Hoe zorg je voor goede cyberbeveiliging in de cloud?

Het cyberrisico van een onderneming verhoogt gevoelig door migratie naar de cloud . Eén nalatigheid van een medewerker kan cybercriminelen toegang verschaffen tot het netwerk en alle data die daarin bewaard worden en rondgaan.

Waar moeten bedrijven aan denken als ze de informatie willen beschermen die ze naar de cloud verplaatsen?

Ken prioriteiten toe

Omdat het onmogelijk is om alles te beschermen, komt de nadruk te liggen op: 'Wat wil je beschermen?'.

"Bedrijven moeten prioriteiten toekennen aan hun meest essentiële assets en dan een strategisch plan uittekenen om die assets te beschermen. Daarbij moeten ze niet alleen beslissen welke assets bescherming nodig hebben, maar ook welk niveau van bescherming elke asset zal krijgen", zegt Stanley Huang, CTO van cloudgebaseerd softwarebedrijf Moxtra in het artikel op cybersecurity -research.be

Huang ziet bij cloudbeveiliging vaak een kloof, waarbij een bedrijf zijn beveiligingsbehoeften wel erkent en toch niet de nodige strategische, goed geplande beveiligingsdekking uitwerkt.

Het probleem is niet alleen technisch

De reden daarvoor? "Bedrijven richten zich bij de implementatie van cloudbeveiliging vaak alleen op de technische aspecten", zegt hij.

"Bedrijven lijsten dan bijvoorbeeld op wat voor soort cloudcomputing-dienst ze gebruiken, wat daar goed aan is, wat niet, welke technologie die dienst gebruikt en hoe goed die technologie werkt voor de gebruikers. Dat is natuurlijk allemaal belangrijk, maar je moet altijd eerst bepalen hoe beveiliging in het grotere plaatje past."

Bepaal de scope van je plan

Je kan niet zomaar een technische oplossing kopen en verwachten dat die alle gegevens beschermt. Bedrijven moeten voor de migratie naar de cloud de scope van hun beveiligingsplan bepalen en prioriteiten toekennen volgens beveiligingsniveau.

Pas daarna kunnen ze investeren in advies van derden en beveiligingsoplossingen aankopen.

Wijs een interne verantwoordelijke aan

Huang raadt elk bedrijf aan om intern een verantwoordelijke voor cybersecurity aan te wijzen of in te huren, om de beveiligingsstrategie op bedrijfsniveau te bepalen.

"Deze persoon moet een goede organisator zijn met een technische achtergrond, maar hoeft niet noodzakelijk een beveiligingsexpert te zijn. Een externe adviesdienst met beveiligingsexpertise kan samen met deze persoon een specifieke beveiligingsstrategie voor het bedrijf uittekenen", zegt Huang.

Koop beveiliging niet bij je leverancier

Veel bedrijven denken dat ze de beveiliging van cloudcomputing op bedrijfsniveau kunnen aankopen bij elke leverancier van clouddiensten. Maar dit klopt niet.

"Je kan beveiliging niet zomaar bij een leverancier kopen. De leverancier kan de beveiligingsoplossing wel aanleveren, maar jij moet als bedrijfsleider nadenken over hoe je die oplossing kan benutten. Het is aan jou om te beslissen wat best is voor jouw bedrijf."

Het is bijvoorbeeld aan het bedrijf zelf om ervoor te zorgen dat werknemers hun tewerkstellingsstatus verifiëren via een gecentraliseerd systeem en dat werknemers die vertrekken geen toegang meer hebben tot de bedrijfssystemen en -gegevens.

Opleiding past in elk plan

Als het gaat over cyberbeveiliging, al dan niet in de cloud , is de opleiding van het personeel een belangrijk onderdeel.

Want keer op keer wijzen beveiligingsexperten en IT-enquêtes er op dat menselijke fouten een groot risico vormen voor cyberaanvallen.

Samenwerken met experten is volgens Huang en de cyberspecialisten van KU Leuven, de meest effectieve manier om je personeel op te leiden.

"Verdeel de verantwoordelijkheden en geef mensen op basis van hun rol opleidingen met een verschillende focus. Dan kunnen werknemers, als ze samenwerken, elk hun stukje bijdragen aan een allesomvattend beveiligingsplan."

Lees het uitgebreide artikel Hoe pakt jouw bedrijf cyberbeveiliging aan bij migratie naar de cloud? op de website van het cybersecurity onderzoeksprogramma.