Cloudstrategie en security: samenwerking gezocht

Cyber Security is dit jaar terecht hét onderwerp van de Business Continuity Awareness Week. Meer dan ooit voelen particulieren en bedrijven zich kwetsbaar door de steeds concretere dreigingen die de digitaal verbonden wereld met zich meebrengt.

Dat dit gevoel terecht is blijkt uit de ransomware-aanval van afgelopen vrijdag. De ongekende impact ervan maakt een definitief einde aan het hardnekkige idee dat je interessant moet zijn voor hackers om er last van te krijgen. Dit soort aanvallen treft doel zonder aanziens des persoons. De mens blijkt steeds weer de zwakste schakel in het geheel. Hoe goed de bescherming ook is, er hoeft maar één medewerker op een ogenschijnlijk onschuldige link te klikken of via een onbeveiligd, openbaar Wifi-netwerk te werken en de achterdeur staat wijd open.

In deze blog wil ik echter aandacht vragen voor een andere ‘achterdeur’ in cyber security: de cloudleveranciers. Cloudapplicaties maken tegenwoordig een vast onderdeel uit van het applicatielandschap. Voor IT managers zijn ze een oplossing bij het stroomlijnen van processen en het snijden in de kosten. Maar daarmee bent u niet meteen geland op een roze wolk: de beveiliging van gegevens in de cloud vraagt gerichte actie op gebied van leveranciersmanagement.

Het probleem is dat niet elke organisatie daar op tijd klaar voor is. De stap naar een cloudapplicatie is relatief snel genomen en over het algemeen blijft het niet bij één applicatie. Organisaties die een deel van hun IT buiten de deur plaatsen realiseren zich terdege dat ze van een beheerorganisatie naar een regieorganisatie moeten transformeren. Maar daar begint het: de snelheid van die organisatieontwikkeling ligt vaak lager dan de technologische verandering. Dat is ook logisch, een regieorganisatie vraagt andere kennis en vaardigheden en in de praktijk komt het soms neer op aantrekken van ander personeel. Dat kost tijd, maar dat mag geen jaren duren.

Daarnaast vraagt het gebruik en regisseren van cloudservices (en de leveranciers) een gebalanceerde mix van technische, organisatorische, juridische en inkoop competenties. Zeker als persoonsgegevens in het spel zijn is de betrokkenheid van een privacy officer en een bedrijfsjurist noodzakelijk: denk aan de verplichte bewerkersovereenkomst. Samenwerking tussen disciplines is van belang, interne silo’s werken daarbij contraproductief. Eisen op het gebied van beveiliging, continuïteit en privacy moeten vanuit één visie gesteld worden en elkaar niet tegenspreken. Vanaf het begin (al voordat de IT in de cloud wordt ondergebracht) moet duidelijk zijn of de leverancier daaraan voldoet en aan blijft voldoen. Het uitvoeren van een risicoanalyse is daarvoor een nuttig, maar vaak vergeten instrument.

Daarmee wil ik overigens niet de indruk wekken dat cloudleveranciers hun werk niet goed doen, in tegendeel. Veel leveranciers bieden vaak een niveau van professionaliteit en focus dat lastig te benaderen is door de eigen organisatie. Niettemin is beveiliging te allen tijde de eindverantwoordelijkheid van de organisatie, de leverancier is verantwoordelijk voor het nemen van de toegezegde maatregelen.

Daarom wil ik er een lans voor breken om bij het opstellen van een cloudstrategie vanaf het begin breder na te denken over wat dit vraagt van de eigen organisatie. Al dan niet kiezen voor de cloud zal niet alleen gebaseerd moeten zijn op een kostenplaatje of een gewenste afslanking van de IT afdeling. Bij de afweging van ‘Cloud tenzij,…’ moet ook meegenomen worden wat het vermogen is van een organisatie om effectief de verantwoordelijkheid te nemen en te blijven nemen voor de veiligheid van zijn gegevens. Het invoeren van een cloudstrategie vraagt organisatieontwikkeling en is dus per definitie een multidisciplinair vraagstuk.