BLOG – Flexibiliteit, eenvoud en kostenbesparingen zijn drijfveren voor bedrijven om naar de cloud te migreren. Om de ontwikkelingscycli bij te benen, moeten beveiligingsstrategieën continu in beweging blijven. Zo wordt een robuuste beveiliging gewaarborgd, terwijl nieuwe services snel zijn te implementeren.
Organisaties zijn in te delen in early adopters en early majority-groepen. Eerstgenoemde, vaak gedreven door fear of missing out (fomo), stapte snel over naar de cloud, met kostenbesparing als belangrijkste motivatie, zonder altijd volledig inzicht te hebben in de voordelen en uitdagingen. Early majority-groepen daarentegen, gedreven door fear of messing up (fomu), kiezen voor een voorzichtiger benadering. Zij geven de voorkeur aan het grondig herstructureren van applicaties in plaats van een eenvoudige lift-and-shift-migratie. De late majority adopteert technologie pas wanneer deze breder is geaccepteerd en zich bij concurrenten heeft bewezen.
Herzien
Early adopters zijn nu hun cloud-strategieën aan het herzien in de hoop de kosten te optimaliseren en hun beveiliging te verbeteren, terwijl ze ook inspelen op de veranderende bedrijfsbehoeften. Dit leidt vaak tot tijdelijke vertragingen. Ze beseffen dat hun aanvankelijke aanpak, vaak zonder grondige beveiligingsoverwegingen, moet worden aangescherpt. Deze herziening omvat onder meer het verbeteren van cloudbeveiliging en het zorgvuldig kiezen van de platforms die passen bij hun specifieke behoeften. Dit proces gaat gepaard met grote uitdagingen, die niet eenvoudig zijn op te lossen.
- Problemen met expertise en zichtbaarheid
Bij het beveiligen van de cloud geldt een gebrek aan expertise en zichtbaarheid als een uitdaging voor bedrijven. Bedrijven hebben moeite met het verkrijgen van de juiste vaardigheden binnen hun organisaties, zowel in het trainen van huidig personeel als in het aantrekken van extra expertise op de arbeidsmarkt – waar een kloof is tussen de specifieke benodigde vaardigheden en de complexe eisen. Deze uitdaging wordt nog groter door de spanning tussen de behoeften van bedrijven en de tijd die nodig is om workloads veilig te ontwikkelen en in de cloud te implementeren.
Volgens gegevens uit een Eurobarometer-enquête neemt het tekort aan e-vaardigheden toe en ondervindt meer dan de helft van de bedrijven in Europa problemen. 45 procent van de ondervraagden kan geen gekwalificeerd personeel vinden en zestien procent heeft te maken met budgettaire beperkingen. Bovendien blijkt uit onderzoek van Enisa, het EU-agentschap voor cybersecurity, dat er een nauw verband bestaat tussen het gebrek aan e-vaardigheden en de toename van cyberdreigingen.
- Spanning tussen zakelijke eisen en veiligheid
Bedrijven staan onder druk om zich sneller te ontwikkelen en tegelijkertijd hun veiligheid te garanderen. Er is een duidelijke trend van het verplaatsen van steeds meer belangrijke workloads naar de cloud, maar niet per se bedrijfskritische workloads. Dit creëert spanning omdat bedrijven snelheid eisen maar voor een veilige implementatie zijn grondige processen nodig. Deze spanning komt vaak voort uit een tekort aan geschoold personeel dat in staat is om de beveiliging te waarborgen, vooral op het gebied van codering.
- Omgaan met een gebrek aan vaardigheden
Veel organisaties streven naar een ‘shift-left’-aanpak, waarbij beveiliging vroeg in het ontwikkelproces wordt geïntegreerd. Ze missen echter de vaardigheden om dit effectief en veilig te implementeren. Deze kloof veroorzaakt spanningen tussen de beveiligings- en ontwikkelingsteams en benadrukt de behoefte aan betere training en meer expertise in veilige codeerpraktijken.
- Effectieve strategieën om de cloud te beveiligen
Omdat een cloud-infrastructuur het aanvalsoppervlak van een bedrijf aanzienlijk vergroot, is het cruciaal dat er een gestroomlijnde en efficiënte cybersecurity-aanpak is. Platformisering moet hierbij centraal staan, zodat bedrijven inzicht hebben in hun kwetsbaarheden en deze kunnen beheren via één platform, in plaats van de beveiliging te bemoeilijken met verschillende cybersecurity-leveranciers.
