Bedrijven gaan steeds meer gebruik maken van de cloud. In 2016 maakte 28 procent van de Nederlandse bedrijven gebruik van de cloud. Nederland bezet hiermee de vijfde plaats in Europa, na Finland, Italië, Zweden en Denemarken. De wereldwijde uitgaves aan clouddiensten en - applicaties zijn op dit moment 55 miljard euro. Dit aantal zal groeien en de verwachting is dat in 2020 170 miljard euro uitgegeven gaat worden aan clouddiensten en -applicaties. In dit artikel wordt uitgelegd wat Cloud Computing is, wat de risico’s zijn en wat er gedaan kan worden om die risico’s te beperken.
Wat is Cloud Computing?
Bij Cloud Computing wordt een deel van de ICT-infrastructuur naar het internet verplaatst. Dit wordt ook wel de cloud genoemd. Als dit gebruikt wordt is het niet meer nodig om lokaal software en hardware te installeren, omdat dit in de cloud staat. Er zijn drie verschillende vormen van Cloud Computing:
- Software as a Service (SaaS): door SaaS te gebruiken, gebruik je het internet om een programma te draaien. Vaak kan een abonnement gekocht worden voor bijvoorbeeld online boekhoudprogramma’s. De aanbieder zorgt dan voor het onderhoud en back-ups;
- Platform as a Service (PaaS): door PaaS te gebruiken, kan een organisatie programma’s draaien of ontwikkelen op een server. Hier is dan geen lokale software of hardware voor nodig;
- Infrastructure as a Service (IaaS): door IaaS te gebruiken, wordt de gehele IT-infrastructuur uitbesteed. Er hoeven dus geen servers of software aangeschaft te worden.
Buiten de drie verschillende vormen van Cloud Computing zijn er vele aanbieders. Google is bijvoorbeeld een aanbieder. Als je bijvoorbeeld Gmail gebruikt, maak je gebruik van Cloud Computing. Hetzelfde geldt voor Dropbox om online bestanden op te slaan. Wat is dan het verschil met traditionele IT-aanbieders in vergelijking met Google? De traditionele IT-aanbieders maken gebruik van eigen servers om data op te slaan, terwijl andere aanbieders rekencentra van clouddiensten gebruiken. Hierdoor wordt het gecompliceerder om de data te beveiligen.
Wat zijn de risico’s?
Het grootste risico is dat de gegevens niet voldoende beveiligd zijn. Als de gegevens niet voldoende beveiligd zijn, kunnen ze gehackt worden of in handen komen van derden. Als bijvoorbeeld de cloud van een verzekeraar niet goed beveiligd is, dan kunnen klantgegevens, creditcardgegevens, schadegegevens en het schadeprofiel op straat komen te liggen. Daarnaast kan het zijn dat medewerkers van een organisatie data veranderen in de cloud uit eigen belang. Door dit goed te beveiligen kan dit mogelijk voorkomen worden.
Ook het versturen van vertrouwelijke informatie is risicovol. Als een e-mailadres niet goed beveiligd is, kan een derde zo inloggen. Hierdoor kan een buitenstaander vertrouwelijke informatie van een e-mailaccount halen, zoals strategische plannen of beleidskeuzes.
Wanneer gebruik gemaakt wordt van Cloud Computing is het vaak onbekend waar de data wordt opgeslagen. Het kan dus zo zijn dat de data wordt opgeslagen in een land waar ze het niet zo nauw nemen met de privacywetgeving.
Een faillissement van de Cloud Computingorganisatie is ook een risico. Als er geen goede afspraken zijn gemaakt over hoe je de data terugkrijgt bij een faillissement, kan je de data kwijtraken. Maak hier dus afspraken over.
Hoe kunnen de risico’s beperkt worden?
De eerste maatregel is redelijk voor de hand liggend: gebruik een sterk wachtwoord. Gebruik geen geboortedatum, verjaardag of iets anders persoonlijks. Gebruik een lang wachtwoord met combinaties van hoofdletters, kleine letters, cijfers en speciale tekens. Zo wordt het heel moeilijk voor hackers om het wachtwoord te kraken.
Een andere maatregel is om in te stellen wie geautoriseerd is om bepaalde informatie aan te passen. Een medewerker kan bijvoorbeeld een schadeclaim verwerken, terwijl de leidinggevende de claim controleert en definitief maakt voordat de claim verwerkt wordt. Stel dus de geautoriseerde personen vast om bepaalde zaken te veranderen in het systeem.
Daarnaast is het vaak onbekend waar de data is opgeslagen. Doe dus onderzoek naar de organisatie waar de data wordt gestald. Zoek waar de organisatie gevestigd is en verzamel zoveel mogelijk informatie over de organisatie die je data beheert. Verzamel informatie over toegangsrechten en controles, zodat je zeker weet dat de organisatie goed met je data omgaat.
Ook is het van belang om zelf een risicoanalyse uit te voeren over de risico’s die gepaard gaan met Cloud Computing. Dit is zelfs een verplichting voor organisaties die onder toezicht staan van De Nederlandsche Bank. Daarbij dient de organisatie afspraken te maken over wie toegang heeft tot de data en waar de data zich fysiek bevindt. Ook dient de organisatie contractueel vast te leggen dat er geen data achterblijft bij de provider op het moment dat de overeenkomst beëindigd wordt.
Het grootste risico is dus de beveiliging van de data. Zorg dat dit op orde is door goede maatregelen te nemen, zoals een sterk wachtwoord of autorisatie van medewerkers. Houd de andere risico’s in het achterhoofd, verkrijg voldoende informatie over de organisatie die de data bewaart en leg contractueel vast wat er met de data gebeurt bij het beëindigen van de overeenkomst.
Hoe zorg jij dat je Cloud gegevens veilig zijn?
Bron: Emerce, Cloudtools, DNB, Computerworld