Veel organisaties zijn nog steeds huiverig om hun afhankelijkheid van SaaS verder te laten toenemen. Hoewel de mogelijkheden steeds groter worden en ook volwaardige bestaande oplossingen als een online service worden aangeboden, hebben veel decision makers vooral de bedreigingen op het netvlies staan. Welke stappen moeten we nog nemen om de talloze en gevarieerde vruchten van cloudsoftware te plukken?
Dat de voorzichtigheid er is, is niet verwonderlijk. De afgelopen jaren kwamen ons veel verhalen ter ore van organisaties die gevoelige databestanden kwijt raakten, doordat er ergens een onzorgvuldigheid was in hun digitale defensie. Zo was er zeer recent nog een datingsite, gericht op mensen mét een relatie, die de volledige profielgegevens van gebruikers kwijtraakte. Oeps! Veel gevoeliger dan dit wordt het niet. Maar ook minder uitgesproken voorbeelden van grote en professionele organisaties zijn de revue gepasseerd. Het bevestigt dat iedereen die online gegevens invoert en opslaat zich drie keer achter de oren moet krabben over de mogelijkheden om die gegevens te beveiligen.
Gevoel vs. verstand
Zo bezien is de zorg rond cloudsoftware en voorzichtigheid in de adoptie ervan terecht. Geen organisatie wil dat, bovenop de (privé)gegevens van medewerkers ook bedrijfskritische data op straat komt te liggen. Statistisch gezien is software die opereert via de cloud echter vaak beter beveiligd dan oplossingen die on-premise worden ingezet. De cloudaanbieders hebben namelijk een prioriteit: de zorg dat de gegevens van klanten goed beveiligd is. Je kunt toch verwachten dat hun datacenters goed zijn dichtgetimmerd? Het is een beetje als met autorijden. Als je zelf achter het stuur zit, heb je het gevoel van controle en zal je je al snel veiliger voelen dan op de bijrijdersplaats. Maar een ervaren taxichauffeur brengt je waarschijnlijk veiliger en bovendien sneller van A naar B, hoewel je door het ontbreken van controle wel een onveiliger gevoel kunt hebben. Ten onrechte.
Met single sign-on ben je er nog niet
Als we op de cloudaanbieder kunnen vertrouwen, dan ligt de verantwoordelijkheid voor veilig en betrouwbaar gebruik juist bij de afnemer van de oplossing en de uiteindelijke eindgebruiker. Het kwetsbaarste moment zit bij hun inlogmomenten en de wachtwoorden die ze kiezen. Veel mensen kiezen voor de gebaande paden, die dus eenvoudiger te kraken zijn. De ‘security breaches’ die we in het nieuws voorbij zien komen, hebben hier meestal mee te maken.
Er zijn gelukkig identity- en accesmanagement (iam)-oplossingen die deze problemen bestrijden. Zij claimen dat de kwetsbaarheid met een single sign-on wordt opgeheven en bieden een soort sleutel waarmee toegang tot alle applicaties en oplossingen wordt beheerd. Voor de eindgebruikers werkt zo’n single sign-on super, maar qua veiligheid laat het toch echt te wensen over. Er zit namelijk nog steeds een zeer kwetsbaar moment in dit proces: de single sign-on.
Multi-ID
Gebruiksgemak en security gaan nu eenmaal lastig samen. De meest veilige benadering van cloudsoftware zou talloze stappen omvatten, waarmee de gebruiker persoonlijke informatie inzet (of sterker nog, een iris- of vingerafdrukscan) om toegang te krijgen. Dat is praktisch helaas niet werkbaar en zou er toe leiden dat gebruikers de omslachtige procedures zouden ontwijken met hun eigen (onveilige) methodes. Het is zoeken naar de balans tussen veiligheid en gebruiksgemak om te voorkomen dat de maatregelen een averechts effect hebben. Dit luistert nauw, getuige de vele verhalen over beveiligingslekken. Meerdere identificatiemomenten (multi-ID) maken het proces een stuk veiliger. En een specialist kan u als geen ander zoeken naar de balans tussen security en usabillity. Het is verstandig die zoektocht vast te beginnen, want dat we in de komende jaren met zijn allen software meer en meer online gaan benaderen? Dat staat niet ter discussie.
Multi-ID, is dat niet al bekend als n-factor authenticatie?
Single sign-on biedt zeker weten betere beveiliging dan authenticatie tegen de betreffende cloud dienst. Je moet het dan vanuit je interne directory realiseren. On-premises identiteiten met wachtwoorden op het interne netwerk zijn minder kwetsbaar dan identiteiten met wachtwoorden in de cloud, ivm het lekken of zelfs stelen van de betreffende identiteiten (en wachtwoorden). Vereist de betreffende (cloud) applicatie dusdanige identiteitsverificatie dan zou je additioneel aan de primaire authenticatie, ook dual factor of multi-factor authenticatie (MFA) kunnen toepassen. Het toepassen van MFA kan je doen op de eerste gelegenheid dat de gebruiker de applicatie gaat gebruiken of wanneer de gebruiker in een bepaald deel van de applicatie komt waar een hogere identiteitsgarantie (identity assurance) vereist is. Multi-ID is wat dat betreft hetzelfde als primaire authenticatie met additioneel MFA.