Steeds meer organisaties kiezen ervoor kantoorapplicaties zoals Microsoft Word, Excel en Powerpoint vanuit de cloud te gebruiken. Office 365 wordt inmiddels door een groot aantal Nederlandse organisaties gebruikt en ook het aantal gebruikers van Google Apps stijgt flink. En niet voor niets. Toch zit er ook een keerzijde aan het snel overstappen op de online alternatieven van lokale applicaties, namelijk de beveiliging van deze gegevens.
In mijn gesprekken met organisaties hoor ik geregeld dat de beveiliging van Office 365 al geregeld is omdat het allemaal bij Microsoft wordt gehost. Het is niet alleen MKB-bedrijven die deze aanname doen, ook grote multinationals zijn in de veronderstelling dat security automatisch goed geregeld is omdat de data op servers in het datacenter van Microsoft staan. Uiteraard zijn er door Microsoft diverse maatregelen getroffen die de beschikbaarheid van de dienst borgen, maar de verantwoordelijkheid voor databeveiliging ligt juist bij de gebruiker zelf(!).
Versleutelenen en compliancy
Veel organisaties kiezen er daarom voor data te versleutelen om zo ongeautoriseerde toegang tot bestanden (de data staat tenslotte in de cloud) te voorkomen. Het is raadzaam een weloverwogen keuze te maken of je het sleutelbeheer bij je clouprovider neer wilt leggen, of dat je toch liever zelf wilt bepalen wie tot welke informatie toegang heeft.
Een vraagstuk dat we met name bij grotere organisaties zien is hoe men compliancy kan waarborgen bij het verplaatsen van data naar opslag in cloud-omgevingen als Google Apps en Microsoft Office 365. Dit vraagt om data loss prevention-maatregelen die verder gaan dan de kantooromgeving. Tot slot is het tackelen van geavanceerde malware in omgevingen als Exchange-online, Sharepoint-online en Onedrive for Business een uitdaging waar je goed over na moet denken bij de stap richting dergelijke diensten. Het denken in silo’s, dus voor elk security-vraagstuk een andere oplossing bedenken, is simpelweg niet meer toereikend.
Geïntegreerd platform
Daarom pleit ik voor het bouwen van een security-platform waarbij device, locatie, manier van werken en opslagvorm niet meer uitmaken. Organisaties vragen om flexibiliteit en schaalbaarheid, je moet data kunnen verplaatsen zonder dat het impact heeft op het security-niveau. Hierbij mag het niet uitmaken of de informatie lokaal staat, in de private cloud, bij Microsoft Azure, Amazon Web Services of bij gebruik van diensten als Google Apps of Office 365. Door de veranderende vraag is het nu zaak dat organisaties hun security-strategie tegen het licht houden. What’s next?
Goed stukje van Tonny maar denk ook na over:
De juridische kant van cloudoplossingen
Het zal niemand ontgaan zijn dat voor het aanbieden van software, platforms, infrastructuur en IT diensten in toenemende mate gebruik wordt gemaakt van de cloud. De voordelen die cloudoplossingen bieden zijn duidelijk, maar hoe zit het eigenlijk met de risico’s? En wat is nu juridisch van belang bij cloudoplossingen?
Cloudcontracten verschillen — net als de cloudoplossingen zelf –wezenlijk van de meer traditionele IT-contracten. In deze sessie wordt in tien minuten besproken wat de meest belangrijke juridische aandachtspunten zijn bij het gebruik van cloudoplossingen, en op welke punten moet worden gelet wanneer u een cloudoplossing wilt gaan afnemen.
Cloud veroorzaakte een enorme disruptie in de manier waarop bedrijven IT inzetten. De verschillen in kosten, flexibiliteit en mogelijkheden in vergelijking met on-premises IT zijn enorm en zetten IT-managers onder druk om applicaties naar de cloud te brengen. Maar hoe lang is dat nog een keuze?
Medewerkers gebruiken in toenemende mate consumentenhardware en applicaties op de werkvloer. Het lijkt erop dat deze ontwikkeling niet valt te stoppen, wat betekent dat uw organisatie hierin mee zal moeten gaan. Maar welke juridische risico’s spelen er bij IT consumerization?
Advocaat Otto Sleeking constateert dat het tempo waarin de cloud zich ontwikkelt een ander is dan waarin organisaties kennis nemen van de juridische gevolgen en risico’s. “Met meer kennis van de juridische kant kunnen IT-managers betere keuzes maken. Er bestaat nu nog veel koudwatervrees.” Sleeking verwacht dat die keuze binnen tien jaar verdwijnt en dat weinig applicaties dan nog binnenshuis zullen draaien.
Via dit Linkje
https://www.youtube.com/watch?v=CCZ0q0V58Y4&index=1&list=PLdLmsQLLX3KhhcuxRbLbme-PfNN5i9Qx0
ziet u de volledige presentatie van Advocaat Otto Sleeking op CITE2014 dit jaar.
