Veel organisaties denken dat het afnemen van clouddiensten (SaaS) per definitie veilig is. Ze gaan ervan uit dat de aanbieder van de dienst alles goed heeft geregeld en dat ze er zelf geen omkijken meer naar hebben. Natuurlijk roept geen enkele SaaS-leverancier dat het bij hen niet veilig is, maar de realiteit is dat je niet blind kan vertrouwen op je leveranciers. Of beter gezegd: je blijft altijd zelf verantwoordelijk voor goede beveiliging van je IT omgeving, óók wat betreft clouddiensten. Het is immers de data van jouw organisatie en die van jouw klanten die op verschillende plekken staat door het gebruik van clouddiensten. Dit verantwoordelijkheidsbesef is lang niet bij alle organisaties in voldoende mate aanwezig. Daarnaast zijn ISO-standaarden nog niet volledig ‘ingeburgerd’ bij SaaS-aanbieders, wat het extra lastig maakt om grip te krijgen op de veiligheid van cloudapplicaties. Organisaties moeten dus zelf in actie komen. Maar hoe controleer je of cloudapplicaties veilig zijn, als je daar zelf geen grip op hebt?
Kennis is macht
Grip krijgen op de veiligheid van cloudapplicaties begint bij kennis. Door in gesprek te gaan met SaaS-aanbieders kun je flink wat informatie winnen over de beveiligingsmaatregelen die zij nemen. Dit is dan ook het minimale wat je als organisatie kan doen om grip te krijgen. In zo’n gesprek is het belangrijk om vragen te stellen over onderwerpen als encryptie, toegangsbeheer, data en beveiliging. Vraag bijvoorbeeld naar wie toegang heeft tot jouw data en hoe deze is beschermd. Is data bijvoorbeeld versleuteld en wie beheert dan die sleutels? Maar ook: is er sprake van end-to-end encryptie? Daarnaast is het belangrijk om meer te weten te komen over welke beveiligingsmaatregelen een leverancier neemt en wat het plan van aanpak is rondom cyberaanvallen. Welke preventieve maatregelen worden genomen? Hoe wordt er gehandeld in geval van een aanval? En wat is het draaiboek achteraf? Ook wil je te weten wat er gebeurt met data als je de clouddienst niet langer afneemt. Het stellen van dit soort vragen helpt om in kaart te brengen hoe de beveiliging is geregeld bij een SaaS-aanbieder en wat dit betekent voor jouw data. Verder zou het goed zijn als SaaS-aanbieder regelmatig externe beveiligingsaudits afneemt en de rapportages daarvan met jou als klant delen. Staat een leverancier er niet voor open om deze rapportages te delen of laten ze niet extern testen? Dat is tegenwoordig wel een rode vlag.
Juiste maatregelen
Behalve zicht hebben op de beveiligingsmaatregelen van de SaaS-aanbieder, is het natuurlijk belangrijk om als organisatie de juiste zaken te regelen. Denk aan het toepassen van multifactorauthenticatie (MFA) op cloudapplicaties. Daarmee verklein je de kans dat indringers ongewenst toegang krijgen. Verder dien je toegang en rechten binnen applicaties goed in te regelen met identity- en accessmanagement. Breng in kaart wie toegang nodig heeft en welke rechten daarbij passen, zodat data alleen toegankelijk is voor mensen die hier daadwerkelijk iets mee moeten. Wat verder niet vaak genoeg gezegd kan worden, is dat je als organisatie back-ups én de beveiliging daarvan goed moet regelen. Misschien een open deur, maar het komt nog regelmatig voor dat dit onvoldoende is geregeld. Als laatste is het op het gebied van data van belang om ervoor te zorgen dat data veilig wordt uitgewisseld tussen applicaties, bijvoorbeeld door de toepassing van end-to-end encryptie en de juiste beveiliging van API’s, een software-interface die communicatie tussen applicaties mogelijk maakt.
Grip met zero trust
Zicht op beveiligingsmaatregelen van SaaS-aanbieders begint bij inzicht in het gebruik van cloudapplicaties. Doordat een applicatie zo snel en eenvoudig in gebruik kan worden genomen, verliezen organisaties nog wel eens het overzicht. Je begrijpt dat het dan onmogelijk is om grip te krijgen op de beveiliging ervan. Zodra er overzicht is van alle gebruikte cloudapplicaties, is het goed om ze allemaal te zien als een apart eilandje binnen je IT-landschap. Door cloudapplicaties te benaderen als losse eilanden, kun je vanuit een zero trust-insteek zicht houden op alles wat ieder eiland op en af gaat. Als één eiland geraakt wordt door een aanval, blijft de rest overeind staan.
Voorkom onaangename verassingen
Met het gebruik van clouddiensten is de tijd voorbij waarin organisaties hun eigen keten helemaal van voor tot achter kunnen controleren. Dit betekent gelukkig niet dat grip op veiligheid onbegonnen werk is. Met de juiste aanpak zorg je ervoor dat je in controle bent en zeker weet dat je data op de juiste manier is beschermd. Belangrijk hierbij is dat het een continu proces is. Je IT-omgeving is vandaag de dag geen vast gegeven meer, dus dat betekent continu controleren of dat wat je doet nog juist is en je aanpak aanpassen waar nodig, zodat je nooit voor onaangename verrassingen komt te staan.
Door Dominique Frison, Sales Consultant Security bij Ictivity
