vrijdag 12 juli 2019

De Cloud & ‘Security Is A Shared Concern’

Inleiding

Beveiliging (security) is en blijft een ‘hot topic’. Een paar jaar geleden, toen de cloud voet aan de grond begon te krijgen, werd er nog wel eens gedacht, dat de security vooral bij de cloud provider ligt en amper bij de afnemer van die clouddiensten.

Niks is minder waar dan dat! Sterker nog, steeds meer cloud providers hameren erop dat de gehele keten verantwoordelijk is voor de security. ‘Security is a shared concern’ is hier dan ook van toepassing. Deze oneliner heeft dan ook veel voeten in aarde en vergt de nodige inspanningen, resources en budgetten.

Het interessante hierbij is, is dat de cloud een dubbele rol vervult. Enerzijds maakt de cloud de security complexer, anderzijds biedt de cloud weer extra mogelijkheden om diezelfde security goed uit te voeren.

Cloud maakt security complexer?

Absoluut! Denk hierbij aan gevoelige bedrijfsdata welke in de cloud staat en m.b.v. vele devices vanaf vele verschillende locaties benaderd, opgeslagen en bewerkt wordt. Dit in combinatie met on-premise omgevingen waar ook nog data staat, maakt het allemaal tot een complexer geheel, ook qua security.

Of er worden cloud gebaseerde apps gebruikt vanaf verschillende locaties en verschillende devices, waarbij zowel deze locaties en devices niet per se van het bedrijf zelf hoeven te zijn. Toch dient het bedrijf er voor te zorgen dat alles veilig is en dat er aan de wet- en regelgeving wordt voldaan welke voor hen van kracht is.

Hoe kun je als bedrijf aantonen dat de AVG goed wordt nageleefd in situaties zoals deze? Dat de informatiestroom, ook al gaat deze buiten de bedrijfsmuren om en middels devices welke niet allen eigendom zijn van het bedrijf, ten allen tijde veilig is?

Gelukkig biedt de cloud verschillende oplossingen.

Cloud maakt security beheersbaar?

Ook hier weer geldt een volmondig ‘ja’. Zaken zoals information protection, intrusion detection en  threat protection/detection worden vanuit de cloud als dienst aangeboden. Hierbij wordt er volop gebruik gemaakt van Machine Learning (om tijdig nieuwe aanvalsvectoren te herkennen) en vergaande automatisering (om snel te kunnen reageren voordat het echt fout gaat).

Het voordeel hierbij is dat deze diensten grotendeels al zijn ingericht en dus zo goed als klaar voor gebruik. Daarbij is de reikwijdte deze diensten niet beperkt tot de cloud alleen maar kunnen ze ook on-premise ‘hen ding doen’ en raken ze ook de mobiele apparaten welke door het bedrijf worden gebruikt, ongeacht wie de eigenaar er van is.

Uiteraard dient er het nodige ingeregeld te worden maar nog steeds zijn de diensten zelf en de onderliggende infrastructuur door de cloud provider al in orde gemaakt en wordt het door hen bijgehouden. Hierdoor betaal je als afnemer maar een fractie van de totale kosten en kun je er snel mee aan de slag.

PPO

Ook hier is van toepassing dat al deze diensten technische puntoplossingen zijn en daarbij aansluiting vereisen op de mensen (People), processen (Processes) en organisatie (Organization), kortom PPO.

Zonder PPO geen security. Wat mij betreft ligt hier dan ook het zwaartepunt van het credo ‘Security is a shared concern’. Immers, de cloud providers leveren de tools, middelen en kennis. Maar de uiteindelijke afnemer dient deze diensten niet alleen af te nemen maar goed te implementeren, te gebruiken en te borgen in de gehele keten. En ja, de eindgebruiker speelt daar een belangrijke rol in.

Call-2-action

Wanneer er gebruik wordt gemaakt van Azure en/of Microsoft/Office 365 zijn er twee zeer relevante cursussen beschikbaar om goed te leren wat er mogelijk is qua security tools/diensten en hoe die op een goede wijze te implementeren, te gebruiken en te borgen in de gehele keten.

  1. MS-500: Microsoft 365 Security Administration. Deze vierdaagse cursus geeft een 360 graden beeld van de beveiligingsmogelijkheden binnen Microsoft 365. Zowel binnen de cloud tot en met de mobiel devices van de eindgebruikers aan toe en alles wat er tussen zit. Ook komt de beveiliging van de informatie uitgebreid aan bod.

  2. AZ-500: Microsoft Azure Security Technologies. Deze vijfdaagse cursus geeft een compleet beeld van wat er allemaal mogelijk is qua security binnen Azure en hoe dat toe te passen. Hiermee wordt er gezorgd dat (toekomstige) Azure implementaties veilig zijn.

Uiteraard zijn er ook meer leverancier neutrale security cursussen waarvan ik er hier twee uitlicht:

  1. Cyber Security training. Deze eendaagse cursus geeft de deelnemers – aan de hand van een paar case-studies -   goed inzicht van wat er allemaal speelt qua beveiliging in en rondom de cloud. Deze cursus kent een lage instapdrempel en is daarmee voor iedereen geschikt die meer over dit onderwerp wilt weten.

  2. Security Architectuur. Deze driedaagse cursus is meer gericht op IT Pro’s die meer willen weten van security in relatie tot informatiebeveiliging. De gehele keten komt aan bod en wordt besproken  aan de hand van een aantal zogenaamde ‘security use cases’.

Wrapping up…

Uiteraard is er een enorm aanbod van vele andere security gerelateerde cursussen. De vier genoemde cursussen echter vormen een prima uitgangspunt voor de verschillende ‘bloedgroepen’ binnen de organisatie, van IT Pro tot en met de eindgebruiker en alles wat er tussen zit.

Welke cursus ga jij doen?

Gepost door
Labels: , , , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)