Wat biedt cloud-based compliance en beveiliging fabrikanten vergeleken met on-premise?

augustus 6, 2020

Het gebruik van cloud computing door organisaties van elke omvang blijft groeien. Industrie-analisten Stastista, stellen dat de omvang van de markt voor cloud computing, over meerdere platformen (IaaS, SaaS, PaaS en on-premise private cloud) ten minste 336 miljard dollar bedraagt in 2022. Belangrijk is dat de recente pandemie het bewustzijn van en de belangstelling voor oplossingen in de cloud heeft vergroot.

Voor fabrikanten bieden oplossingen in de cloud verschillende voordelen vergeleken met het aanbod op locatie. Betere beveiliging en de mogelijkheid om de wereldwijde compliance-eisen op elkaar af te stemmen zijn slechts twee van die voordelen. Deze komen bovenop andere te verwachten voordelen van de cloud, zoals schaalbaarheid, lagere kosten en meer flexibiliteit.

Wat zijn de cybersecurity uitdagingen waar organisaties mee te maken hebben?

De cybersecurity uitdagingen voor alle ondernemingen blijven groeien. Ze variëren van aanvallen op werknemers tot grootschalige aanvallen op de infrastructuur. Ze zijn allemaal bedoeld om organisaties te beïnvloeden en de bedrijfsvoering te verstoren.

Aanvallen tegen werknemers zijn onder andere phishing, Trojan's en Business Email Compromise. Ze zijn allemaal ontworpen om gebruikersgegevens te stelen om toegang te krijgen tot gegevens en om malware op het bedrijfsnetwerk te installeren. Er is ook een toename van de Insider-dreiging, waarbij medewerkers samenwerken met aanvallers om gegevens te stelen.

IoT-apparaten worden gebruikt om productie-installaties en -apparatuur te monitoren. Veel van deze apparaten zijn onveilig of hebben een beperkte beveiliging. Het stelt aanvallers in staat om ze te laten samenwerken in massale botnets. Deze worden gebruikt om het internet te overspoelen en websites uit te schakelen.

De kwetsbaarheden in software, van applicaties tot besturingssystemen, worden in de loop van de jaren steeds talrijker. In 2000 werden er slechts 1.020 veelvoorkomende kwetsbaarheden en blootstellingen geregistreerd. In 2018 had dit een piek van 16.556 bereikt. Een toenemend aantal van deze kwetsbaarheden is moeilijk te verhelpen en is van toepassing op zeer specifieke onderdelen van hardware en software. Naarmate operationele technologie (OT) binnen productiebedrijven steeds meer aan het internet wordt blootgesteld, wordt de apparatuur aan een groter risico blootgesteld. Het legt meer druk op IT-afdelingen om kwetsbaarheden te patchen en te verhelpen. Als ze niet worden gepatched, zullen aanvallers proberen ze uit te buiten.

Er is een wereldwijd tekort aan geschoold cybersecurity personeel. Hierdoor hebben veel organisaties moeite om hun netwerken te beschermen tegen aanvallen. Zelfs als ze mensen in dienst hebben, kunnen ze moeite hebben om ze te behouden, omdat concurrenten hogere salarissen en een aantrekkelijkere werkomgeving bieden.

Twee belangrijke redenen waarom de cloud veiliger is dan on-premise

Ernstige veiligheidsinbreuken wekken altijd angst op. Als het gaat om inbreuken op gegevens die in de cloud zijn opgeslagen, valt de overgrote meerderheid uiteen in twee categorieën; gestolen inloggegevens en verkeerde configuraties. Gestolen inloggegevens vormen een risico, ongeacht waar de gegevens zich bevinden, en kunnen het best worden opgelost door een betere training van de gebruikers, een veiligere inlogtechnologie en betere toegangscontrole.

Een verkeerde configuratie is een andere kwestie. Het merendeel van de gevallen wordt veroorzaakt doordat ontwikkelaars en beheerders aan de klantzijde de standaardinstellingen wijzigen. Dit is dus geen probleem bij cloudaanbieders of het onderliggende beveiligingsmodel van de cloud.

