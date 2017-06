We moeten ophouden zo binair te denken over cloudsecuritty.

Er zijn twee kampen als het aankomt op beveiliging in de cloud: mensen die geloven dat cloud structureel onveilig is en aan de andere kant mensen die denken dat cloud niet gekraakt kan worden. Ze hebben het allebei mis. De mythes die aan deze twee denkwijzen ten grondslag liggen zijn gevaarlijk en dienen uit te sterven.

1. De publieke cloud is inherent onveilig

De gedachte is dat als ik het kan zien en kan bewerken, een ander dat ook kan. Maar je gegevens in de cloud zijn veiliger dan op het traditionele systeem waar het vandaan kwam, als je tenminste de juiste maatregelen neemt, oftewel het kijken naar en het kiezen van de juiste beveiligingsdienst.

Kijk naar de grote datadiefstallen van de afgelopen jaren: Sony, Target, Ashley Madison - daar kwam geen cloud aan te pas. Waarom is dat? Omdat de meeste mensen die aan de cloud werken de tijd nemen om goede beveiligingsmaatregelen te nemen. Dat moeten leveranciers ook wel doen om zaken te kunnen blijven doen en rekening te houden met zowel de voor- als nadelen van altijd verbonden zijn.

En IT-organisaties doen het om dezelfde reden: het beschermen van de bedrijfsvoering. Dat gaat beter als ze systemen gebruiken die zijn ontworpen met beveiliging in het achterhoofd. Dat is heel anders met traditionele systemen, waar beveiliging achteraf wordt toegevoegd en constant achterloopt met updates, zodat ze onveiliger zijn.

2. Publieke clouds zijn onneembare forten

Niets is ondoordringbaar en dat geldt ook voor een cloud die alle beveiligingsmaatregelen aan heeft staan. Beter beveiligd betekent niet absoluut beveiligd - dat bestaat niet - dus het zou dom zijn om alles in de cloud te zetten en niet na te denken over bescherming van de data. Het verschil is vooral dat je meer zekerheden hebt over de te verwachten effectiviteit van beveiligingsimplementaties in de cloud.

Als het aankomt op de cloud, gaat het er vooral om dat de beschikbare beveiligingsdiensten overeenkomen met je beveiligingseisen. Dat betekent Identity and Access Management (IAM), versleuteling en mogelijk multifactaor-authenticatie. Als je dat allemaal hebt, heb je je werk goed gedaan.

Mens blijft de zwakke schakel

Of het nu gaat om on-prem of de cloud, dezelfde kwetsbaarheid blijft bestaan: de gebruiker. Specifiek het soort dat accounts deelt, wachtwoorden op post-its zet, nooit updates draait - al dat soort ellende. Hoewel de meeste beveiliginsoplossingen prima zijn, valt het meestal om bij operationele dingen.

Hoe veilig je systeem is hangt af van je vaardigheden om alle processen in gedachten te doorlopen en daar de juiste beveiligingsmiddelen op toe te passen. Net als alle beveiliging is cloudsecurity niet zwart-wit. Het is niet fundamenteel onveilig en niet fundamenteel veilig. Het gaat om hoe je cloudbeveiliging benadert en - denk ik wel te kunnen zeggen - hoeveel tijd en geld je bereid bent eraan te besteden.