Data in de cloud? U bent verantwoordelijk voor de beveiliging

25-11-2021 | door: Anne van den Berg

Data in de cloud? U bent verantwoordelijk voor de beveiliging

Het afgelopen jaar is cybersecurity verschoven van volledig op endpoint gerichte beveiliging naar zero-trust gedreven oplossingen. Maar voordat bedrijven de zero-trust aanpak adopteren, moet de urgentie duidelijk zijn. Brian Schippers, Sophos: ‘Dan helpt het om een berekening te maken: wat als al onze data vanaf morgen is versleuteld en we er één of twee dagen volledig uitliggen. Nog los van imagoschade, hoeveel kost dat dan?’

‘Toen alles nog on-premise stond en bedrijven hun eigen mailserver hadden, kon alles beschermd worden met een firewall en een endpoint-oplossing. Misschien hadden ze nog een VPN om verbinding te leggen met de buitenwereld. De verschuiving naar de cloud en de hosting van applicaties bij Azure, AWS of Google, vergt ook een andere security aanpak, vertelt Brian Schippers, manager sales engineering bij Sophos.

Data veilig in de cloud
‘Door de verschuiving naar de cloud, zie je gaten vallen. Bedrijven denken dat hun data veilig zijn in de cloud en dat is tot op een bepaalde hoogte zo, maar jij bent verantwoordelijk voor de beveiliging van je eigen netwerk en alleen jij kan bepalen of de juiste gebruikers toegang hebben tot je data. Daarom moet je je bewust zijn van waar je data staat, wie daarbij kunnen en vanaf welke locaties ze die data kunnen benaderen’, aldus Schippers.

Bewustwording wie welke verantwoordelijkheid heeft voor de beveiliging van jouw data is stap één, wat Schippers betreft. ‘Onderdeel van die bewustwording is het inzichtelijk maken welke apparaten verbonden zijn met het internet en een veiligheidsrisico met zich mee kunnen brengen. Zelfs geurdiffusers zijn tegenwoordig verbonden met het internet en moeten dus gepatcht worden. Wil je dat niet of kan dat niet? Sluit die dan niet aan op het interne netwerk.’

Zero Trust: vertrouw niemand
Maar bewustwording is stap één. Daarna moet nog geïnvesteerd worden in technologie. Eén van de technologieën die beveiliging, zeker van het netwerk, naar een hoger niveau tilt, is Zero Trust Network Access, vertelt Schippers. ‘Vertrouw niemand totdat ze bewijzen dat ze te vertrouwen zijn. Op basis van dat principe scant ZTNA continu gebruikers op gedrag en identiteit om te bepalen of ze toegang mogen krijgen tot dat stukje van het netwerk.’

‘Voorheen maakten bedrijven vooral gebruik van VPN-clients om een relatief veilige verbinding op te zetten tussen gebruikers, applicaties en data. Maar zeker het thuiswerken heeft de overstap naar ZTNA versneld, omdat het aantal virtuele tunnels dat opgezet moest worden explodeerde. Met ZTNA is het opzetten van verbindingen met het bedrijfsnetwerk veel veiliger en schaalbaarder.’

Extra budget vrijmaken is niet eenvoudig
‘Het web van verbonden applicaties, clouds en gebruikers wordt steeds groter, maar extra budget vrijmaken is niet eenvoudig. Antivirus kan er meestal nog wel vanaf, net als een firewall, maar meer is vaak lastig.’ Het is overigens niet zo dat bedrijven niet het belang van cybersecurity zien, vertelt Schippers: ‘Als ik bij de klant binnenstap, zie ik dat ze slagbomen, beveiligingscamera’s en soms zelfs beveiligingspoorten hebben.’

‘Als we dan een gesprek hebben over het budget voor cybersecurity bespreek ik dat: je hebt veel geïnvesteerd om je pand te beveiligen, maar je server staat niet meer op kantoor. Waarom investeer je dan ook niet om data die buiten de fysieke bedrijfsmuren staan te beveiligen?’ Deze vergelijking is een gespreksopening: hoe belangrijk vind je je assets? Zeker als je bedenkt dat de meeste bedrijven zonder hun data niets kunnen.

Risicoanalyse: hoeveel kost het je?
Om vervolgens te bepalen hoeveel bedrijven zouden moeten investeren om hun data en gebruikers veilig te houden, maakt Schippers een risicoanalyse. ‘Probeer een beeld te schetsen van hoeveel het kost als je morgen wordt aangevallen, alle data wordt versleuteld en je één tot drie dagen niet meer kan werken. Buiten de imagoschade om: wat zijn de daadwerkelijke kosten die je maakt?’

De risicoanalyse is vaak geen keiharde berekening, maar meer nattevingerwerk. Toch leidt deze berekening vaak tot een kantelpunt bij organisaties, vertelt Schippers. ‘Organisaties snappen zo goed welke risico’s ze lopen en wat het ze zal kosten als ze niet investeren in cybersecurity.’ Waar deze gesprekken overigens voorheen vaak met IT-managers werden gevoerd, zijn de gesprekken nu steeds vaker met CISO’s, CIO’s tot CEO’s.

CEO’s slapen daar slecht van
Schippers: ‘Er is echt een verschuiving in met wie ik om de tafel zit. Dat komt ook door de ransomware-aanvallen die bijna dagelijks in het nieuws zijn. Daar slapen CEO’s onrustig van. Ze willen dan ook om tafel, zodat wij ze kunnen uitleggen wat ze nu daadwerkelijk op televisie hebben gezien en hoe wij daarbij kunnen helpen. Het recente nieuws helpt trouwens ook om budgetten vrij te maken.’

Overigens zit Schippers niet alleen met klanten om tafel. ‘We werken altijd met onze channelpartners. Zij zitten dicht op het vuur bij de klanten en hebben de goede relaties. Maar we gaan samen op gesprek en we zoeken zo naar een oplossing om de klant te helpen. We hebben elkaar ook echt nodig, want onze partners houden ons scherp op de ontwikkelingen in de markt en wij houden hen scherp. Zo ziet een goede samenwerking er ook uit.’

Auteur: Anne van den Berg

Terug naar nieuws overzicht

Tags

Security
Security