Cloudsecurity: wie is waarvoor verantwoordelijk?

39 procent van de IT-beslissers verwacht dat providers de complete cloudsecurity voor hun rekening nemen… en dat doen ze meestal maar deels. Wie is verantwoordelijk voor welke cloudsecurity? En waar moet je vanuit securityoogpunt op letten bij het kiezen van een cloudprovider?

Steeds meer middelgrote organisaties zijn voor hun business afhankelijk van online services. Juist dan is het belangrijk om je cloudsecurity goed op orde te hebben. Wat zijn de gevolgen van slechte cloudsecurity? Jan Dolphijn, Security Expert bij NCOI, noemt er drie: “Het eerste gevolg is dat de cloudomgeving, inclusief de data en applicaties die daarop draaien, niet meer bereikbaar zijn. Dat is funest voor de businesscontinuïteit van een organisatie. Ten tweede komt de data-integriteit in het geding: buitenstaanders kunnen makkelijker bij jouw cloudgegevens. Ten derde kan data op straat komen te liggen door een datalek.” Dat is niet alleen schadelijk voor jouw klanten en reputatie, maar kan ook leiden tot forse AVG-boetes.

Gebruiker

“De verantwoordelijkheid voor de cloudsecurity ligt voornamelijk bij de gebruiker. Denk aan de toegangsauthenticatie en de veilige omgang met inloggegevens. Jij bent immers zelf verantwoordelijk voor al jouw applicaties en bedrijfsgegevens, ook de data in de cloud. Dus ga er niet blindelings vanuit dat jouw cloudprovider de security regelt”, zegt Jan Dolphijn, Security Expert bij NCOI. “Bovendien is de gemiddelde cloudprovider geen securityleverancier. Het aanbieden van security is eenvoudigweg niet haalbaar voor cloudproviders. Zij hebben immers geen controle over de aanpassingen die een bedrijf uitvoert op hun data of bijvoorbeeld de updates en plug-ins die je installeert.” 

Provider

Welk deel van de security regelt de cloudprovider dan wel? “De availability”, antwoordt Dolphijn. “Beschikbaarheid lijkt in eerste instantie geen onderdeel van security, maar is dat wel degelijk. Want wanneer jouw cloudomgeving niet beschikbaar is, ligt je business stil. Dat heeft een enorme impact. Niet voor niets richt veel cybercrime zich op het aantasten van de availability, bijvoorbeeld door middel van mail-spoofing of een DDos-aanval.” Deze activiteiten zorgen ervoor dat systemen overbelast worden en uitvallen. Wat regelt een cloudprovider nog meer? Hij zorgt dat andere cloudgebruikers niet bij jouw data kunnen door de cloudomgevingen van verschillende klanten te ‘sandboxen’. Het is dan onmogelijk om van de ene cloudomgeving applicatieaanvragen in een andere cloudomgeving te doen.

Aandachtspunten

Waar moet je vanuit security-oogpunt op letten bij het selecteren van een cloudprovider? “Let op de gegarandeerde uptime, die is essentieel voor de availability. En kijk verder dan de belofte; een cloudprovider kan wel 99,9999 procent uptime garanderen in zijn SLA, maar hoe gaat hij dit waarmaken? En wat gebeurt er als een provider deze belofte niet nakomt?” Ook de cloudcapaciteit speelt een belangrijke rol bij de uptime. “Te weinig capaciteit kan leiden tot langzame systemen of ontoegankelijke data en applicaties. Dat heeft weer invloed op de availability en jouw business.”

Je bent je als organisatie zelf verantwoordelijk voor jouw cloudsecurity. “Updaten is prioriteit nummer één”, zegt Dolpijn. “Door direct de beschikbare security-updates uit te voeren, voorkom je de meeste problemen. Update ook jouw plug-ins, dat wordt nogal eens vergeten. En zorg dat de gebruikersauthenticatie op orde is – niet alleen de techniek, maar ook de mindset van medewerkers. Weten ze welke risico’s ondoordachte handelingen met zich meebrengen? Door hun awareness te vergroten, kun je op een relatief snelle en eenvoudige manier het risico op cloudsecurity-issues verkleinen.”

Jouw security snel en eenvoudig naar een hoger plan tillen? Lees meer over onze Security Awareness Training.