Bedrijven hebben geen intern beleid omtrent informatiebeveiliging in de cloud
7 april 2010 -
Bij de meeste organisaties ontbreekt het aan beleid, procedures en middelen om te waarborgen dat gevoelige informatie in de cloud goed is beveiligd. Ondanks de bezorgdheid over de beveiliging en de verwachte groei van cloud computing, beschikt slechts 27 procent van de organisaties over procedures voor goedkeuring van cloudapplicaties waarin gevoelige en vertrouwelijke informatie wordt gebruikt.
Dit blijkt uit onderzoek van Symantec en het Ponemon Institute. Daarnaast blijkt dat er in de meeste organisaties een grote kloof heerst tussen degenen die cloud computingleveranciers beoordelen en de IT- en beveiligingspersonen die idealiter hiervoor verantwoordelijk zijn. Slechts twintig procent van de ondervraagde organisaties geeft aan dat hun informatiebeveiligingsteams regelmatig betrokken zijn bij het besluitvormingsproces en ongeveer een kwart zegt nog nooit hieraan deelgenomen te hebben.
Veiligheidscheck Ook kwam naar voren dat veel medewerkers beslissingen nemen zonder dat de IT-afdeling daarvan op de hoogte gebracht wordt en zonder voldoende kennis van de veiligheidsrisico’s. Slechts 30 procent van de respondenten evalueert hun cloudleverancier voorafgaand aan implementatie van de producten. Clouddiensten worden met name gekozen op basis van mond-tot-mondreclame, contracten en garanties van leveranciers. Slechts 23 procent wil eerst een veiligheidswaarborg zien. Achttien procent baseert zich volledig op eigen veiligheidsbeoordelingen en slechts zes procent laat de veiligheid door externe experts testen.
Niet ideaal
Meer dan driekwart van de respondenten meldt dat de migratie naar cloud computing niet ideaal verliep, meestal omdat er te weinig controle was op de eindgebruiker. Andere genoemde factoren waren gebrek aan goede evaluatiemethodes, gebrek aan leiderschap om het proces in goede banen te leiden en de lage prioriteit die aan goede evaluaties gegeven wordt.
Training
Slechts negentien procent van de respondenten zegt dat hun onderneming training op het gebied van databeveiliging geeft waarin cloud computing aan de orde komt. In 42 procent van de bedrijven wordt wel algemene training op het gebied van computerbeveiliging gegeven.
Vier aanbevelingen
1. Zorg dat in het beleid en procedures duidelijk het belang van beveiliging van gevoelige informatie opgenomen is. Hierbij moet ook vermeld worden welke informatie als gevoelig en als bedrijfseigendom beschouwd wordt.
2. Stel middelen en procedures ter beschikking om de informatie te classificeren en breng de risico’s in kaart. Op die manier kan beter bepaald worden welke clouddiensten en – applicaties geschikt zijn en welke niet.
3. Evalueer de veiligheid van derden voordat er vertrouwelijke of gevoelige informatie gedeeld wordt. Onderwerp ook de leveranciers aan een grondig veiligheidsonderzoek.
4. Train medewerkers voorafgaand aan de implementatie over de veiligheidsrisico’s van de nieuwe technologieën.