Risicomanagement en informatiebeveiliging worden vaak overgeslagen.
Het trekken van een creditcard is vaak voldoende om zakelijke applicaties via de cloud beschikbaar te stellen. Het gevolg is dat bedrijfsgevoelige data zoals financiële gegevens of personeelsinformatie even- eens met enkele eenvoudige handelingen in de cloud komen te staan, zonder dat er een gedegen risicoafweging plaatsvindt en de benodigde beveiligingsmaatregelen worden genomen. Door tijdig in kaart te brengen welke data in de cloud mogen staan, kunnen onveilige situaties worden voorkomen.
Een applicatie die naar de cloud verhuist neemt haar data mee. Daarmee stuiten we direct op een probleem: in de cloud kan de ‘dataset’ niet meer meeliften op de controlemechanismen die een bedrijf heeft voorzien binnen het interne netwerk. Het is daarom de kunst om die sets te herkennen en als een losstaand geheel te zien, en te onderkennen dat aanvullende beveiligingsmaatregelen nodig zijn om die sets in het ‘Wilde Westen’ van het boze internet te beschermen.
Gouden zone
Een goede beveiliging begint echter bij een gedegen dataclassificatie. Zoals het gebruikelijk is om binnen het interne net- werk een ‘gouden zone’ te definiëren voor de kostbaarste kroonjuwelen, is het nu ook zaak om te bepalen welk type informatie beslist niet in de cloud mag staan. Zo zal Coca-Cola de ‘Coca-Cola-formule’ niet beschikbaar stellen via een publieke clouddienst; die moet binnen het eigen netwerk worden beveiligd en beschermd.
Private cloud
Daarna blijft er een verzameling data over die wel in de cloud mag staan, maar ook hier kan nog een tweedeling worden aan- gebracht. De data die misschien niet het predicaat ‘high secure’ maar wel het predicaat ‘secure’ krijgen, komen bij voorkeur in een private cloud te staan die door de eigenaar van de data kan worden gecontroleerd en die zich bij voorkeur binnen Nederland bevindt. Om er zeker van te zijn dat de cloud provider de integriteit, vertrouwelijkheid en beschikbaarheid van in- formatie goed heeft geregeld, is het goed om erop te letten dat de leverancier is gecertificeerd voor bijvoorbeeld ISO 27001, ISO 20000 en ISO 9001. Daarmee toont de leverancier aan de processen op orde te hebben. Bij voorkeur is de leverancier in staat om de beveiliging van de private cloud in te richten met zaken als firewallfunctionaliteit, Identity and Access Management, Intrusion Detection Prevention en Security Information and Event Management.
Publieke cloud
De data die niet als gevoelig worden gekwalificeerd kunnen probleemloos in een publieke cloud worden geplaatst, bijvoorbeeld van Amazon of Microsoft. Maar ook hier is het raadzaam om na te denken over de beveiliging. Zo kan er voor worden gekozen om een applicatie eerst dusdanig ‘volwassen’ te maken zodat zij in staat is om zichzelf en haar data te beschermen. Bijvoorbeeld een system integrator kan er voor zorgen dat de verschillende dien- sten die een bedrijf uit de cloud afneemt aan elkaar worden geknoopt zodat vanaf één punt kan worden ingelogd. Daar kunnen vervolgens nog zaken als logging en rapportage aan worden toegevoegd om risico’s en dreigingen snel in kaart te krijgen. Zo blijft de onderneming ook in de publieke cloud ‘in control’.
No comments!
There are no comments yet, but you can be first to comment this article.