We weten dat het adopteren van de cloud zonder beveiliging centraal te stellen, grote problemen kan veroorzaken voor een bedrijf. De allereerste stap moet een grondige evaluatie zijn van de kwetsbaarheden binnen het bedrijf, waarbij het essentieel is dat cybersecurity-teams de mogelijkheid krijgen dit vroegtijdig in het cloudmigratieproces te doen. In deze context moet een robuuste oplossing voor cloudbeveiliging bestaan uit een duidelijke strategie, oplossingen met een holistische benadering van cyberweerbaarheid, en bijscholing voor zowel technisch als niet-technisch personeel.
Bovendien is ai nu een integraal onderdeel van de wereld waarin we leven. Dit geldt ook voor het arsenaal van aanvallers. Met ai zijn geavanceerdere aanvallen op te tuigen om bedrijven aan te vallen – en dat sneller dan ooit. Toch biedt ai de cybersecurity-sector een kans om het vermogen tot herstel en verdediging te versnellen. Ai helpt bij het verwerken van grote hoeveelheden data, wat de besluitvorming voor cyberbeveiligingsexperts ondersteunt en hen in staat stelt om dreigingen sneller en effectiever aan te pakken.
Het beveiligen van een organisatie vereist daarom een beveiligingsaanpak gebaseerd op een geïntegreerd platform. Dit platform omvat ai en ml om de hoeveelheden data te analyseren en diepere inzichten te verkrijgen in netwerk- en applicatieprestaties. Deze aanpak kan de operationele complexiteit aanzienlijk verminderen door automatisering in te zetten, met gerichte toepassing van voorspellende technologieën zoals neurale netwerken, ai, ml en generatieve ai .
Patrick de Jong is sales engineer manager bij Palo Alto Networks in Nederland
“Missing out” of “messing up”, blijkbaar is cloud-adoptie fear-driven.
Niet zo’n goeie drijfveer.
Verder gaat het volgens het artikel om die vaardigheden, die niet te vinden zouden zijn.
Het suggereert dat in bedrijven allerlei kennis aanwezig is over hoe cloud het beste te gebruiken is in de organisatie.
Helaas kom ik bij intake vaak wat anders tegen. Eisen als “iets met cloud” of “5 jaar ervaring met het inrichten pipelines” en “shift left” zonder te weten waar het over gaat.
Bij doorvragen wat men nu wil, de mededeling dat men er eigen ook niet zo’n verstand van heeft en hoopt dat de kandidaat er overtuigend over kan babbelen.
In de opdracht worden wat trefwoorden vermeld, toegevoegd met aantal jaar ervaring. En tarief vooral niet te hoog.
Benieuwd wat straks een soepele cloudrepatriëring in de weg zal staan.
Ik kan overtuigend babbelen over Zero Trust als antwoord op een laissez-faire beleid in het toegangsbeheer omdat flexibiliteit, eenvoud en kostenbesparingen haaks op een security-by-design beleid staat waardoor angst verkoopt. Eén van de redenen voor een repatriëring uit de publieke cloud zit tenslotte in de stijgende compliance cost want imago schade doet meer pijn dan ransomware. Bedrijven die nog te goed van vertrouwen zijn aangaande de garanties van EU-US privacy shield lopen het risico dat ze het vertrouwen verliezen van hun klanten en deze omgekeerde schaal is nogal disruptief.
Want het gaat niet om het beveiligen van de cloud maar om het beveiligen van de informatie waarbij het kernwoord in een controle op toegang tot informatie zit, Lang leve de cloud want daarmee kun je de informatie centraliseren en toegang ertoe regelen. Dino mist de gevraagde kwaliteiten om een vraag om te zetten in een oplossing want de cloud gaat om netwerk computing waarbij je de gebruiker naar de informatie kunt brengen in plaats van de informatie naar de gebruiker, zeg maar een film streamen in plaats van downloaden.
Laat ik daarin zeggen dat een abonnement op Usenet toegang geeft tot oude series die alweer verdwenen zijn want er gaat niets boven het on-prem archiveren om dingen toegankelijk te houden. Beetje cryptisch misschien voor de niet-ingewijden omdat ze geen weet hebben van wettelijke bewaarplichten en een cloud portabiliteit op de datalaag. Want wat betreft een gebrek aan de inzichtelijkheden is het bonnetje als de enkele kogel in Russische roulette, het bewijs eindigde een politieke loopbaan.
Nieuwe realiteit van AI is interessant om grote hoeveelheden data te analyseren en diepere inzichten te verkrijgen. Vraag is wel of je als organisatie dit wilt als daarmee de lijken uit de kast vallen. Edward Snowden wees namelijk op de cloud voor spionage omdat het netwerk je meer informatie geeft door een digitale footprint.