Het thema cybersecurity prijkt al jarenlang bovenaan de agenda. Zo gek is dat niet. Steeds meer bedrijven maken geen keuze om software aan te schaffen, maar nemen die af in de vorm van een dienstverlening. Software-as-a-service als abonnement. Nu bedrijven steeds vaker informatie wegstoppen in de ‘cloud’ wordt het van eminent belang dat we vraagtekens plaatsen bij het beschermen ervan. We zullen stap voor stap bedrijfsprocessen moeten ontrafelen om te evalueren waar de risico’s liggen.

Dat klinkt allemaal ingewikkeld en bedreigend, maar er bestaat geen reden om in paniek te schieten, reageert Alex de Joode, Public Affairs Manager Nederland ICT, de branchevereniging van de ict-sector. “Eén van de grootste misverstanden heeft van doen met het dragen van verantwoordelijkheid. Het is niet zo dat je bij het afnemen van clouddiensten alle securityplichten als het ware over de schutting gooit bij de dienstverlener. Cloudsecurity is gedeelde verantwoordelijkheid, waarbij de afnemer zorg dient te dragen voor zijn eigen stuk beveiliging. Zo lastig is dat allemaal niet. Bescherming van informatie in de cloud is niet wezenlijk anders dan informatiesecurity op eigen systemen.”

Waar het in de kern om gaat, vervolgt De Joode, is dat de afnemer zijn huiswerk op orde heeft. Die dient intern te hebben afgetikt welke personen en afdelingen belast zijn met identificatie en authentificatie. Hoe streng dat toezicht uitpakt, heeft vooral van doen met de betrokken activiteiten. “Als het bedrijf de cloud gebruikt voor opslag van medische dossiers of financiële informatie zijn andere eisen in het geding dan bij het uitwisselen van eenvoudige mailtjes. Het ligt voor de hand dat er bij medische of financiële informatie restrictiever toegang bestaat om aan beveiligingsverplichtingen te kunnen voldoen.”

Dat klinkt allemaal volstrekt logisch, maar daarmee rijst ook de vraag: hoe regel je dat allemaal? Ook dat is geen rocket science, hoewel je dat vraagstuk zeker naar behoren dient te regelen. Een kwestie van nauwkeurige registratie en organisatie. Zo bestaan er bijvoorbeeld online inlogcode-managementsystemen, die goed van dienst kunnen zijn bij het overzichtelijk beheren van inlogcodes. Onlineactiviteiten laten een sleepspoor van wachtwoorden en andere gevoelige informatie op het internet achter. Met inlogcode-systemen zijn zulke gevoelige data te beschermen.

De woorden van De Joode klinken ook terug in die van Martin Vliem, National Security Officer van Microsoft. Er bestaat een groep bedrijven, reageert Vliem, die de voorkeur heeft voor tastbare en zichtbare opslag van data op eigen systemen. Die hebben daar meer vertrouwen in dan in een onzichtbare oplossing op afstand, omdat ze de angst hebben dat data dan toegankelijk is voor derden. En er bestaat een groep bedrijven die cloudoplossingen toejuichen omdat ze daarmee verwachten dat ze securityplichten kunnen doorschuiven.

“Wij vinden dat de waarheid in het midden ligt. Bedrijven mogen van aanbieders verwachten dat ze hun clouddiensten afdoende hebben beschermd. En bedrijven op hun beurt, dienen ook zelf de verantwoordelijkheid te nemen om gevoelige informatie als bedrijfsgegevens goed te beheren en wachtwoorden en andere inlogcodes of autorisaties goed af te dekken. Bedrijven kunnen daarbij ook controleren of aanbieders beschermingsmaatregelen hebben toegepast, terwijl de aanbieder hun afnemer bij die validatie dienen te ondersteunen.”

Nadenken over toegangscontrole is misschien wel de belangrijkste taak die op het bordje ligt bij afnemers, meent Vliem. “Authentificatie en autorisatie zijn belangrijke aandachtsvelden waarover gelukkig steeds meer informatie beschikbaar komt. In de markt bestaan volop partijen die bedrijven ondersteuning kunnen bieden om gevoelige informatie te kunnen afdekken.”