Beveiligingsoverwegingen voor gegevens in de cloud

Beveiligingsoverwegingen voor gegevens in de cloud

On-premise datacenters versus de cloud: welke omgeving biedt een sterkere gegevensbescherming?

Bedrijfsleiders aarzelen soms om gevoelige gegevens in de cloud op te slaan. Ze zijn bang de controle over de beveiliging van hun gegevens te verliezen. Het lijkt ook geruststellender om door de gang naar een on-premises datacenter te lopen en de fysieke systemen visueel te zien waar de data worden opgeslagen.

Uiteindelijk komt de beveiliging van de cloud versus een on-premises datacenter neer op de mensen, de processen en de technologieën die gebruikt worden. Met de juiste expertise in het toepassen van best practices en up-to-date hardware en software, bieden beide omgevingen de nodige bescherming voor de digitale activa van uw bedrijf.

In de meeste gevallen, als je samenwerkt met een toonaangevende cloudplatformprovider en een externe consultant om uw cloudomgeving te beheren, zijn uw gegevens veiliger in de cloud. De toonaangevende cloudplatformproviders bieden authenticatie van eindgebruikers en identiteitsbeheerservices en versleuteling voor gegevens die uit de cloud zijn gedownload om de hoogste beveiligingsnormen te garanderen.


Nadelen van het lokaal opslaan van data

In de cloud zul je waarschijnlijk ook minder uitgeven aan security en de inspanning om uw beveiligingspositie te behouden zal efficiënter zijn. Dat komt omdat als je jouw gegevens lokaal houdt, je ofwel high-end IT-security professionals moet inhuren of moet vertrouwen op in uw IT-systeembeheerdersteam. Het eerste komt neer op het betalen van een hoog salaris. Met de laatste keuze loopt je het risico dat het IT-team overbelast raakt en vertrouwt op algemene IT-experts die mogelijk niet goed thuis zijn in beveiliging.

Interne IT-middelen worden ook belemmerd door hun beperkte blootstelling. Het enige wat ze zien en waarmee ze werken, is de eigen IT-infrastructuur. Omgekeerd werken externe cloudprofessionals met een breed scala aan klanten in verschillende sectoren. Dit geeft hen een veel bredere perspectief op best practices en processen voor beveiliging, die voortdurend moeten evolueren om gelijke tred te houden met alle cybercriminele activiteiten die in de loop van de tijd steeds geavanceerder worden. Dat is een perspectief dat interne teams niet vaak hebben.

Het lokaal opslaan van gegevens betekent dat je ook moet investeren in beveiligingstools en deze regelmatig moet patchen en upgraden. Dat verhoogt de kosten verder en het is heel gemakkelijk om een tool uit het oog te verliezen die een update vereist, wat betekent dat de tool niet altijd optimaal zal presteren.

Een ander aspect van gegevensbeveiliging dat een uitdaging kan zijn voor interne teams, is de mogelijkheid om toegang te krijgen tot externe bedreigingsinformatie en deze te verwerken. Het is niet genoeg om een sterke interne veiligheidshouding te creëren; je moet ook op de hoogte zijn van de bedreigingen die op de loer liggen en die ook jouw organisatie kan treffen door aan te kloppen op de beveiligingsperimeter. Het probleem is dat er veel externe bronnen zijn om te controleren, en het synchroniseren van alle bedreigingsinformatie die ze produceren met uw interne tools vereist specifieke expertise en security threat managementtechnologieën.

Wanneer openbare cloudomgevingen geen optie zijn

Voor bedrijven die gevoelige gegevens verwerken en files delen met persoonsinformatie, zoals bedrijven in de financiële sector en de gezondheidszorg, is het opslaan van gegevens in openbare cloudomgevingen mogelijk geen optie of kan het door regelgeving worden verboden. En als de gedachte dat uw gegevens zich ergens buiten uw fysieke gebouw bevinden, je 's nachts gewoon wakker houdt, is de stress van het gebruik van de openbare cloud het gewoon niet waard.

Een mogelijk alternatief is om te overwegen een private cloud in te richten in het lokale datacenter. Je kunt ook een virtuele private cloudomgeving overwegen die wordt aangeboden door een co-locatiedatacenterfaciliteit. Beide benaderingen bieden een hybride omgeving en dat kan het op een na beste zijn voor on-premises datacenters die geen verbinding met internet hebben.

