4 belangrijke beveiligingsvraagstukken voor de Cloud

Tegenwoordig wordt elke consument of organisatie overspoeld met de term Cloud. Zoals de TV/radio reclame van Ziggo “Supersnel werken in de Cloud”, of het gebruik van iCloud om uw contacten en e-mail te synchroniseren met uw Apple apparaten, maar ook bijvoorbeeld Office 365 van Microsoft. Daarnaast zijn er nog een tal van voorbeelden die organisaties gebruiken, zoals een CRM applicatie als Salesforce.com.

Maar naast de positieve punten van Cloud zoals pay-per-use en geen inzet van de eigen IT organisatie, zijn er aan de andere kant ook risico’s naar voren gekomen zoals de schandalen van de NSA die Snowden steeds heeft gepubliceerd. Dit kan wellicht niet worden toegewezen aan het gebruik van een Cloud oplossing, maar kan er voor zorgen dat organisaties huiveriger en/of beter gaan nadenken of hun data wel in een Cloud dienst wil opslaan.

Wat houdt de term Cloud nu eigenlijk in en waarom wordt door elke marketingafdeling de term Cloud gebruikt alsof het nieuw is en waarom is en kan het nog steeds veilig en goed zijn om over te stappen naar een dergelijke Cloud oplossing? Wat zijn de voordelen tegenover de nadelen die nu vooral veel in het nieuws zijn gekomen? In dit artikel gaan we in op hoe risico’s geanalyseerd kunnen worden voor organisaties wanneer ze Cloud oplossingen willen implementeren.

Wat is Cloud computing nu precies?
Cloud computing is geen nieuw idee. In 1961 werd al aangegeven door de computer pioneer John McCarthy dat het gebruik van computer resources net zo georganiseerd wordt als gas, water en elektriciteit. Dus betalen voor wat je gebruikt. Dit idee is sinds het jaar 2000 weer in de wereld geholpen, maar dan via andere termen zoals “grid computing”, “application server provider” en nu dus “cloud computing”. Cloud computing is het leveren van een dienst/service zoals computer resources, data opslag, processor kracht, tot software welke direct beschikbaar kan zijn voor gebruik en zich aanpast aan de behoefte.

Er zijn verschillende soorten modellen voor het leveren van diensten. De drie meest bekende zijn:
• IaaS (Infrastructure as a Service)
In dit model wordt een virtuele infrastructuur aangeboden zoals servers, opslag capaciteit en andere infrastructuur. Voordeel is hiervan dat er een vrijheid is over de technische inrichting van de infrastructuur. Enkele voorbeelden van organisaties die IaaS aanbieden zijn: Rackspace, Dyn met DyDNS en Amazon met Elastic Compute Cloud (EC2).

• PaaS (Platform as a Service)
Het PaaS model bevindt zich boven op de infrastructuur, waarbij gebruik wordt gemaakt voor het ontwikkelen van applicaties. Hiervoor worden frameworks gebruikt voor het creëren van 2 gestructureerde en geïntegreerde applicaties en functionaliteit (zoals toegangsbeheer, portaalfunctionaliteiten). o Enkele voorbeelden van organisaties die PaaS aanbieden zijn: Microsoft met Windows Azure, Amazon met AWS platform en Google met Google App Engine.

• SaaS (Software as a Service)
Het SaaS model is het leveren van een applicatie aan eindgebruikers waarbij de aanbieder volledige controle heeft over het technisch en functionele aspect. Hierdoor heeft de eindgebruiker alleen maar functionele kennis nodig om te werken met de applicatie. Enkele voorbeelden van organisaties die SaaS aanbieden zijn: Salesforce.com, Office365, Google Apps for Business, Anaplan en Adaptive Planning.

Daarnaast is er nieuw model wat steeds vaker gebruikt wordt.
• NaaS (Network as a Service)
NaaS is een van de nieuwe modellen binnen Cloud diensten, waarbij de focus ligt op het gebruik van het netwerk van de aanbieder. Denk hierbij aan VPN netwerken, maar ook aan MVNO’s (Mobile Virtual Network Operators zoals Telfort (KPN netwerk), Youfone (KPN netwerk), BEN (T-Mobile netwerk), Bliep (T-Mobile netwerk), Lycamobile (Vodafone netwerk), Hollandsnieuwe (Vodafone netwerk).

