Data in de cloud? Sta erbij stil
— 5 maart 2021Veel financiële organisaties hebben te maken met een toenemende complexiteit van de IT-omgeving. De business wil zoveel mogelijk flexibiliteit en dus naar de cloud. De toename van het aantal thuiswerkers zet deze behoefte nog eens extra kracht bij. Voor de IT-afdeling maakt dit het niet makkelijker. Er zijn hierdoor steeds meer klant- en bedrijfsgegevens buiten kantoor in te zien en te wijzigen. Terwijl het cybersecuritybeeld volgens de Nationaal Cyber Security Centrum al zorgwekkend is, worden de risico’s daardoor alleen maar groter. Ook de beheersbaarheid van de IT-omgeving neemt af. In deze blog deelt Michel Meijer van Comsenso enkele tips om te voldoen aan de businessbehoefte en de risico’s te mitigeren.
Stilstaan bij data
Het begint allemaal bij ‘Know your data’. Door middel van data discovery creëer je inzicht in de vraag waar gevoelige gegevens zich bevinden en hoe je ze moet beschermen. De volgende stap is data classificeren. Dit wil zeggen dat je gegevens op basis van specifieke patronen en algoritmen identificeert en groepeert. Classificatie vindt onder andere plaats op basis van het gevoeligheidsniveau, dat hoog, gemiddeld of laag kan zijn Dit klinkt als een enorm tijdrovende klus, maar dit soort processen kun je inmiddels grotendeels geautomatiseerd uitvoeren. Deze inzichten zorgen ervoor dat je bewust keuzes kunt maken over de juiste vorm van beveiliging, maar helpen je ook bij het inrichten van Know Your Customer-processen.
Inzetten op encryptie
Te veel organisaties focussen zich op het voorkomen van indringers door onder andere firewalls te implementeren. Dit betekent dat een hacker die de firewall omzeilt, nagenoeg vrij spel heeft. Het is daarom belangrijk te zorgen dat de gevoelige data, oftewel je kroonjuwelen uit de data discovery-fase, worden versleuteld. Het gebruiken van encryptie levert wel een nieuwe taak op, namelijk het veilig bewaren van encryptiesleutels. Op het moment dat je encryptie gaat toepassen, worden de sleutels voor hackers interessant en niet zozeer de versleutelde data. Met een key managementoplossing kunnen sleutels veilig buiten je cloudomgeving bewaard worden.
Denk na over toegang
De laatste tip draait om het toegangsbeheer. Het is belangrijk om na te denken over welke medewerkers toegang dienen te hebben tot welke applicaties en data. Door op basis van functieprofielen informatie en applicaties toegankelijk te maken vergroot je de veiligheid. Gebruik multifactorauthenticatie, maar maak het medewerkers vooral ook makkelijk. Zorg dat ze maar één keer hoeven in te loggen om toegang te krijgen tot alle minder kritieke data en applicaties. Hiermee voorkom je wachtwoordmoeheid en verlaag je de risico’s. Voeg extra toegangscontroles toe waar nodig. Voor de écht gevoelige gegevens kan het bijvoorbeeld noodzakelijk zijn dat deze alleen op kantoor zijn in te zien. Wanneer het toegangsbeheer is ingericht, kan je dan op basis van IP-adressen ervoor zorgen dat alleen mensen die op het fysieke kantoor zijn de bewuste data kunnen inzien of bewerken
Werken in de cloud is de norm geworden en de IT-afdeling moet zich hierop aanpassen om de business hierin veilig te kunnen faciliteren. Dit is belangrijk voor iedere financiële organisatie. Je moet immers bij audits aantonen dat gegevens van derden afdoende worden beschermd. Daarom moet je stilstaan bij je data in de cloud, encryptie én je toegangsbeheer.