Hoe vind je een evenwicht tussen externe auditors en hackers in loondienst? De een is druk bezig gaten in de interne procedures van ISAE 3402 te vinden en de ander probeert ze juist te maken. En allebei zijn ze nodig om de cloud-leverancier optimaal te laten functioneren. En wie moet dan het meeste verdienen?
Er komt voorlopig geen einde aan de berichtgeving over de cloud en cloud security. Ook al bestaan het internet en de toepassingen die op basis van internet in de webbrowser worden ontsloten al jaren, de SaaS, IaaS en PaaS en al die andere cloud-leveranciers zitten niet stil.
Ook de hackers en cybercriminelen blijven daardoor een constante bedreiging voor de gebruikers en daarmee ook voor de leveranciers. In de keten van signaleringen van computervredebreuk zit in principe de eindgebruiker vooraan. In de praktijk komt het voor dat hij niet de eerste is die merkt dat zijn computer is geënterd door onbevoegden. Die signalen bereiken hem pas veel later in de vorm van vastgelopen pc, overgenomen pc, banktegoeden die zijn verdwenen enzovoort.
De cloud-leveranciers hebben de verantwoordelijkheid om de klantendata te beveiligen, nu doen zij dat in de vorm van beveiliging van hun eigen omgevingen, met toegangsbeveiliging (naam en wachtwoord), hopelijk encryptie van de dataverbindingen en de beveiliging die de gebruiker van de desbetreffende software gebruikt. Google kwam in dat kader met de tweeweg factor authenticatie zoals vele banken deze ook gebruiken bij internetbankieren En eind februari volgde Office 365 ook met tweeweg authenticatie met een RSA-token. Hiervan ben ik als gebruiker nog niet op de hoogte gebracht, maar dat terzijde.
Normen en controles
Aan de kant van de cloud provider dient echter ook het nodige te gebeuren, zoals ik al eerder in artikelen over transparantie en cloud security schreef. Op 20 maart geeft EuroCloud Nederland een Public briefing over certificering. Hierin zullen zij vermoedelijk informatie geven omtrent de stand van de cloud-normen zoals die nu worden uitgerold en worden ontwikkeld.
Ik ben oprecht voorstander van deze normen, maar dan wel in combinatie van maatregelen zoals certificering van cloud-leveranciers door onafhankelijke auditors, die ook begrijpen wat er in deze wereld omgaat. De tweede actie die daarbij hoort, is dat de auditing (controles op de juiste en volledige uitvoering van de ISAE3402 en ISO 27001 normen) met een frequentie van drie maanden wordt uitgevoerd. De rapportage over juiste en correcte uitvoering moet dan door de auditor binnen vier weken worden gerapporteerd aan de klant en de resultaten moeten ook via de website van auditor, overheidsinstantie en cloud-leverancier worden gepubliceerd.
De balans tussen de auditor en hacker
Omdat telkens blijkt dat criminelen een stap voor lopen verdient het ook aanbeveling, dat de cloud providers ook mensen in dienst neemt die denken als hackers. Deze mensen moet je dan niet persé willen integreren in je organisatie omdat het juist van belang is dat hun kwaliteiten de ruimte krijgen. Ze zullen zich echter wel aan enige regels moeten houden, maar dat is een kwestie van het vinden van balans.
Over de salarishoogte doe ik geen uitspraak, voor mij lijkt het belang van beide voor een cloud provider heel groot.
Het zal best kunnen voorkomen dat auditors en huishackers zich in dezelfde ruimte kunnen bevinden. Ik laat aan u om te beoordelen waar dat zal zijn…..
(453)
Deze post is ook beschikbaar in/Also available in: Engels
