Independent. Dynamic. Involved.
nlen

Veilig werken in de Cloud vereist scherp aan de wind zeilen

Veel organisaties zijn overgestapt op de cloud. ‘Cloud only’ of ‘cloud, tenzij’ wordt meer en meer omarmd. Dat heeft tal van consequenties voor het technologisch fundament van een organisatie. Daarbij is security een aspect dat niet veronachtzaamd mag worden. De vraag is hoe organisaties omgaan met constant evoluerende dreigingen en hoe zij passende beveiliging waarborgen.

Deze en andere vragen stonden centraal tijdens een Roundtable waar Traxion op dinsdag 4 februari 2020 kennispartner was. De Roundtable vond plaats in Kasteel Woerden. Zo’n twintig IT-managers en security officers uit de financiële en verzekeringswereld, accountancy, zorg en retail discussieerden onder leiding van dagvoorzitter Evert-Jan Westera over algemene thema’s en praktische dagelijkse uitdagingen op het gebied van cloudsecurity.

Betrokkenheid

Onder de deelnemers was brede overeenstemming dat security en architectuur onlosmakelijk met elkaar zijn verbonden. Daarbij is het zaak dat de IT-afdeling steeds zo vroeg mogelijk bij belangrijke IT-beslissingen betrokken is. Op die manier is te voorkomen dat keuzes hoog in de organisatie tot ongewenste situaties leiden op architectuurgebied. Bovendien komen projecten dan sneller en beter op stoom.

Daarnaast vervalt de IT-afdeling op deze manier minder snel in de rol van ‘tegenhouder’. Veel deelnemers hebben ervaring met shadow-IT binnen de eigen organisatie, waarbij afdelingen met een eigen creditcard gemakkelijk handige SaaS-oplossingen in gebruik nemen – zonder dat de IT-afdeling het weet. Een van de manieren om deze trend te keren, is het inrichten van een cloud competence center waar alle kennis en wensen van gebruikers rond de cloud gecentraliseerd is.

Gereguleerde branches

In branches met veel wet- en regelgeving en regulering – zoals financiële dienstverlening en zorg – leveren cloud en cloudsecurity de nodige kopzorgen op. Dat komt deels door de verspreidheid van de cloudoplossingen zelf en door regionale spreiding van vestigingen, waardoor de IT-afdeling moeite heeft om alles in goede banen te leiden. Dat terwijl toezichthouders van organisaties verwachten dat ze ‘in control’ zijn.

De ervaring van de deelnemers is overigens wel dat toezichthouders het belangrijk vinden dat een IT-afdeling duidelijk oog heeft voor eventuele pijnpunten en er op zijn minst mee bezig is. Wanneer je kunt aantonen dat een onderwerp op de agenda staat, is voor de toezichthouders in ieder geval duidelijk dat een organisatie niet gemakkelijk overvallen wordt door een bepaalde situatie, maar er op zijn minst goed heeft over nagedacht. Dat is minstens zo belangrijk als concrete maatregelen.

In dit verband neemt de invloed van toezichthouders toe. Een voorbeeld is de zorg. Eerder was multifactor-authenticatie (MFA) volgens de instellingen zelf alleen nodig wanneer medewerkers buiten de organisatie toegang tot applicaties zochten. Maar na incidenten die uitwezen dat medewerkers binnen de ziekenhuizen te gemakkelijk allerlei dossiers van patiënten konden openen, benadrukte de Autoriteit Persoonsgegevens dat MFA ook binnen de muren van de instelling een eis was.

Dreigingen

Hoe kun je je wapenen tegen allerlei dreigingen als de cloud steeds belangrijker wordt? Alle deelnemers noemen dit een lastig issue. Cloudaanbieders – en zeker de grote hyperscalers – lanceren continu nieuwe features en voeren allerlei wijzigingen door. Met een actieve meldplicht van de vendor is hier tot op zekere hoogte op in te spelen, maar de snelheid waarmee cloudapplicaties veranderen, maakt goed beheer een flinke uitdaging. Daarnaast is het niet altijd duidelijk wie waar verantwoordelijk voor is, als er een partner als tussenpersoon optreedt die de contracten met de cloudaanbieder afsluit. Waar klop je aan bij problemen?

