Cloud security is niet uit te besteden, je organisatie is aan zet

Het beveiligen van je cloud doet je organisatie doorgaans niet alleen. Welke vragen dien je te stellen als klant aan je vendoren? We bespreken het in een rondetafeldiscussie met experts van Conscia, PQR, Tesorion, Thales en Upwind Security.

Dat IT-spelers een flinke kluif hebben aan cloud security, is duidelijk. Het is een gelaagde omgeving, veelal complex en afhankelijk van andere partijen. Er zijn allerlei voordelen verbonden aan de stap naar de cloud, zeker als mkb’er. Het is daarbij goed om jezelf te voorzien van alle benodigde informatie. Ook bestaande cloudgebruikers moeten zich achter de oren krabben. Dit omdat de cloud, en zeker de securitykant ervan, een kritische blik vereist. Organisaties zijn het gewend om hun eigen IT-teams te bevragen over securitymaatregelen, maar hetzelfde moet gelden voor de security binnen de cloud. In de praktijk is dit lang niet altijd het geval, zo merken we uit de discussie met de deelnemers aan ons gesprek.

Lees ook: De staat van cloud security

Keuzes maken

In het securitylandschap is de mens de zwakste schakel bij het beveiligen van systemen, constateert Strategisch Architect bij PQR Andre Honders. Tegelijkertijd weten diezelfde mensen als geen ander welke systemen hun organisatie in leven houden als het misgaat. Volgens Erik de Jong, Chief Research Officer bij Tesorion, moeten organisaties kunnen uitleggen welke processen en systemen voor hun bedrijfsvoering het belangrijkst zijn. “Organisaties weten anders niet waar ze keuzes moeten maken”, zegt hij, verwijzend naar de opties om IT-omgevingen volledig dicht te timmeren of juist het gebruiksgemak te verhogen met meer privileges en minder inlogschermen. “Als je security niet werkbaar is, dan omzeilen mensen het”, voegt Steven Maas, Sales Director Data & Application Security BeNeLux bij Thales toe. De afweging tussen gemak, het juiste securityniveau en natuurlijk de prijs moet “spot on” zijn, zo stelt hij.

Een man in een lichtblauw overhemd zit aan een houten tafel met documenten en een pen en kijkt een beetje opzij. — Andre Honders, Strategisch Architect bij PQR

Frappant is dat Wesley Swartelé, System Architect bij Conscia Belgium, nog nooit van een klant de vraag gehoord heeft hoe men dit het beste kan balanceren. Eerder ligt de nadruk op het budget voor de aanschaf van een securitypakket en is de klant niet geneigd het product werkelijk te begrijpen vanuit die afweging. Steven Duckaert, Solution Architect bij Upwind Security, geeft aan dat een actueel begrip van de staat van securitytooling niet iets is dat je van een klant mag verwachten. “Bij GenAI kun je niet verwachten dat een bedrijf de ontwikkelingen op de voet volgt.”

Schuld niet uitbesteden

De Jong van Tesorion merkt op dat organisaties gaandeweg allerhande cloud-oplossingen adopteren, maar dat in dat adoptieproces security niet altijd als criterium wordt meegenomen. Zo kan een organisatie geleidelijk opeens een groot aantal cloudgerelateerde dienstverlening gebruiken zonder daar passende detectie- of responsemaatregelen voor ingericht te hebben. Daarnaast speelt ook het meenemen van medewerkers in de ontwikkelingen rondom security op dit vlak een rol.

Een man met een bril en een donkere blazer zit aan een tafel met papieren en een pen te praten. Achter hem is een raam met gedessineerde gordijnen en een decoratieve vaas. — Steven Maas, Sales Director Data & Application Security BeNeLux bij Thales

Steven Maas erkent dit: het trainen van je personeel om niet op phishing-links te klikken is bijvoorbeeld te weinig nu, “Je moet de tools hebben om de aanval te weren of je data te beschermen.” Hij haalt aan dat de toegang tot bepaalde databases gepaard moet gaan met alerting. Het is al gauw duidelijk: er is niet één oplossing die de cloud security volledig invult.

