud-oplossingen en elke oplossing heeft verschillende niveaus (en types) van beveiliging. IT-beslissers moeten serieus nadenken over welke mate van beveiliging ze nodig hebben om data, zoals bedrijfsinformatie, klantinformatie en analyses, veilig te bewaren.

Het komt er dus op neer dat het veilig bewaren van data in de cloud veel inzicht en betrokkenheid vereist. Het is voor managers van belang dat zij het risicoprofiel van elke workload in de cloud begrijpen. Daarbij moeten zij ook de juiste protocollen toepassen zodat elke specifieke beveiligingsbehoefte wordt geadresseerd.

Het lijkt logisch dat het belangrijk is om een cloud-leverancier te kiezen die veiligheid begrijpt. Een cloud-aanbieder is dan ook genoodzaakt een veelzijdige aanpak te bieden om zakelijke data veilig in de cloud te bewaren. Belangrijk daarbij is:

• Het opzetten van een gelaagde beveiligingsstrategie die begint met een onderliggende beveiligde netwerkbackboneen onder andere multifactor authenticatie, functie-gebaseerde toegangscontrole en log-monitoring en management omvat, naast andere veiligheidsactiviteiten.
• De cloud-leverancier moet bereid zijn om transparant te zijn en diepgaand inzicht te bieden in waar de data zich bevinden en waar transacties plaatsvinden.
• De cloud-aanbieder moet blijven investeren in zakelijke managed cloud-diensten
• De beschikbaarheid van een hybride cloud-oplossing, die data beveiligd die over het publieke internet gaat.

ICT-afdelingen herwinnen hun grip op de cloud

Het rapport ‘State of the Market: Enterprise Cloud 2014’ van Verizon bevestigt dat de cloud bedrijfstransformatie in de hand werkt. De onderzoeksbevindingen en praktijkervaringen van Verizon wijzen er bovendien op dat de ICT-afdeling deze transformatie opnieuw goed onder controle heeft.

De afgelopen jaren is er veel discussie geweest rond het fenomeen ‘schaduw-ICT’. Dit houdt in dat zakelijke besluitvormers, programmeurs en eindgebruikers technologische oplossingen aanschaffen buiten het toeziend oog van de ICT-afdeling. De ICT-afdeling wordt door beoefenaars van schaduw-ICT gezien als een partij die met alle macht vasthoudt aan haar rol van eigenaar en bewaker van de infrastructuur en verzoeken om nieuwe ICT-oplossingen te pas en te onpas van de hand wijst.

Het is waar dat veel ICT-afdelingen zich in de begindagen van de cloud bleven concentreren op hun kerninfrastructuur en operationele rol. Ze waren niet voorbereid op het inkopen, beheren en beschikbaar stellen van cloud-diensten. Het kostte hen ook veel tijd om zich de hiervoor benodigde commerciële, juridische, overheids- en beheervaardigheden eigen te maken. Inmiddels zijn er branchestandaarden op dit gebied ontwikkeld en hebben cloud-aanbieders hun dienstenaanbod transparanter gemaakt, zodat beide kampen elkaar veel beter begrijpen.

ICT-afdelingen hebben ingrijpende veranderingen doorgemaakt. Terwijl de cloud zich van een experimenteel platform voor test- en programmeerdoeleinden ontwikkelde tot een oplossing voor het hosten van bedrijfskritische workloads, hebben CIO’s en hun teams niet stilgezeten. ICT-afdelingen hebben de kansen die de cloud te bieden heeft omarmd en een nieuwe invulling gegeven aan hun rol binnen de organisatie.

ICT-afdelingen hebben het afgelopen jaar hun investeringen in de cloud opgevoerd en hun specificatie- en selectieprocedures aangescherpt. De bestedingen van bedrijven aan de cloud zijn met maar liefst 38% gegroeid ten opzichte van vorig jaar.

Blijf vragen om krachtiger beveiliging

De beveiliging, ICT-activa en netwerkbronnen vormen de drie pijlers van een cloud-oplossing van grootzakelijke kwaliteit. De beveiliging wordt steeds belangrijker nu organisaties bedrijfskritische data zoals klantengegevens en intellectueel eigendom in de cloud onderbrengen. De beste cloud-aanbieders onderkennen het belang van veilige netwerkverbindingen. Verizon Cloud, Microsoft Azure en Amazon Web zijn daarom stuk voor stuk verbonden met het veilige en krachtig presterende Private IP-netwerk van Verizon. Dit maakt het mogelijk om gegevens snel en veilig tussen clouds te verplaatsen.

Ondanks de veranderende verwachtingen ten aanzien van de beveiliging van de cloud blijft de bescherming van bedrijfsgegevens van het allergrootste belang. Bedrijven moeten hun cloud-aanbieder vragen om krachtiger beveiliging. Inzicht krijgen in de juiste beveiligingsaanpak en met een leverancier van cloud-infrastructuren samenwerken aan de toepassing van de juiste beveiligingsmethodieken zijn belangrijke uitgangspunten bij elke overstap naar de cloud.