25 feb 2019

Hoe veilig is de cloud voor zakelijke betalingen?

In zijn eenvoudigste bewoordingen is de cloud gewoon het internet. Dus als we het hebben over cloud-gebaseerde software, hebben we het simpelweg over een softwaretoepassing die is opgeslagen op externe servers en toegankelijk is via het internet.

Salesforce, Xero en Slack zijn allemaal gangbare voorbeelden op de werkplek.

Maar zijn in de cloud gehoste applicaties veilig genoeg voor bedrijven en organisaties in de publieke sector om er gevoelige financiële gegevens en bankverbindingen aan toe te vertrouwen?

Om deze vraag goed te beantwoorden, zijn er 3 aspecten van cloudbeveiliging die in overweging moeten worden genomen:

a) de veiligheid van de datacentra op afstand die worden beheerd door de cloudaanbieder
b) de veiligheidsmaatregelen die verkopers van cloud-software in hun eigen producten inbouwen
c) het personeel bewust te maken van de noodzaak zichzelf online te beschermen

Het is zinvol om te beginnen met een vergelijking van de veiligheid en betrouwbaarheid van cloudgebaseerde applicaties met het alternatief: on-premise oplossingen.

On-premise servers in uw kantoor houden is veel riskanter

In een verslag van Oracle83% van de respondenten beoordeelde de beveiliging van de cloud als goed of beter dan die van on-premise. In hetzelfde rapport categoriseerden 90% van de organisaties de helft of meer van hun cloudgegevens als gevoelig, waaruit blijkt dat zij veel vertrouwen hebben in cloudbeveiliging. Dit is waarom:

1. Datacenters zijn goed uitgerust

On-premise software wordt opgeslagen in een serverruimte ergens achter in uw kantoor. Als die serverruimte wordt aangetast door brand, overstroming, stroomuitval of inbraak, dan zijn uw gegevens vernietigd, zonder back-up.

Het is een feit dat een betrouwbaar datacenter over veel meer middelen beschikt dan uw IT-afdeling. Terwijl u misschien de server kunt zien waarop uw on-premise applicatie staat, is uw IT-team waarschijnlijk druk bezig met meerdere projecten en heeft het gewoon niet de tijd of het budget om 6 of 7 cijfers te investeren in goede basisbeveiliging zoals vertrouwde datacentra dat kunnen.

2. Extra veiligheid, minder kosten

Aangezien beveiligingsrisico's voortdurend veranderen, moeten organisaties die on-premise software hosten daar zelf rekening mee houden door te investeren in kostbare maar passende beveiligingsmaatregelen - of dat nu fysieke beveiliging, firewalls of andere oplossingen voor het opsporen van bedreigingen zijn.

Cloud-software wordt ondersteund door preventieve maatregelen van zowel het datacenter als de softwareleverancier, zodat organisaties die gebruik maken van de cloud effectief profiteren van een hogere mate van beveiliging binnen een compliant kader, tegen lagere kosten.

3. Ramp herstel

De meeste betrouwbare cloud providers bieden een vorm van calamiteitenherstel (DR), speciaal ontworpen om ongeplande uitval te voorkomen en gemoedsrust te bieden, iets waar de meeste on-premise servers niet echt aan kunnen tippen.

Een voorbeeld hiervan is geo-redundantie, wat betekent dat bij een probleem in een datacenter een andere server (meestal in een ander deel van de wereld) automatisch in werking treedt, wat een minimale verstoring veroorzaakt en in het ergste geval slechts enkele seconden aan gegevens verliest.

4. Offsite back-ups en opslag

De cloud fungeert in feite als een veilige off-site opslagfaciliteit met zijn eigen automatische back-ups. De gemiddelde kosten van phishing en social engineering aanvallen voor Britse bedrijven is £960,000 - en het kan 20 dagen duren om ze te verwerken, dus het hebben van een vorm van back-upopslag is bijna essentieel voor elk bedrijf.

