De manier waarop bedrijven werken is de afgelopen twintig jaar ingrijpend veranderd. Gegevens die vroeger op fysieke servers in bedrijfsgebouwen stonden, stromen nu via externe infrastructuur van derden, die overal ter wereld via een internetverbinding toegankelijk is. Deze verschuiving heeft enorme voordelen opgeleverd, maar heeft ook geleid tot een reeks nieuwe en steeds grotere beveiligingsuitdagingen waarmee organisaties van elke omvang nu worden geconfronteerd.
Om cloudbeveiliging goed te begrijpen, is het belangrijk om eerst inzicht te krijgen in de bouwstenen van beveiliging zelf.
Risico's, bedreigingen en kwetsbaarheden
Beveiligingsprofessionals werken dagelijks met drie kernbegrippen: risico's, bedreigingen en kwetsbaarheden. Hoewel deze woorden in alledaagse gesprekken vaak door elkaar worden gebruikt, hebben ze elk een zeer specifieke betekenis op het gebied van cyberbeveiliging.
Een risico is alles wat de vertrouwelijkheid, integriteit of beschikbaarheid van een bedrijfsmiddel kan beïnvloeden. Organisaties berekenen risico's met behulp van een eenvoudige maar krachtige formule: waarschijnlijkheid vermenigvuldigd met impact is gelijk aan risico. Een dreiging is elke omstandigheid of gebeurtenis die een negatieve invloed kan hebben op die activa. Dreigingen vallen uiteen in twee brede categorieën: opzettelijk en onopzettelijk. Een opzettelijke dreiging kan een kwaadwillige hacker zijn die zich richt op een zwakke plek in een bedrijfssysteem. Een onopzettelijke dreiging kan een medewerker zijn die per ongeluk een onbevoegde persoon toegang geeft tot een beperkt toegankelijk gebied. Beide kunnen ernstige schade veroorzaken.
Kwetsbaarheden, het derde concept, zijn de zwakke plekken die bedreigingen uitbuiten. Ook deze vallen uiteen in twee categorieën: technisch en menselijk. Een technische kwetsbaarheid kan bijvoorbeeld software zijn die verkeerd is geconfigureerd en daardoor openstaat voor ongeoorloofde toegang. Een menselijke kwetsbaarheid kan een medewerker zijn die zijn beveiligingskaart kwijtraakt. Inzicht in hoe deze drie elementen met elkaar samenhangen, is essentieel voor het opzetten van een solide beveiligingsstrategie.
Waarom assetmanagement voorop staat
Voordat een organisatie iets kan beschermen, moet ze weten wat ze in bezit heeft. Dit is het doel van assetmanagement, het proces waarbij activa en de risico's die daarop van invloed zijn, worden bijgehouden. Activa zijn er in vele vormen, waaronder digitale activa zoals klantgegevens en financiële gegevens, informatiesystemen zoals netwerken en software, fysieke activa zoals gebouwen en apparatuur, en immateriële activa zoals merkreputatie en intellectueel eigendom.
Zodra activa zijn geïdentificeerd, moeten ze worden geclassificeerd op basis van hun gevoeligheid en belang. Het meest gebruikte classificatieschema deelt activa in vier niveaus in. 'Beperkt' is het hoogste niveau en geldt voor de meest gevoelige informatie waartoe slechts een klein aantal mensen toegang mag hebben. 'Vertrouwelijk' omvat activa waarbij ongeoorloofde openbaarmaking aanzienlijke schade aan een organisatie zou kunnen toebrengen. 'Alleen intern' verwijst naar informatie die beschikbaar is voor medewerkers en vertrouwde zakenpartners. 'Openbaar' is het laagste niveau en omvat activa die geen risico inhouden als ze openbaar worden gemaakt.
Een goede classificatie van bedrijfsmiddelen helpt organisaties om prioriteiten te stellen in hun beveiligingsmiddelen, kosten efficiënter te beheren en te voldoen aan wettelijke en regelgevende vereisten. Het classificeren van bedrijfsmiddelen is echter niet altijd eenvoudig. Eigendom kan ingewikkeld zijn, vooral wanneer werknemers bedrijfsapparaten voor persoonlijke doeleinden gebruiken. Informatie kan ook meerdere classificatieniveaus tegelijk hebben, wat een zorgvuldige afweging vereist over hoe deze wordt behandeld.