Bedrijven waarvan de applicaties worden geleverd middels Software as a Service (SaaS) bieden meerdere niveaus van extra veiligheid ten opzichte van on-premise. De leverancier is verantwoordelijk voor het automatisch patchen en updaten van de applicaties. Dit neemt het risico weg dat niet-gepatchte applicaties een veiligheidsrisico vormen. Daarnaast is de cloudaanbieder op wiens infrastructuur ze draaien, verantwoordelijk voor de beveiliging van die infrastructuur.

Maar is er bewijs dat de cloud veiliger is? In de afgelopen drie jaar zijn er tal van onderzoeken uitgevoerd door leveranciers. Wat ze laten zien is dat het vertrouwen in de cloud toeneemt. Vorig jaar vroeg Nominet aan CISO's, CTO's en CIO's of het risico op een inbreuk in de cloud waarschijnlijker was dan bij on-premise systemen. 61% zei te geloven dat de cloud veiliger is dan on-premises IT. Nog belangrijker is dat 92% van diezelfde respondenten zegt dat hun bedrijf gebruik maakt van op cloud gebaseerde beveiligingsoplossingen.

Wat kan cloudgebaseerde beveiliging opleveren?

Op de cloud gebaseerde beveiligingsoplossingen kunnen veel van de hierboven genoemde problemen oplossen.

  • Cybersecurity vaardigheden: Cloud Service Providers (CSP) en Managed Security Services Providers (MSSP) hebben enkele van de best betaalde en best opgeleide mensen op het gebied van cybersecurity. Ze kunnen gebruik maken van de ervaring van deze medewerkers en de dreigingsinformatie die ze verzamelen om aanvallen op hun klanten te voorkomen.
  • Multi-platform support: Organisaties zijn niet langer afhankelijk van één enkel cloudplatform zoals de infrastructuur, het platform of Software as a Service (IaaS, PaaS, SaaS). Ze maken gebruik van meerdere platformen van meerdere leveranciers, naast hun on-premise IT-omgevingen. CSP's en MSSP's hebben de tooling en de ervaring om een gelaagde verdediging te leveren in al deze omgevingen.
  • Gecontroleerde toegang: Werknemers van CSP's en MSSP's hebben geen directe toegang tot bedrijfskritische gegevens. Dit verkleint het risico op een bedreiging door insiders. CSP's en MSSP's kunnen ook helpen bij het implementeren van multi-factor authenticatie in de gehele IT-infrastructuur.
  • Encryptie en key management: Cloud-omgevingen zijn geëvolueerd om hun klanten in staat te stellen hun encryptiesleutels naar het platform te halen. Het vermindert verder elk risico van het personeel dat voor de CSP en MSSP werkt en geeft de klant controle over de bescherming van zijn gegevens.
  • Auditing: CSP's laten hun omgeving regelmatig controleren om de erkenning van de industrie te behouden. Dit betekent dat er regelmatig controles worden uitgevoerd om ervoor te zorgen dat de beveiliging effectief en up-to-date is.
  • Patching en kwetsbaarheden: Het voordeel van 'as a Service' is dat de patching geautomatiseerd wordt uitgevoerd door de cloudaanbieder. Het vermindert de druk op de interne IT-afdelingen en zorgt ervoor dat alle software up-to-date en veilig is.

De steeds complexere wereld van compliance

Het internet betekent dat organisaties nu wereldwijd opereren. Klanten kunnen overal vandaan komen en de afhandeling van die klanten, hun bestellingen en hun gegevens betekent dat er rekening moet worden gehouden met de impact van de compliancewetgeving over de hele wereld. Privacy (GDPR, CCPA, OAIC, HIPPA, PCI-DSS), financiën (SOX, BASEL, FISMA), e-commerce en wetgeving inzake datasoevereiniteit hebben gevolgen voor elke organisatie die goederen koopt en verkoopt.

Het op één lijn brengen van de compliance-eisen met de IT en de bedrijfsvoering kan een uitdaging zijn. Voeg hieraan de platformen toe die niet in eigendom zijn, zoals de cloud, en voor veel organisaties wordt het dan steeds moeilijker om de operationele afstemming te realiseren.

