Backoffice-beveiliging in het cloud-tijdperk

Voor de backoffice onderscheiden we al enige tijd drie megatrends in technologie met een diepe en blijvende impact op de beveiligingspraktijk. Het zijn Tidal Forces. Een getijde stroom waar niet gemakkelijk tegenin te zwemmen is.

• De endpoints verschillen van vroeger en zijn vaak veiliger en minder open. Met de huidige hardening van besturingssystemen, aangevuld met het minder open maar veiligere model van Apple’s iOS, dan zijn de kosten voor het beheer van endpoints wel veel hoger geworden.
• Software as a Service (SaaS) is de nieuwe backoffice. Organisaties drukken hun bedrijfsapplicaties steeds meer richting SaaS. Met name functies zoals documentmanagement, CRM en ERP. Zolang ze maar niet essentieel zijn voor het primaire bedrijfsproces.
• Infrastructure as a Service (IaaS) is het nieuwe datacenter. De groei van publieke IaaS heeft zelfs de meest positieve verwachtingen overtroffen. Het is de thuisbasis van de meeste nieuwe applicaties. Een groot aantal organisaties verschuift hun bestaande applicatiestack naar IaaS – zelfs als het niets oplevert.

Tidal Forces van SaaS en Cloud

Het fundamentele werking van het “Tidal Forces” concept is dat deze trends zich gedragen als zwaartekrachtbronnen. We worden er allemaal onverbiddelijk naar toe getrokken, met een versnelling naarmate we dichterbij komen. Totdat we desintegreren, want sommige delen van de organisatie bewegen sneller en andere blijven achter. Het infrastructuurteam en het security-team moeten proberen beide uiteinden van het spectrum te managen.

Deze migratie van de backoffice naar een steeds groter wordende melange van externe services heeft vele praktische security gevolgen. Het is meer dan alleen fysiek de controle verliezen. De verschillende services hebben verschillende opties. Bovendien vragen ze allemaal om nieuwe modellen, hulpmiddelen en technieken voor het beheersen van de security. Hoe harder je probeert om de lessen uit het verleden in de toekomst te implementeren, hoe pijnlijker de overgang wordt. Niet dat we al onze kennis en vaardigheden moeten weggooien. We moeten ze echter vertalen zodat we veiligheid kunnen bieden in de nieuwe omgeving.

Hoe de SaaS-transitie de backoffice veiligheid beïnvloedt

Als je de meest gevoelige data verplaatst naar een externe provider, vervalt de illusie dat fysieke controle er iets toe doet. Maar deze verschuiving ontslaat je niet van de veiligheidsverantwoordelijkheden. De transitie creëert zowel voordelen als uitdagingen, met een breed scala aan variaties.

De grootste uitdaging met Software as a Service is het enorme aantal opties van zelfs vergelijkbare providers. Sommige vooraanstaande SaaS-providers begrijpen dat grote beveiligingsincidenten een bedreiging zijn voor voortbestaan van hun bedrijf. Dus investeren ze veel in beveiligingsopties en functies. Andere bedrijven zijn snel bewegende startups die meer met klantverwerving bezig zijn dan met klantveiligheid. Uiteindelijk zullen ze het echter pijnlijk leren. Afgezien van hun verschillen in beveiliging, zijn deze services allemaal externe oplossingen. Ieder met zijn eigen interne beveiligingsmodellen en -opties die we moeten beheren. Risicobeoordeling en platformkennis zijn hoge prioriteiten voor beveiligingsteams die SaaS beheren.

Het helpt niet dat deze platformen allemaal internet toegankelijk zijn. Wat inhoudt dat je data dat ook is als je de platformen niet goed configureert. Alle standaard services hebben security opties, maar het hacken van deze systemen is voortdurend in het nieuws.

Vervangers voor bestaande security tools

Bestaande tools en technieken zijn zelden direct in de cloud toe te passen. Je beheert geen firewall – in plaats daarvan moet je vertrouwen op identiteitsbeheer – en zowat alle traditionele controletools breken. Overweeg bijvoorbeeld log-management voor monitoring en incidentrespons. Over het algemeen heb je alleen toegang tot de logboeken van het cloud-platform, als ze er al zijn. En dan zijn ze hoogstwaarschijnlijk in een lastige indeling. En alleen toegankelijk via een API binnen de interface van de cloud-provider.

Voor sommigen is compliance het meest belangrijk. Je bent volledig afhankelijk van de compliance van je SaaS-provider. Bovendien moet je er voor zorgen dat je alles correct configureert en gebruikt. Met IaaS kunnen we een aantal van deze beperkingen omzeilen, maar met SaaS is dat meestal geen optie. Als een provider baseline-compliance biedt ten opzichte van een regelgeving of standaard, noemen we dat compliance-overerving. Het betekent echter alleen dat hun baseline compliant is.

Backoffice risicomanagement moet voorop staan

Iedere nieuwe technologie kent zijn compromissen. Uiteindelijk is het de taak van de beveiligingsdeskundigen om te beslissen of een keuze een netto verbetering van risico’s oplevert. Ze moeten onderzoeken hoe deze risico’s het best beperkt kunnen worden tot het niveau dat de organisatie eist. De cloud biedt enorme potentiële beveiligingsvoordelen. Met name bij het uitbesteden van applicaties en data aan providers met een sterke motivatie om deze te beveiligen. We moeten echter wel:

• Een goede provider selecteren.
• De juiste configuratie bepalen.
• De juiste beveiligingsprocessen en -hulpmiddelen gebruiken om alles te managen.

Discussieer mee op LinkedIn.