Overstappen naar een Cloud oplossing, hoe om te gaan met de beveiligingsvraagstukken
De meeste voordelen van een Cloud oplossingen zijn wel bekend zoals betalen naar verbruik, schaalbaarheid en bereikbaarheid. Het werken in de “Cloud” zal steeds meer en meer gebeuren, maar hoe gaat een organisatie hier goed mee om? Wat kan wel opgeslagen of gebruikt worden in de Cloud en wat niet? Oftewel: welk plan moet er uitgevoerd worden als een organisatie beslist om te gaan werken in een public Cloud?

Uit onderzoek onder 20 grote organisaties binnen Nederland (referentie: master scriptie) is naar voren gekomen wat de best mogelijke manier is om als organisatie een mogelijke Cloud oplossingen te gebruiken, en welke stappen/fases hier voor nodig zijn. Hiervoor is er een Cloud Security Framework gemaakt met een aantal stappen, hier onder worden de belangrijke stappen uit het framework behandeld. Het framework is zo opgezet dat elke organisatie een eigen invulling hier aan kan geven.

Cloud Security Framework

1. Bepalen bedrijf kritische processen
De eerste stap is het bepalen van de bedrijfsprocessen die aanwezig zijn in de organisatie, daarbij moet worden vastgelegd wat voor soort informatie er nodig is om het proces te starten en eindigen. Het beschrijven van deze processen helpt om na te denken wat voor taken en informatie er door de organisatie gebruikt worden. De beschrijving kan onderverdeeld worden in de bedrijfsfuncties zoals verkoop, ondersteuning, personeelszaken, productie, juridisch, klantenrelatie enzovoorts.

2. Definiëren van een risico map
Een risico map is een matrix waarin alle bedrijfsentiteiten en de bijbehorende informatie gekoppeld zijn aan de gebruikte bedrijfssystemen. Voor elk van deze koppelingen wordt er een risico ingeschat op drie onderwerpen:

• Verlies van integriteit: De integriteit heeft betrekking op de vereiste dat gegevens worden beschermd tegen niet toegestane aanpassingen. De integriteit wordt verloren als ongeautoriseerde wijzigingen zijn aangebracht in de gegevens of in het systeem door opzettelijke of onopzettelijke handelingen. Het verlies van integriteit vermindert de zekerheid van een systeem en daarbij het proces.

• Verlies van beschikbaarheid: Als een bedrijfskritisch systeem niet beschikbaar is voor de eindgebruikers, dan kunnen de bedrijfsprocessen verstoord worden.

• Verlies van betrouwbaarheid: De betrouwbaarheid van de data en systemen moeten worden beschermd. De impact als er ongeautoriseerde, onvoorziene of (on)opzettelijke handelingen zijn uitgevoerd op het systeem, dan is de informatie niet meer betrouwbaar en kan tot grote gevolgen leiden in verlies van vertrouwen, verlegenheid of zelfs juridische acties. Voor elk van deze drie risico wordt een rating toegepast in de matrix. Op basis van deze informatie wordt duidelijk welke systemen gevoelige informatie gebruiken die niet toereikend zijn om over te zetten in een bestaande Cloud oplossing.

Voor elke combinatie van systeem/informatie die beschreven is in de risico map moeten er drie analyses worden gedaan, bedreigingen, kwetsbaarheden en de waarschijnlijkheid van deze twee. De risico map ondersteund in welke processen / systemen overgezet zouden kunnen worden naar de Cloud. Als een proces bij alle drie de onderwerpen een hoge impact heeft, zal dit proces niet snel overgezet worden. Dit in tegenstelling tot processen / systemen waarbij de impact van beschikbaarheid en betrouwbaarheid minimaal is.

2.1. Analyse van kwetsbaarheden
Een kwetsbaarheid is een werkstroom of zwakte in de beveiliging van systeemprocedures, ontwerp, implementatie, of interne controles. Deze zwaktes kunnen resulteren in een inbreuk op de beveiliging of de schending van het veiligheidsbeleid van het systeem. Deze stap is een resultaat van de combinatie “beschrijven bedrijfsprocessen” en “definiëren van een risico map”. Door deze zaken te combineren is het duidelijk welke processen wat voor informatie gebruiken en wat de impact daarvan is. Dit zorgt ervoor dat waar de impact het hoogst is, duidelijk en structureel een analyse van mogelijke kwetsbaarheden naar voren komt.

