Zo versterkt u uw veiligheid in de cloud

Vandaag maakt zowat elk bedrijf gebruik van de cloud, vaak zonder daar echt bij stil te staan. “Dat is onder meer het geval bij toepassingen als Teams of Google Drive”, zegt Raf Peeters, Cloud & Security Lead bij Proximus. “Daar zijn drie grote voordelen aan verbonden. Flexibiliteit: u gebruikt precies wat u nodig heeft. Kostenefficiëntie: u betaalt alleen voor wat u gebruikt. En functionaliteit: cloudproviders bieden mogelijkheden die u in uw eigen datacenter nooit zelf kunt realiseren. Denk aan AI-toepassingen waarvoor zware rekenkracht nodig is.”

Eigen verantwoordelijkheid

Maar er is ook een keerzijde. Cloud vraagt extra aandacht voor security. Met name in de public cloud bestaan daar nog vaak misverstanden over. “Een cloudprovider staat in voor de basisbeveiliging van zijn dienst, maar niet voor wat u als klant daar verder mee doet”, legt Raf Peeters uit. “U moet er dus zelf voor zorgen dat uw data veilig zijn in de public cloud. Zo moet u bijvoorbeeld zelf voor de back-up van uw data instaan.” Doet u dat niet, dan bent u mogelijk een makkelijk doelwit voor cybercriminelen.

Bedrijven kiezen voluit voor digitale transformatie. Dat geeft cybercriminelen een groter actieterrein.

Raf Peeters, Cloud & Security Lead bij Proximus

Het is een illusie te denken dat uw organisatie buiten schot blijft omdat ze niet interessant zou zijn voor hackers. Net zoals het een illusie is te denken dat uw medewerkers intussen wel weten hoe een phishingmail eruit ziet. Dat laatste mag blijken uit ons jaarlijks onderzoekNieuw venster naar cybersecurity bij bedrijven in de Benelux. “Cybercriminaliteit is de voorbije jaren sterk geprofessionaliseerd en geautomatiseerd. Dat maakt aanvallen vaak heel doeltreffend. Tegelijk zien we dat bedrijven voluit kiezen voor digitale transformatie, waarbij de medewerkers via de cloud toegang krijgen tot meer applicaties en data. Dat geeft de criminelen een groter actieterrein.”

Zero-trust

Als antwoord daarop kiezen bedrijven steeds vaker voor een heel streng uitgangspunt: geen enkel vertrouwen. “Het principe van zero-trust is eenvoudig”, zegt Raf Peeters. “U vertrouwt niemand, behalve wie u expliciet toegang geeft tot welbepaalde toepassingen of data. En dat vertrouwen krijgt u met concrete maatregelen. Met tweefactorauthenticatie, bijvoorbeeld, waarbij u niet alleen een gebruikersnaam en een paswoord moet ingeven, maar ook nog een tweede code nodig hebt die u ontvangt op een ander toestel, bijvoorbeeld op uw smartphone.”

Sovereign cloud

Het zijn trouwens niet alleen cybercriminelen die de data van bedrijven proberen in te kijken. Amerikaanse leveranciers van clouddiensten zijn onderworpen aan de Cloud Act, die hen verplicht de Amerikaanse overheid toegang te geven tot de data van hun klanten. “Wilt u dat niet? Dan biedt sovereign cloud daar een antwoord op”, legt Raf Peeters uit. “U geniet zo van de voordelen van de publieke cloud, terwijl toch aan alle vereisten is voldaan op het vlak van datasecurity.” Concreet biedt Proximus twee types sovereign cloud aan: Microsoft Encrypted Public Cloud en Google Disconnected Cloud.

Weerbaarheid

Toch vraagt security meer dan een reeks concrete maatregelen. Minstens even belangrijk is het om een securitycultuur uit te bouwen. “Die cultuur zet in op weerbaarheid. De Europese NIS2-richtlijn (Network & Information Security) is bedoeld om de weerbaarheid tegen cyberrisico’s te verbeteren. Een grote weerbaarheid laat u toe om bij een incident snel en gepast te reageren, zodat u de schade zo veel mogelijk beperkt en u zo snel mogelijk verder kunt werken.”

Raf Peeters, Cloud & Security Lead bij Proximus

Om de weerbaarheid van uw organisatie te vergroten, zet u in op bewustmaking en training. “Uw medewerkers moeten de potentiële gevaren kennen en weten hoe ermee om te gaan. Bereid u goed voor op een mogelijk incident en werk daar scenario’s voor uit. Doet er zich een incident voor, dan kunt u zo paniek vermijden, verliest u niet onnodig tijd en kunt u direct uw herstelplan opstarten.”Denk er ook aan om na afloop van een incident het hele traject – van detectie tot recovery – te documenteren en daarover te communiceren. “Deel uw ervaring zodat andere bedrijven er ook iets uit leren.”