De rol van beveiligingskaders
Met zoveel activa om te beschermen en zoveel potentiële bedreigingen om rekening mee te houden, hebben organisaties gestructureerde benaderingen nodig om hun beveiligingsbeslissingen te sturen. Hier komen beveiligingskaders om de hoek kijken. Een van de meest gebruikte is het NIST Cybersecurity Framework, oorspronkelijk ontwikkeld in 2014 om kritieke infrastructuur in de Verenigde Staten te beschermen en later aangepast voor bedrijven in zowel de publieke als de private sector.
Het NIST CSF is opgebouwd rond drie hoofdcomponenten. De kern definieert de gewenste resultaten van een cyberbeveiligingsprogramma en is georganiseerd in zes functies: Identificeren, Beschermen, Detecteren, Reageren, Herstellen en Besturen. De functie Besturen werd in 2024 toegevoegd om het belang van leiderschap en besluitvorming bij het beheer van cyberbeveiligingsrisico's te benadrukken. De component Niveaus meet hoe geavanceerd het beveiligingsprogramma van een organisatie is op een schaal van één tot vier, waardoor organisaties inzicht krijgen in waar ze momenteel staan en waar ze verbeteringen moeten doorvoeren. De profielen-component biedt kant-en-klare sjablonen die zijn ontwikkeld door experts uit de sector en die organisaties kunnen gebruiken als uitgangspunt of benchmark voor hun beveiligingsplanning.
Het implementeren van het NIST CSF omvat het opstellen van een actueel profiel van bestaande beveiligingsactiviteiten, het uitvoeren van een risicobeoordeling om hiaten te identificeren, het analyseren en prioriteren van die hiaten, en vervolgens het opstellen van een plan om deze aan te pakken. Het raamwerk is vrijwillig, maar veel organisaties gebruiken het als hulpmiddel om te voldoen aan formele regelgeving. Een belangrijk onderscheid in dit vakgebied is dat regelgeving bestaat uit regels die moeten worden nageleefd, terwijl kaders zoals het NIST CSF hulpmiddelen zijn die organisaties vrijwillig kunnen toepassen.
De opkomst van cloud computing en nieuwe beveiligingsuitdagingen
Cloud computing wordt door het Britse National Cyber Security Centre gedefinieerd als een on-demand, enorm schaalbare dienst die wordt gehost op gedeelde infrastructuur en toegankelijk is via het internet. De opkomst ervan heeft de manier waarop bedrijven hun gegevens opslaan, verwerken en beveiligen fundamenteel veranderd.
Cloudgebaseerde diensten vallen uiteen in drie hoofdcategorieën. Software as a Service, algemeen bekend als SaaS, verwijst naar front-end-applicaties waartoe gebruikers toegang hebben via een webbrowser, waarbij de aanbieder alle back-end-systemen beheert. Voorbeelden hiervan zijn veelgebruikte tools zoals Gmail, Slack en Zoom. Platform as a Service, of PaaS, biedt ontwikkeltools waarmee bedrijven hun eigen applicaties kunnen bouwen en implementeren, terwijl de cloudaanbieder de onderliggende hardware en software beheert. Infrastructure as a Service, of IaaS, geeft klanten op afstand toegang tot back-endsystemen, waaronder servers, opslag en netwerkbronnen, waarvoor doorgaans licenties worden aangeschaft op basis van behoefte.
Deze modellen hebben de toetredingsdrempel voor online opererende bedrijven verlaagd en het gemakkelijker gemaakt om activiteiten snel op te schalen. De overgang naar cloudgebaseerde diensten heeft echter ook een reeks nieuwe beveiligingsuitdagingen met zich meegebracht die niet bestonden toen alle infrastructuur nog op locatie stond.
