Steeds meer bedrijven maken gebruik van de cloud om gegevens op te slaan. Dat maakt de beveiliging van die gegevens lastiger, waarschuwen kenners. Kiezen voor één cloud en werken met een toegangsplatform helpen bij het beveiligen, tippen zij.
Door de populariteit van de cloud groeit het risico voor bedrijven. Die slaan hun data steeds meer buiten het bedrijfsnetwerk op. Clouddiensten boekten in het tweede kwartaal van dit jaar wereldwijd 37,6% meer omzet dan een jaar eerder. Bedrijven kiezen wel vaak meerdere ‘clouds’: de boekhouding zit online in de boekhoudsoftware, terwijl gegevens over de voorraad bij de ontwikkelaar van voorraadbeheersoftware zijn gestald. Volgens softwarespecialist Cisco zijn er bedrijven die hun data hebben verspreid over honderd verschillende cloudlocaties. ‘Allemaal buiten het eigen netwerk. De beveiliging van netwerken wordt hierdoor veel complexer.’
Platform interessanter
Een cloudplatform met tienduizenden kleine bedrijven als klant is voor hackers interessanter dan een directe aanval op een kleiner bedrijf. Daarmee vormen lokale ondernemers een nieuwe doelgroep voor cybercriminelen. Vooral dankzij gelekte e-mailadressen en wachtwoorden kunnen hackers met speciale programma’s de bedrijven binnendringen. ‘En met name medewerkers bij kleinere bedrijven gebruiken vaak voor meerdere toepassingen hetzelfde wachtwoord, waardoor ze extra kwetsbaar zijn’, zegt cyberadviseur Threadstone. De kwetsbaarheid zit hem ook in het achterwege blijven van twee-factorautorisatie, waardoor alleen het wachtwoord genoeg is om in te breken.
Updates en back-ups
Toch biedt de cloud ook voordelen op het gebied van veiligheid: grotere aanbieders van clouddiensten zijn zelf doorgaans goed beveiligd en werken met uitgebreide securityteams. Deze aanbieders houden hun cloudprogramma’s up-to date, zodat beveiligingslekken vanzelf verdwijnen zonder dat de ondernemer zelf updates moet installeren. Cloudaanbieders maken goede back-ups, waardoor na een cyberaanval verloren informatie makkelijker terug te halen is.
Kleinere aanbieders zijn wel riskant: die hebben minder capaciteit en kennis. Threadstone-topman René van Etten geeft aan dat een ISO27001-certificaat belangrijk is. Dat wijst op een gedegen securitymanagement. ‘Ook zou ik altijd in het contract laten opnemen dat je als klant zelf de beveiliging mag laten testen. Als het niet in het contract op is genomen, mag zoiets niet’, waarschuwt hij.
Planmatig in de cloud
Bedrijven zetten soms zonder plan gegevens in de cloud: een stukje bij Amazon, later bij Microsoft en daarna nog wat bij Google. Dat kan duur uitpakken, maar is ook onveilig omdat bedrijven zelf niet helder hebben waar hun eigen geheimen staan. Komt er een aanval, dan weet niemand welke informatie buitgemaakt kan zijn. Beter is het om eerst na te denken over een algehele infrastructuur voor alle informatie. Hoe belangrijk is de informatie? Waar wil ik die informatie wel of niet hebben? Wie moet wel toegang hebben en wie niet? Op die manier kan een onderneming na een stap naar de cloud meer grip op zijn informatie krijgen dan toen alles nog binnen het eigen bedrijf staat, en dat is een stap vooruit. Grote ondernemingen kunnen vervolgens het beste een ‘toegangsplatform’ gebruiken. Zo’n platform regelt de toegang tot andere diensten. Topicus KeyHub, DUO, Okta, OneLogin en Auth0 zijn aanbieders van zulke platforms.
Bron: FD
Geef een reactie