"Erop staan dat gegevens on-premise blijven, is net zoiets als beweren dat geld onder een matras moet worden bewaard of in de achtertuin moet worden begraven. De extra controle wordt in feite een verplichting voor het geld en een hoop geld onder je bed kan niet worden geïnvesteerd, noch is het veilig." - Rick Spicklmier, CTO van Birst

Welke andere veiligheidsmaatregelen zijn er voor cloud-toepassingen?

Beveiligingsnormen variëren van toepassing tot toepassing. Maar elke cloud-gebaseerde leverancier die zijn geld waard is, zal ten minste 3 soorten beveiligingslagen hebben ingebouwd in zijn applicatie:

1. Toegang - Leveranciers proberen gebruikersaccounts te beschermen door een authenticatie- en autorisatiebeleid aan te bevelen en beveiligingshulpmiddelen aan te bieden zoals two-factor authenticatie en IP whitelisting om ervoor te zorgen dat de online toegang wordt gecontroleerd.
2. Gegevensbeveiliging - Leveranciers proberen gegevens tijdens het transport en 'in ruste' te beschermen met meerdere lagen van geavanceerde end-to-endencryptie. In geval van een inbreuk is de kans dus groter dat zeer gevoelige informatie veilig blijft. Deze encryptielagen kunnen inderdaad worden geïmplementeerd voor interne software, maar niet zonder aanzienlijke aanloopkosten.
3. Controles - Deze voorzieningen detecteren bedreigingen en waarschuwen de betrokken personen om de situatie onder controle te krijgen.

Het grote voordeel voor organisaties is dat cloud-gebaseerde leveranciers zonder extra kosten zorgen voor alle bovenstaande voorzieningen, omdat het leveren van een veilige, betrouwbare werkomgeving tot de kern van hun dienstverlening behoort.

Zelfs met al deze extra beveiligingslagen zijn er nog een paar dingen die u intern kunt doen om uw organisatie verder te beschermen.

Wat kunt u doen?

Of je het nu leuk vindt of niet, volgens de statistieken vormen de klanten zelf het grootste risico voor de veiligheid van cloudapplicaties: "tot 2022, minstens 95% van cloud beveiligingsfouten zal de schuld van de klant zijn". De meeste inbreuken zullen naar verwachting betrekking hebben op bevoorrechte inloggegevens zoals wachtwoorden.

In reactie hierop stelt Jay Heiser, Research VP bij Gartner, dat CIO's hun vraagstelling moeten veranderen van 'is de cloud veilig' naar 'gebruik ik de cloud wel veilig'?

Als u overweegt van on-premise naar de cloud te migreren, moet u eerst het beveiligingsbeleid van de leverancier en dat van de cloudprovider die de dienst host, onder de loep nemen.

Maak ook gebruik van de beveiligingslagen die u worden aangeboden. Dit kan zo eenvoudig zijn als het instellen van een wachtwoordbeleid voor het personeel en het gebruik van in-app beveiligingstools zoals twee-factor authenticatie of scheiding van taken; een walls-up benadering die veel verkopers aanbieden als onderdeel van hun service.

Samengevat...

Het is waar dat veel cloud-gebaseerde toepassingen in hun kinderschoenen stonden, wat de geruchten over onbetrouwbaarheid aanwakkerde die vandaag nog steeds de directiekamers teisteren.

Maar de technologie is sindsdien sterk geëvolueerd en is aantoonbaar de beste optie voor moderne ondernemingen.

Niet alleen biedt het bedrijven en organisaties in de publieke sector een betere beveiliging en solide mechanismen voor disaster recovery in vergelijking met on-premise servers, maar het kan ook veel meer voordelen bieden op het gebied van integratie, realtime gegevenstoepassing en kostenbesparingen.

Natuurlijk zijn niet alle cloud-applicaties hetzelfde, dus doe uw onderzoek en kies uw softwareleverancier met wijsheid. Een goede leverancier zal altijd samenwerken met een gerenommeerd hostingbedrijf en zal zijn eigen robuuste beveiligingsmaatregelen hebben genomen om uw organisatie te beschermen.

Zolang u een betrouwbare leverancier en goed opgeleid personeel hebt, is cloudsoftware zonder twijfel de veiligste optie voor uw financiële en treasury-team.