Vertrouw niet blind op de Cloud

Vertrouw niet blind op de Cloud

Redactie Baaz

Tekst: Jihane Abid, International Account Manager bij G DATA CyberDefense

Veruit de meeste Nederlandse bedrijven gebruikten in 2020 clouddiensten, blijkt uit cijfers van het CBS. Afhankelijk van de branche en grootte varieert dit van 50 tot bijna 90 procent van de bedrijven. Dit percentage is sindsdien alleen maar toegenomen. Bedrijfsmodellen moesten in een mum van tijd veranderen om de werkruimte digitaal te maken, zodat medewerkers thuis konden werken. Inmiddels zijn veel van deze oplossingen ook in het post corona tijdperk gemeengoed geworden, omdat ze veel voordelen opleveren. Zo kun je eenvoudig altijd en overal werken, eenvoudig opschalen en gemakkelijk bestanden delen.

Toch brengt werken in de Cloud de nodige cyberrisico’s met zich mee. Uit een Cloud security report van (ISC)2 bleek dat 28% van de bedrijven in het jaar 2019 een Cloud incident heeft gehad. Genoeg reden dus om naar de mogelijkheden van een goede Cloud security strategie te kijken. Met name bij MKB bedrijven zien we vaak de nodige kwetsbaarheden omdat ze vaak niet de nodige expertise en security budgetten hebben. Zo hebben MKB bedrijven vaak hun inloggegevens niet voldoende beveiligd, waardoor cybercriminelen in het ergste geval bij alle data kunnen. Daarnaast kan het zijn dat medewerkers van een organisatie data in de Cloud veranderen uit eigen belang. Door dit goed te beveiligen kan dit mogelijk voorkomen worden. Een ander probleem dat we vaak zien is dat ze niet goed hebben nagedacht over hun Cloud provider, waardoor ze niet weten waar hun data wordt opgeslagen wat een impact kan hebben op de privacywetgeving.

Neem de nodige maatregelen

Om dergelijke cyberrisico’s in de Cloud te voorkomen is het verstandig dat MKB bedrijven de nodige extra maatregelen nemen en een security strategie ontwikkelen. Hoewel er niet één template is voor een strategie, kunnen MKB bedrijven wel met enkele maatregelen rekening houden om hun Cloud te beveiligen.

Evalueer ten eerste de verschillende providers om er zeker van te zijn dat alle noodzakelijke stappen zijn genomen om de systemen en gegevens van klanten te beschermen. Het is belangrijk om te bepalen of de dienstverlener een continue beschikbaarheid van het netwerk en de gegevens kan garanderen. Houd in gedachten dat security een gedeelde verantwoordelijkheid is tussen de Cloud aanbieder en zijn klanten. Contracten en service level agreements (SLA's) moeten daarom duidelijk ingaan op de verantwoordelijkheden voor beveiliging. Let ook op welke Cloud diensten je gebruikt. Niet alle leveranciers van Clouddiensten zijn gelijk als het gaat om cyberbeveiliging. Sommigen hebben zeer veilige infrastructuren gebouwd die bestand zijn tegen uiteenlopende aanvallen, terwijl anderen onveilig zijn.

Zorg daarnaast voor encryptie en sterke wachtwoorden. Door data te versleutelen, wanneer deze opgeslagen of verstuurd wordt, hebben serviceproviders en derde partijen geen toegang tot de data zonder een key. Verder zijn sterke wachtwoorden belangrijk. Een sterk wachtwoord is essentieel voor het beschermen van privacygevoelige informatie. De meeste aanvallen vinden nog steeds plaats door zwakke wachtwoorden. Kies daarom altijd voor een wachtwoord van meer dan 15 karakters en vermijd voor de hand liggende wachtwoorden zoals namen of een geboortedatum. Two-factor authenticatie en een goede password manager zijn voorlopig nog de veiligste oplossingen.

Hanteer daarnaast een gelaagde security-aanpak. Door je netwerk in verschillende segmenten op te delen en securitymaatregelen toe te passen die elkaar overlappen en aanvullen maakt je het de cybercriminelen een stuk moeilijker. Gebruik bijvoorbeeld een endpoint oplossing die centraal te beheren is, dit verhoogt het beveiligingsniveau en de kwaliteit van het autorisatiebeheer. Implementeer ook een webapplicatie-firewall om aanvallen op webapplicaties te stoppen en een netwerk-firewall om vrije beweging in de IT-infrastructuur te beperken. Naast een solide beveiligingsoplossing is het belangrijk om te patchen. Een vertraging bij het patchen van bekende kwetsbaarheden verhoogt het risico op een aanval.

Daarnaast kunnen er whitelisting methodes worden toegepast om het gebruik van ongewenste applicaties te voorkomen. Op deze manier krijgt alleen geautoriseerd personeel toegang tot bepaalde delen van het netwerk. De meeste Clouds die in het MKB gebruikt worden zijn publiek toegankelijk, scherm daarom ook alle databases goed af. Er is meestal geen noodzaak om een database toegang te geven naar het internet. Is dit toch het geval, doe het dan op een veilige manier. Cloudproviders bieden vaak oplossingen om de toegang veilig in te richten.

Laat medewerkers die op afstand werken altijd een VPN gebruiken. Firewalls, sterke wachtwoorden en antivirus en –malware programma’s kunnen de veiligheid van data immers niet garanderen wanneer je inlogt op een openbaar WiFi netwerk. Dankzij een VPN-verbinding kan een extra beveiligingstaak aan het systeem worden toegevoegd. VPN vereist dat een verbinding wordt gemaakt met het beveiligde privé netwerk voordat het is gemaakt naar de server. Het beveiligde netwerk wordt vervolgens gecodeerd en gehost buiten de server, waardoor verbindingspogingen van vreemde IP-adressen worden geweigerd.

Verder is het belangrijk om een cyberveiligheidscultuur te bouwen. Dit is te realiseren wanneer alle medewerkers binnen de organisatie de verantwoordelijkheid nemen voor het gebruik van de juiste tools en het toepassen van best practices en protocollen. Vaak gebruiken ze de Cloud op de verkeerde manier omdat ze de systemen en procedures te omslachtig vinden, waardoor de veiligheid in gevaar komt. Zorg er daarom voor dat iedereen binnen de organisatie begrijpt waarom bepaalde maatregelen worden genomen en alert en kritisch is over verdachte mails en dat medewerkers niet zomaar vertrouwelijke gegevens doorgeven via de cloud. Om échte cyberbewustwording te creëren moet cybersecurity een alledaags onderdeel zijn van de organisatie. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Trainings, is hier ideaal voor.

Kortom, de Cloud kan nog steeds een goede keuze zijn voor MKB’ers, maar zorg er wel voor dat je zelf de controle hebt over de security. Vertrouw niet blind op de Cloud en neem de nodige maatregelen. Jihane Abid, International Account Manager bij G DATA CyberDefense.

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie