In vijf stappen naar een veilige public cloud security strategie

“De Cyber Security Raad (CSR) wijst al jaren op de kwetsbaarheid van Nederland. Vaak zijn de meest basale veiligheidsmaatregelen niet genomen, terwijl het niet zo ingewikkeld hoeft te zijn”, vervolgt Guardiola zijn verhaal. Volgens hem zijn er vijf stappen die elke organisatie zou moeten nemen om security & compliance in de public cloud te garanderen.

Verantwoordelijkheden
De basis moet allereerst op orde zijn. Dat begint met het afbakenen van wie welke verantwoordelijkheden heeft. “Organisaties kunnen kiezen voor een IaaS-, PaaS- of SaaS-oplossing. Bij elke vorm liggen verantwoordelijkheden anders. Wil een klant veel vrijheid dan heeft hij ook veel eigen verantwoordelijkheid”, zegt Guardiola.

Een andere vorm van demarcatie is weten waar welke data staat. Guardiola: “Bedrijven moeten heel bewust nadenken hoe belangrijk sommige data voor ze is en op basis daarvan een keuze maken waar en hoe je data opslaat. Ook geldt er wet- en regelgeving om rekening mee te houden.”

Een volgende stap is de beveiliging. Guardiola: “Het veilig vanaf de basis opbouwen van je IT noemen wij ‘secure by design’. Segmentatie en hardening zijn onderdelen van secure by design. Door segmentatie draaien er niet meerdere apps in hetzelfde stukje netwerk. Daarnaast is hardening van belang: software-vendoren configureren hun software regelmatig zodat het makkelijk werkt. Dat is voor hen goed te vermarkten, maar regelmatig worden deze standaard features helemaal niet gebruikt. Organisaties moeten zich altijd afvragen: wat gebruiken wij echt en is noodzakelijk? Dit klinkt logisch, maar vaak heeft het een lage prioriteit. En staat een applicatie eenmaal live dan sleutelen veel organisaties er niet meer aan. Ik hoor regelmatig: “Hardening doen we later wel.”

Awareness & compliance
Waar mensen werken, worden fouten gemaakt. Naast het regelmatig uitvoeren van updates door de IT-afdeling doe je er daarom goed aan de toegang tot data per persoon te limiteren. “Hiermee verlaag je het risico van een datalek door menselijk toedoen aanzienlijk”, zegt Guardiola.

Maar met technische oplossingen alleen ben je er niet. De volgende stappen, awareness en compliance, liggen in het verlengde van het securitybeleid en zijn de verantwoordelijkheid van de gehele organisatie. “Je moet ervoor zorgen dat je processen op orde zijn en voldoen aan de wet- en regelgeving. Hoe ga je om met data? Maar ook: hoe herken je criminele e-mails? Maak medewerkers bewust. Er zijn mensen die zeggen dat het passé is, maar wij zien nog steeds dat het trainen van mensen en het doen van phishing-tests werkt.”

De laatste stap is de kennis op niveau houden. “Security is een specialisme en kan duur zijn om zelf te doen als het niet je core business is. Wanneer je IT uitbesteed aan een betrouwbare en ervaren partner als Solvinity profiteer je van ons schaalvoordeel. Wij hebben te maken met de omstandigheden van veel uiteenlopende klanten, waardoor wij continu doorleren en vernieuwen en zo veilig zijn als onze strengste klant. Dat is ook zo leuk aan het werken bij Solvinity: wij zitten altijd dicht op de bal.”