Data zijn het nieuwe goud. Ook voor cybercriminelen die waardevolle data buitmaken om er zelf beter van te worden. Optimale beveiliging van data en bedrijfssystemen is dan ook cruciaal. Of ze nu binnen de muren van het bedrijfspand staan, of in de cloud. Tech Data zet de antwoorden op onderstaande vragen op een rij, voor meer zekerheid over de security van bedrijfsdata in de cloud.
1. Is de cloudserviceprovider verantwoordelijk voor de security van mijn clouddata?
De verantwoordelijkheid voor het beveiligen van data in de cloud rust niet alleen op de schouders van een cloudserviceprovider. Zie het als een gezamenlijke inspanning. Wel mag een organisatie van haar provider verwachten dat er strenge securitymaatregelen worden getroffen. Zo maken Microsoft en Amazon gebruik van zelf ontwikkelde tools voor identificatiebeheer om ervoor te zorgen dat alleen de juiste mensen toegang hebben tot gevoelige data.
Het is altijd goed om na te gaan of de cloudserviceprovider beschikt over securitycertificeringen die aantonen op welke wijze de leverancier de veiligheid van klantdata heeft geborgd.
2. Wat wordt er dan van mijn organisatie verwacht op dit gebied?
U kunt meerdere maatregelen treffen om data extra te beveiligen. Zo is het maken van een back-up een essentiële voorzorgsmaatregel. Het verlies van data kan namelijk verstrekkende gevolgen hebben. Wanneer door een incident bij de cloudprovider data verloren gaan, is het handig om op een andere locatie nog een back-up te hebben van de gegevens. Zo hoeft de organisatie operationeel weinig last te hebben van de hack.
Een andere cruciale voorzorgsmaatregel is het versleutelen van data, zowel tijdens het transport naar de cloud als tijdens de opslag in de cloud. Worden er data buitgemaakt tijdens een hack, dan is de kans groot dat de criminelen er niets mee kunnen.
Het spreekt voor zich dat er een stevig wachtwoordenbeleid wordt gehanteerd met het liefst tweefactorauthenticatie. Daarnaast zijn extra securitymaatregelen zoals een antivirusprogramma zeker aan te raden.
3. Kunnen we alle bedrijfsdata zomaar in de cloud opslaan?
Er zijn twee belangrijke overwegingen bij de opslag van data in de cloud. Dat is op de eerste plaats de bescherming van de data. Daarbij gaat het om de vertrouwelijkheid, integriteit en beschikbaarheid. Data moeten idealiter geclassificeerd worden om te kunnen bepalen welke data wel en niet in de cloud kunnen worden opgeslagen.
De tweede overweging is de opslaglocatie. Wanneer een organisatie data in een cloud opslaat, is het belangrijk om zo goed mogelijk inzichtelijk te hebben wáár die data precies staan. Zeker als het om bijvoorbeeld privacygevoelige data gaat. Klakkeloos opslaan op een publieke cloudserver die wellicht in Amerika staat, is dan geen handige zet. Gelukkig hanteren grote leveranciers zoals Microsoft ‘regio’s’ waarbij klanten de garantie hebben dat hun data in een datacenter nabij staan en ze compliant zijn met wet- en regelgeving.
4. Waarom is het zo belangrijk om extra aandacht te besteden aan security in de cloud?
De cloud
biedt organisaties veel gemak en vaak ook kostenvoordelen. Maar bij de keuze
voor een publieke cloud verdwijnen vaak het zicht en de grip op de
bedrijfsdata. Zeker als gegevens in een multitenantomgeving worden opgeslagen –
waarbij meerdere klanten gebruikmaken van dezelfde server – is het altijd
spannend of niet per ongeluk iemand anders zomaar bij de data kan.
Sinds de invoering van de AVG zien we herhaaldelijk in het nieuws dat data door
kwetsbaarheden in systemen of onduidelijkheid over verantwoordelijkheden op
straat liggen. Onder meer hoge boetes en reputatieschade kunnen het gevolg
zijn.
Het is daarom goed om vooraf grondig na te denken welke cloud het beste past bij de data die opgeslagen moeten worden. Ga ook na welke toegangscontroles de leverancier hanteert en hoe de systemen van de leverancier worden beschermd tegen kwetsbaarheden en kwaadwillenden.
5. Is het opslaan van data in de cloud dan wel zo’n goed idee?
Opslag in de cloud biedt vele voordelen. Maar voordat overhaast de stap naar de cloud wordt gemaakt, is het raadzaam om een aantal zaken te regelen op het gebied van security en een aantal mogelijke kwetsbaarheden of lekken te dichten. Dit lijkt een open deur, maar blijkt in de praktijk een uitdaging. Security is vaak een ondergeschoven kindje in de migratie naar de cloud. De IT-afdeling moet vanaf de start bij het migratietraject betrokken worden, omdat zij kan helpen bij het inschatten van mogelijke risico’s. Tegelijkertijd moet de overstap niet nodeloos moeilijker worden gemaakt. Bedenk hoe de data nu inpandig worden beveiligd en welke controles en maatregelen u kunt treffen om data te beschermen en de toegang hiertoe te beheren. Vervolgens moet u kijken naar de manier waarop deze stappen kunnen worden gerepliceerd in een cloudomgeving, zodat u uw data goed beveiligt.