Steeds meer ondernemingen stappen over op de cloud en verhogen daarmee hun efficiency. Bedrijfsapplicaties zijn beter schaalbaar en werknemers kunnen overal en op ieder device productief zijn. Maar terwijl de business units de digitale transformatie aanjagen, blijft security vaak achter en is dat nog vaak gebonden aan specifieke hardware. Dit is niet de beste optie. Net als andere onderdelen van de organisatie kan ook security profiteren van de cloud. Sterker nog: een cloud aanpak is in feite een vereiste geworden voor security. Gegevens verspreiden zich over talloze applicaties – zowel on-premises als in de cloud – en het internet is in feite het nieuwe ‘bedrijfsnetwerk’.
Om ervoor te zorgen dat gevoelige gegevens overal veilig zijn en er tegelijkertijd voor te zorgen dat de productiviteit op peil blijft, is het nodig om slimme, ‘zero-trust’ beslissingen te kunnen nemen over de toegang tot data en applicaties. Daarbij moet rekening gehouden worden met zowel het continu veranderende risiconiveau van gebruikers en endpoints, als met het gevoeligheidsniveau van de gegevens. Een manier waarop bedrijven dat proberen te bereiken, is door af te stappen van meerdere, losse securityoplossingen en in plaats daarvan op zoek te gaan naar geïntegreerde platforms die alle benodigde securityfunctionaliteiten bieden.
De cloud heeft de securityvereisten binnenstebuiten gekeerd
Bij ‘old school’ security ging het erom om alles af te sluiten: apps, gegevens en gebruikers moesten allemaal binnen de grenzen van het bedrijfsnetwerk blijven en alleen volledig beheerde devices waren toegestaan. Bij deze aanpak werden ook veel verschillende tools ingezet die allemaal een specifiek probleem oplosten. Maar nu alles naar de cloud gaat en gebruikers overal werken, raken organisaties niet alleen het inzicht en de controle kwijt, maar worden de uitdagingen veel complexer. Dit betekent dat het niet langer werkt om specifieke, van elkaar gescheiden securityteams te hebben. Het is dus nodig om de bestaande securityoperaties niet uit te breiden, maar meer te stroomlijnen, vooral omdat cybersecurity nog steeds te maken heeft met een zwaar tekort aan mensen met de juiste expertise..
Toen door de coronapandemie iedereen min of meer gedwongen was om thuis te werken, gaven organisaties prioriteit aan tools voor externe toegang, om ervoor te zorgen dat medewerkers productief konden blijven. Daarbij ging het vooral om virtual private networks (VPN’s) met securitytools waarvan werd geclaimd dat ze ‘zero-trust’ konden afdwingen. Het probleem is dat deze oplossingen alleen securitychecks doen op het moment dat er verbinding wordt gemaakt. Maar wat als een account is gehackt door een phishing-aanval en de aanvallers vervolgens gevoelige gegevens gaan downloaden? Wat als er een kritieke kwetsbaarheid is ontdekt in het besturingssysteem van een device? Het probleem met securitycontroles die alleen worden gedaan op het moment dat er een verbinding wordt gemaakt, is dat de risiconiveaus van gebruikers en endpoints voortdurend veranderen.
Om gevoelige gegevens te beschermen en tegelijkertijd ervoor te zorgen dat werknemers probleemloos op afstand kunnen werken , moet security multifunctioneel zijn. Data-Loss Prevention (DLP) biedt bijvoorbeeld diepgaand inzicht in het type gegevens dat een organisatie bezit, maar wordt over het algemeen niet beheerd door dezelfde mensen die verantwoordelijk zijn voor het beheer van cloud services. Voor zero-trust is het essentieel dat alle securitytools naadloos met elkaar samenwerken, zodat de toegang fijnmazig en dynamisch kan worden ingesteld. Dat is de reden dat steeds meer organisaties kijken naar een cloud securityplatform.
