Bedrijven kunnen niet om de voordelen van cloud-oplossingen heen: meer flexibiliteit, altijd de meest actuele technologieën en significante kostenverlagingen. Toch aarzelt nog 80 procent van de organisaties om de overstap naar de cloud te maken, blijkt uit een recent onderzoek van TNS Nipo. De reden: onzekerheid over de veiligheid.
De meeste medewerkers gebruiken in hun privé-situatie al publieke cloud-diensten en voelen nauwelijks een drempel om die ook op het werk te gebruiken. Snel even wat documenten in Dropbox plaatsen, vertrouwelijke documenten via Wetransfer naar de klant sturen of een presentatie maken in een gratis cloud-tool. De (traditionele) it-middelen van de eigen organisatie blijven daarentegen vaak achter: minder mogelijkheden en minder goed toegankelijk. Als de organisatie geen goede, veilige alternatieven biedt, gaan medewerkers zelf op zoek. Dit brengt grote risico’s mee voor de veiligheid, want voor de it-afdeling is het lastig om controle te houden over het gebruik van publieke cloud-diensten.
Definieer veiligheid
De onzekerheid over de veiligheid van cloud-oplossingen is meestal te herleiden naar onwetendheid. Te vaak wordt de angst voor risico’s door de it-afdeling of het managementteam aangegrepen om maar helemaal af te zien van een cloud-oplossing, terwijl de cloud het voor veel bedrijven juist mogelijk maakt de veiligheid een niveau op te schroeven. Cloud-leveranciers investeren vaak meer in veiligheid dan organisaties zelf kunnen doen en dankzij de schaalgrootte zijn deze investeringen ook rendabel. Ook beschikken cloud-leveranciers meestal over een team van voormalig hackers die de veiligheid continu preventief op de proef stellen, zodat eventuele problemen voortijdig worden gesignaleerd.
Om veiligheid te kunnen beoordelen, moet het voor iedereen helder zijn wat er precies onder verstaan wordt. Niet alle data hoeft aan dezelfde hoge veiligheidseisen te voldoen. Op basis van een risicoanalyse kan it in samenwerking met het managementteam bepalen welke onderdelen en bedrijfsactiviteiten aan meer normen of eisen moeten voldoen dan andere. Zo zijn bijvoorbeeld de gegevens uit een patiënten-portal crucialer dan de gegevens uit een boekingssysteem voor vergaderzalen. Door de eisen goed in kaart te brengen, kan de it-afdeling bepalen welke cloud-oplossingen passen bij specifieke onderdelen en activiteiten. Zo is het bij veel cloud-oplossingen mogelijk extra veiligheidsopties in te schakelen, zoals een tweetraps toegangscontrole of dedicated lijnen. Ook encryptie van data, data loss protection (dlp), back-up en data recovery bieden aanvullende opties.
Ook de toegang tot informatie voor bijvoorbeeld overheden kan een issue zijn. Sommige organisaties willen voorkomen dat de Amerikaanse overheid bij bepaalde data kan via de Patriot Act. In dit geval zijn de geografische en juridische datalocatie van belang. De geografische, ofwel fysieke, datalocatie zegt niet alles over de wetgeving waar de data onder valt. Een datacenter dat in Nederland gevestigd is, maar eigendom is van een Amerikaanse cloud-provider, valt toch onder de Amerikaanse wetgeving. Daarom is de juridische datalocatie minstens zo belangrijk. Ook is het essentieel om te controleren of een cloud-leverancier gebruik maakt van buitenlandse offshoring-oplossingen voor bijvoorbeeld beheer. Bepaal dus altijd of de geografische en juridische datalocatie een belangrijk criterium is en pas hier de keuze voor een cloud-dienst op aan.