Bronvermelding CITE2014
http://cite2014.nl/spreker/otto-sleeking
Veel lees en kijk plezier…
Voordat ik die cloud malloot weer in mijn nek heb, er zitten evenveel voor- als nadelen aan dit soort oplossingen en deze dienen gewoon eerlijk gewogen te worden. De provider levert namelijk net als een wapenhandelaar alleen de middelen en de gebruiker bepaald uiteindelijk hoe en tegen wat ze ingezet worden. De juridische kant van het verhaal zoals Hans bij monde van Otto Steeking stelt gaat namelijk om verantwoordelijkheid, wie controleert wat zullen we maar zeggen.
Governance, Risk Management en Compliance (GRC) zijn in de cloud nu eenmaal moeilijker in te richten vanuit het perspectief van informatie. Zeker bij oplossingen als Exchange, Sharepoint, Onedrive en Office omdat deze veel verantwoordelijkheid bij de gebruiker leggen. Het is daarom nog maar de vraag of technische maatregelen volstaan om dit probleem op te lossen. Zoals vaak kun je dus uit de opties flexibiliteit, schaalbaarheid en veiligheid er maar twee kiezen.
Dat je voor elk security vraagstuk een andere oplossing moet bedenken lijkt me inderdaad niet handig maar is mede praktijk door de puntoplossingen die de business zelf kiest in de kantoorautomatisering. En in die keuze wordt meestal geen rekening gehouden met beveiliging waardoor we dus constant pleister blijven plakken. SSO en malware is dan ook pas echt een leuke combinatie, net als ransomware zonder back-up;-)
Juridisch gezien is 365 not-done in overheidsland, praktisch bijna onhaalbaar vanwege die wetgeving. En toch gaan (grote) delen van de overheid koud naar de standaard 365 ‘as I type’, of zijn al (jaren) over. Tijd voor een artikeltje, een soort refresh, een … reminder voor de dames en heren op de diverse lagen van het pluche, Computable? U nog daar?
https://www.ncsc.nl/binaries/nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/whitepaper-cloudcomputing/1/NCSC%2BWhitepaperCloudcomputing.pdf
vanaf pagina 26, document uit 2012.
Cloud, met alle smaakjes en zaken er omheen, is een verschijnsel met veel verschillende aspecten. Zoals men weet is dat anders dan traditionele ict en het delivery model (rechttoe rechtaan)
Veel regels, processen en afspraken rondom governance, risk management en compliance (GRC) zijn niet gebaseerd op cloud en haar verschillende smaakjes en delivery modellen. Dit wil zeggen dat we de zaken rondom GRC voor cloud opnieuw moeten bekijken en verder moeten herschrijven/vernieuwen.
Er zijn zeker al verschillende initiatieven geweest om dit te realiseren, er zijn zeker al stappen genomen en we zijn gelukkig in dit verband verder dan een tijd geleden, maar we zijn er nog niet.
Techniek kan ons helpen om veel aspecten rondom GRC in de cloud te verbeteren. In dit geval is een goede identity en access management-oplossing een belangrijk middel. Voor de duidelijkheid, ik zei niet dat een tool dit vraagstuk kan oplossen, maar wel ons helpen. We moeten eerst een en ander rondom GRC en cloud aanpassen en dan kijken naar een middel dat ons kan helpen om die zaken te realiseren.
Ja, een verhaal waar je eigenlijk niets over kan zeggen, behalve dat een security leverancier als Trend micro natuurlijk door een office 365 dienst volledig buiten dienst wordt gesteld. Antivirus op email en andere zaken is standaard geregeld met de EOP service en laten we wel zijn de meeste bedrijven gebruiken diensten van Microsoft forefront voor anti-virus op exchange.
Het grootste probleem wordt omschreven als: “Een vraagstuk dat we met name bij grotere organisaties zien is hoe men compliancy kan waarborgen bij het verplaatsen van data naar opslag in cloud-omgevingen als Google Apps en Microsoft Office 365”.
Ik vraag mij zelf af hoe groot dat vraagstuk is? Je kan kiezen voor replicatie, rectoren uit back-up, of een kopie slag. Het probleem is niet groter dan een data verplaatsing naar een nieuw SAN of van de ene fileserver naar de andere, business-as-usual.
Het pleiten voor 1 security platform waarin de data ongeacht de locatie of dienst is nobel, maar hebben we niet geleerd dat het beter is om een gelaagde security structuur te hebben, waarbij de onderlinge diensten en merken security by obscurity implementeren. data moet worden beveiligd op basis van de security eisen die bij de data horen, en mijn voorkeur zou toch zijn om dit op verschillende niveau’s en platformen te implementeren.
Wordt de data die via de 365 cloud wordt opgeslagen versleuteld?
Zo nee, waarom niet?
Zo ja, wie heeft nog meer de sleutel?
“Je moet data kunnen verplaatsen zonder dat het impact heeft op het security-niveau. Hierbij mag het niet uitmaken of de informatie lokaal staat, in de private cloud, bij Microsoft Azure, Amazon Web Services of bij gebruik van diensten als Google Apps of Office 365.” Vanuit de afnemer gedacht best handig, maar het aardige van een markteconomie is dat aanbieders verschillende diensten leveren. Inclusief verschillen in kwaliteit, kosten, etc. Overstappen van de ene naar de andere aanbieder zal dus altijd verschillen opleveren. En da’s maar goed ook, want anders zou het een grote eenheidsworst met weinig innovatiekracht zijn.