Onderzoek Ponemon Institute en SafeNet: IT is grote verliezer in strijd om security in de cloud

De meerderheid van de IT-organisaties wordt in het ongewisse gelaten voor wat betreft het beschermen van zakelijke data in de cloud. Daardoor is vertrouwelijke en gevoelige informatie in gevaar. Dit blijkt uit een recent onderzoek door het Ponemon Institute in opdracht van SafeNet. In het onderzoek ─ met als titel ‘The Challenges of Cloud Information Governance: A Global Data Security Study’ ─ werden wereldwijd meer dan 1.800 IT- en IT- beveiligingsprofessionals ondervraagd.

Hoewel organisaties steeds meer aan cloud computing doen, ondervindt het IT-personeel moeite om data in de cloud te beheren en te beveiligen. Het onderzoek toont aan dat slechts 38 procent van de organisaties duidelijke   rollen heeft vastgesteld en één aanspreekpunt heeft aangesteld voor het beveiligen van vertrouwelijke en gevoelige informatie in de cloud. Bovendien blijkt dat 44 procent van de zakelijke data opgeslagen in een cloud-omgeving, niet onder beheer van de IT-afdeling valt. En meer dan twee derde (71 procent) van de respondenten geeft aan dat het moeilijker is om gevoelige data in de cloud met traditionele beveiligingsmethoden te beschermen.

“De resultaten laten zien dat organisaties wereldwijd worstelen met de beveiliging van data in de cloud, omdat ze niet de essentiële beheer- en beveiligingsmaatregelen inzetten”, zegt dr. Larry Ponemon, bestuursvoorzitter en oprichter van het Ponemon Institute. “Om een veiliger cloud-omgeving te creëren, kunnen organisaties beginnen met kleine stappen. Denk aan het opnemen van IT-beveiliging in hun bestaande security-policy’s en -procedures, het vergroten van inzicht in het gebruik van cloud-applicaties, -platforms en -infrastructuur, en het beschermen van data met versleuteling en krachtiger toegangscontrole, zoals two-factor authenticatie.”

Terwijl de populariteit van de cloud toeneemt, groeit ook het risico voor gevoelige data

Bijna driekwart van de IT-professionals (71 procent) bevestigt dat cloud computing vandaag de dag erg belangrijk is. En meer dan driekwart (78 procent) denkt dat het over twee jaar weer voorbij is. Verder schatten de respondenten dat aan 33 procent van alle IT- en dataverwerkingseisen in hun organisatie tegenwoordig voldaan wordt met cloud-oplossingen. Zij verwachten dat dit aantal in de komende twee jaar stijgt tot een gemiddelde van 41 procent.

Toch vindt de meerderheid van de respondenten (zeventig procent) het complexer om aan regelgeving op het gebied van privacy en databescherming te voldoen in een cloud-omgeving. Zij denken dat zakelijke data opgeslagen in de cloud, zoals e-mails en informatie over consumenten, klanten en betalingen, het meeste risico lopen.

Cloud-beveiliging, schaduw-IT en de behoefte aan één aanspreekpunt

Gemiddeld genomen, wordt de helft van alle cloud-diensten geïnstalleerd door andere afdelingen dan IT. Daarnaast wordt gemiddeld 44 procent van de zakelijke data opgeslagen in een cloud-omgeving die niet beheerd wordt door de IT-afdeling. Daardoor is slechts negentien procent van de respondenten er helemaal zeker van dat zij alles weten over cloud computing-applicaties, -platforms en -infrastructuurdiensten die vandaag de dag in gebruik zijn in hun organisatie.

Naast dit gebrek aan controle over de herkomst van cloud-diensten zijn de meningen verdeeld over wie nu eigenlijk aansprakelijk is voor beveiliging van cloud-data. 35 procent van de respondenten zegt dat de cloud-gebruiker en de cloud-provider samen verantwoordelijk zijn. 33 procent geeft aan dat het alleen de verantwoordelijkheid is van de cloud-gebruiker en 32 procent vindt het alleen de verantwoordelijkheid van de cloud-provider.