Onbekende risico’s
De gevolgen van onveilig werken in de cloud zijn vaak onbekend voor medewerkers die niet op de it-afdeling werken. Ze zijn gewend aan de functionaliteiten waarvan ze privé ook profiteren en verwachten deze ook in hun werkomgeving. Waar informatie wordt opgeslagen en hoe veilig het is, zien ze niet direct en is vaak ook niet interessant voor ze. Meestal weten ze niet precies wat het it-security-beleid van de organisatie inhoudt en zo zijn veiligheidsaspecten makkelijk te negeren. Zelfs medewerkers die het wel weten – zoals it-medewerkers – handelen niet altijd naar het beleid. Veiligheidsrisico’s spelen dus op verschillende niveaus. Van medewerkers die hun wachtwoord laten rondslingeren tot it-beheerders die slordig zijn met updates. Om de veiligheid te waarborgen, is het belangrijk dat organisaties de verschillende niveaus controleren en beheren.
Fouten die door menselijk handelen ontstaan, zijn voor een deel al te ondervangen met technische oplossingen die onderdeel zijn van cloud-diensten. Denk aan single sign on, het in één keer inloggen op alle systemen, of het op één centraal punt aanmaken van gebruikers-accounts. Op die manier is een account door de it-afdeling ook weer eenvoudig te verwijderen als een (tijdelijke) medewerker vertrekt. Maar alleen dit soort maatregelen zijn niet genoeg. Het is minstens zo belangrijk dat medewerkers zich bewust zijn van risico’s en de gevolgen van onveilig werken.
Hou het simpel en overzichtelijk
Dat menselijk handelen een zwakke schakel vormt voor veilig werken in de cloud, krijgt helaas meestal pas echt aandacht als er iets misgaat. Als er bijvoorbeeld tóch gevoelige documenten via een tool als Dropbox naar buiten zijn gekomen. Preventieve aandacht voor veilig werken in de cloud is noodzakelijk om medewerkers bewuster te maken van de risico’s. Voordat medewerkers een nieuwe technologie als de cloud omarmen en er veilig mee werken, is een gedragsverandering nodig. Daarbij zijn vier niveaus te onderscheiden: bewustwording (ik ken het), kennis (ik kan het), houding (ik wil het) en gedrag (ik doe het). Een gestructureerde aanpak kan ervoor zorgen dat medewerkers (en andere stakeholders) het gewenste gedrag gaan vertonen.
Een gedragsverandering hoeft niet ingewikkeld te zijn. Als gedragsverandering vooral nodig is op het niveau van bewustwording en kennis, bied dan compacte en toegankelijke richtlijnen. Een lijst met do’s & don’ts volstaat, inclusief korte uitleg waarom iets wel of niet geoorloofd is. Zorg ook dat duidelijk is waar medewerkers terecht kunnen met vragen en communiceer de lijst met contactpersonen regelmatig. Ligt de focus daarentegen vooral op gedrag, dan kunnen trainingen relevant zijn. Dat kan klassikaal, online, via video-instructies of serious gaming, net wat het beste aansluit bij de doelgroep.
Concurreer met publieke cloud-diensten
Hoe langer een organisatie aarzelt met de inzet van veilige cloud-diensten als alternatief voor publieke cloud-diensten, hoe meer medewerkers op eigen houtje publieke diensten gaan gebruiken en hoe meer de it-afdeling de controle zal verliezen. Deze ontwikkeling vraagt om alternatieven die net zo gemakkelijk werken en die net zo snel beschikbaar zijn als de publieke cloud-varianten. Dat kan via een eigen app store met een aanbod van cloud-diensten die ruimschoots aan het it-beveiligingsbeleid voldoen. Inmiddels is er ruime keuze uit cloud-diensten die passen bij de wensen van medewerkers én bij het organisatiebeleid. De it-afdeling kan dus flexibel en betrokken inspelen op wensen van de organisatie, goede support bieden en het management adviseren over nieuwe cloud-diensten.
Om de veiligheid onder controle te houden, is de regiepositie van de it-afdeling essentieel. Voor alle medewerkers moet duidelijk zijn dat deze afdeling verantwoordelijk is voor de veiligheid en deze verantwoordelijkheid ook neemt. Vragen en verzoeken kunnen dus ook bij dit team worden neergelegd. Op deze manier worden zij niet meer alleen gezien als probleemoplosser, maar steeds meer als facilitator en leverancier van praktische én veilige cloud-diensten.