Wat het probleem met de cloud voor veel bedrijven nog verergert, is het wereldwijde bereik van compliance. Als gegevens uit meerdere regio's komen, zijn er overlappende controles op de manier waarop deze worden bewaard en beheerd. Dit is de plaats waar cloud-dienstverleners het proces kunnen vereenvoudigen. Ze kunnen de relevante controles invoeren om aan de datasoevereiniteit te voldoen. Ze kunnen ook de applicaties inzetten die toegang hebben tot de gegevens in dezelfde regio als de gegevens. Het vermindert de latency en stopt het onbedoeld lekken van gegevens.

Veel cloud-dienstverleners zijn klaar om aan deze eisen te voldoen. Om diensten aan klanten aan te bieden, zullen ze ervoor gezorgd hebben dat hun applicaties voldoen aan de eisen van de wetgeving, zoals HIPAA, GDPR en PCI-DSS. Met de regelmatige controles die bij de cloud-dienstverleners worden uitgevoerd, biedt het een hogere mate van zekerheid dat aan de compliance-eisen wordt voldaan.

U kunt de verantwoordelijkheid niet uitbesteden

Organisaties maken vaak de fout door te denken met een cloudpartner samen te werken dat dit hen vrijpleit van verantwoordelijkheid. DAT IS NIET ZO! Er is geen mechanisme in de wet om verantwoording af te dragen aan een derde partij. Zo'n misverstand is de kortste route naar een boete van een toezichthouder.

Wat nodig is, is een partnerschap waarbij de klant volledig betrokken is om ervoor te zorgen dat de beveiligings- en nalevingscontroles correct worden uitgevoerd. Één manier om dit te doen is om een complete set van alle cybersecurity en compliance controls te hebben die geïmplementeerd moeten worden. Er zijn echter maar weinig organisaties die een checklist hebben voor hun on-premise omgevingen. De verwachting dat ze dit hebben wanneer ze met een cloudpartner werken is optimistisch, maar moet worden gezien als goed bestuur.

Een oplossing hiervoor komt van de Cloud Security Alliance (CSA). Het biedt duidelijke richtlijnen voor zowel de cloudindustrie als haar klanten op het gebied van cloud governance, compliance en beveiliging. Één van de gratis tools is een Cloud Controls Matrix (CCM). De CCM is een cybersecurity control framework. Het maakt gebruik van 133 controledoelstellingen over 16 domeinen. Deze uitgebreide dekking van de cloud helpt organisaties om hun bestaande beveiligingscontroles op te nemen en ervoor te zorgen dat deze in de cloud worden geïmplementeerd.

Hoe verandert compliance en beveiliging bij de overstap naar de cloud?

Deze blog is bedoeld om een antwoord te geven op de vraag "Hoe veranderen compliance en veiligheid bij het overstappen naar de cloud? Het beschrijft de gemeenschappelijke uitdagingen waar organisaties voor staan en hoe de cloud de cybersecurity verbetert, niet verzwakt. Even belangrijk is de noodzaak om in contact te komen met cloudaanbieders die de compliancekaders begrijpen die van invloed zijn op uw bedrijf.

Door gebruik te maken van een framework zoals de CSA CCM kunnen organisaties de beveiliging verbeteren en hun compliance-behoeften effectief in lijn brengen met de cloud. Het zal van de cloud een betrouwbaar eersteklas platform maken waarop kritische systemen kunnen worden geïmplementeerd.

Enterprise Times heeft een door SG Analytics uitgevoerde enquête opgesteld waarin een reeks vragen wordt gesteld over de manier waarop fabrikanten de overstap naar cloudtechnologie willen maken. De enquête staat open voor Europese respondenten in leidinggevende functies. De antwoorden zijn anoniem. Vul de enquête in.

Opgeslagen onder
  • Cloud
  • Security & Compliance
Regio
  • EMEA

Neem contact op

Neem contact met ons op en een Business Development Representative contacteert u binnen 24 uur.

Or connect via: Linkedin