In de cloud zijn hackers niet het grootste gevaar

11 mrt. 2015 door David Linthicum

OpinieBedrijven hebben veel manieren om hun gegevens in de cloud te beschermen, maar hebben weinig kaas gegeten van de securityfinesses.

Als ik met journalisten spreek, lijken ze allemaal prima te weten waar de securityzorgen voor de cloud zitten, vooral binnen de publieke cloud. Ze denken dat hacks zoals we die zagen bij Sony Pictures, Home Depot en recent Anthem representatief zijn voor het algehele veiligheidsbeeld. Omdat deze organisaties gehackt zijn, vormt dat een bewijs voor de kwetsbaarheid van de cloud, toch? Fout gedacht.

Twee criteria voor security

Zoals ik al vaker heb aangegeven, wordt het beveiligingsniveau van een IT-infrastructuur – of het nu gaat om een cloud- of on-premisesomgeving – bepaald door twee factoren. De eerste is de planning en de technologie die komt kijken bij het bouwen van de securityoplossing. De andere is hoe de organisatie in staat is systemen op een proactieve en veilige manier in bedrijf te houden.

Om eerlijk te zijn, raak ik behoorlijk gefrustreerd van de constante stroom aan vragen over cloudsecurity. Ik heb intussen geleerd te reageren met een kleine tegenvraag: Waarom denk je dat je data in een publieke cloud minder veilig is?

Hoewel deze respons van mijn kant als een tikje passief-agressief mag worden opgevat, ben ik daadwerkelijk geïnteresseerd in het antwoord. Meestal luidt het antwoord dat de data niet langer onder je eigen directe controle staat, wat je in meerdere opzichten kwetsbaarder zou maken.

Genoeg mogelijkheden

De waarheid is dat hoewel je niet langer controle hebt over data binnen je eigen omgeving, je nog steeds de data bezit en controleert. Je bent niet meer in staat het datacenter te bezoeken en te lunchen in de serverruimte, maar je kunt nog steeds invloed uitoefenen op de data zelf en de lagen security die het beschermen. Ik moet de eerste publieke cloudprovider die hier geen opties voor biedt nog tegenkomen. Je eigen data is zo veilig als de securityprotocollen die gelden, cloud of niet.

Hoewel ik de eerste grote datalekken in de publieke cloud nog moet zien, constateer ik wel dat veel bedrijven publieke clouds verkeerd inzetten. De grootste bedreiging voor security is namelijk het gebrek aan gekwalificeerde clouddevelopers, engineers, architecten en securityexperts die weten hoe je een cloudsysteem echt veilig krijgt.

Domme fouten vinden veel vaker plaats dan datalekken. Hoe meer zakelijke systemen naar de cloud verplaatst worden, hoe vaker we de gevolgen van die fouten boven zien drijven.