65 procent van de Nederlandse organisaties beschouwt informatiebeveiliging als de grootste uitdaging bij cloud computing. Dit blijkt uit onderzoek van Computable en Jaarbeurs. Aan het onderzoek deden 502 personen mee, die vooral werkzaam zijn bij eindgebruikers. Als grootste uitdaging binnen cloud computing na informatiebeveiliging noemde iets minder dan de helft van de respondenten (48 procent) privacy. Het is duidelijk dat zorgen over security en privacy de toepassing van cloud in de weg staan. Dat is jammer, want deze uitdagingen vallen prima op te lossen.
Om Cloud Computing veilig en bedrijfszeker in te bedden in het ict-landschap, is een doordachte ABC-architectuur (Application & Business Architecture) cruciaal. Met in het hart een zogeheten point of control, de centrale plaats waar mensen, systemen en informatie samenkomen. Dit point of control regelt de veilige toegang tot en omgang met informatie, applicaties en systemen, ongeacht of ze ergens in de cloud staan of in de eigen omgeving. Zo’n point of control kan overigens zelf ook in de cloud staan.
In it-security is men heel lang gericht geweest op de beveiliging van het netwerk. Firewalling, intrusion prevention, anti-malware zijn tot op de dag van vandaag leidend in de meeste securityprojecten. Maar er moet meer gebeuren. Moderne concepten leggen veel meer nadruk op de data, de applicaties en de gebruikers. Cloud computing versnelt deze ontwikkeling nog eens. Security en privacy spelen in het denken over de toepassing van cloud een prominente rol. Immers, de data zijn elders. Dat maakt het lastig te weten wat ermee gebeurt en wie er toegang toe hebben. Context-gevoelige security biedt de oplossing: ‘mag deze gebruiker op dit tijdstip vanaf deze locatie en via dit device toegang krijgen tot deze informatie?’ Of ‘is deze gebruiker wel degene die hij zegt te zijn?’ Dat zijn vragen waarop vanuit het point of control een antwoord komt. En van waaruit de security policies geautomatiseerd worden opgelegd.
Drie adviezen
Wettelijk gezien blijf je verantwoordelijk voor de omgang met de data van je klanten, ook als ze in de cloud staan. Controleer hoe je cloud-provider omgaat met (de backups van) jouw data, Wie heeft toegang? Waar zijn de data? In hoeverre moet de provider voldoen aan wettelijke eisen van andere mogendheden? Wat is de kwaliteit van de andere klanten van de provider. Investeer ook in goede oplossingen voor identity & access management en voor content security. En tot slot: bring your own device, apps en data zijn niet meer weg te denken. Ontwikkel daar beleid voor en kies de goede platforms.
Hoe weet ik als klant nou wat er met mijn data gebeurt bij de Cloudprovider ? Context-gevoelige security lijkt me niet zo relevant als zowel data als applicaties en wellicht zelfs samen met de IAM beschikbaar komen voor derden. Waar moeten we dat checken ? Bij de provider, of ze hun backuptapes wel netjes opbergen ? Ik gok dat die erg tevreden zijn met hun te leveren dienst en hoe veilig de boel bij hen gehost wordt 😉 Dan maar bij de ander klanten navragen… Zeg wat vinden jullie, werkt dat nog een beetje lekker bij die Provider ? En trouwens jullie zelf, zijn jullie een beetje klanten van niveau ? 😛
Je blijft verantwoordelijk voor je data, ook als ze in de cloud staan. Zozo, weer wat geleerd. En inderdaad, je bent natuurlijk nog wel schuld als het fout gaat, alleen je kunt er weinig meer aan doen om het op te lossen. Iets over beheer- en beheersbaarheid. Wat ga je de rechter vertellen als je data op straat ligt. Nou, ik heb 3 adviezen opgevolgd en ook andere klanten geraadpleegd en die waren allemaal heel tevreden over de Cloudprovider en toen hebben we onze hele ict boel maar bij hun neergezet.
Valt ook niet mee, zo’n artikel schrijven. Tegen het einde wordt de auteur dan ook een beetje lui. “Meebrengen van eigen devices, apps en data zijn niet meer weg te denken. Ontwikkel daar een beleid voor en kies de goede platforms”. Hahahaha. Geweldig. Dank voor de adviezen. Haha, lead architect. Ik kom niet meer bij.. au auau. pijn in mijn zij.