Je kunt cloud security vanuit allerlei kanten belichten. Er zijn veel aspecten die meespelen in de beslissingen rondom dit onderwerp. Toch belanden we meermaals bij data als discussiepunt. Honders van PQR vindt dat er meer aandacht moet zijn voor metadata in het bijzonder. “Een data scientist of rechercheur kan met [metadata] een geheel bedrijf schetsen.” Hoezo dat? Deze gegevens bieden naast namen en telefoonnummers regelmatig functietitels, licentiedata en contextuele informatie. Dit hebben organisaties te weinig door, althans, Honders vraagt zich af of organisaties het weggeven van metadata niet gewoon als veilig zien.

Dat brengt ons bij een taak die klanten zelf moeten uitvoeren: het classificeren van data. Vragen daarover hoort Honders weinig. Swartelé van Conscia haalt aan dat het regelen van toegang naar de data heel eenvoudig is, maar wederom: dit laaghangende fruit laten organisatie nog te vaak links liggen. “Gevoelige data is veel te beschikbaar”, aldus Maas. Een silver bullet is er nooit, en hier waarschuwt De Jong voor een jubelstemming bij het invoeren van passkeys of MFA. “Criminaliteit is altijd een probleem, infostealers en BEC (Business Email Compromise, red.) zijn schering en inslag.” Zijn advies is om dreigingsgedreven te denken. “Wanneer je dreigingsgedreven denkt dan is MFA een no-brainer om te implementeren. Het is een stap in het gehele proces om het aanvallers lastig te maken. Het is echter een illusie om ervan uit te gaan dat MFA alle problemen oplost.”

Een man in een grijs overhemd zit aan een tafel bij een open haard, met zijn gezicht opzij. Voor hem liggen papieren en een tablet op tafel. — Steven Duckaert, Solution Architect bij Upwind Security

Samenvattend zijn de experts het erover eens dat de eindgebruiker van securitydiensten een behoorlijke verantwoordelijkheid draagt. Hoewel men erkent dat de ontwikkelingen op het gebied van cloud security snel gaan (zie de AI-golf en de eeuwig veranderende hypetermen eromheen), is de basis veelal niet in orde. Dat oplossen begint bij het stellen van de juiste vragen aan zowel je business owners om de belangrijkste processen te identificeren, als aan de IT-leverancier om tot passende maatregelen te komen.

Een stappenplan is niet 1-2-3

Om toch wat vragen op voorhand te beantwoorden, nemen we een greep uit de genoemde positieve ontwikkelingen die klanten kunnen adopteren. Tegelijkertijd geldt bij dit adoptieproces: je kunt niet alles tegelijk doen, begin daarom met de punten die voor jouw organisatie het belangrijkst zijn. Dit kan overweldigend lijken en dus leiden tot een stapsgewijze adoptie. Duckaert van Upwind zegt erover het volgende: “Organisaties denken te reactief, ‘help ons maar’. Als een incident plaatsvindt, kan de verantwoordelijke tegen het bestuur zeggen dat het was afgedekt met een softwareoplossing.” Zo besteden partijen schuld uit, terwijl een infiltratie zelfs met de beste cloud security-tooling kan gebeuren.

Een man met kort grijs haar en een baard zit en praat in een kamer met gedessineerde gordijnen en crèmekleurige muren. — Erik de Jong, Chief Research Officer bij Tesorion

Zo is het stelen van data een grotere ramp als ook de back-up niet goed verborgen was door de organisatie zelf, terwijl dit een optie was binnen het pakket dat men had ingekocht. Aanvallers voeren om de haverklap encryptie door op zowel de bedrijfsdata als deze back-ups. Maas ziet deze situatie vaak voorkomen. Eigenlijk geldt in al deze soort situaties: stel niet alleen de vragen, maar controleer ook in de praktijk of de maatregelen daadwerkelijk genomen zijn.

Duckaert is wel hoopvoller geworden over een relatief recente ontwikkeling. Browser-gebaseerde aanvallen zijn in opmars, maar daartegenover staat dat hij de adoptie van enterprise-browsers ziet toenemen. Hierbij blijven werknemers gebruikmaken van de vertrouwde browser-interface, maar de functionaliteit “levert meer zichtbaarheid op” voor securityteams, aldus Duckaert. Swartelé ziet daarin een stap die organisaties nog moeten zetten in het onboarden en onderwijzen van medewerkers. “Werklaptops worden ook thuis gebruikt. De focus [bij onboarding] moet erop liggen dat dit een company device is, maar werknemers vinden dat lastig.” Voor de adoptie van enterprise-browsers is er datzelfde bewustzijn van het securitybelang voor de organisatie nodig, stelt Swartelé. De Jong geeft aan dat het cyberbewustzijn van medewerkers zich eigenlijk op natuurlijke wijze moet ontwikkelen: met een aantal basismaatregelen en eenvoudige regels. Houd het simpel, met andere woorden. De Jong vergelijkt het met de situatie dat je een kind leert oversteken. Dat gaat stap voor stap: goed stilstaan, links en rechts kijken of de situatie veilig is, et cetera. Het begrip voor een dergelijke veiligheidsmaatregel is “voor de meeste mensen te snappen.”