Defend yourself from fines and sanctions by downloading our free International  Compliance Handbook now!

Beveiliging in de cloud gebeurt niet automatisch

Hoewel de toonaangevende cloudproviders kunnen helpen al deze uitdagingen aan te gaan, is het niet alleen een kwestie van gebruik maken van hun services en er dan van uitgaan dat al beveiligingsuitdagingen zullen verdwijnen. Net als bij een intern datacenter, moet je de cloudprovider om de mensen, processen en de technologieën die ze leveren beoordelen. Alleen dan kunt u ervoor zorgen dat een cloudprovider uw beveiligingsproblemen voldoende aanpakt.

Het is vaak een goed idee om samen te werken met een externe cloudbeveiligingsconsultant. Hoewel de grote cloudplatformproviders zoals AWS, Azure en Google toegang bieden tot alle beveiligingstools die je nodig hebt, configureren ze jouw omgeving niet automatisch om gebruik te maken van deze tools. Je moet weten hoe je ze kunt inschakelen, hoe je ze kunt controleren en hoe je de services in de loop van de tijd kunt beheren. Dat is waar een consultant of cloud managed services provider van vitaal belang is.

Je hebt misschien interne bronnen die cloudbeveiligingstools kunnen bewaken en managen, maar dit is een ander geval waarin het meestal beter is om te vertrouwen op een externe samenwerken met brede expertise op het gebied van best practices op het gebied van beveiliging. Het is beter om interne teams toe te wijzen om ervoor te zorgen dat applicaties goed presteren en om eindgebruikers te helpen die technische ondersteuning nodig hebben.

Begrijp het model voor gedeelde verantwoordelijkheid voor cloudbeveiliging

Bij het opslaan van gegevens in de cloud is het ook van cruciaal belang om het gedeelde verantwoordelijkheidsmodel voor cloudbeveiliging te begrijpen. Terwijl cloudproviders maatregelen nemen om de hardware-infrastructuur van hun omgevingen te beschermen, bent je uiteindelijk verantwoordelijk voor de beveiliging van jouw gegevens en jouw applicaties. Zorg er ook voor dat je derden identificeert die toegang hebben tot of specifieke services leveren in de cloudomgeving.

Jouw cloudprovider kan bijvoorbeeld vertrouwen op een externe serviceprovider voor antivirusbeveiliging, of u kunt een bedrijfstoepassing uitvoeren in een cloudomgeving die wordt bemiddeld door de leverancier van de applicatie, maar wordt gehost door een colocatiefaciliteit. Het is van vitaal belang om iedereen te identificeren die erbij betrokken is, en hun rol bij het beschermen van de cloudomgeving, de beveiligingscontroles waarvoor elke entiteit verantwoordelijk is en of er lacunes zijn in de security die een risico voor jouw omgeving vormen. Er moet dan een projectplan worden opgesteld. in plaats voor de verantwoordelijke partij om die hiaten te dichten en ervoor te zorgen dat uw cloudbeveiligingshouding voldoet aan de relevante regelgeving.

Een veel voorkomende uitdaging die veel bedrijven tegenkomen als het gaat om gedeelde verantwoordelijkheid, is het gebrek aan inzicht in de beveiligingscontroles die cloudproviders hebben geïmplementeerd - ze delen deze informatie niet altijd met hun klanten. Idealiter heb je wilt samenwerken met uw cloudprovider om een gedeelde verantwoordelijkheidsmatrix te maken die duidelijkheid biedt over de verantwoordelijkheden voor beveiligingsbeheer en definieert welke 100% eigendom zijn van één entiteit en welke door meerdere entiteiten worden gedeeld.

Dit alles onderstreept nogmaals het belang van de mensen, de processen en de technologieën die in het spel zijn om  gegevens en andere digitale activa te beschermen. Het maakt niet uit of de data zich on-premises, in de cloud of in beide omgevingen bevinden, zorg ervoor dat de nodige expertise, best practices en de toonaangevende beveiligingstools worden gebruikt.


Comments
Comments are disabled in preview mode.