Overslaan en naar de inhoud gaan

7 kritische factoren voor een veilige public cloud strategie

Regelmatig nog kijken organisaties eerst of een omgeving of applicatie kan draaien in public cloud en naderhand pas naar informatiebeveiliging. Terwijl security en compliance de basis moet zijn van waaruit applicaties worden opgebouwd en data wordt beheerd.

Het is immers een stuk moeilijker en kostbaarder om met ‘reversed engineering’ veiligheid in je applicatiestack en cloud infrastructuur in te brengen, en dan hebben we het nog niet eens over de gevolgen en kosten die gepaard gaan met een datalek. Daarom zeven aandachtspunten om in ogenschouw te nemen bij het verbeteren van de security en compliance van jouw cloud landschap.

  1. Verantwoordelijkheid

De diensten van cloud service providers zijn de facto veilig en worden regelmatig getoetst door externe partijen. De audit rapporten zijn toegankelijk voor iedereen en bieden je veiligheid tót het niveau waarvoor de Cloud Service Provider (CSP) verantwoordelijk is. Maar de resources en data die je als organisatie zelf inbrengt, daar ben je volgens het shared responsibility model zelf verantwoordelijk voor. Zorg daarom dat je per dienst inzichtelijk hebt wat de CSP doet en wat jij zelf nog moet doen.

  1. Verdeel en heers

Het opbreken van monolithische applicaties in zogenoemde microservices vergemakkelijkt het tussentijds verbeteren van een service en verlaagt de impact bij niet beschikbaarheid van de applicatie. Dit architectuurconcept kun je ook goed toepassen op security binnen public cloud. Zet je alle data op een plek met een toegangspolicy voor iedereen of ga je granulair te werk? Pas je op elk bestand of map een minimale toegangspolicy toe? Denk hier vooraf al goed over na, zodat je de impact in geval van een onverhoopt datalek tot een minimum beperkt. Bedenk daarbij dat elke security architectuurkeuze ook een kostenafweging is.

  1. Compliance

Afhankelijk van bijvoorbeeld type applicatie of de branche krijgt compliance een andere invulling. Inventariseer daarom welke compliance-eisen voor jouw organisatie gelden, bekijk welke services van de CSP je wilt gebruiken om je doelstellingen te behalen en leg die naast elkaar.

  1. Automation

Kies bewust voor volledige automatisering van security & compliance en neem dit als onderdeel op binnen je ‘cloud first’ strategie. “Infra as code” biedt significante voordelen zoals kostenbesparingen, verminderde foutgevoeligheid en een hoger niveau van security en compliance. Het wordt makkelijker, sneller en dus goedkoper om audits te doorlopen en je kunt versneld en toetsbaar change- en configuratiemanagement uitvoeren.

  1. Beveiligingsrichtlijnen

Cloud Service Providers bieden een groot aantal beveiligingsdiensten aan, die je ontlasten op het gebied van informatiebeveiliging. Dit is geen statisch geheel; de ontwikkelingen volgen elkaar in razend tempo op en de zogenaamde ‘best-practices’ worden regelmatig bijgewerkt. Zorg ervoor dat je deze kennis continu goed bij houdt. Wat ons brengt op het volgende punt: training.

  1. Training

Security en compliance zijn specialismen die, wanneer onvoldoende beheerst, een negatieve impact kunnen hebben op de kwaliteit van informatiebeveiliging en de kosten op langere termijn. Het vergt de benodigde technische kennis en ervaring om telkens die keuze te maken die het beste bij de doelstellingen van jouw organisatie past. Kennis up-to-date houden is dus essentieel vanuit security of compliance overwegingen, maar ook vanuit kostenoogpunt: elke innovatie kan betekenen dat je geld kunt besparen of dat je ineens beduidend duurder uit bent met de eerder gekozen aanpak en tools. Zorg daarom voor een continue investering in deze kennis en expertise.

  1. Security Awareness

Naast de meer technische kennis en ervaring voor een goed ontwerp en soepele implementatie, zijn er de medewerkers of klanten die de systemen gebruiken. Elke organisatie is gebaat bij medewerkers die weten hoe zij veilig werken in de public cloud, zich bewust zijn van de risico’s en weten hoe te acteren wanneer er onverhoopt toch iets misgaat. Investeer daarom in de educatie van medewerkers, zoals het uitvoeren van zogenaamde phishing-tests en effectieve en toegankelijke trainingsmodules, die je kunt aanpassen aan de behoeften van jouw organisatie.

Zo veilig als de strengste klant
Het hoge expertiseniveau in combinatie met het bijhouden van de snelle ontwikkelingen maken informatiebeveiliging voor veel organisaties een complexe aangelegenheid. De business case om uit te besteden aan een betrouwbare en ervaren partner kan dan interessanter blijken dan het in eigen beheer opzetten en innoveren. Een managed service provider (MSP), met security als kerntaak, bouwt jarenlang ervaring op en blijft continu doorleren en vernieuwen. Het bijkomende grote voordeel is dat organisaties, door het portfolio van uiteenlopende klanten van een MSP, mee kunnen liften op de best-practices: een MSP is zo veilig als zijn strengste klant.

Meer weten?

Bekijk ook dit webinar over Security & Compliance in de public cloud:

Of beluister onze podcast over SOC compliance in Azure:

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in