Het gebruik van cloudservices wordt langzaam aan gemeengoed. Vooral voor niet-bedrijfskritische applicaties kan het gebruik van cloudservices interessant zijn. Voor e-mail bijvoorbeeld. Maar hoe zit het met de beveiliging van je data in deze e-mailcloudservices?
Vrijwel alle e-mailinfrastructuren in bedrijven zijn vergelijkbaar. E-mail is niet onderscheidend en wordt daarom vaak als een commodity beschouwd. Maar een e-mailinfrastructuur is niet zo simpel als het lijkt. Eindgebruikers willen hun e-mail graag op allerlei manieren en plaatsen kunnen lezen en bewerken. Het verwerken van e-mail gebeurt vaak niet alleen op de werkvloer, maar ook vanaf thuis, bij klanten of via een mobiele telefoon. E-mail moet daarom bereikbaar zijn via verschillende kanalen, ook buiten kantooruren. Bedrijven moeten hiervoor hun e-mail infrastructuur geschikt maken. Een ander fenomeen bij e-mail is spam. Meer dan 90 procent van alle e-mail in de wereld is spam. Beheerders moeten voor e-mailinfrastructuren adequate maatregelen treffen om spam tegen te gaan. Ook het scannen van e-mail op virussen is een taak die bij de inrichting van een e-mailinfrastructuur hoort. Al met al veel werk voor een e-mailservice die als commodity kan worden gezien.
Een alternatief kan zijn om een e-mailservice af te nemen vanuit de cloud. De kosten zijn over het algemeen veel lager dan het bijhouden van een e-mailinfrastructuur in het eigen bedrijf. De betrouwbaarheid is hoog en het beheer wordt uit handen genomen. Vooral voor kleine bedrijven en start-ups is het gebruik van applicaties uit de cloud erg aantrekkelijk.
Er zijn verschillende aanbieders van e-mailservices in de cloud. De meest bekende is Gmail van Google, maar ook Microsoft (Hotmail) en een groot aantal kleinere aanbieders zijn actief in deze markt. Google biedt behalve de Gmail-service voor eindgebruikers ook e-mailservice voor bedrijven. Inmiddels zijn er reeds 400.000 bedrijven die gebruik maken van Gmail.
Het is voor bedrijven belangrijk te controleren hoe het is gesteld met de beveiliging van de data die in de cloud wordt opgeslagen (zoals de bedrijfskritische informatie in e-mails). Voordat er met een cloudaanbieder in zee wordt gegaan dienen daarom de contractuele voorwaarden te worden gecontroleerd. Enkele punten zijn:
– Hoe wordt door de cloudaanbieder gegarandeerd dat data veilig wordt opgeslagen en dat andere personen of partijen niet bij de data kunnen komen (denk ook aan de fysieke beveiliging van onder andere de datacenters; wordt dit ook extern geaudit?)?
– Hoe wordt gegarandeerd dat data niet kwijtraakt, vernietigd wordt, etc.?
– Is het mogelijk dat je een, al dan niet externe, audit uitvoert bij de cloudaanbieder?
– Wat gebeurt er met jouw data als de cloudaanbieder failliet gaat, overgenomen wordt of als de service niet langer wordt aangeboden?
– Waar wordt jouw data fysiek bewaard? Op Amerikaanse servers? Valt de data ook onder Amerikaans recht (zoals de Patriot act en SoX)?
– Wat is de exit-strategie als je besluit data uit de cloud naar een andere aanbieder te verhuizen of om het zelf weer te gaan beheren? Wordt dit toegestaan? In welk formaat krijg je jouw informatie? Wordt de informatie bij de cloudaanbieder dan ook daadwerkelijk vernietigd? Is dit te controleren?
Allemaal valide punten lijkt me, maar de grote vraag is natuurlijk: wie controleert dit daadwerkelijk? Ik verwacht dat de meeste bedrijven die cloudservices gaan gebruiken (vaak uit financiële overwegingen) bovenstaande punten niet allemaal adresseren. Of heb ik het mis?
Software testen is de sleutel in cloud computing.
Sjaak,
Goede vragen. Het staat natuurlijk buiten kijf dat diensten “uit de cloud” aan dezelfde stringente beveiligingseisen moeten voldoen als functionaliteit uit het eigen datacenter of via een outsourcers bijvoorbeeld.
Buiten Hotmail (voor consumenten) levert Micosoft zo’n 200 online diensten aan consumenten en bedrijven. Zo ook het platform voor de Information Worker met Exchange, SharePoint, OCS en LiveMeeting.
Lees in een blogpost van het Microsoft Online Services Team hoe er omgegaan wordt met beveiligings en privacy vraagstukken :
http://blogs.technet.com/msonline/archive/2009/05/28/microsoft-online-services-and-gfs-publish-security-white-papers.aspx
Peter de Haas
Microsoft Nederland
Ik denk dat de opkomst van de cloud en SaaS ook het vakgebied van Risk Management in beweging zal brengen. Nog meer bewust risico nemen: beveiliging tegen lagere kosten EN verbetering van je beveiligingsniveau als geheel.
De kansen van Cloud en SaaS bieden zoveel perspectief voor de business, dat de voordelen ervan zeker zullen leiden tot een substantiële verandering in het IT-landschap. De flinke kostenbesparingen en de oneindige mogelijkheden op gebied van functionaliteit zullen gaan vooruitlopen op de beheer- en beveiligingsaspecten.
Risk Management kan parallel aan deze ontwikkeling een belangrijke, en gezonde ontwikkeling doormaken. Door te onderkennen dat data ingedeeld kan worden in de verschillende levels van ‘waarde’. Veel data wordt momenteel als geheel beschermd en beveiligd. De omvang is enorm. Dit zorgt voor complexe beheersomgevingen en kostbare securitymaatregelen. De grondslag bestaat uit argumenten van compliance, certificering en angst.
Is er sprake een gezonde ROI? Wat is de bijdrage van al deze inspanningen aan het hogere bedrijfsdoel?
Het concept van beveiligingsschillen zoals gehanteerd in de fysieke beveiliging, kan vrij eenvoudig worden toegepast binnen het ICT-domein. Een gelaagd model voor je data. Openbare informatie kan niet ‘gestolen’ worden, van imagoschade is dan geen sprake meer. Door bewust risico nemen en alle data de werkelijke waarde toe te kennen ontstaat een overzichtelijk geheel. De data welke daadwerkelijk als bedrijfskritisch wordt aangemerkt, vormt dan een beheersbaar geheel. De combinatie van de diverse voordelen van Cloud en SaaS en Risk Management gekoppeld aan de bedrijfsdoelen zal zorgen voor een nieuwe dynamiek in dit speelveld.
Informatiebeveiliging zo inrichten dat deze aansluit op de business en daarmee een werkelijke meerwaarde levert, in de dynamiek zoals beschreven, is een enorme uitdaging. Het raamwerk van SABSA biedt hier een prachtige basis voor, best practise en generiek toepasbaar aanvullend aan bestaande omgevingen.
Ing. R. Janssen
Secureminds