De weg naar een veilige cloud is lang en steil

door

mountain, cloud, bord

door

Achtergrond - Analistenbureau Gartner voorspelt dat het nog jaren zal duren voordat cloud computing echt als veilig mag worden bestempeld. Bedrijven zijn teleurgesteld in het niveau dat op dit moment geboden wordt.

De cloud heeft nog een lange, steile weg te gaan om echt veilig te kunnen worden, zegt Gartner onderzoeksdirecteur Jay Heiser. Hij vertelt dat veel bedrijven en overheidsorganisaties hun gevoelige data uit de cloud zullen blijven houden totdat aanmerkelijke verbeteringen worden doorgevoerd.

“Finance-afdelingen gaan voorzichtiger met cloud om dan kleine bedrijven”, zei Heiser in een toelichting richting zijn klanten. In het rapport ‘Prepare for and Minimize the Security Risk of Cloud Computing’ stelt Heiser dat het een stuk eenvoudiger is een security binnen Infrastructure-as-a-Service (IaaS) dan Software-as-a-Service (SaaS) te regelen omdat er meer flexibiliteit is en minder afhankelijkheid van de eigenschappen van de leverancier. Over het algemeen genomen zijn cloud service providers niet zo transparant als ze zouden moeten zijn over zaken als businesscontinuïty en disaster recovery, waardoor klanten wegblijven.

“Klanten van Gartner zijn door de bank genomen teleurgesteld in wat zij constateren als de tekortkoming in cloudcontracten waar ze niet het verwachte securityniveau aantreffen”, zegt Heiser. “Cloudcontracten zijn incompleet”, benadrukt hij.

Ambitieuze initiatieven

De moeite die het kost om IaaS en SaaS te definiëren en helderheid te verschaffen over de rechten en plichten tussen de cloudprovider en de klant is een probleem waar de Amerikaanse overheid zich mee gaat bemoeien via het FedRAMP-plan dat cloudproviders voor gebruik door overheden zal gaan certificeren. Volgens Heiser ligt er ook een schone taak weggelegd voor de Cloud Security Alliance (CSA) die met haar werkgroepen snel met standaarden voor de branche moet komen.

Heiser wijst erop dat de Amerikaanse beroepsvereniging voor accountants AICPA zijn SAS70-certificering heeft veranderd in de serviceprovider certificering SOC 1. Samen met SOC 2 en SOC 3 zeggen deze certificaten iets over de beveiliging en de mate waarin je de serviceprovider kunt vertrouwen.

Hoewel deze pogingen om tot standaardisatie te komen door Heiser worden aangemoedigd, vreest de analist dat het nog jaren duurt voordat FedRAMP en de CSA-standaarden ingevoerd worden. Hetzelfde zag hij eerder gebeuren bij de ISO/IEC 27017 cloudbeveiligingsstandaard en de 27018 cloudprivacystandaard. Al deze pogingen om tot betere security in de cloud te komen zijn lovenswaardig, maar het zal tot vijf jaar duren voordat ze als volwassen kunnen worden bestempeld, aldus de onderzoeker.

In de tussentijd moeten bedrijven en overheden concessies doen wat betreft hun requirements en goed de beveiligingsmogelijkheden van de cloudprovider inspecteren. Het startpunt is dat je goed moet kijken naar de gevoeligheid van de data die je in de cloud wilt plaatsen, zegt Heiser. Bedrijven moeten zich afvragen hoe groot de impact van eventueel dataverlies zal zijn, of de data interessant is voor concurrenten en onder welke wetten en regels de data mogelijkerwijs valt. “Bekijk in hoeverre de dienst hierbij past”, zegt hij.

Lees meer over:

ISO, Gartner, cloud, SAS

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Computerworld nieuwsbrief

Ontvang tweemaal per week een overzicht van de laatste achtergrondartikelen in uw mailbox.