Vrijwel geen enkel bedrijf kan zonder IT-diensten. Met de voortdurende digitalisering van bedrijfsprocessen wordt de afhankelijkheid van informatica nog groter. Bovendien neemt de complexiteit van de IT-systemen, zowel op de hardware als aan de softwarekant, toe en dus de kosten voor informatica.

Clouddiensten bieden een uitweg uit dit dilemma. Het gebruik van cloudservices biedt verschillende voordelen, waaronder:

• Gebruik van standaardsoftware die een bedrijf alleen niet had kunnen ontwikkelen; een aantal (grote) fabrikanten bieden hun software alleen aan als clouddiensten, een trend die toeneemt;
• Variabilization van IT-kosten door middel van de pay-as-you-use principe;
• lagere IT-kosten, omdat de ontwikkeling, exploitatie en het onderhoud van de systemen niet zelf gefinancierd hoeven te worden.

Voor een bedrijf betekent het gebruik van clouddiensten het uitbesteden van belangrijke systemen en gegevens naar een cloud; het vergroot massaal zijn eigen systeemgrenzen, en ze worden diffuus.

Dit stelt een groot dilemma in corporate management:

Aan de ene kant wil/moet het naar de cloud om de digitalisering bij te houden. Aan de andere kant bestaat het risico dat de controle over IT verloren wordt. En in een tijd waarin IT een kritische succesfactor is, riskeert het de reputatie of zelfs het bestaan van de hele onderneming.

De oplossing voor dit dilemma is het doel van cloudbeveiliging.

Cloudbeveiliging is meer dan alleen een tool

Cloud beveiliging is geen tool die kan worden geïnstalleerd en alle risico’s verbonden aan het gebruik van Cloud Services zijn inbegrepen. Cloud Security is een bundel van individuele maatregelen die moeten worden gecoördineerd. Goede cloudbeveiliging is gebaseerd op een strategische aanpak en is het resultaat van een combinatie van gecoördineerde gedragscodes, processen en tools.

De risico’s van cloudgebruik identificeren

Bescherming tegen risico’s kan alleen worden bereikt als een onderneming de risico’s kent. In de informatica is de term “aanvalsvectoren” gevormd; elke vector is een benadering van hoe een aanvaller illegaal toegang kan krijgen tot systemen en gegevens in de cloud. Bekende voorbeelden van dergelijke aanvalsvectoren zijn phishing, botnetwerken, malware, DDoS-aanvallen. Cloudservices worden blootgesteld aan specifieke aanvalsvectoren. Deze moeten gestructureerd worden bepaald om een veerkrachtig schild te ontwerpen.

De specialisten van de E3 kennen de aanvalsvectoren uit theorie en praktijk. De ervaring die met vele projecten is opgedaan, wordt in deze analyses verwerkt.

Vaststelling van beschermende maatregelen

Veel cloudproviders bieden een goede bescherming tegen aanvallen op technisch niveau (netwerk, besturingssysteem, databases). Ze bestrijken echter slechts een deel van de bekende aanvalsvectoren. Op applicatie- en dataniveau is beveiliging veel moeilijker te bereiken. Een bedrijf moet zich dus beschermen tegen vele bedreigingen. Wat is het nut van een versleuteld netwerk wanneer werknemers gevoelige gegevens overbrengen naar een onveilige cloudtoepassing?

De e3 analyseert de relevante aanvalsvectoren met uw specialisten en ontleent specifieke beschermingsmaatregelen. Gedragsmaatregelen (bijvoorbeeld bewustmakingscampagnes) worden gecombineerd met processen (aanpassing van processen aan de cloud) met een reeks geschikte tools van de e3 en andere providers (shadow-IT-detectie, encryptie, enz.).

Succescontrole en optimalisatie

e3 vergezelt haar klanten ook na de tenuitvoerlegging van de beschermingsmaatregelen om ervoor te zorgen dat de beschermingsdoelstellingen zijn bereikt. Bovendien, nieuwe aanval vectoren zijn voortdurend verschijnen, het is een race tussen hackers en cyber defense experts. Het is belangrijk om nieuwe ontwikkelingen tijdig te analyseren en de beschermingsmaatregelen aan te passen aan nieuwe bedreigingen.

IT wordt steeds complexer, ondanks of vanwege het gebruik van cloudservices. Tegelijkertijd kan één bedrijf de capaciteit van zijn eigen IT-specialisten verminderen door gebruik te maken van cloudservices. Daarnaast zijn IT-securityspecialisten duur en een schaars goed op de arbeidsmarkt.

De e3 heeft een pool van bewezenIT-security experts. Ze zijn niet alleen goed opgeleid, maar ze hebben ook praktische ervaring in cloudbeveiliging die ze in veel klantprojecten hebben opgedaan.

de e3 heeft concepten ontwikkeld die worden gebruikt als basis voor de analyse van dreigingsscenario’s en defensiemaatregelen. Zo biedt het concept “Gated Community” een kader voor de bescherming van gevoelige gegevens gedurende de gehele digitale levenscyclus, van apparaten voor eindgebruikers (incl. BYOD) tot opslag en gebruik in verschillende organisatie-eenheden en wetgevers volgens het need-to-know-principe.