Encryptie en two-factor authenticatie worden gezien als krachtige alternatieven voor traditionele databeveiligingsmethoden

Meer dan twee derde van de respondenten (71 procent) zegt dat het lastiger is gevoelige data in de cloud met traditionele beveiligingsmethoden te beschermen. Bijna de helft (48 procent) vindt het moeilijker om toegang van eindgebruikers tot cloud-data te beheren of te beperken. Daardoor zegt meer dan een derde (34 procent) van de ondervraagde IT-professionals dat hun organisatie een policy heeft, waarin is vastgelegd dat beveiligingsmethoden, zoals encryptie, vereist zijn bij het gebruik van bepaalde cloud computing-oplossingen. 71 procent van de respondenten geeft aan dat het belangrijk is om gevoelige of vertrouwelijke informatie te versleutelen of van tokens te voorzien. 79 procent zegt dat dit in de komende twee jaar nog belangrijker wordt.

Wat doen bedrijven daadwerkelijk om data in de cloud te beveiligen? 43 procent van de respondenten meldt eigen private-netwerkverbindingen in hun organisatie te gebruiken. Bijna twee vijfde (39 procent) maakt gebruik van versleuteling, tokens of andere cryptografische middelen om data in de cloud te beschermen. 33 procent weet niet welke beveiligingsoplossingen worden ingezet. En 29 procent gebruikt de premium beveiligingsdiensten die de cloud-provider biedt.

Respondenten geven ook aan dat het beheer van encryptiesleutels belangrijk is om data in de cloud te beveiligen, gezien het toenemende aantal key-management- en encryptieplatforms dat hun bedrijf gebruikt. 54 procent van de respondenten beheert de sleutels wanneer data zijn opgeslagen in de cloud. 45 procent bewaart de sleutels echter in de software waarin zij hun data opslaan. 27 procent zegt sleutels te bewaren in veiliger omgevingen, zoals hardware-devices.

Als het gaat om toegang tot data in de cloud, vindt 68 procent van de respondenten het gebruikersbeheer moeilijker in de cloud. Bij 62 procent hebben derde partijen toegang tot de cloud. Bijna de helft (46 procent) maakt binnen het bedrijf gebruik van two-factor authenticatie om toegang van derde partijen tot data in de cloud te beveiligen. Nog eens 48 procent zet deze vorm van authenticatie in voor de toegang van werknemers tot de cloud.

“De cloud is voor IT een revolutie geweest. Toch vinden veel IT-organisaties het lastig de eisen bij te benen met betrekking tot dit soort diensten en de gevolgen voor de beveiliging van het opslaan van kritieke data in de cloud”, zegt Dirk Geeraerts, Regional Director bij SafeNet. “Zoals we in 2014 aan het recordaantal data breaches zagen, worden organisaties vaak vanuit verschillende hoeken aangevallen. Om risico’s te beperken, moet er gerichte coördinatie komen en zijn nieuwe benaderingen van cloud-databeveiliging nodig. En IT moet het middelpunt zijn van deze migratie.”

Belangrijkste aanbevelingen voor beveiliging van data in de cloud

• De rol van IT-organisaties verandert en zij moeten zich aanpassen aan de nieuwe realiteit van cloud-IT. Dat kunnen zij doen door werknemers te informeren over beveiligingen, door alomvattende policy’s voor databeheer en -compliance op te stellen, door richtlijnen voor de inkoop van cloud-diensten te creëren en door te bepalen welke data wel en niet opgeslagen mag worden in de cloud.
• IT-organisaties kunnen hun doel om zakelijke data te beschermen bereiken en tegelijkertijd schaduw-IT mogelijk maken. Dat kan door databeveiligingsoplossingen te implementeren, zoals ‘Encryption-as-a-Service’. Deze maken het mogelijk de beschermde data in de cloud centraal te beheren, terwijl hun interne organisaties gebruikmaken van deze veilige cloud wanneer dat ook nodig is.
• Bedrijven slaan steeds meer data op in de cloud en gebruiken steeds meer cloud-diensten voor hun werknemers. IT-organisaties moeten dan ook meer de nadruk leggen op krachtiger controle over gebruikerstoegang met sterke authenticatie. Dit is nog belangrijker voor bedrijven die derde partijen en leveranciers toegang geven tot hun data in de cloud. Two-factor authenticatieoplossingen zijn centraal te beheren. Zo bied je veiliger toegang tot alle applicaties en data, of ze nu in de cloud staan of on-premise.