Veel organisaties voelen een toenemende druk om de IT-kosten te reduceren en de IT-infrastructuur te optimaliseren. Dat is de reden dat cloudcomputing razendsnel aan terrein wint: het is flexibel, schaalbaar, dynamisch en relatief goedkoop. Er is echter nog altijd een aanzienlijke groep ICT-professionals die denkt dat er meer risico's aan clouddiensten kleven dan aan de traditionele IT-omgeving. Zo vreest men bijvoorbeeld dat er een grotere kans is op datalekken of dataverlies en is men ervan overtuigd dat een lokale infrastructuur meer controle en veiligheid biedt. Maar is dat wel terecht? Is een cloudomgeving wezenlijk onveiliger dan de traditionele IT-omgeving en zijn we beter af als we onze infrastructuur binnenshuis houden? Het antwoord is nee, zolang we ons aan een aantal belangrijke voorwaarden houden.
De cloud is geen ongrijpbare, abstracte entiteit meer, gedragen door een hype. De cloud bestaat uit fysieke hardware die je aan kunt raken en is daarom niet inherent minder veilig dan de traditionele IT-omgeving. Traditioneel maakt een IT-omgeving gebruik van eigen firewalls, routers, switches en servers die op dedicated hardware draaien. Een cloudomgeving met gedeelde resources kun je net zo veilig inrichten als deze traditionele omgeving. Dat gebeurt echter niet meer op het niveau van hardware, eigendom en locatie, maar op het vlak van het IT-beveiligingsbeleid ten aanzien van bedrijfsprocessen, applicaties en data. In de security-wereld is men het erover eens dat je eerst een aantal zaken op orde moet hebben, voor je over het veiligheidsniveau van een oplossing een mening formuleert.
Classificeer de data en analyseer de dreigingen
Je begint met het in kaart brengen van de waarde van je activa. We delen daarbij data in aan de hand van de zogenaamde ‘BIV-classificatie’, een indeling die binnen de informatiebeveiliging wordt gehanteerd, waarbij de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en systemen wordt bepaald. Welke risico’s zie je voor de verschillende soorten data en applicaties en wat is het belang van die data voor je organisatie? Stel dat je een lijst met klantgegevens bijhoudt, dan geef je dat de classificatie ‘vertrouwelijk’. Je wilt niet dat dat de gegevens van je klanten op straat komen te liggen, dus daar zul je maatregelen tegen moeten treffen. Voer daarna een dreigingsanalyse en een kwetsbaarheidsanalyse uit, zodat je ook weet hoe groot de kans is dat er daadwerkelijk iets fout gaat met de informatiebeveiliging. Als je je gegevens hebt geclassificeerd en de dreigingen hebt geanalyseerd, kun je de resultaten daarvan bundelen in een risicobeeld. Het risico dat je loopt wordt bepaald door de kans dat er iets misgaat en de grootte van de impact als dat ook daadwerkelijk gebeurt.
De vier C’s
Weet je wat het belang van je data voor de organisatie is, dan kun je vervolgens een eisenpakket gaan samenstellen. Hierbij houd je rekening met de vier C’s, ofwel Compliancy, Continuity, Controls en Communication. Voldoet de oplossing aan de geldende regelgeving en randvoorwaarden? Hoewel ze voor iedere organisatie verschillen, zijn er altijd wetten, regels en uitgangspunten waaraan je je moet houden. Denk bijvoorbeeld aan de archiefwet, aan de Wet bescherming Persoonsgegevens of aan specifieke compliancy regelgeving. Daarna is het de vraag hoelang je zonder bepaalde gegevens kan: de continuïteitseisen. Sommige informatie zal altijd beschikbaar moeten zijn, op andere gegevens kun je misschien best een dagje wachten. De ‘Controls’ zijn de middelen die worden ingezet om de informatiestromen te beschermen. De informatiebeveiligingsmaatregelen die een organisatie van een leverancier vraagt, omvatten procedures, mensen en techniek. En er moeten afspraken worden gemaakt over hoe die maatregelen worden getoetst op effectiviteit. Tot slot bepaal je je wensen en eisen op het gebied van communicatie. Vind je het belangrijk dat je niet alleen via een webinterface ondersteuning krijgt, maar een echt persoon aan de lijn hebt bij calamiteiten? Wil je bijvoorbeeld elke maand een specifieke rapportage? Zorg voor een duidelijke SLA (Service Level Agreement) die tegemoet komt aan de wensen van je organisatie. Heb je inzicht in de eisen en wensen voor elk van de 4 C’s, dan kun je weloverwogen beslissingen nemen op het gebied van informatiebeveiliging.
Waar staat de data?
Houd je de data binnenshuis, op de traditionele manier, dan is de beveiliging waarschijnlijk al geregeld. Het staat bij jou in de serverkast en je hebt een sleutel nodig om erbij te komen. De veiligheid is zo min of meer gegarandeerd. Maar wat als je de data buiten de deur gaat hosten? Als IT-manager ben je dan een stukje controle kwijt. Je weet misschien niet hoe de onderliggende infrastructuur precies is opgebouwd en je moet op de aanbieder vertrouwen dat het veilig is. En ook al is de infrastructuur op orde, dan nog kunnen buitenlandse veiligheidsdiensten inbreken en je data stelen. Je moet daarom een goed doordachte mening formuleren over waar je de scheidslijn legt. Voor veel bedrijven is een hybride infrastructuur de meest voor de hand liggende optie. Maar ook wanneer een bedrijf besluit de data volledig in de cloud onder te brengen, kan dit op een veilige manier gebeuren. Er zijn dan mogelijk extra controlemechanismen nodig, waarvan de meest voor de hand liggende versleuteling van gegevens is. Wanneer die versleuteling op de juiste manier wordt geïmplementeerd, dan zijn een heleboel zorgen die je over de cloud kunt hebben al niet meer van toepassing. Zelfs voor zeer vertrouwelijke informatie.
Cloud Security Alliance
Bij het opstellen van een veiligheidsbeleid hoef je het wiel natuurlijk niet opnieuw uit te vinden. De Cloud Security Alliance is opgericht om een veilige cloud adoptie te bevorderen. Ze doet dat door het samenbrengen van de kennis en ervaring van haar leden in white papers, best practices en voorlichting. Wat opvalt is dat de standaarden die de CSA voorschrijft, eigenlijk helemaal niet zo veel verschillen van de maatregelen en veiligheidsvoorschriften die buiten de cloud worden gebruikt, in de traditionele omgeving dus. Veel organisaties zullen een vliegende start kunnen maken in de evolutionaire adoptie van de voordelen die de diverse cloud vormen kunnen brengen, waarbij specifieke cloud controls een basis delen in een gezamenlijk, organisatie breed beveiligingsbeleid.
Remko Cijfers, Solutions Architect bij Axians