2.2. Analyse van bedreigingen
Een bedreiging is pas relevant als een kwetsbaarheid succesvol uitgevoerd kan worden op systemen. De bron van deze kwetsbaarheid kan een gebeurtenis zijn in de omgeving, zoals een stroomstoring in een stroomverdeelkast wat invloed kan hebben dat een datacentrum opeens zonder stroom komt te zitten. Een kwetsbaarheid kan ook een menselijke handeling zijn, denk hierbij aan frauderen van gegevens (bijvoorbeeld de phishing mails), maar ook het opzettelijk zoeken van fouten in systeem, waardoor het systeem gehackt wordt.

De laatste soort bedreiging wordt aangegeven als “natuurlijk”, denk hierbij overstromingen en aardbevingen. Bijvoorbeeld als de data in een datacentrum staat ergens in Amerika, maar dat gebied is gevoelig voor veel en grote tornado’s kan dit een bedreiging zijn voor de continuïteit van de systemen. Er zijn dus drie classificaties als soorten bedreiging, menselijk, natuurlijk en omgeving. Al deze bedreigingen kunnen een grote invloed hebben op de kwetsbaarheid van een systeem, hierdoor is een analyse noodzakelijk, met name voor het maken van een herstel of noodprocedures waardoor de systemen altijd bereikbaar zijn. Het is belangrijk dat een Cloud provider hier goed over heeft nagedacht en dit duidelijk heeft gedocumenteerd. Deze documentatie moet een basis vormen voor de audits die plaats moeten vinden bij de provider.

2.3. Analyse van waarschijnlijkheid
De waarschijnlijkheid is het bepalen wat de procedure moet of zou kunnen zijn als een bedreiging of kwetsbaarheid reëel is. Deze stap zorgt er voor dat de organisatie zich bewust is wat de oorzaken en gevolgen kunnen zijn, maar ook waar men naar moet kijken bij een Cloud provider om te zorgen dat ze hier noodprocedures voor klaar hebben liggen. Voorbeeld: Als het inbreken van een informatiesysteem een heel erge reële kans is omdat de SaaS oplossing enorm populair is, moet je als organisatie weten hoe ze omgaan met de beveiliging van data, zoals encryptie, interne autorisatie, etc.

3. Audit
Als je als organisatie systemen/informatie of processen overgaat zetten naar een Cloud oplossing, zou er zeker 1x per jaar een kwaliteit audit gehouden moeten worden bij de Cloud provider. Dit betekent dat er een controle wordt uitgevoerd door een externe gespecialiseerde organisatie om specifieke standaarden zoals ISO standaarden te controleren. De kwaliteit audit helpt de organisatie er voor te zorgen dat de Cloud provider ook daadwerkelijk over de mogelijke risico’s en zwakheden heeft nagedacht en blijft nadenken en correctieve acties uitzet bij een dreigend risico(?).

4. Encryptie
Het moet duidelijk zijn hoe de Cloud provider om gaat met encryptie, de vragen die als organisatie gesteld kan worden aan de provider zou kunnen zijn:
• Hoe is mijn data opgeslagen bij de provider?
• Wordt er encryptie toegepast?
• Wie kan er bij mijn bestanden met/zonder encryptie?
Het is nodig dat de data die op servers van de provider staat beveiligd worden met een encryptie. Dit moet zorgen voor een stuk veiligheid ten aanzien van de opgeslagen gegevens. Daarnaast moet de communicatie tussen de eigen systemen in de organisatie en de systemen van de Cloud provider beveiligd worden zodat er altijd een beveiligde verbinding is, wat interventie van gegevens die verstuurd/ontvangen worden, tegen gaat.

Conclusie
Een groot aantal voordelen van het gebruik van Cloud diensten is dat het steeds meer gemeengoed wordt in de maatschappij. Dit zorgt er voor dat het “nieuwe werken” beter wordt ondersteund. Het is makkelijker en eenvoudiger om op ieder moment bij je gegevens te komen met elk gewenst apparaat. De organisaties veranderden ook hun IT landschap meer naar “Bring Your Own Device” (BYOD), waardoor de organisaties steeds meer mobieler kunnen werken omdat er meer applicaties via een app (zoals voor de iPad) of via een website te benaderen zijn.

