Marc Guardiola CISO
19 mei 2021

Met vijf basismaatregelen een veilige public cloud security strategie

Online dreigingen zullen nooit minder worden en de technieken van mensen met kwaad in de zin worden steeds geavanceerder. Zorg daarom dat je ‘in control’ bent. Dat is de essentie van een veilige public cloud security strategie. Om dat te bereiken is het heel belangrijk om te begrijpen hoe verschillende applicaties draaien en waar data staat.

De Cyber Security Raad (CSR) wijst  al jaren op de digitale kwetsbaarheid van Nederland. Vaak zijn de meest basale veiligheidsmaatregelen niet genomen. Dit werd bevestigd in ons Security Awareness onderzoek medio 2020. Terwijl het niet zo ingewikkeld hoeft te zijn. Hier zijn vijf stappen die elke organisatie zou moeten nemen om security & compliance in de public cloud te garanderen.

“Investeer in kennis. Security is een tak van sport die continu in beweging is. Kennis up to date houden is dus van essentieel belang."
Vijf basis veiligheidsmaatregelen
  1. Verantwoordelijkheden
    De basis moet allereerst op orde zijn. Dat begint met het afbakenen van wie welke verantwoordelijkheden heeft. Organisaties kunnen kiezen voor een IaaS-, PaaS- of  SaaS-oplossing. Bij elke vorm liggen verantwoordelijkheden anders. Wil je veel vrijheid dan krijg je automatisch ook veel eigen verantwoordelijkheid. Daarnaast is het van belang om te weten waar welke data staat. Denk na over hoe belangrijk sommige data voor jouw organisatie is en maak op basis daarvan een keuze waar en hoe je data opslaat. Verlies daarin de bijbehorende wet- en regelgeving niet uit het oog (zie punt 4).
  2. Beveiliging
    Bouw je IT veilig op vanaf de basis. Dit noemen wij ‘secure by design’. Segmentatie is hier een belangrijk onderdeel van. Hiermee voorkom je dat meerdere apps in hetzelfde stukje netwerk draaien. Verder doe je er goed aan om de toegang tot data per persoon te limiteren. Hiermee verlaag je het risico van een datalek door menselijk toedoen aanzienlijk. Voer (security)updates door de IT-afdeling regelmatig door, maar pas ‘continuous hardening’ toe op de configuraties van software-vendoren. Deze zijn bedoeld om de app  makkelijker te laten werken. Dat is voor hen goed te vermarkten, maar regelmatig worden deze standaard features helemaal niet gebruikt. Organisaties moeten zich altijd afvragen: wat gebruiken wij echt en is noodzakelijk? Dit klinkt logisch, maar vaak heeft het een lage prioriteit. En staat een applicatie eenmaal live, dan sleutelen veel organisaties er niet meer aan.
  3. Security Awareness
    Met technische oplossingen alleen ben je er niet. Waar mensen werken worden nu eenmaal fouten gemaakt. Medewerkers zijn zich vaak niet bewust van de mogelijke desastreuze gevolgen van het klikken op een link in een phishing mail of he downloaden van malware, en een ongeluk zit in een klein hoekje. Elke organisatie is dus gebaat bij medewerkers die zich bewust zijn van deze risico’s en weten hoe te acteren wanneer er onverhoopt toch iets misgaat. Wij zien dat het trainen van mensen en het doen van phishing-tests nog steeds nodig is, en werkt. Hier zijn effectieve en toegankelijke trainingsmodules beschikbaar voor, die je aan kunt passen aan de behoeften van jouw organisatie.
  4. Compliance
    Compliance is, net als awareness, de verantwoordelijkheid van de gehele organisatie. Je moet ervoor zorgen dat je processen op orde zijn, voldoen aan de wet- en regelgeving én dat iedereen zich hieraan houdt. Hoe ga je om met data? Ook hierbij is het dus van belang om bewustzijn te creëren bij alle medewerkers en regelmatige controles uit te voeren. Dit is al een klus wanneer alle data binnenshuis staat, maar wat als je (deels) gebruik maakt van de public cloud? Solvinity heeft hierin geïnvesteerd en als eerste Managed Service Provider in Nederland een SOC 2 compliance rapport ontvangen over de gehele beheeromgeving, inclusief Azure cloud.
  5. Kennis
    Investeer in kennis. Security is een tak van sport die continu in beweging is. Kennis up to date houden is dus van essentieel belang. Het is een specialisme die duur uit kan vallen om zelf te doen, wanneer het niet je core business is. Uitbesteden aan een betrouwbare en ervaren partner met schaalvoordeel kan dan serieuze overweging zijn. Bij Solvinity hebben we te maken met de omstandigheden van veel uiteenlopende klanten, waardoor wij continu doorleren en vernieuwen. Wij zijn zo veilig als onze strengste klant, en daar profiteren alle klanten van mee. Dat is ook zo leuk aan het werken bij Solvinity: wij zitten altijd dicht op de bal.

Lees ook

Meer