Gedegen strategie biedt controle in de cloud


Steeds meer organisaties raken doordrongen van het feit dat de cloud niet alleen gemak biedt maar ook beveiligingsrisico’s introduceert. Het bepalen van een strategie helpt om op een gecontroleerde manier naar de cloud te gaan. Het valt echter niet mee om een strategie uit te stippelen als data niet zijn geclassificeerd en voor de opslag en het beheer van die data gebruik wordt gemaakt van third party-technologieën, zo constateert Bastiaan Schoonhoven, marketing manager bij Motiv. In dit artikel zet hij uiteen hoe een weloverwogen cloud-strategie kan worden geformuleerd.

Cloud computing introduceert meerdere risico’s die de beveiliging van gevoelige bedrijfsgegevens in gevaar kunnen brengen. Werknemers die publieke opslagdiensten zoals Dropbox en Google Drive gebruiken om zakelijke documenten op te slaan, onttrekken deze documenten aan het beveiligingsdomein van de werkgever. Als gegevens – die volgens de geldende wet- en regelgeving bijvoorbeeld alleen binnen Europa mogen worden opgeslagen – op Amerikaanse servers terechtkomen, heeft de werkgever er mogelijk nog een probleem bij op het gebied van compliance.

Bastiaan Schoonhoven: “ISO 27001/27002- en ISAE 3402-certificeringen zijn een betere graadmeter dan een Europese cloud.”

Ook privacy ligt gevoelig als het gaat om cloud computing, zo bleek ook weer uit de commotie die ontstond toen in juni van dit jaar de grootschalige afluisterpraktijken van de Amerikaanse veiligheidsdienst NSA aan het licht kwamen. Voor het Europees Parlement vormden de afluisterpraktijken van de NSA in ieder geval de spreekwoordelijke druppel. In september pleitte de justitiecommissie van het Europees Parlement voor een ‘Europese Cloud’ die moet voorkomen dat Amerikaanse overheidsdiensten in data kunnen blijven rondneuzen. “In de eerste plaats zouden Europese overheden zoveel mogelijk gebruik moeten gaan maken van Europese cloud-aanbieders”, zo staat in het voorstel te lezen. “In de tweede plaats moet het gebruik van open source-software worden gestimuleerd, zodat er geen geheime achterdeurtjes in software gebouwd kunnen worden.”

Deze twee uitgangspunten lijken tot een zekere mate van schijnzekerheid te leiden. Overheden krijgen immers geen enkele garantie dat een Europese cloud-aanbieder niet wordt overgenomen door een aanbieder van een ander continent. En het gebruik van open source-software is nog geen garantie dat een aanbieder zijn beveiligingsbeleid op orde heeft. Bijvoorbeeld ISO 27001/27002- en ISAE 3402-certificeringen zijn daarvoor een betere graadmeter.
Veelzeggend in dit verband was het nieuws eind juli dat De Nederlandsche Bank Amazon Web Services heeft goedgekeurd voor gebruik door financiële en bancaire instellingen. DNB is van oordeel dat de IaaS-cloud van Amazon volledig compliant is met de geldende regelgeving en staat het gebruik van AWS toe voor ‘alle facetten van de Nederlandse financiële transacties’.

Classificatie voor de cloud
Het mag duidelijk zijn dat cloud computing op alle niveaus een veelbesproken onderwerp is dat zelfs een plaatsje heeft weten te veroveren op de politieke agenda. De actuele ontwikkelingen geven ook duidelijk aan dat de cloud nog erg schimmig is. Des te belangrijker is het dan ook om de gang naar de cloud grondig voor te bereiden, zodat je weet wat je te wachten staat. Het proces van het selecteren en boeken van de juiste reis is misschien wel belangrijker dan de reis zelf.

Pleiten voor een ‘Europese cloud’ is momenteel populair maar weinig realistisch.

