Alsmaar meer bedrijven migreren naar de cloud. Er staan daardoor ook steeds meer klantgegevens in opgeslagen. Deze gegevens veilig houden is essentieel voor zowel de bedrijfsvoering van organisaties als het beschermen van klantgegevens. Helaas worstelen veel organisaties nog altijd met het beveiligen van hun clouds. Zo stelde Verizon vorig jaar zes miljoen klantgegevens bloot via de cloud. Net zoals Verizon migreren veel organisaties naar de cloud zonder te weten hoe ze hun gegevens goed kunnen beschermen. Laat staan dat we het hebben over het werken in meer dan één cloud, met elk hun eigen beveiligingsprotocollen.
Hoewel cloudservices over het algemeen veilig zijn, wordt de taak om die veilig te configureren en gebruiken vaak overgelaten aan de IT-managers, ontwikkelteams of lijnmanagers. Het is van belang één verantwoordelijke aan te wijzen voor gegevensbeveiliging. Uit onderzoek van Gemalto en Ponemon blijkt dat minder dan de helft (46%) van de organisaties de verantwoordelijkheid vastlegt voor het beveiligen van vertrouwelijke of gevoelige informatie in de cloud. Kortom, daar ligt de eerste taak voor de directie. Na het benoemen van een verantwoordelijke, zijn er nog zes stappen die organisaties moeten nemen om de gegevens in de cloud te beveiligen en veilig te zijn voor hackers.
1. Weet waar alle vertrouwelijke en gevoelige gegevens staan
Voordat een beveiligingsstrategie geïmplementeerd wordt, moeten bedrijven eerst een gegevensaudit uitvoeren. Dat zorgt voor inzicht in welke gegevens verzameld of geproduceerd worden en waar de meest gevoelige en waardevolle data zich bevindt. Als bedrijven niet weten welke gegevens ze bezitten en produceren, is het onmogelijk te starten met de bescherming ervan.
2. Versleutel alle gevoelige en vertrouwelijke data
Hoewel het van cruciaal belang is dat bedrijven het aantal mensen dat toegang heeft tot gevoelige gegevens beperkt, is het juist de versleuteling die ervoor zorgt dat de gegevens niet kunnen worden gebruikt, mocht een onbevoegde medewerker deze toch openen. Ongeacht waar gegevens zich bevinden - op hun eigen servers, in een openbare cloud of een hybride omgeving - er moet altijd versleuteling gebruikt worden om data te beschermen.
3. Bewaar sleutels veilig
Wanneer gegevens worden versleuteld, wordt er een sleutel gemaakt. Deze sleutels zijn nodig om versleutelde gegevens te ontgrendelen en toegang te krijgen. Het is daarom belangrijk deze sleutels veilig op te slaan, buiten de cloud. Door een fysieke sleutel te gebruiken, wordt het lastig om die te koppelen aan versleutelde gegevens in de cloud.
Versleuteling is slechts zo goed als de sleutelbeheerstrategie die wordt gebruikt en bedrijven moeten ze op veilige locaties bewaren, zoals externe hardware, weg van de gegevens zelf, om te voorkomen dat ze worden gestolen.
4. Gebruik tweestapsverificatie
Vervolgens moeten bedrijven sterke tweestapsverificatie toepassen om ervoor te zorgen dat alleen geautoriseerde werknemers toegang hebben tot de gegevens. Tweestapsverificatie houdt in dat een persoon zijn account beschermt met iets dat hij bezit - zoals een bericht op zijn smartphone - en iets dat hij kent, zoals een wachtwoord. Dat is veiliger dan alleen vertrouwen op wachtwoorden, die eenvoudig te hacken zijn.
5. Installeer altijd de nieuwste patches
Hardware en software worden voortdurend gepatcht door leveranciers, omdat ze door mensen ontwikkelt worden en bevatten ze altijd fouten, oftewel bugs. Er worden bijna elke dag wel nieuwe bugs gevonden. Hackers kunnen deze fouten misbruiken als patches niet worden geïnstalleerd. Veel organisaties installeren patches niet snel genoeg of gebruiken verouderde software waar geen patches meer voor zijn. Uit cijfers van Net Applications blijkt dat één op de tien organisaties nog steeds Windows XP gebruikt, ondanks dat er geen patches meer voor worden gemaakt. Het is absoluut noodzakelijk dat organisaties patches installeren zodra ze beschikbaar zijn, om te voorkomen dat ze een makkelijk doelwit voor hackers vormen.
6. Evalueer en herhaal
Nadat een bedrijf de bovenstaande stappen heeft uitgevoerd, is het van cruciaal belang dat elke stap wordt herhaald voor alle nieuwe gegevens die in het systeem worden ingevoerd. Cybersecurity en GDPR-compliance blijven een continu proces, in plaats van een vinkje op een checklist.
Deze stappen helpen organisaties onaantrekkelijk te worden voor hackers, want zelfs in het geval van een hack kunnen gegevens niet gebruikt worden. Belangrijk want organisaties betalen de prijs voor datalekken in zowel reputatie als geld. Daarom is het nu crucialer dan ooit dat ze volledig eigenaar zijn van de gegevens die ze bezitten.