
'Cloud computing is gewoon outsourcing'
Leveranciers van cloud computing-diensten kun je net zoals een reguliere externe leverancier behandelen, maar kijk uit voor de 7 zonden.
Leveranciers van cloud computing-diensten kun je net zoals een reguliere externe leverancier behandelen. Volgens een analist van het Information Security Forum bestaat er nauwelijks verschil.

'Cloud computing is gewoon outsourcing'
Leveranciers van cloud computing-diensten kun je net zoals een reguliere externe leverancier behandelen. Volgens een analist van het Information Security Forum bestaat er nauwelijks verschil.
“Cloud is gewoon outsourcing. Je kunt handelen op basis van de kennis die je hebt opgedaan met het uitbesteden van diensten, zolang je maar rekening houdt met de zeven dodelijke zonden [van de cloud]”, zei analist Adrian Davis van Information Security Forum tijdens het (ISC)2-congres, dat eerder deze maand in Londen gehouden werd.
Volgens Davis zijn er zeven fatale zonden die IT-professionals en organisaties kunnen begaan wanneer het op cloud security aankomt.
Cloud in de supply chain
Allereerst is er onwetendheid – waar niemand het weet of het kan schelen welke diensten in de cloud draaien. “Als er cloud binnen jouw supply chain zit, en niet iedereen weet daarvan, dan is dat dubbel zo erg. Als er cloud in jouw supply chain zit en het gaat fout, dan draag jij de verantwoordelijkheid”, waarschuwt Davis.
Daarnaast wijst Davis organisaties erop dat ze zich bij de aanschaf van een cloud-dienst bewust moeten zijn van de algemene voorwaarden van de provider. Dit betekent dat organisaties alle onduidelijkheid en dubbelzinnigheid uit de service level agreements (SLA’s) en end-user licence agreements (EULA’s) moeten halen voordat ze dergelijke overeenkomsten sluiten. Om de zonde van overtreding te voorkomen, moeten organisaties begrijpen welke regels en wetten op de cloud-diensten van toepassing zijn.
Te weinig rondleidingen binnen datacenters
Ondertussen dienen IT-beveiligers rekening houden met de twijfels die ontstaan wanneer de cloud-leverancier niet duidelijk maakt of het de beveiligingsmaatregelen treft die het zegt te treffen. Het kan namelijk moeilijk zijn om zekerheid hierover zwart op wit te krijgen. “Cloud-leveranciers geven bijna nooit toestemming voor een audit van hun datacenters. Hoe kun je dan zeker weten dat ze doen wat ze zeggen te doen? Hoe weet je zeker dat ze patches uitvoeren?”, zegt Davis.
Organisaties moeten deugdelijk beleid op gebied van informatiemanagement hebben om chaos te voorkomen – vooral omdat cloud zo makkelijk aan te vragen is dat iedereen binnen de organisatie een cloud-dienst kan afnemen, vaak zonder rekening te houden met informatiebeveiliging.
'Informatiemanagement enorm belangrijk'
“Als je niet weet hoe je de gevoeligheid van informatie moet classificeren, hoe kun je dan bepalen wat wel en niet in de cloud thuishoort? Hoe maakt een cloud-dienst backups en vernietigen ze deze naar verloop van tijd wel? Heb je enig bewijs dat wat ze zeggen dat ze doen ook gebeurt?”, stelt Davis.
De twee laatste zonden zijn hoogmoed en zelfingenomenheid – de gedachte dat de IT-infrastructuur en informatie archituur van een organisatie om kan gaan met data in de cloud en dat de cloud onfeilbaar is. "Ondanks dat er mensen zijn die denken dat de cloud nooit zal falen, blijft deze afhankelijk van onderliggende apparatuur en verbindingen”, aldus de analist.
Reageer
Preview