Kiezen

De grote hyperscalers domineren op dit moment de cloudmarkt. AWS, Azure, Salesforce en Google zijn ook bij de deelnemers aan de Roundtable de meest gebruikte cloudvendoren. Om niet te afhankelijk te zijn van één aanbieder, kiezen organisaties er soms voor om bijvoorbeeld alle development en testen bij AWS onder te brengen en andere activiteiten bij Azure of Google.

Een nadeel van hyperscalers is wel dat je als klant een nummer bent en bij problemen achteraan mag sluiten. Dat geldt zeker voor middelgrote en kleine organisaties. In zulke gevallen kan een partner vaak helpen om druk te zetten bij de vendor. Zo’n partner heeft meer klanten met hetzelfde issue en kan daarmee het belang van snelle remediation bij de vendor onder de aandacht brengen. Punt blijft dat de afhankelijkheid van cloudaanbieders groot is, zeker voor organisaties die bewust gekozen hebben voor volledig ‘cloud only’.

Doorvragen

Het selecteren van een cloudvendor is in eerste instantie meestal sterk commercieel ingestoken. Veel deelnemers aan de Roundtable wezen erop dat leveranciers en partners vaak gemakkelijk vinkjes zetten bij allerlei features, waarna in de praktijk blijkt dat veel van die features anders uitpakken. Het is dus zaak om documentatie grondig door te lezen en goed door te vragen.

Denk bijvoorbeeld aan onderaanneming. Dan is het zaak om verantwoordelijkheden heel goed door te nemen, want zonder die stap is het voor onderaannemer en cloudvendor gemakkelijk om naar elkaar te wijzen als er problemen ontstaan. Een tip is om contracten altijd te beoordelen op technisch en financieel gebied én voor wat betreft security.

Monitoring?

Security monitoring is nodig, maar levert ook de nodige hoofdbrekens op. Want de vraag is hoeveel events je wilt monitoren. Alleen de ‘meaningful events’, of ook meer? En hoeveel events kan een team eigenlijk aan? Er moeten dus keuzes gemaakt worden en dat is eventueel mogelijk aan de hand van de controls die in een branche gelden. Zonder leidraad of heldere keuzes worden teams overspoeld en levert monitoring weinig op.

In control blijven

Voor elke organisatie – en elke IT-afdeling – is ‘in control’ zijn en blijven een eerste vereiste. Daar zijn in het verband van cloud verschillende tools voor, waaronder solide governance, een cloudassessment-groep of competence center en een afgewogen cloudbeleid. Daarbij verschuift voor gebruikers van cloud de rol van ‘controleren’ van de cloudvendor naar ‘verifiëren’. Er zal uiteindelijk vertrouwen nodig zijn dat de leverancier zijn rol op een betrouwbare manier vervult.

Bring your own key

Een relatief nieuw fenomeen in de cloudwereld is Bring your own key, waarbij je als organisatie data in de cloud versleutelt met je eigen sleutels. Volgens de deelnemers een aanpak die meer en meer omarmd zal worden, maar ook een die van de organisatie zelf enorme discipline zal vereisen op het gebied van key management.

Terugblikkend op de Roundtable onderstreepten alle deelnemers de stelling dat cloudsecurity begint bij een heldere cloudstrategie. Van daaruit is een goed cloudsecuritybeleid te ontwikkelen. De sessie bood in dat verband tal van inzichten en nuttige ervaringsverhalen.

 

Traxion is regelmatig kennispartner in Roundtables rond actuele IT-thema’s. De eerstvolgende sessie is op 24 maart 2020. Thema is dan CIAM.

Meer weten over Cloud Security of andere Roundtables? Neem contact met ons op.