Wanneer organisaties cloudtechnologie omarmen of andere digitale projecten ondernemen, worden governance en security hier altijd in meegenomen. Echter worden deze twee pijlers vaak afzonderlijk van elkaar behandeld. Meestal wordt de prioriteit gegeven aan governance, omdat dit nauw verbonden is met de identiteit van de organisatie. Governance bepaalt de regels en voorschriften die de operationele parameters bepalen waarbinnen hun organisatie functioneert.
Wanneer security pas later een overweging wordt, zonder rekening te houden met de organisatorische identiteit, hebben organisaties vaak moeite om de beveiligingseisen af te stemmen op hun governanceregels. Ze willen hun IT-systemen beschermen en ongeautoriseerde toegang voorkomen zonder hun identiteit in gevaar te brengen. Wanneer security wordt geïmplementeerd zonder rekening te houden met governance, kan het resultaat een ondoordringbaar fort zijn dat lijkt op Fort Knox. De veiligheid mag dan hoog zijn, maar is niet afgestemd op governance en belemmert de operationele efficiëntie.
Niet elke organisatie hoeft een Fort Knox te zijn. De sleutel is om uw beveiligingseisen slim te beheren op een manier die zinvol is voor uw organisatie. Een ziekenhuis dat patiëntendossiers beheert, heeft bijvoorbeeld andere governanceregels en beveiligingsvereisten dan een autoverhuurbedrijf. Daarom is het essentieel om een grondige analyse uit te voeren van de unieke situatie, bedrijfsbehoeften en IT-vereisten van de organisatie. Deze analyse moet leiden tot een geïntegreerde aanpak voor het opbouwen van governance en security, rekening houdend met de bijbehorende risico's en voordelen.
Vanuit een governanceperspectief doen zich verschillende opvallende uitdagingen voor, met name met betrekking tot de adoptie van cloudtechnologie:
Organisaties hebben een groot belang bij de bescherming van hun gevoelige gegevens. Ze maken zich ook zorgen over de naleving van regelgeving zoals de General Data Protection Regulation (GDPR) en de Health Insurance Portability and Accountability Act (HIPAA). Deze voorschriften verplichten organisaties om verschillende beveiligingsmaatregelen te implementeren die ongeautoriseerde toegang voorkomen en datalekken aanpakken. Niet alle regels zijn echter even relevant voor elke organisatie. Er is geen standaardaanpak voor security.
Elke branche heeft zijn eigen uitdagingen op het gebied van compliance en regelgeving. In de banksector gelden bijvoorbeeld andere regels dan in de gezondheidszorg, waardoor unieke oplossingen nodig zijn. Elke organisatie moet nagaan welke regelgeving relevant is voor hun specifieke branche.
Organisaties die voor de cloud hebben gekozen kunnen hun budget gemakkelijk overschrijden door het pay-per-use model. Hierdoor worden kostenbeheersing en optimalisatie belangrijke aandachtspunten. Het is noodzakelijk om na te denken over wat u precies in de cloud moet doen en zo efficiënt mogelijk gebruik te maken van cloudresources.
Bij het kiezen van een cloudprovider maken organisaties zich terecht zorgen dat het moeilijk kan zijn om applicaties later naar een andere provider te migreren. Ze willen niet opgesloten raken in het gesloten ecosysteem van één leverancier. De oplossing is om niet te vertrouwen op functionaliteit die specifiek is voor een bepaalde cloudaanbieder en waar mogelijk te kiezen voor een cloudagnostische benadering.
Cloudresources worden vaak op aanvraag beschikbaar gesteld, wat leidt tot inefficiënt resourcegebruik. Een nog grotere uitdaging ontstaat wanneer deze middelen individueel worden geconfigureerd. Dit leidt tot een configuratiedrift die moeilijk te beheren is en kan leiden tot subtiele beveiligingsproblemen.
Goede governance omvat goede beveiligingspraktijken. Maar hoe kunnen organisaties deze integratie succesvol realiseren?
Het implementeren van een robuust Identity and Access Management (IAM) systeem is de meest cruciale stap. Een IAM-systeem geeft controle over de toegang tot bronnen en definieert de acties die gebruikers kunnen uitvoeren, en vormt zo een essentiële beveiligingslaag voor de IT-infrastructuur. Het bepalen van de toegangsrechten die aan individuen worden toegekend, in lijn met de governance van de organisatie, is een effectieve manier om governance en beveiliging te integreren via IAM.
Organisaties hebben goed gedefinieerde beleidsregels nodig met betrekking tot versleuteling en beveiligingsmaatregelen om hun gegevens te beschermen, in overeenstemming met hun governanceregels. Effectieve versleuteling moet echter gepaard gaan met goed ontworpen processen die ongeautoriseerde toegang en verkeerde configuratie voorkomen.
Zichtbaarheid bieden op de IT-omgeving van een organisatie is cruciaal voor het prioriteren van beveiligingsmaatregelen. Daarom is het investeren in de juiste monitoringtools een primaire overweging. Om deze tools volledig te kunnen benutten, moet je echter een beleid en een standaard baseline vaststellen voor het bepalen van de normaliteit en het identificeren van afwijkingen daarvan.
Als een monitoringtool een anomalie detecteert die duidt op een beveiligingsbedreiging, moet u ook in staat zijn om de bedreiging onmiddellijk te beperken en schade te voorkomen. Om dit efficiënt te doen, is het belangrijk om processen voor gegevensclassificatie op te zetten. Hierdoor kunt u snel de impact van een bedreiging analyseren en gemakkelijker beslissingen nemen over de noodzakelijke acties om de schade te beperken.
Bij Cegeka geloven we er sterk in dat governance en security onderling verbonden zijn en samen benaderd moeten worden. We bieden end-to-end-oplossingen om de bovengenoemde uitdagingen aan te pakken door gebruik te maken van Microsoft-technologie, waaronder IAM, continue monitoring en een Security Operations Center (SOC) voor effectieve respons bij incidenten. Daarnaast passen we best practices voor cloudbeveiliging toe en richten we ons op opleiding en training van zowel onze medewerkers als onze klanten, zodat we onze klanten optimaal kunnen ondersteunen bij hun uitdagingen.
In ons volgende blogartikel gaan we dieper in op onze aanpak en de Microsoft-oplossingen die we gebruiken om governance en security naadloos te integreren.