Het gebruik van cloud-oplossingen in het bedrijfsleven is dit jaar sterk toegenomen. Dat is geen verrassing, want de coronacrisis maakte al snel duidelijk dat het via de cloud een stuk eenvoudiger is om werknemers vanuit huis te laten werken. Maar naast gemak, brengt de cloud ook zorgen met zich mee. Meer dan een kwart van de Nederlanders vindt het namelijk een eng idee om data op te slaan in de cloud. Dit blijkt uit onderzoek van softwarebedrijf Klippa. Nog eens een derde denkt dat data op een lokale server opslaan veiliger is dan in de cloud. Is dat wel zo?
Momenteel maakt ruim zestig procent van klanten van msp’s gebruik van Microsoft 365-clouddiensten, blijkt uit het onderzoek ‘Global State of the MSP Report 2020’. Van de respondenten die dit gebruik nu nog niet zien, verwacht zeventig procent dat klanten alsnog binnen twee jaar zullen volgen. Een veel voorkomende misvatting van organisaties is dat hun saas-data automatisch wordt beschermd. Saas-leveranciers benadrukken echter het belang van eigen beveiliging bij deze systemen. Daarom bevelen ze diverse oplossingen aan om te zorgen voor gegevensbescherming, bedrijfscontinuïteit, compliance en beveiligingseisen die verder gaan dan de beperkte, eigen recovery-mogelijkheden van Microsoft 365 en G Suite. Zorgen om de veiligheid van data in de cloud zijn dus niet ongegrond.
Arbeidsintensief
Uit het onderzoek van softwarebedrijf Klippa bleek dat bij de overheid, het onderwijs en de gezondheidszorg de grootste hang is naar het gebruik van lokale servers (met respectievelijk 43, 32 en 30 procent). Het is echter niet zo dat zorgen niet meer nodig zijn als je data op lokale servers draait. Of het nu in de cloud is of on-premise, het hangt ervan af wie de it-omgeving beheert en hoe dit wordt aangepakt. Het is extreem tijdrovend en arbeidsintensief om een on-premise-omgeving te beveiligen. Het in de gaten houden van de netwerkactiviteit, het toepassen van beveiligingspatches en het maken van geweldige back-ups is hard werken.
Daarom zijn cloudproviders (saas) die dit voor veel klanten doen over het algemeen beter in staat om it veilig te houden dan on-premise-systeembeheerders. Hoewel het voor cloudproviders makkelijker is om it veilig te houden, is het zeker mogelijk om on-premise hetzelfde te bereiken. Organisaties kunnen investeren in een beveiligingsteam om deze inspanning op zich te nemen: een team in-house of met hulp van een partner. Dit kan hen op een vergelijkbaar beveiligingsniveau brengen als oplossingen die in de cloud draaien.
Dat we ons bewust zijn dat er een risico bestaat bij het opslaan van data in de cloud, is een goed teken. Bewustzijn is immers de eerste stap. De oplossing is echter niet per se de lokale server. Een volwassen security en recovery-plan blijft het allerbelangrijkste, waar je data ook draaien.
Matthé Smit, directeur product management, RMM bij Datto
@Jan van Leeuwen
Wat dacht je van oude archieven en alles wat uit de printer komt rollen? Maar daar gaat het niet om. Mijn punt is: IT is een middel, informatie is het doel. We maken ons druk om de beveiliging van IT, zonder dat we weten waarom. Het gaat uiteindelijk om de informatie, die willen we beschermen. Een lege computer is niet zo spannend.
@KJ
Een heleboel mensen hebben weldegelijk een idee van de waarde van informatie. Vraag een gemiddelde manager maar eens naar de gevolgen van het niet beschikbaar zijn van informatie binnen zijn afdeling. Ze beseffen het alleen niet altijd en doen er te weinig mee. Daar moet verandering in komen.
De ‘nutteloze computers’ waar jij over spreekt zijn vast de routers, firewalls en switches. Die noem ik niet nutteloos, want daar gaat een hoop vertrouwelijke informatie doorheen. Waar het me om gaat, zoals ook al beschreven in het antwoord naar Jan, we doen dit uiteindelijk om informatie te beschermen. We hebben computers en netwerken om informatie te verwerken. Zonder die informatie zijn de netwerken nutteloos. Mijn punt is: we moeten ons eerst richten op de informatie en het belang daarvan. Je kan heel veel tijd, geld en moeite stoppen in de beveiliging van je netwerk, maar als slecht 1 systeem echt belangrijke informatie bevat, dan is het verstandig om als eerst daar je volle aandacht op te richten en de rest later aan bod te laten komen. Risicomanagement heet dat.
@oudlid;
het probleem is tegenstrijdige wetgeving en niet technologie.
SWA,
Tegenstrijdige wetgeving is inderdaad een dingetje maar over het algemeen geldt dat het gebruik van encryptie een cruciale voorwaarde is voor het recht op privacy en de vrijheid van meningsuiting. En dit recht wordt door vele landen geëerbiedigd waaronder de Verenigde Staten.
” … het gebruik van encryptie een cruciale voorwaarde is voor het recht op privacy en de vrijheid van meningsuiting.”
dat is onjuist. je EU recht staat vast ongeacht of er nu wel of geen encryptie is gebruikt en het is nu net USA wetgeving die stelt dat een USA ISP / cloud-club indien gesommeerd door FBI de data MOET overhandigen of er nu wel of geen encryptie is gebruikt en daar wringt de schoen met de AVG/GDPR weer en daarom wordt er toch minder gebruik gemaakt van cloud dan technisch kan.
read all about it: https://en.wikipedia.org/wiki/CLOUD_Act
Ter illustratie:
https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States
Met dit soort wetgevingen zul je dus je data ook in de EU moeten encrypten als het bij een USA cloud provider oid geparkeerd staat. De encryptie bemoeilijkt de rechtsgang dan technisch (als er niet een andere manier is om aan de data te komen en dat blijkt veelal wel te kunnen in de praktijk), maar gerechtelijk krijg je dan ook consequenties daarvan te dragen…