SafeNet: 'Beveiligen van data in de cloud levert veel uitdagingen op'

Bedrijven zijn steeds vaker actief in de cloud. Beveiliging van clouddiensten wordt dan ook steeds belangrijker. IT-personeel blijkt echter moeite te hebben data in de cloud te beheren en beveiligen. Slechts 38% van de organisaties blijkt duidelijke rollen en één aanspreekpunt te hebben vastgesteld voor het beveiligen van vertrouwelijke en gevoelige data in de cloud. 44% slaat zakelijke data op in een cloudomgeving die niet onder het beheer van de IT-afdeling valt.

Dit blijkt uit onderzoek door het Ponemon Institute in opdracht van SafeNet onder 1800 IT-professionals en IT-beveiligingsprofessionals wereldwijd. De resultaten zijn gepresenteerd in het rapport 'The Challenges of Cloud Information Governance: A Global Data Security Study’. Ruim twee derde (71%) van de respondenten geeft aan dat het moeilijker is om gevoelige data in de cloud met traditionele beveiligingsmethoden te beschermen.

Essentiële beheer- en beveiligingsmaatregelen

“De resultaten laten zien dat organisaties wereldwijd worstelen met de beveiliging van data in de cloud, omdat ze niet de essentiële beheer- en beveiligingsmaatregelen inzetten”, zegt dr. Larry Ponemon, bestuursvoorzitter en oprichter van het Ponemon Institute. “Om een veiliger cloud-omgeving te creëren, kunnen organisaties beginnen met kleine stappen. Denk aan het opnemen van IT-beveiliging in hun bestaande security-policy’s en -procedures, het vergroten van inzicht in het gebruik van cloud-applicaties, -platforms en -infrastructuur, en het beschermen van data met versleuteling en krachtiger toegangscontrole, zoals two-factor authenticatie.”

IT-professionals zien de cloud als een trend die niet lang zal blijven. 71% bevestigt dat cloud computing vandaag de dag erg belangrijk is. 78% denkt echter dat deze trend over twee jaar alweer verdwenen is. Respondenten schatten dat aan 33% van alle IT- en dataverwerkingseisen in hun organisatie tegenwoordig voldaan wordt met cloud-oplossingen. Zij verwachten dat dit aantal in de komende twee jaar stijgt tot een gemiddelde van 41%.

'Voldoen aan regelgeving is lastig'

Tegelijkertijd geeft 70% van de IT-professionals en IT-beveiligingsprofessionals aan het moeilijk te vinden aan regelgeving op het gebied van privacy en databescherming te voldoen in een cloudomgeving. Zij denken dat zakelijke data opgeslagen in de cloud, zoals e-mails en informatie over consumenten, klanten en betalingen, het meeste risico lopen.

Dit is niet verrassend, aangezien de IT-afdeling lang niet altijd betrokken is bij het opzetten van een cloudomgeving. De helft van alle clouddiensten zou worden geïnstalleerd door andere afdelingen dan de IT-afdeling. Gemiddeld wordt 44% van de zakelijke data opgeslagen in een cloud-omgeving die niet in beheer is bij de IT-afdeling. Slechts 19% van de respondenten stelt dan ook volledig op de hoogte te zijn van alle cloudapplicaties, -platformen en -infrastructuurdiensten die vandaag de dag binnen hun organisatie in gebruik zijn.

Wie is aansprakelijk?

Over de aansprakelijkheid voor de beveiligen van clouddata lopen de meningen uiteen. 35% van de respondenten stelt dat de cloudgebruiker en cloudprovider samen verantwoordelijk zijn. 33% is van mening dat de verantwoordelijkheid volledig bij de cloudgebruiker ligt, terwijl 32% juist volledig naar de cloudprovider wijst.