Aandachtspunten bij de keuze voor een cloud securityplatform
Ook security die via de cloud wordt geleverd kent twee belangrijke componenten: bewustzijn over de risico’s en bewustzijn over de inhoud van gegevens. Om ervoor te zorgen dat een organisatie optimaal en veilig kan presteren in een work-from-anywhere-omgeving, moeten organisaties bij het overwegen van cloud securityplatforms een aantal belangrijke concepten kennen:
- Bewustzijn op risiconiveau – er is continu bewustzijn nodig over het risiconiveau van endpoints en gebruikers, dat voortdurend verandert. Door rekening te houden met deze veranderingen kunnen organisaties ervoor zorgen dat voortdurend toegang wordt verleend en weer wordt ingetrokken.
- Bewustzijn op inhoudsniveau – hierbij gaat het erom dat er rekening wordt gehouden met het gevoeligheidsniveau van de gegevens waar iemand toegang toe wil. Toegang op basis van risico’s vermindert de dreigingen van gebruikers en devices. Maar om ervoor te zorgen dat toegangsbeslissingen efficiënt worden genomen, is het ook nodig om naar de gegevens zelf te verwijzen.
- Fijnmazige acties – om ervoor te zorgen dat de productiviteit niet wordt gehinderd, moet ook de handhaving van het toegangsbeleid genuanceerd gebeuren. Beslissingen over toegang op basis van vertrouwen mogen niet zwart/wit zijn. Fijnmazige acties zoals toevoegen van watermerken aan documenten, het zwartmaken van trefwoorden en het beperken van downloads zijn cruciaal om ervoor te zorgen dat de risico’s worden beperkt en dat gegevens ten allen tijde worden beschermd.
- Proactieve encryptie – Gegevensbescherming moet ook verder gaan dan de invloedssfeer van de organisatie. Overweeg proactieve encryptietechnologieën die herkennen hoe gevoelig gegevens zijn, om ervoor te zorgen dat de meest gevoelige gegevens alleen toegankelijk zijn voor geautoriseerde gebruikers, zelfs als deze offline worden doorgegeven.
Hoe te beginnen met digitale securitytransformatie?
Op papier klinken al deze mogelijkheden en functionaliteiten misschien geweldig. Maar om ze ook daadwerkelijk te implementeren, dat is weer een ander verhaal. Voorheen hadden organisaties specifieke teams voor verschillende functionaliteiten: informatiebeveiliging, netwerkbeveiliging, endpointbeveiliging, enz. Deze aanpak kent een aantal uitdagingen, zoals:
- Enterprise-security mist vaak ‘visie’: binnen grote organisaties bewegen verschillende afdelingen zich niet in het hetzelfde tempo. Dit kan het moeilijk maken om te komen tot een gecombineerde visie of roadmap voor security. Sales- en marketingteams schakelen bijvoorbeeld vaak veel eerder over op cloud platforms dan financiële, HR- of engineeringteams.
- Security is vaak reactief: het is mogelijk dat IT-teams legacy-oplossingen draaiende moeten houden terwijl ze ook nog de uitbreidingen in de cloud moeten gaan ondersteunen. Het is dan zaak om de juiste projecten op te zetten om digitale securitytransformaties op gang te brengen.
- Security heeft een ‘control-first’-mentaliteit: het beveiligen van thuiswerkend personeel en cloud technologie vraagt om een ‘productivity-first’-mentaliteit nodig. Op dit moment zijn securityteams binnen organisaties gewend aan een ‘security-first’ of een ‘control-first’ mentaliteit. Maar “Nee” zeggen is inmiddels gewoon geen optie meer voor IT-teams.
- De cloud en cloud applicaties zijn game changers voor bedrijfsactiviteiten: tijdens de beginfase van een digitaal security transformatietraject zal er een steile leercurve zijn. Securityteams zullen, voordat ze leren omgaan met security uit de cloud, ook de nuances van cloud services en applicaties moeten leren, voordat ze deze effectief kunnen beveiligen.
Nu data en gebruikers overal aanwezig zijn, moeten organisaties opnieuw nadenken over de manier waarop security in het verleden is aangevlogen. Bij cloud oplossingen moet u ervoor zorgen dat u over alle mogelijkheden voor het verzamelen van telemetrie en het afdwingen van securitybeleid beschikt die nodig zijn om zero-trust efficiënt in te zetten. Kortom, het is niet alleen wáár uw security vandaan komt, maar ook hoe de verschillende onderdelen met elkaar samenwerken.
Paul Visch, Regional Manager Benelux bij Lookout