De hele organisatie meenemen

Als laatste benoemen we een medewerkersgroep in het bijzonder: de developers. Ondanks alle kennis over de code en de IT-infrastructuur is deze groep werknemers lastig te beveiligen. Organisaties moeten daarom hun securitybeleid doortrekken naar alles van productie tot ontwikkelomgeving. Duckaert: “Misconfiguraties zorgen ervoor dat de cloud lastiger te beschermen is. Een firewall is eenvoudiger. Hopelijk hebben weinig ontwikkelaars in je organisatie daar toegang toe.” Honders benoemt het feit dat de cloud ontzettend configureerbaar is in de vorm van Infrastructure-as-Code. Oftewel: zaken goed regelen gaat even eenvoudig als ongemerkt je infrastructuur op een onveilige manier inrichten.

Een man in een wit overhemd zit aan een tafel met papieren, een glas water en een notitieblok voor zich, in een kamer met gedessineerde gordijnen en een raam. — Wesley Swartelé, System Architect bij Conscia Belgium

Swartelé geeft als suggestie dat ontwikkelaars niet zomaar een deployment moeten kunnen uitvoeren. “Weer het als het niet aan de eisen voldoet. Als je een developer van alles toestaat, dan gebeuren er gekke dingen.” Tegelijkertijd is ook hier het nut aanwijzen van de juiste securitymaatregelen de echte uitdaging. De balans tussen frictie en gemak is allesbehalve eenvoudig, erkennen de experts meermaals.

Conclusie: organisatiebreed bewust zijn

Security is niet uit te besteden, en dat verandert niet als je toevallig de cloud gebruikt. Dat is de les die we kunnen trekken uit ons rondetafelgesprek met de heren van Conscia, PQR, Tesorion, Thales en Upwind Security. Erik de Jong van Tesorion hamert erop dat wanneer organisaties vanuit de dreiging gaan denken, dit automatisch gaat leiden tot een verbetering van hun security posture. Andre Honders van PQR merkt dat dataclassificatie een stap vooruit vereist, zeker wanneer er onterecht wordt gesteld dat metadata niet zo belangrijk is om te beschermen. Steven Maas van Thales weet dat zelfs kritieke infrastructuur soms niet eens MFA in orde heeft, waardoor we blijven steken in een securityverhaal waarbij de basis ontbreekt. Wesley Swartelé van Conscia hoort nog te weinig vragen vanuit klanten die ze eigenlijk zouden moeten stellen. Hopelijk heeft deze discussie vragen doen oproepen die vendoren, partners en leveranciers van behulpzame antwoorden kunnen voorzien.

Blijf op de hoogte, abonneer!

Visma zet AI-hype om in waarde voor bedrijfssoftware

Van vastgeroeste IT naar slimme moderne werkplekken: hoe doe je dat?

Nutanix CTO explains their VMware alternative and multi-cloud strategy

The impact of OpsRamp on HPE and its integration into the stack

What is HPE VM Essentials and is it a direct competitor to VMware?

Infor's industry-specific ERP strategy and Velocity Suite deep dive

Wat heb je nodig om de evolutie van Agentic AI te blijven volgen?

De illusie van AI-productiviteit: waarom leiders zich op het verkeerde doel richten

Hoe voldoe je aan de groeiende eisen van AI-gedreven security?

Versterk je securitystrategie met Synology ActiveProtect Appliance

IT Arena

Save the Data

National 6G Conference

Innovation Week 2025

Luxembourg Venture Days

Appdevcon

Verbeter je digitale ervaringen met de Cisco AI Assistant

Verbeter de beveiliging van je servers

Ervaar gratis Synology’s nieuwste enterprise backup-oplossing

Versnel je AI-succes met NVIDIA AI Computing van HPE