In de cloud is geen ruimte voor passiviteit: actief beheer en actieve beveiliging
Cloud computing is een volgende stap op de ladder van IT-integratie. Hoe grootschaliger we bepaalde oplossingen kunnen maken, des te economischer de oplossing in principe wordt. Echter, door eigen IT-diensten buiten de bedrijfspoort te plaatsen, wordt het aspect ‘vertrouwen’ opeens een stuk relevanter. Konden we vroeger met Firewalls en andere beveiligingsoplossingen het kwade zelf buiten de deur houden, nu moeten we vertrouwen op de veiligheidsgarantie van de verschillende aanbieders.
Nu is het vanzelfsprekend dat de meeste cloud-aanbieders zichzelf prima zullen certificeren, zich laten auditen en garanties kunnen geven over hun eigen services. Maar dat ontslaat je als organisatie niet van de verantwoordelijkheid ook zelf die verspreide veiligheid – als je verschillende cloud-leveranciers hebt – als geheel te kunnen overzien, toetsen, certificeren en auditen. Kun je aan het eind van het jaar aantonen dat al je IT-diensten, die zowel binnen als buiten de onderneming zijn uitgevoerd, voldeden aan je eigen governance? En voldoen ze aan de geldende compliance-eisen voor jouw bedrijfstak?
In een eerdere blog beschreef ik dat op dit moment het naar de cloud brengen van eigen IT-diensten geen echt probleem meer is. Door virtualisatie kan op vele plaatsen rekenkracht worden aangeboden. Daarnaast kunt u uw eigen data op de locaties laten opslaan en aldaar gebruiken. Maar rekenkracht is gewoon een vervangbare utility, uw data echter is uw intellectuele eigendom, dat veelal onvervangbaar is. Stringente regels rond data opslag zijn dus vanuit governance en compliance erg belangrijk.
Migratie
Het blijkt uit onderzoek ook dat veel bedrijven juist die migratie van hun data een heikel punt vinden. Hoe veilig wordt het gemigreerd? Hoe veilig wordt het beheerd? Hoe zeker is het dat ik er altijd bij kan? Hoe zeker kan ik het terughalen, terwijl er geen verborgen kopie achterblijft? Allemaal vragen die niet alleen vooraf moeten worden beantwoord, maar ook tijdens de looptijd bewaakt moeten blijven.
Het is met data naar de cloud brengen anders dan geld naar de bank brengen. Geld is universeel. De fysieke euro die u heeft ingelegd, hoeft u niet terug te krijgen, zolang de munt of munten die u terugkrijgt maar de waarde van een euro hebben. Met data is dat anders. Data is niet universeel maar specifiek. Een enkele bit die corrupt is geworden, kan een dataset al onbruikbaar maken. Data is in de meeste gevallen onvervangbaar.
Daarnaast wordt van sommige data verlangd dat aantoonbaar is hoe het is verwerkt, door wie het is bewerkt en wat de ontstaansgeschiedenis van een document is. Relevante informatie die de geldigheid van een document aangeeft. Nog een reden om de levenscyclus van data – en de informatie die het in zich heeft – voor belangrijke documenten nauwlettend te volgen. Kortom, voor sommige processen is het dataverwerkingsproces erg procedureel en strikt voorgeschreven.
Compliancy en governance
Gelukkig zijn er steeds meer geautomatiseerde systemen die ondersteuning kunnen bieden op het gebied van governance, risicomanagement en compliance. Deze systemen zijn in principe altijd gebaseerd op een grote hoeveel log- en monitorgegevens over hoe bepaalde data en systemen in de tijd gezien de eindinformatie zijn geworden. Bijvoorbeeld of een applicatie wel SOX-compliant heeft gefunctioneerd. Of een bewerking wel in een beveiligde omgeving heeft plaatsgevonden. Of een audit daarover wel volgens SAS70 is uitgevoerd. Kortom een hele keten van vastleggingen die uiteindelijk naar een eindconclusie leiden dat het betreffende document als geheel compliant is. En voldoet aan de eigen governance-regels.
Daarnaast wil men tegenwoordig meer inzicht in de veiligheidsrisico’s die in en rond het data-opslag en verwerkingsproces aanwezig waren. Het vervelende van data is dat het makkelijk kan worden gestolen, zonder dat men het opmerkt. Een risico-inschatting aan welke gevaren die data heeft blootgestaan, is dan wel zo fijn. Waren er inbraken? Zijn die op tijd en veilig afgeweerd? Draaide de applicatie in een geborgde, veilige en virtuele omgeving?
Security intelligence
Onze RSA-security groep is steeds vaker betrokken bij het inrichten van de hele keten van security en genoemde ‘trust-zaken’. Van het monitoren en loggen van elke activiteit diep in de infrastructuur tot het kunnen aantonen van compliance en governance. Van de authenticatie van iedereen die iets in of rond de infrastructuur wil of moet doen, tot het volgen van alle datastromen en verwerking. En van anti-fraudediensten om websites te beveiligen tot het beveiligen van potentieel dataverlies.
Het is zelfs zo dat bij het ‘ontdekken’ van bepaalde ongewone of verdachte activiteiten we met een ‘radar’ diep de infrastructuur in te kunnen gaan om deze af te speuren naar deze activiteit. Hierbij wordt het toepassing van security intelligence steeds belangrijker. Het op basis van een veelheid van informatie proactief kunnen reageren op mogelijke bedreigingen. Big Data is ook de beveiligingswereld binnengekomen.
Zoals ik in mijn eerdere blog al zei ‘de cirkel van security, compliance en vertrouwen moet rond zijn’. Van begin tot eind moeten alle functies als één geheel met elkaar kunnen functioneren. Cloud computing, en nog meer cloud storage, dwingt ons die oplossingen te ontwikkelen. Een systematische aanpak van de hele keten van security, risico en compliance management. Hiermee kan de gebruikersidentiteit worden zeker-gesteld, de transacties die zij doen goed worden gemonitord en tenslotte kan de data die uit die transactie wordt gegenereerd, veilig worden bewaard.
Tegenpolen
Door de hele keten op die wijze beschouwen, is tevens een prima verdediging tegen cybercrime mogelijk. Vertrouwen en criminaliteit zijn elkaars tegenpolen, echter de systemen op dit gebied zijn grotendeels hetzelfde. Met een wapen kun je aanvallen, maar je ook verdedigen. En zo bouwen we ook de IT-verdediging steeds vaker op. Met actief beherende én actief verdedigende systemen. In de cloud is immers geen plaats meer voor passieve beveiliging.
Hans Timmerman, CTO bij EMC Nederland