De beveiligen van data in de cloud blijkt daarnaast een uitdaging. Meer dan tweederde van de respondenten (71%) zegt dat het lastiger is gevoelige data in de cloud met traditionele beveiligingsmethoden te beschermen. Bijna de helft (48%) vindt het moeilijker om toegang van eindgebruikers tot clouddata te beheren of beperken. Daardoor zegt meer dan een derde (34%) van de ondervraagde IT-professionals dat hun organisatie een policy heeft, waarin is vastgelegd dat beveiligingsmethoden zoals encryptie vereist zijn bij het gebruik van bepaalde cloud computing-oplossingen. 71% van de respondenten geeft aan dat het belangrijk is om gevoelige of vertrouwelijke informatie te versleutelen of van tokens te voorzien. 79% zegt dat dit in de komende twee jaar nog belangrijker wordt.

Beveiligingsmaatregelen

Als we kijken naar maatregelen die bedrijven in de praktijk nemen om data in de cloud te beveiligen gebruikt 43% eigen private-netwerkverbindingen. 39% maakt gebruik van versleuteling, tokens of andere cryptografische middelen om data in de cloud te beschermen. 33% geeft aan niet te weten welke beveiligingsoplossingen worden gebruikt. 29% gebruikt de premium beveiligingsdiensten die door de cloudprovider worden aangeboden.

Het beheer van encryptiesleutels wordt over het algemeen als een belangrijk onderdeel gezien van de beveiligen van data in de cloud. 54% van de respondenten beheert de sleutels indien data wordt opgeslagen in de cloud. 45% bewaart deze sleutels in de software waar ook de data is opgeslagen. 27% gebruikt hiervoor veiligere omgevingen, zoals hardware-devices.

Gebruikersbeheer is een uitdaging

Ook gebruikersbeheer in de cloud is volgens respondenten moeilijker. 68% stelt dat dit moeilijker is dan gebruikersbeheer buiten de cloud. 46% maakt gebruik van two-factor authentificatie om toegang van derde partijen tot data in de cloud te beveiligen. 48% zet deze vorm van authenticatie in voor de toegang van werknemers tot de cloud.

“De cloud is voor IT een revolutie geweest. Toch vinden veel IT-organisaties het lastig de eisen bij te benen met betrekking tot dit soort diensten en de gevolgen voor de beveiliging van het opslaan van kritieke data in de cloud”, zegt Dirk Geeraerts, Regional Director bij SafeNet. “Zoals we in 2014 aan het recordaantal data breaches zagen, worden organisaties vaak vanuit verschillende hoeken aangevallen. Om risico’s te beperken, moet er gerichte coördinatie komen en zijn nieuwe benaderingen van cloud-databeveiliging nodig. En IT moet het middelpunt zijn van deze migratie.”

Aanbevelingen

SafeNet doet een aantal aanbevelingen voor het beveiligen van data in de cloud:

• De rol van IT-organisaties verandert en zij moeten zich aanpassen aan de nieuwe realiteit van cloud-IT. Dat kunnen zij doen door werknemers te informeren over beveiligingen, door alomvattende policy’s voor databeheer en -compliance op te stellen, door richtlijnen voor de inkoop van cloud-diensten te creëren en door te bepalen welke data wel en niet opgeslagen mag worden in de cloud.
• IT-organisaties kunnen hun doel om zakelijke data te beschermen bereiken en tegelijkertijd schaduw-IT mogelijk maken. Dat kan door databeveiligingsoplossingen te implementeren, zoals ‘Encryption-as-a-Service’. Deze maken het mogelijk de beschermde data in de cloud centraal te beheren, terwijl hun interne organisaties gebruikmaken van deze veilige cloud wanneer dat ook nodig is.
• Bedrijven slaan steeds meer data op in de cloud en gebruiken steeds meer cloud-diensten voor hun werknemers. IT-organisaties moeten dan ook meer de nadruk leggen op krachtiger controle over gebruikerstoegang met sterke authenticatie. Dit is nog belangrijker voor bedrijven die derde partijen en leveranciers toegang geven tot hun data in de cloud. Two-factor authenticatieoplossingen zijn centraal te beheren. Zo bied je veiliger toegang tot alle applicaties en data, of ze nu in de cloud staan of on-premise.