Cloud computing is op zichzelf niet onveilig, maar brengt voor executives die verantwoordelijk zijn voor cybersecurity wel een omschakeling met zich mee. De controle die er op de on-premise omgeving is, is er in hybride omgevingen in veel mindere mate. De traditionele perimeter, de ‘vestinggracht’ rondom de IT-omgeving, ontbreekt namelijk. Beveiliging wordt daarmee grenzeloos. CIO Magazine ging op verzoek van Infoblox in gesprek met een klein aantal CIO’s, CISO’s en andere security-verantwoordelijken om te zien hoe zij hiermee omgaan.

Het traditionele bedrijfsnetwerk is verknoopt met de public cloud. Het ondersteunt SaaS apps, mobiele devices en thuiswerkers. Tegelijkertijd biedt de cloud een wendbaarheid en schaalbaarheid die aantrekkelijk is. Toepassingen als IoT en AI zijn niet denkbaar zonder de cloud. Hoe zorgen we voor veiligheid, nu de traditionele grenzen van het netwerk zijn vervaagd? Welke eisen stelt een hybride omgeving aan de security-architectuur? Dat waren de gespreksonderwerpen die CIO Magazine in een rondje langs de velden aankaartte.

Verknoopt

Eerst kwam aan de orde in hoeverre het bedrijfsnetwerk inmiddels verknoopt is met de public cloud, mobiele apparaten en sensoren (IoT). Integratie met de public cloud blijkt bij zeven van de acht executives die CIO Magazine sprak aan de orde te zijn. Ook mobiele apparatuur (vijf) en sensoren (zes) werden vaak genoemd. Vertegenwoordigers uit de industrie, bouw en zorg – sectoren waar op meerdere locaties wordt gewerkt – kennen alle drie de integraties.

De vraag of ze het beveiligen van de hybride omgeving van eigen netwerk en cloud als complex ervaren, werd door vijf van de acht gesprekspartners bevestigend beantwoord. Aan de andere kant ervaren drie van hen geen complexiteit.

Architectuur

We polsten ook of men vond dat de securityarchitectuur-functie in ons land is meegegroeid met de opkomst van hybride omgevingen. De helft van de gesprekspartners beaamt dat, maar drie geven aan hier geen zicht op te hebben.

Aan degenen die de vraag bevestigend beantwoordden, vroegen we wat naar hun mening het belangrijkste kenmerk van een volwassen securityarchitectuur is. Gestructureerd, systematisch werken blijkt belangrijk te zijn. “Gestructureerd en consequent invoeren en controleren”, stelde een van onze gesprekspartners. Een ander verwoordde het wat uitgebreider: “Op alle aspecten – identificeren, beveiligen, detecteren en herstellen – voldoende beleid, processen, procedures, systemen en maatregelen inrichten en periodiek (niet alleen bij incidenten) ‘assessen’ en updaten.”

Nuancering

Een ander nuanceerde dit beeld iets: “Onderken dat 100 procent voorkomen niet mogelijk is. Definieer en ontwerp wel alle checks and balances om de organisatie voor te bereiden op aanvallen en breaches.”

Perfectie is sowieso niet haalbaar, gaf een vierde gesprekspartner aan: “Zorg dat de verantwoordelijkheid laag belegd is bij de teams die de invulling doen. Geen top-down, maar een bottom-up benadering. Operationele teams weten inhoudelijk vaak meer over de uitzonderingen in een netwerk. Juist deze uitzonderingen ontbreken vaak in een security-architectuur, terwijl juist daar de risico’s zitten.”

De enige deelnemer die vond dat de security-architectuur-functie op dit gebied niet meegegroeid is, had er dit over te zeggen: “Het ontbreekt aan kennis en kunde over de mogelijkheden, onmogelijkheden en risico’s van de cloud.”

Volwassenheid

Gemiddeld gesproken beoordeelden de executives de volwassenheid van hun organisatie op het gebied van cybersecurity met een 3, op een schaal van 5. Hierbij gebruikten we het bekende CMMI-volwassenheidsmodel. Volwassenheidsniveau 3 van dit model wordt aangeduid als Defined. Het houdt in dat het cybersecurityproces voor de gehele organisatie (dus niet alleen op projectbasis) is gekarakteriseerd en niet langer alleen reactief, maar proactief is.

Slechts een van onze gesprekspartners gaf aan dat zijn organisatie zich op niveau 4 bevindt: Quantitatively managed. Hier ligt de nadruk op het meten en controleren van het proces. Geen van de deelnemers gaf niveau 5 aan, het niveau van continuous improvement.


Zero trust

Het concept van zero trust, ooit bedacht door het Jericho Forum, zo’n twintig jaar geleden (de aanduiding zelf komt waarschijnlijk van Forrester), is gebaseerd op de gedachte dat het verdedigen van de buitengrenzen van de IT-omgeving een achterhaalde benadering is. Voorheen was iedereen binnen de hekken te vertrouwen en daarbuiten niet. Dat moest anders, vonden veel deskundigen. Het was tijd voor zero trust, ook binnen de grenzen. Het gaat er om security controls binnen de grenzen te implementeren, voor data, medewerkers, apparatuur en dergelijke.

De acceptatie van het zero trust concept groeit. Volgens een recent onderzoek van bureau Pulse Secure is 72% van de 400 ondervraagde multinationals van plan het te implementeren. Volgens datzelfde onderzoek heeft 47% van de security professionals twijfel over de kans van slagen van zo’n implementatie in de eigen architectuur. Over de impact van de corona-crisis zijn in dit opzicht nog geen cijfers bekend, maar gezien het toenemend aantal risico’s dat het thuiswerken met zich mee heeft gebracht, zou je kunnen aannemen dat daarmee de acceptatie van zero trust nog is toegenomen.


Whitepaper

Lees ook de whitepaper Digital Transformation Requires New Tools Built for the Modern Cloud Era. Als je je gegevens hieronder achterlaat ontvang je de link in je mailbox.

.

close

IT Executive Nieuwsbrief


Elke week een korte e-mail met daarin onze beste content, aankondigingen van evenementen en méér.

Wij delen je persoonsgegevens uitsluitend met derden die deze service mogelijk maken. Lees onze privacyverklaring.

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam