Nationale IT-Security Monitor 2014 - Grip op de cloud

Peter Vermeulen

Voor de meeste Nederlandse organisaties is de vraag 'Is de cloud veilig?' totaal niet relevant. In plaats daarvan moeten ze zich afvragen of ze wel veilig gebruik maken van de cloud. Voor de meeste organisaties blijkt die vraag moeilijk te beantwoorden. Als men al een overzicht heeft van welke cloudoplossingen er eigenlijk allemaal gebruikt worden, ontbreekt het vaak aan de benodigde kennis om adequaat in te spelen op een veilig gebruik ervan.

Hoewel 56% van de Nederlandse organisaties met 50 of meer medewerkers aangeeft dat security zicht heeft op alle cloud applicaties, is dit voor bijna evenveel organisaties helemaal niet zo vanzelfsprekend. Bijna 1 op de 4 respondenten geeft aan dat er zeker cloudapplicaties zijn die onder de radar blijven, terwijl 1 op de 5 eerlijk toegeeft het niet te weten. Deze onzekerheid kenmerkt veel organisaties, ook organisaties die hier 'ja' hebben geantwoord. Zelfs als ze denken alles in het vizier te hebben, blijven er maar medewerkers aan komen zetten met handige nieuwe toepassingen uit de cloud. Er is vaak weinig behoefte om de IT-afdeling te informeren, want die heeft nog nooit enthousiast gereageerd op eigen initiatief.

Heeft security zicht op alle cloud applicaties die binnen de organisatie worden gebruikt?

Het hebben van overzicht is een eerste stap om cloud veilig binnen een organisatie toe te passen. Als alle toepassingen in beeld zijn, kan er beleid worden gemaakt. Dat kan vanuit de cloudoplossing gebeuren: welke toepassing willen en kunnen we toestaan en welke niet? Maar dat zal steeds meer gaan gebeuren vanuit een risicoanalyse op basis van de typen workloads: aan welke eisen moeten (cloud) applicaties voldoen die voor verschillende workloads verantwoordelijk zijn; waar is cloud een no-go-area, waar moet het aan strenge eisen voldoen en waar zijn beperkte eisen acceptabel?

Vervolgens is het noodzaak om leveranciers de maat te nemen en de van toepassing zijnde technische maatregelen te treffen. Maar inmiddels begint de schoen bij veel organisaties dan toch aardig te wringen. Bij veel organisaties is de kennis eenvoudigweg niet in huis om dit uit te voeren. Van de respondenten in de Nationale IT-Security Monitor geeft 1 op de 2 organisaties (49%) aan onvoldoende kennis in huis te hebben om cloudoplossingen veilig te kunnen gebruiken. Dit hiaat in de kennis omtrent cloudsecurity lijkt echter niet snel weggewerkt te gaan worden: niet meer dan 9% van de onderzochte organisaties geeft aan het komend jaar in cloud security training te gaan investeren. Ook op het gebied van training zien we dat IT-security zich nog altijd vooral op de IT van gisteren richt.

Peter Vermeulen, directeur Pb7 Research