Om te voorkomen dat een organisatie de controle in de cloud verliest, zal eerst een gedegen cloud-strategie moeten worden opgesteld. Een belangrijke eerste stap is het aan de hand van dataclassificaties bepalen welke data waar mogen staan. Zoals het gebruikelijk is om binnen het interne netwerk een ‘gouden zone’ te definiëren voor de kostbaarste kroonjuwelen, is het nu ook zaak om te bepalen welk type informatie beslist niet in de cloud mag staan. Zo zal Coca-Cola de ‘Coca-Cola-formule’ niet beschikbaar stellen via een publieke cloud-dienst; die moet binnen het eigen netwerk worden beveiligd en beschermd.

Daarna blijft er een verzameling data over die wel in de cloud mag staan, maar ook hier kan nog een tweedeling worden aangebracht. De data die misschien niet het predikaat ‘high secure’ maar wel het predikaat ‘secure’ krijgen, komen bij voorkeur in een private cloud te staan die door de eigenaar van de data kan worden gecontroleerd en die zich bij voorkeur binnen Nederland bevindt. Om er zeker van te zijn dat de cloud provider de integriteit, vertrouwelijkheid en beschikbaarheid van informatie goed heeft geregeld, is het goed om erop te letten dat de leverancier is gecertificeerd voor bijvoorbeeld ISO 27001, ISO 20000 en ISO 9001 en ook ISAE 3402. Daarmee toont de leverancier aan de processen aantoonbaar op orde te hebben. Bij voorkeur is de cloud-leverancier in staat om de beveiliging van de private cloud in te richten met zaken als firewall-functionaliteit, Identity and Access Management, en generieke zaken als weerbaarheid, security monitoring en incident response.

De data die niet als direct gevoelig worden gekwalificeerd kunnen probleemloos in een publieke cloud worden geplaatst, bijvoorbeeld van Amazon of Microsoft. Maar ook hier is het raadzaam om na te denken over de beveiliging. Zo kan er voor worden gekozen om een applicatie eerst dusdanig ‘volwassen’ te maken dat deze in staat is om zichzelf en haar data te beschermen.

Cloud computing introduceert meerdere risico’s die de beveiliging van gevoelige bedrijfsgegevens in gevaar kunnen brengen.


Extra maatregelen
Met het afnemen van diensten uit de cloud wordt het beheer van de digitale identiteiten complexer. Bijvoorbeeld een system integrator kan ervoor zorgen dat de verschillende diensten die een bedrijf uit de cloud afneemt aan elkaar worden geknoopt zodat vanaf één punt kan worden ingelogd. Op die manier is er één identiteit voor zowel on-premise als in de cloud.

Security monitoring kan vervolgens een extra maatregel zijn om grip te houden op security binnen uw ICT-omgeving die zich on-premise kan bevinden, maar ook in de private cloud. Op basis van automatische geavanceerde analyses voor grote hoeveelheden (log-) data worden afwijkende patronen en mogelijke beveiligingsincidenten gesignaleerd. Een recente ontwikkeling hierin is dat de zogenoemde SIEM-omgeving wordt gekoppeld aan directory's en security intelligence-databronnen. Hierdoor worden incidenten beter zichtbaar en in veel gevallen gekoppeld aan een individueel gebruikers/beheerdersaccount. Security monitoring is de basis om incident response-processen goed te laten functioneren. Deze monitoring-functie kan ook worden belegd binnen een Security Operations Center dat niet alleen zorgt voor monitoring en detectie, maar ook voor een beter inzicht en incident-response.

Motiv mSafe
Publieke diensten voor bestandsuitwisseling en opslag zoals Dropbox zijn even populair als omstreden. Zo bestaat het risico dat derden bestanden afluisteren of onderscheppen. Ook kan het gebeuren dat gebruikers bestanden verkeerd adresseren. mSafe is een zakelijke oplossing van Motiv voor het veilig, digitaal uitwisselen van allerhande vertrouwelijke bestanden. Met Motiv mSafe zijn bestanden tot 10 GB veilig te delen met geautoriseerde gebruikers. Sterke authenticatie en de versleuteling van zowel de opslag als het transport van digitale bestanden is altijd van toepassing. mSafe is leverbaar tegen een vaste vergoeding voor het gebruik van opslagcapaciteit en het aantal downloads en als maatwerkdienst.

Auteur: Bastiaan Schoonhoven is marketing manager bij Motiv