Het aantal bedrijven dat naar de cloud migreert, neemt in rap tempo toe. Maar migreren naar de cloud wil niet zeggen dat ook de verantwoordelijkheid voor de veiligheid van uw software en data meeverhuist. Integendeel…
Vanuit het overheidsadvies om zoveel mogelijk thuis te werken, is de grote migratie naar de cloud goed te begrijpen. Het is voor een organisatie van belang dat werknemers goed in staat zijn om vanuit huis toegang te krijgen tot de informatie die nodig is om te kunnen werken. Veel bedrijven staan voor de keuze om de bestaande interne infrastructuur, zoals servers, uit te breiden met VPN toegangsmogelijkheden of de stap naar de cloud te maken. Voor e-mail en videoconferencing gold dat al, maar nu gaan de rest van de systemen ook naar de cloud.
Systeembeheerder wordt cloudmanager
De vraag is hoe we dat allemaal kunnen beveiligen. De hardware in de cloud is het probleem niet. Dat wordt door het personeel van de cloudprovider geregeld. Je hoeft dus zelf niet meer bij te houden wanneer een device moet worden vervangen of in de gaten te houden wanneer een harde schijf vol is of kapot.
Dat betekent wel dat de rol van systeembeheerder verandert naar een cloudmanager. En de cloud is een complex systeem dat, met zijn talrijke opties, lastig is om volledig te doorgronden. Ga zelf maar na: voorheen was het hele interne netwerk van een organisatie maatwerk. De cloud is een generiek systeem voor een groot aantal organisaties die bij voorkeur nog steeds hetzelfde willen als in de maatwerkperiode. En een complex systeem betekent dat als je een instelling wijzigt, er ergens anders misschien ook iets verandert.
Kwetsbaarheid blijft
Omdat de cloud eigenlijk niets meer of minder is dan andermans computer, zijn kwetsbaarheden als malware of datalekken nog steeds aanwezig. De noodzaak voor goede awareness-trainingen blijft dus gewoon bestaan. Er zijn wel mogelijkheden om met ingebouwde logsystemen alles te in de gaten te houden zodat afwijkingen snel gedetecteerd kunnen worden. Maar als je als organisatie voorheen geen SIEM-systemen gebruikte, zijn de geboden mogelijkheden de bomen die het bos onzichtbaar maken. Dat geldt zeker ook voor de systeembeheerder die zijn of haar rol zag wijzigen en niet om deze extra werkzaamheden zit te springen.
Cloud based applicaties
Tot nu toe hebben we het alleen gehad over de migratie van servers naar de cloud, maar de trend om applicaties naar de cloud te migreren zet ook door. Als de servers naar de cloud kunnen, dan is de volgende stap om alleen nog cloud based -pplicaties te gaan gebruiken snel gemaakt. Want waar vroeger een Exchange-server in de serverruimte stond, leest nu iedereen de email via Gmail of Outlook in Office365. Dat is natuurlijk een mooie ontwikkeling, maar roept ook een aantal vragen op:
- Bent u nog in staat om te bepalen of iemand een mail met al uw klantgegevens verstuurde naar uw concurrent? En is dat nog te achterhalen in de logs?
- Hoe zit het met de privacy? Kunt u uw gegevens zomaar bij een extern (Amerikaans) bedrijf plaatsen zonder dat u de AVG schendt?
- Heeft u een DPIA uitgevoerd op uw cloud provider? Heeft u daar überhaupt bij stil gestaan?
Veiligheid van applicaties onder druk
Voor bedrijven die software ontwikkelen gaat het zelfs nog verder. Het oude systeem met een monolitische applicatie die met een database communiceert, is niet meer van deze tijd. Tegenwoordig hebben we functies die alleen bestaan als ze worden aangeroepen, zoals Lambda. Die maken gebruik van data waarvan niet bekend is waar deze zich fysiek bevindt. Volledige applicaties worden ondergebracht in containers en dat betekent veel extra complexiteit.
Het lijkt af en toe wel alsof de mogelijke architecturen elkaar zo snel opvolgen dat developers niet meer zijn op te leiden. De vooruitgang brengt ook een heel ander beveiligings- model met zich mee, die vraagt om specialisten met specifieke kennis van de cloud. En omdat het opleveren van features nog steeds meer prioriteit heeft dan veiligheid, staat de vanzelfsprekendheid dat bruikbare software ook veilige software is constant onder druk.
Wat is uw verantwoordelijkheid?
Kortom, door naar de cloud te migreren is het niet zo dat ook uw informatiebeveiliging volledig door de hostingpartij wordt geregeld. U bent en blijft zelf verantwoordelijk voor het analyseren en mitigeren van de risico’s. Zeker als informatie die noodzakelijk is voor uw kernactiviteiten, in de cloud staat, is het van levensbelang om informatiebeveiliging als een continu proces aan te vliegen. Dat betekent dat technische controles zijn ingeregeld, processen zijn uitgewerkt en regelmatig aan de bewustwording wordt gewerkt.
Dit artikel is gesponsord door Onyx Cybersecurity