Jeff Scipio
Partner DIrector bij Guardian360 B.V.
Maar al te vaak gaan IT-dienstverleners ervan uit dat wanneer zij data en zakelijke toepassingen van eindklanten in ‘de cloud’ hebben staan, het automatisch veilig is. Het staat immers in datacenters van deze cloud-aanbieders en je mag ervan uitgaan dat deze voldoende beveiligd zijn. Maar is dat wel zo? Hoe kan het dan dat gerenommeerde bedrijven die hun data en bedrijfskritische applicaties in de cloud hebben toch het nieuws halen met datalekken, doordat ze gehackt zijn of dat ze gegijzeld zijn door ransomware?
Eigenlijk leven we in een vreemde tijd. We praten allemaal over de cloud en security, maar vraag aan een groep willekeurige ondernemers wat zij onder cloud en security verstaan en je zal versteld staan van de verschillende betekenissen die zij hieraan geven. Cloud? Dan staat onze data toch ergens bij een andere partij die verantwoordelijk is voor die data? Security? Dat heeft toch te maken met zaken zoals firewalls en antivirussoftware? En zo kan ik nog veel meer voorbeelden van antwoorden geven waaruit blijkt dat veel klanten hun eigen betekenis geven aan cloud en security.
Maar is dat dan erg? Op zich niet, maar het is voor de eindklant wel erg onhandig als je als leverancier niet goed kunt uitleggen waar het echt om gaat bij de cloud en bij security. Helemaal als je dat gesprek pas voert op het moment dat het mis is gegaan. Eigenlijk is de cloud heel simpel: de cloud is een verzameling van servers, vaak verdeeld over meerdere datacenters, waar data opgeslagen wordt en applicaties aangeboden kunnen worden. Informatiebeveiliging vertegenwoordigt het geheel van preventieve, mitigerende en curatieve maatregelen aangevuld met procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van data en systemen garanderen.
Security binnen de cloud
Het in de cloud plaatsen van je data en applicaties betekent eigenlijk alleen maar dat je de investering in servers hebt omgezet naar een abonnement en dat je in veel gevallen hogere beschikbaarheid ervaart. Die business case is voor veel eindklanten wel duidelijk, de beveiliging echter niet. Een IT-dienstverlener zou de volgende vragen moeten stellen: Heb je voor jezelf goed in beeld welke diensten online toegankelijk mogen zijn en welke je strikt voor jezelf houdt? Heb je gecontroleerd of het land waarin de servers staan voldoen aan Europese wetgeving, bijvoorbeeld als het gaat om de verwerking van persoonsgegevens? Heb je de beveiliging van je data in de cloud gecontroleerd? Hoe toon ik aan dat ik mij maximaal heb ingespannen om data veilig te houden? De feiten Vanaf augustus 2024 ontdekten internetgebruikers wereldwijd 52.000 nieuwe veelvoorkomende IT-beveiligingskwetsbaarheden en blootstellingen (CVE’s).
Preventie
Hoe dienen we om te gaan met al deze digitale gevaren en bedreigingen? Preventie is hier het sleutelwoord. Als we uit gaan van de enorme toename van IT-beveiligingskwetsbaarheden, dan is het niet reëel om te verwachten dat je deze allemaal kunt kennen, laat staan handmatig kunt opsporen. Hier heb je eenvoudigweg een geautomatiseerde oplossing voor nodig: vulnerabilty scanning en managementsystemen. Gelukkig zien we dat de bewustwording van het belang van informatiebeveiliging toeneemt, mede door AVG, GDPR en NIS2 en alle geopolitieke ontwikkelingen. Opvallend is dan dat het in gebruik nemen van vulnerabilty scanning en managementsystemen minder significant toeneemt.
Zes punten waar we onze klanten op zouden moeten wijzen.
Ten eerste zal de IT-partner richting zijn klanten zelf ook moeten aantonen dat hij met betrekking tot de informatiebeveiliging van zijn eigen diensten, data en applicaties ‘in control’ is.
Ten tweede zal de IT-partner zich moeten realiseren dat het zakendoen met een Nederlandse securityvendor steeds vaker een vereiste is van de klant. Als derde zal de klant erop gewezen moeten worden dat het belangrijk is dat er niet met één maar met meerdere scanners gescand moet worden. Ten vierde zal er op gewezen moeten worden dat het van belang is dat gevonden IT-kwetsbaarheden afgezet kunnen worden tegen normeringen, zodat klanten compliant kunnen zijn met normen. Ten vijfde: de meeste scanners kijken naar preventie (netwerkscanning), dus zorg ervoor dat je scanners kiest die ook aan detectie doen. Tot slot de zesde: zorg dat het scanplatform op basis van gevonden IT kwetsbaarheden ook inzichten geeft in afwijkingen van normeringen zoals bijvoorbeeld GDPR, NIS2, ISO, NEN7510 en andere aanbevelingen om beter te kunnen voldoen aan deze regel- en wetgeving.
Meer weten?
Binnen Guardian360 B.V. kijken net even wat anders naar informatiebeveiliging dan andere fabrikanten. Die andere kijk op informatiebeveiliging heeft ervoor gezorgd dat het platform van Guardian360 volledig voldoet aan de punten die ik zojuist noemde. Contact me voor meer informatie.