Het model van gedeelde verantwoordelijkheid
Een van de belangrijkste concepten in cloudbeveiliging is het model van gedeelde verantwoordelijkheid. In een traditionele on-premises omgeving is het interne beveiligingsteam van de organisatie verantwoordelijk voor de bescherming van alles. In een cloudomgeving wordt die verantwoordelijkheid verdeeld tussen de clouddienstverlener en de klant.
Cloudproviders zijn over het algemeen verantwoordelijk voor het beveiligen van de fysieke infrastructuur, de servers en de kernsystemen waarop hun diensten draaien. Klanten zijn verantwoordelijk voor het beveiligen van wat zij rechtstreeks beheren, waaronder doorgaans identiteits- en toegangsbeheer, configuratie van resources en gegevensverwerking vallen. De exacte verdeling van verantwoordelijkheden varieert naargelang het gaat om SaaS, PaaS of IaaS.
Deze verdeling van verantwoordelijkheden is een veelvoorkomende bron van verwarring en een van de belangrijkste oorzaken van beveiligingsincidenten in cloudomgevingen. Wanneer organisaties niet volledig begrijpen waar hun verantwoordelijkheid begint, blijven er hiaten onopgelost.
Belangrijkste uitdagingen in cloudbeveiliging vandaag de dag
Verschillende specifieke uitdagingen bepalen het huidige landschap van cloudbeveiliging. Verkeerde configuratie springt eruit als een van de belangrijkste zorgen. Veel klanten implementeren clouddiensten met standaardinstellingen die nooit zijn ontworpen om aan hun specifieke beveiligingsbehoeften te voldoen. Deze verkeerde configuraties kunnen gevoelige gegevens blootstellen en zijn een belangrijke oorzaak van cloud-native beveiligingsinbreuken.
Het monitoren van toegang is een andere voortdurende uitdaging. In tegenstelling tot traditionele omgevingen, waar alle activiteiten plaatsvinden binnen een afgebakende fysieke of netwerkgrens, wordt er vanuit veel verschillende locaties en apparaten toegang verkregen tot cloudomgevingen. Dit maakt het moeilijker om bij te houden wie waar toegang toe heeft en om ongebruikelijk of ongeoorloofd gedrag tijdig te detecteren.
Naleving van regelgeving is ook een groeiende druk, met name voor sectoren die aan strenge wettelijke normen moeten voldoen. Zorginstellingen moeten voldoen aan regelgeving zoals HIPAA. Bedrijven die betalingsgegevens verwerken, moeten voldoen aan PCI DSS-vereisten. Bedrijven die in Europa actief zijn, moeten zich houden aan de AVG. Ervoor zorgen dat cloudomgevingen aan deze normen voldoen, vereist zorgvuldige planning en voortdurende monitoring.
Het toenemende belang van vaardigheden op het gebied van cloudbeveiliging
De acceptatie van cloudtechnologie blijft zich uitbreiden in elke sector en regio. Naarmate meer organisaties hun activiteiten naar cloudomgevingen verplaatsen, stijgt de vraag naar professionals met expertise op het gebied van cloudbeveiliging gestaag. Onderzoek van arbeidsmarktanalysebedrijf Burning Glass heeft cloudbeveiliging aangemerkt als een van de meest gewilde vaardigheden in de gehele cyberbeveiligingssector.
Beveiligingsprofessionals die in deze sector werkzaam zijn, moeten niet alleen de technische aspecten van cloudinfrastructuur begrijpen, maar ook de regelgeving, de principes van risicobeheer en de kaders die als leidraad dienen voor effectieve beveiligingsplanning. De combinatie van deze vaardigheden stelt organisaties in staat om optimaal te profiteren van wat cloud computing te bieden heeft, terwijl ze op verantwoorde wijze omgaan met de risico's die daarmee gepaard gaan.
Cloud computing is nog steeds een relatief jonge technologie en de beveiligingsmodellen eromheen blijven zich ontwikkelen. Naarmate bedrijven steeds afhankelijker worden van cloudgebaseerde diensten, zullen de uitdagingen steeds complexer worden, waardoor cloudbeveiliging vandaag de dag een van de meest cruciale disciplines op het gebied van cyberbeveiliging is.