Overslaan en naar de inhoud gaan

In vijf stappen naar een veilige public cloud security strategie

“Zorg dat je in control bent. Dat is de essentie van een veilige public cloud security strategie”, zegt Marc Guardiola, CISO bij managed service provider Solvinity. “Online dreigingen zullen nooit minder worden, hackers worden steeds professioneler. Daarom is het heel belangrijk om te snappen hoe verschillende applicaties draaien en waar data staat.”
‘Ik hoor regelmatig: Hardening doen we later wel.’

“De Cyber Security Raad (CSR) wijst al jaren op de kwetsbaarheid van Nederland. Vaak zijn de meest basale veiligheidsmaatregelen niet genomen, terwijl het niet zo ingewikkeld hoeft te zijn”, vervolgt Guardiola zijn verhaal. Volgens hem zijn er vijf stappen die elke organisatie zou moeten nemen om security & compliance in de public cloud te garanderen.

Verantwoordelijkheden
De basis moet allereerst op orde zijn. Dat begint met het afbakenen van wie welke verantwoordelijkheden heeft. “Organisaties kunnen kiezen voor een IaaS-, PaaS- of SaaS-oplossing. Bij elke vorm liggen verantwoordelijkheden anders. Wil een klant veel vrijheid dan heeft hij ook veel eigen verantwoordelijkheid”, zegt Guardiola.

Een andere vorm van demarcatie is weten waar welke data staat. Guardiola: “Bedrijven moeten heel bewust nadenken hoe belangrijk sommige data voor ze is en op basis daarvan een keuze maken waar en hoe je data opslaat. Ook geldt er wet- en regelgeving om rekening mee te houden.”

Een volgende stap is de beveiliging. Guardiola: “Het veilig vanaf de basis opbouwen van je IT noemen wij ‘secure by design’. Segmentatie en hardening zijn onderdelen van secure by design. Door segmentatie draaien er niet meerdere apps in hetzelfde stukje netwerk. Daarnaast is hardening van belang: software-vendoren configureren hun software regelmatig zodat het makkelijk werkt. Dat is voor hen goed te vermarkten, maar regelmatig worden deze standaard features helemaal niet gebruikt. Organisaties moeten zich altijd afvragen: wat gebruiken wij echt en is noodzakelijk? Dit klinkt logisch, maar vaak heeft het een lage prioriteit. En staat een applicatie eenmaal live dan sleutelen veel organisaties er niet meer aan. Ik hoor regelmatig: “Hardening doen we later wel.”

Awareness & compliance
Waar mensen werken, worden fouten gemaakt. Naast het regelmatig uitvoeren van updates door de IT-afdeling doe je er daarom goed aan de toegang tot data per persoon te limiteren. “Hiermee verlaag je het risico van een datalek door menselijk toedoen aanzienlijk”, zegt Guardiola.

Maar met technische oplossingen alleen ben je er niet. De volgende stappen, awareness en compliance, liggen in het verlengde van het securitybeleid en zijn de verantwoordelijkheid van de gehele organisatie. “Je moet ervoor zorgen dat je processen op orde zijn en voldoen aan de wet- en regelgeving. Hoe ga je om met data? Maar ook: hoe herken je criminele e-mails? Maak medewerkers bewust. Er zijn mensen die zeggen dat het passé is, maar wij zien nog steeds dat het trainen van mensen en het doen van phishing-tests werkt.”

De laatste stap is de kennis op niveau houden. “Security is een specialisme en kan duur zijn om zelf te doen als het niet je core business is. Wanneer je IT uitbesteed aan een betrouwbare en ervaren partner als Solvinity profiteer je van ons schaalvoordeel. Wij hebben te maken met de omstandigheden van veel uiteenlopende klanten, waardoor wij continu doorleren en vernieuwen en zo veilig zijn als onze strengste klant. Dat is ook zo leuk aan het werken bij Solvinity: wij zitten altijd dicht op de bal.”

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in