Tegenwoordig heeft bijna iedereen een smartphone, tablet of laptop wat er voor zorgt dat we op elk moment van de dag bij onze gegevens kunnen komen. Het bovenstaande is ook erg zichtbaar bij de studenten, die al hun werk al via een Google Docs of Office 365 maken, dit zorgt er voor dat ze gewend zijn geraakt om te werken in de Cloud. Dit vertaalt zich ook door naar het bedrijfsleven, waarbij de afgestudeerde studenten in het bedrijfsleven komen en sneller voorstander zal zijn voor een dergelijke Cloud dienst. Tevens zorgt het betaalmodel van Cloud diensten voor veel voordelen, Pay as you go zorgt er voor dat er geen grote IT investeringen meer nodig zijn, behalve de licentie te betalen voor de (actieve) gebruikers.

Daarnaast worden de Cloud diensten steeds meer volwassener, dat is zichtbaar omdat meer organisaties overstappen naar een Cloud dienst en dat er steeds meer diensten bijkomen. De Cloud diensten hebben alleen maar een bestaansrecht als de gebruikers en organisaties vertrouwen hebben in de geleverde dienst. De beveiliging is dus een van de belangrijkste zo niet de belangrijkste pijler onder de dienst van de Cloud provider. Het is daarom aannemelijk dat de beveiliging van een Cloud provider veel beter geregeld is als menig organisatie die zijn eigen IT beheerd. Dit is ook naar voren gekomen in mijn master thesis tijdens de interviews die ik heb gehad met een aantal organisaties in Nederland.

Uit het onderzoek is gebleken dat zeker 70% niet weet hoe de beveiliging is geregeld in de eigen organisatie als ze deze vergelijken met een Cloud provider. Waar de Cloud provider zich certificeert en periodiek audits laten uitvoeren op de beveiliging en dit ook delen met hun klanten, is het bij de meeste IT afdelingen binnen organisaties ondoorzichtig hoe dit geregeld is. Overstappen naar een Cloud dienst kan dus aanzienlijke voordelen opleveren, maar hier moet wel goed over worden nagedacht. Wat urgenter wordt, is hoe de overstap naar een Cloud provider wordt verantwoord. Hier zorgt het genoemde Cloud Security Framework voor. Door een duidelijke analyse van de organisatie kan er een juiste fit worden gemaakt met een mogelijke Cloud provider. De belangrijkste processen/stappen die we hier boven hebben besproken zorgen voor een kritische blik naar de eigen organisatie en welke voordelen er zijn om over te stappen naar een Cloud oplossing:
• Bepalen bedrijfskritische processen
• Definiëren van een risico map o Analyseren van mogelijke bedreigingen o Analyseren van mogelijke kwetsbaarheden
• Auditeren van de organisatie en/of Cloud provider

Jurgen Maas is Business Planning Solutions Consultant bij KeyOn

__________________________________________________________________________________ Meer weten over Finance & IT?
Bent u als financial (mede) verantwoordelijk voor het bewaken van het IT budget?  Wilt u wél rendement uit IT investeringen halen?  Beschik over essentiële IT kennis die iedere financial paraat moet hebben. Drie tips:

1. Vergroot uw kennis met topartikelen over Finance & IT op FM.nl en CFO.nl
– Framework voor wel of niet investeren in IT
– Big data plaatsen Financial voor nieuwe uitdagingen
– Top 3 verborgen ICT kosten en hoe ze te herkennen
– Financiële instellingen betalen te veel voor ICT-systemen
– Lees tientallen artikelen uit de dossiers Finance & IT op FM.nl en Digital Transformation op CFO.nl

2. Bezoek Financial Systems 2014: Unlock the Power of Technology
Kom 22 mei 2014 naar Financial Systems, dé IT beurs voor financiële professionals.
– Ontmoet meer dan 30 topaanbieders en 1.000 professionele bezoekers op één dag
– Compleet overzicht van de Nederlandse markt voor financiële software
– Doorlopend programma van expertsessies en productpresentaties
Ontdek de laatste trends en ontwikkelingen in Finance & IT op donderdag 22 mei in NBC Nieuwegein.
Registreren voor een gratis bezoek? Ga naar Financial-Systems.nl

3. Onmisbare IT kennis voor financials in de Masterclass Finance & IT (14 PE Uren)
Ontdek in deze masterclass hoe u als financieel verantwoordelijke betere keuzes maakt, het rendement verhoogt, kansloze projecten tijdig stopt en snel kunt ingrijpen waar nodig. 2 topexperts bieden u unieke inzichten, best practices, tips en praktijkervaringen. Volg de tweedaagse masterclass Finance & IT, voorkom veelgemaakte fouten en maak direct het verschil. U kunt zich voor één dag of beide dagen inschrijven. Meld u hier aan.
__________________________________________________________________________________