Simon van den Doel, principal technical consultant bij KPN Consulting
Veilig werken in de cloud: drie tips
Veilig werken in de cloud kán, zolang medewerkers zich maar bewust zijn van wat wel en niet kan, en daarnaar (kunnen) handelen:
1. Specificeer het it-security-beleid en creëer bewustzijn via do’s en don’ts;
2. Communiceer het beleid regelmatig;
3. Biedt veilige alternatieven voor publieke cloud-diensten.
EZ/ ECP hebben met hulp uit de sector een checklist voor cloud selectie voor MKB bedrijven opgesteld.
Zie http://www.cloudbewust.nl
@Michiel
Misschien dat je het gemist hebt maar het gaat hier niet om keus van een provider maar de keuzen van gebruikers. Nog even de DHPA voorwaarden nagelezen en deze nemen niet de verantwoordelijkheid over aangaande de informatie die in de cloud gezet wordt.
Weer een artikeltje ‘ Prediken voor eigen Parochie…’ Soms een beetje vermoeiend dat ‘ iemand’ iets stelt en invult voor een ander. Als je het onderzoek even in ogenschouw neemt, geef je zelf al de grootste redenen aan waarom men niet over stapt. Het antwoord is dan natuurlijk een lang marketing klaagzang dat de bedrijven wel zou moeten overreden om…
Veiligheid
Iedereen die roept dat Saas, Paas, Pinkster en PaasHaas alle ICT problemen als sneeuw voor de zon doet verdwijnen, gaat volkomen voorbij aan enkele zeer cruciale zaken.
Cloud hoeft namelijk helemaal de oplossing niet te zijn voor een organisatie. Zo kan een organisatie gewoon de veiligheid en exclusiviteit van eigen data gewoon en volkomen in eigen hand en regie houden. Het is gewoon een zakelijke afweging.
Cloud en kosten
Al eerder heb ik de vraag gesteld om eens met een gedegen calculatie te komen dat aantoont dat cloud goedkoper zou zijn wanneer het gaat om hetzelfde service niveau leveren als men nu al heeft. De conclusie blijkt namelijk geheel anders. Cloud icm dedicated support word ineens niet goedkoper.
Connectivity
Een datacenter is een datacenter en een glasvezel of pipe, naar, om het even waar, niets meer of minder dan een routinematige verbinding waarbij gekozen kan worden uit verschillende leveranciers, precies hetzelfde als de cloud leverancier. Even los van de grootte van een onderneming is het hier een kwestie van onderhandelen.
Ook dat hoeft dan per definitie echt niet goedkoper dan mijn eigen leverancier dat mij nu aanbied, in een hostingcenter natuurlijk.
Kort en goed, een reden om in cloud te willen stappen is louter een commerciele, waarbij helder moet zijn dat die stap toevoegende waarde heeft. En juist die stap word klaarblijkelijk een technisch vehaaltje, telkens weer, dat ‘klanten’ maar niet over de streep willen trekken.
Daar helpt een commercieel epistel, in computable, die die klanten waarschijnlijk niet eens bezoeken, verder ook niet zoveel tegen.
Een kritische succesfactor is dat de security en privacy functies can cloud services worden beheerd door de gebruikers en niet de cloud service provider.
Daarbij beheren de gebruikers zelf de broninformatie, certificaten, identiteiten, private-keys, etc.
Op accountant.nl/Accountant/Nieuws/Tuchtrecht+Vervalsing+e-mailbewijs+niet+aangetoond.aspx is met betrekking tot dit onderwerp een aardige discussie te vinden.
@Simon, ik ben het eens met het feit dat medewerkers steeds vaker hun eigen oplossingen kiezen als de organisatie niet voldoende faciliteert. Maar is het niet vaak de it-afdeling die zelf de vertragende factor is. Ik kom nogal eens een it-afdeling tegen die als oplossing voor het security vraagstuk heeft: deuren sluiten. Soms is het een logisch gevolg van de wijze waarop ze afgerekend, namelijk op het ‘falen’ van oplossingen. Dan vraagt een organisatie om ‘bunkerict’. Het ontbreken van degelijke kennis bij een it-afdeling leidt vaak toch ook tot de ‘simpele’ oplossing van de bunker.