De gedachte van de veiligheid van private clouds versus public clouds suggereert dat het onverstandig is om alles behalve publieke informatie op public cloud-omgevingen te plaatsten. Dit is onjuist. Door gebruik te maken van een proces dat het gebruik van de cloud voor vertrouwelijke gegevens monitort, kan een organisatie bepalen welke beveiligingsmaatregelen gewenst zijn, waardoor ook privé informatie veilig op public clouds kan worden gezet.
Wanneer een organisatie overweegt een cloud service te gebruiken voor een informatiesysteem dient deze samen met de cloud provider een ‘gap-analyse’ te doen om te bepalen welke beveiligingsmaatregelen nodig zijn voor het informatiesysteem. Deze maatregelen dienen aan te sluiten bij de huidige security eisen binnen de organisatie. Het verschil tussen de vereiste en huidige security eisen moet zodoende worden gedicht wanneer inderdaad de cloud wordt gebruikt. Om het organisatorische beveiligingsgat te dichten stellen organisaties als de NIST (National Institute of Standards and Technology) voor om de volgende drie maatregelen te nemen:
– Gebruik de bestaande contractuele voorwaarden om ervoor te zorgen dat de externe provider zich houdt aan de toegevoegde security maatregelen binnen de organisatie.
– Onderhandel met de provider voor extra veiligheidscontroles (inclusief compenserende controles) als de bestaande contractuele voorwaarden niet voorzien in dergelijke aanvullende eisen.
– Gebruik alternatieve risico beperkende maatregelen binnen het organisatorische informatiesysteem wanneer een contract niet bestaat of wanneer het contract niet voorziet in de noodzakelijke mogelijkheden voor de organisatie om de benodigde beveiligingscontroles te verkrijgen.
Als de cloud provider de extra controles kan implementeren, voldoet de public cloud-omgeving van de provider aan de security eisen van de organisatie.
Het probleem hierbij is dat het weggeven van controle vrijheid het moeilijker maakt om de algehele complexiteit, door business, it en de cloud provider, onder controle te houden (zie nevenstaande figuur). It-afdelingen kopen uiteindelijk diensten en de gebruikers kiezen hun eigen oplossingen, enzovoort. Redundantie en kostenexplosie worden hiermee reële risico's. Echter, deze risico’s worden door de gebruikers vaak niet erkend, die willen alleen maar snelle oplossingen.
Een gemeenschappelijke aanpak van business en it, met bijvoorbeeld een 'enterprise architecture', die de richtlijnen aangeeft hoe de Cloud te gebruiken, waarborgt een actieve rol voor de it-afdeling in de tussenhandel van diensten. Verder moeten met behulp van business en it governance-processen strenge controles worden geïmplementeerd die gericht zijn op continue vermindering van complexiteit.
Het borgen van veiligheid kan m.i. maar op 1 manier: door een audit.
– de in het artikel genoemde maatregelen zijn “controls”, die zet je in een control framework
– eens per jaar laat je een auditor nagaan of de controls in place zijn, en of ze effectief zijn.
Elke andere methode is lastig, omdat je nooit zeker weet of de uitvoerder (intern of derde partij) alleen beloftes heeft gedaan (zoals in de meeste SLA’s) of ook echt iets heeft geimplementeerd.
In feite zou een SAS-70 (of nu ISAE3402) audit verplicht moeten worden voor elke cloud service met vertrouwelijke gegevens.