Steeds meer organisaties maken gebruik van de cloud. Niet alleen voor applicaties, maar ook voor dataopslag. De cloud maakt organisaties flexibeler, want het maakt niet meer uit waar medewerkers hun werk doen. Via de pc, smartphone of laptop. Op kantoor, onderweg en thuis. Daarnaast betaal je in de cloud alleen voor wat je daadwerkelijk gebruikt. Het kan dus veel goedkoper voor je uitpakken. Maar werken in de cloud brengt ook beveiligingsrisico’s met zich mee. Waarmee moet je rekening houden?

Welke aspecten spelen een rol bij veiligheid van je cloud-omgeving?

Wij vroegen onze collega en cloud expert, senior consultant Tommy Menheere, ons meer te vertellen over veiligheid en de belangrijkste kwetsbaarheden in de cloud. Hij onderscheidt daarbij verschillende factoren en risico’s die voor kwetsbaarheden kunnen zorgen:

Menselijke risico’s

Eén van de grootste risico’s in de cloud ligt op het menselijke vlak. Welke beveiligingsmaatregelen je ook neemt, het succes daarvan wordt grotendeels bepaalt door je medewerkers. Zoals we weten: de gebruikers zijn de zwakste schakel. En de strijd tussen veiligheid en gebruikersgemak valt niet altijd uit in het voordeel van de eerste. Wanneer je medewerkers niet zorgvuldig genoeg met je gegevens omgaan, is je beveiliging al snel zo lek als een mandje. Toch is het lang niet altijd kwade wil als medewerkers onzorgvuldig omgaan met data of toegang tot apps: het kan natuurlijk ook gewoon zo zijn dat zij niet voldoende onderlegd zijn om om te gaan met moderne IT-systemen.

Veilige hosting bij je provider

Een andere vraag die je jezelf moet stellen, is: hoe veilig zijn jouw gegevens bij de cloudprovider? Slaan zij de gegevens veilig op? En in welk land? Voldoen zij aan de wettelijke eisen die gesteld worden aan de GDPR (vanuit Europa) of de AVG (vanuit Nederland)? En: hoe gaan zij om met verzoeken tot het vrijgeven van gegevens van de rechterlijke macht of de overheid?

Wanneer Amazon, Microsoft of Google je cloudprovider is, kun je ervan uitgaan dat je gegevens veilig zijn. Let er wel op dat het Amerikaanse bedrijven zijn en dus vanuit de Amerikaanse overheid dataverzoeken kunnen ontvangen. Maar zij zijn natuurlijk niet de enige cloudproviders. Het aanbod is enorm: naast deze grote drie zijn er veel kleinere aanbieders, zoals DigitalOcean, en providers uit China en Rusland. Het is daarom belangrijk om altijd te onderzoeken wat het trackrecord van de cloudprovider van je keuze is. Aan welke (wettelijke) eisen voldoen zij? Waar wordt je data opgeslagen? Beschikken ze over de juiste certificeringen?

Veiligheid van de technologie

Als je medewerkers te vertrouwen zijn met je data en de gegevens van je klanten op een veilige plaats worden opgeslagen, is er nog een derde aspect dat erg belangrijk is voor de veiligheid van je cloudomgeving. Dat is de beveiliging van de technologie. Hoe veilig zijn de diensten van de cloudprovider en hoe gaan zij om met zaken als patches en security-updates?
De diensten van de grote 3 (Amazon, Microsoft en Google) zijn over het algemeen goed beveiligd. Zij regelen ook patches en security-updates snel wanneer er kwetsbaarheden opduiken. Toch is het bij het afsluiten van het contract belangrijk hier aandacht aan te besteden. Worden beveiligingsupdates en patches automatisch door de provider geïnstalleerd of moet je zelf het initiatief nemen? En ben je in staat om deze werkzaamheden op te nemen in je eigen processen?

Daarnaast ben je als organisatie natuurlijk ook verantwoordelijk voor applicaties die je zelf ontwikkeld hebt (of hebt laten ontwikkelen) en die je in de cloud host. Hou je voldoende bij wanneer software verouderd is of een kwetsbaarheid bevat? Wordt dit automatisch gemonitord of gebeurt dit handmatig? En beschik je dan over de kennis en capaciteit om efficiënt te updaten of te patchen?

Back-ups

Ook de manier waarop jouw gegevens worden geback-upt is een belangrijke factor bij beveiliging. Moet je zelf back-ups inregelen of doet je cloudprovider dat voor je? En als deze verantwoordelijkheid bij de provider ligt: waar maakt hij back-ups van en hoe? Hoe lang worden die ze bewaard? En hoe kunnen back-ups teruggezet worden in geval van een calamiteit?

Praktische tips voor veilig werken in de cloud

Nu je een globaal beeld hebt van de kwetsbaarheden en beveiligingsrisico’s waar je mee te maken krijgt als je in de cloud werkt, wil je natuurlijk ook weten hoe je jouw risico’s zo ver mogelijk kunt beperken. Dat vertellen we je in deel 2 van deze serie.