14-05-2012

IBM X-Force doopt 2011 tot jaar van de databreuk in de cloud

Deel dit bericht


Nu meer en meer bedrijven de cloud omarmen − met schaalvoordeel als een belangrijke driver − groeit beveiliging uit tot een topprioriteit. 2011 was het jaar van de databreuken in de cloud. Verschillende grote, high profile organisaties werden er het slachtoffer van en miljoenen records kwamen op straat te liggen. 2011 werd door IBM X-Force dan ook het jaar van de ‘security breach’ gedoopt. Meteen rijst bij heel wat organisaties de vraag of cloud computing wel voldoende kan worden beveiligd. Voor IBM is de vraag niet of de cloud meer of minder veilig is dan traditionele internet- en intranetoplossingen, maar wel hoe businessprocessen kunnen helpen om de beveiliging van een cloudomgeving te verzekeren. Op maat ontwikkelde SLA’s (Service Level Agreements) en een doordacht Identity & Access Management (IAM)-beleid staan daarbij centraal.

Uit de recente Global Risk Survey van IBM’s Institute for Business Value blijkt dat 77 procent van de respondenten gelooft dat het inzetten van cloud computing het moeilijker maakt om de privacy te beschermen. De helft van de ondervraagden is bezorgd over databreuken of dataverlies, terwijl 23 procent vreest dat cloud computing de beveiliging van het bedrijfsnetwerk zal verzwakken.

Hoewel cloud computing inherent niet onveiliger is dan traditionele oplossingen, is beveiliging bij cloudoplossingen voor organisaties wel een groter aandachtspunt. Omdat ze meestal niet over de middelen beschikken om een eigen, superieur cloud-beveiligingsbeleid uit te stippelen, komt de verantwoordelijkheid hiervoor volledig bij de cloudaanbieder te liggen. Die is over het algemeen ook het best gewapend om het securityaspect te verzorgen.

De vraag is dan hoe de organisatie een waterdicht securitybeleid kan waarborgen. Volgens IBM ligt de sleutel in op maat uitgewerkte SLA’s en een doordacht IAM-beleid. Zoals bij elke bedrijfskritische applicatie of service, is het cruciaal om de risico’s binnen de organisatie af te stemmen op het beleid en de procedures van de dienstverlener en dit in alle fasen van de cloudimplementatie (design, installatie en gebruik). 

SLA’s op maat

Omdat de organisatie zelf slechts een beperkte impact kan uitoefenen op de cloudomgeving, ligt de meest effectieve manier om een optimale informatiebeveiliging te verzekeren in het opstellen van SLA’s. Vaak omvatten standaard SLA’s enkel algemene bespiegelingen rond informatiebeveiliging, met een focus op ‘resiliency’ (uptime, responstijden, foutcorrectietijd). De organisatie moet zorgvuldig de clausules, procedures en maatregelen nagaan die standaard worden aangeboden en voor iedere workload vereisten op maat creëren. Vooral Identity & Access Management is een aandachtspunt.

Focus op Identity & Access Management

Cloud computing draait om het moeilijke evenwicht tussen het delen van data en het beschermen ervan tegen ongeautoriseerde toegang en datalekken. Identity & Access management moeten worden ingebouwd in het weefsel van de cloud, ongeacht de applicaties of informatie.

De organisatie moet een grondig inzicht verwerven in het access managementbeleid en de mechanismes die gelden in de cloud, zeker bij publieke multi-tenacy cloudomgevingen. Ze moet precies weten hoe de cloudaanbieder de toegang tot de data beheert, zowel fysiek, op afstand en in noodgevallen. Idealiter overkoepelt de oplossing zowel de cloud- als de traditionele omgeving, zodat er geen twee sets credentials moeten worden beheerd.

Traditioneel gebeurt de authenticatie buiten de cloud, waarna de identiteit van de gebruiker in de cloud wordt gealigneerd. Door applicaties in de cloud samen met interne applicaties te beheren, krijgen gebruikers echter met één enkele sign-on direct toegang tot de cloud-based applicaties of informatie. Op die manier bevordert IAM de productiviteit van de gebruiker terwijl het risico op inbreuken wordt gereduceerd.

Naast IAM stimuleert IBM bedrijven ook bij het opstellen van SLA’s volgende elementen af te toetsen:

  • Ownership: zorg dat het gegarandeerd is dat je als bedrijf eigenaar blijft van de data die aan de cloud provider worden toevertrouwd. Zo kan je indien nodig de data gemakkelijk naar een andere provider of in-house overbrengen.
  • Governance: doorloop auditrapporten, certificaten of andere documenten waaruit de conformiteit van de cloudaanbieder met compliancestandaarden blijkt. Een SLA moet uitsluitsel geven over de beveiligingstraining van de technische staf, de toegang tot de logs en monitoring van de cloudomgeving, de verantwoordelijkheid over de beveiliging en de aansprakelijkheid in het geval van databreuken, toegang tot informatie gelinkt aan databreuken en een indicatie van hoe de cloudaanbieder omgaat met juridische vragen.
  • Exitstrategie: bepaal een duidelijke exitstrategie om te anticiperen op veranderingen in de diensverlening, wijzigingen in het eigen businessmodel of het falen van het cloudproject.

“Het onderhandelen van een sterke SLA is cruciaal voor het succes van een cloudproject en beide partijen hebben er voordeel bij”, aldus Marc Coudijzer, Cloud Marketing Segment Manager, IBM Benelux. “Als de cloudaanbieder de SLA niet wil herbekijken, mag je ervan uitgaan dat hij niet de juiste provider is. SLA’s lijken een passieve tool, maar ze zijn de meest daadkrachtige manier om het securitybeleid van een outsourced cloudproject te beheren.”
  

Tags

Cloud