7 kritische succesfactoren voor een veilige en compliant ‘cloud first’ strategie

De Cyber Security Raad (CSR) wijst al jaren op de digitale kwetsbaarheid van Nederland. Vaak blijken de meest basale veiligheidsmaatregelen niet te zijn genomen, zoals ons Security Awareness onderzoek eerder uitwees. Organisaties richten hun IT-strategie rondom dreigingen van buitenaf steeds vaker op ‘online’ omgevingen. Gelukkig maar, want de technieken van mensen of landen met kwaad in de zin worden steeds geavanceerder.

Toch kijken organisaties, wanneer zij de stap naar public cloud willen maken, vaak nog eerst of een omgeving of applicatie kán draaien in public cloud (werkt het?) en naderhand pas naar het informatiebeveiligingsaspect. Terwijl security en compliance de basis moet zijn van waaruit applicaties worden opgebouwd en data wordt beheerd. Het is immers een stuk moeilijker en kostbaarder om met ‘reversed engineering’ veiligheid in je applicatiestack en cloud infrastructuur in te brengen. En dan hebben we het nog niet eens over de gevolgen en kosten die gepaard gaan met een datalek. Daarom zeven aandachtspunten om in ogenschouw te nemen bij het verbeteren van de security en compliance van jouw cloud landschap.

"Bedenk dat elke security architectuurkeuze ook een kostenafweging is."

Stefan van den Brink

Cloud Consultant

1) Verantwoordelijkheid

De diensten van cloud service providers zijn de facto veilig en worden regelmatig getoetst door externe partijen. De audit rapporten zijn toegankelijk voor iedereen en bieden je veiligheid tót het niveau waarvoor de Cloud Service Provider (CSP) verantwoordelijk is. Maar de resources en data die je als organisatie zelf inbrengt, daar ben je volgens het shared responsibility model zelf verantwoordelijk voor. Zorg daarom dat je per dienst inzichtelijk hebt wat de CSP doet en wat jij zelf nog moet doen.

2) Verdeel en heers

Het opbreken van monolithische applicaties in zogenoemde microservices vergemakkelijkt het tussentijds verbeteren van een service en verlaagt de impact bij niet beschikbaarheid van de applicatie. Dit architectuurconcept kun je ook goed toepassen op security binnen public cloud. Zet je alle data op een plek met een toegangspolicy voor iedereen of ga je granulair te werk? Pas je op elk bestand of map een minimale toegangspolicy toe? Denk hier vooraf al goed over na, zodat je de impact in geval van een onverhoopt datalek tot een minimum beperkt. Bedenk daarbij dat elke security architectuurkeuze ook een kostenafweging is.

3) Compliance

Afhankelijk van bijvoorbeeld type applicatie of de branche krijgt compliance een andere invulling. Inventariseer daarom welke compliance-eisen voor jouw organisatie gelden, bekijk welke services van de CSP je wilt gebruiken om je doelstellingen te behalen en leg die naast elkaar.

4) Automation

Kies bewust voor volledige automatisering van security & compliance en neem dit als onderdeel op binnen je ‘cloud first’ strategie. “Infra as code” biedt significante voordelen zoals kostenbesparingen, verminderde foutgevoeligheid en een hoger niveau van security en compliance. Het wordt makkelijker, sneller en dus goedkoper om audits te doorlopen en je kunt versneld en toetsbaar change- en configuratiemanagement uitvoeren.

5) Beveiligingsrichtlijnen

Cloud Service Providers bieden een groot aantal beveiligingsdiensten aan, die je ontlasten op het gebied van informatiebeveiliging. Dit is geen statisch geheel; de ontwikkelingen volgen elkaar in razend tempo op en de zogenaamde ‘best-practices’ worden regelmatig bijgewerkt. Zorg ervoor dat je deze kennis continu goed bij houdt. Wat ons brengt op het volgende punt: training.

"Zorg voor een continue investering in kennis en expertise."

Stefan van den Brink

Cloud Consultant

6) Training

Security en compliance zijn specialismen die, wanneer onvoldoende beheerst, een negatieve impact kunnen hebben op de kwaliteit van informatiebeveiliging en de kosten op langere termijn. Het vergt de benodigde technische kennis en ervaring om telkens die keuze te maken die het beste bij de doelstellingen van jouw organisatie past. Kennis up-to-date houden is dus essentieel vanuit security of compliance overwegingen, maar ook vanuit kostenoogpunt: elke innovatie kan betekenen dat je geld kunt besparen of dat je ineens beduidend duurder uit bent met de eerder gekozen aanpak en tools. Zorg daarom voor een continue investering in deze kennis en expertise.

7) Security Awareness

Naast de meer technische kennis en ervaring voor een goed ontwerp en soepele implementatie, zijn er de medewerkers of klanten die de systemen gebruiken. Elke organisatie is gebaat bij medewerkers die weten hoe zij veilig werken in de public cloud, zich bewust zijn van de risico’s en weten hoe te acteren wanneer er onverhoopt toch iets misgaat. Investeer daarom in de educatie van medewerkers, zoals het uitvoeren van zogenaamde phishing-tests en effectieve en toegankelijke trainingsmodules, die je kunt aanpassen aan de behoeften van jouw organisatie.

Zo veilig als de strengste klant

Het hoge expertiseniveau in combinatie met het bijhouden van de snelle ontwikkelingen maken informatiebeveiliging voor veel organisaties een complexe aangelegenheid. De business case om uit te besteden aan een betrouwbare en ervaren partner kan dan interessanter blijken dan het in eigen beheer opzetten en innoveren. Een managed service provider (MSP), met security als kerntaak, bouwt jarenlang ervaring op en blijft continu doorleren en vernieuwen. Het bijkomende grote voordeel is dat organisaties, door het portfolio van uiteenlopende klanten van een MSP, mee kunnen liften op de best-practices: een MSP is zo veilig als zijn strengste klant.