Inhoudsopgave:
Het gebruik van cloudservices krijgt in veel omstandigheden ondersteuning van het management. Die vrolijke houding ontbreekt echter op de IT-afdelingen. Het door Lumension gesponsorde Ponemon-rapport 2014 State of Endpoint Risk suggereert dat het gebruik van cloud computing, of het nu door het bedrijf wordt ondersteund of door werknemers wordt gestuurd, de angst onder de respondenten van de enquête heeft verhoogd - 19.001 IT-beoefenaars in de Verenigde Staten. Uit de onderstaande dia blijkt dat 44 procent van de respondenten (een toename van 16 procent van 2012 tot 2013) het gebruik van cloud computing-middelen als een grote zorg beschouwt. IT-personeel noemde tal van zorgen over cloud computing.
Bron: State of Endpoint Risk Report 2014
Wie is verantwoordelijk voor de gegevens in de cloud?
Het Ponemon-rapport weerspiegelde veel van wat beveiligingsexperts de afgelopen jaren hebben gezegd. Wat is mij nieuwsgierig is wie verantwoordelijk is? Wie is de schuldige als er iets met bedrijfsgegevens gebeurt in de cloud? Je zou hier allerlei vermelding van kunnen verwachten, maar dat is er niet. Kleine discussies over verantwoordelijkheid begonnen twee of drie jaar geleden op te duiken. 'Koper opgepast' was echter de enige echte conclusie.
Nu de bezorgdheid van IT-medewerkers toeneemt, is het misschien een goed idee om te zien of er iets is veranderd op de verantwoordelijkheidsafdeling. In 2012 interviewde ik verschillende leidinggevenden op C-niveau. Tijdens de interviews vroeg ik wie zij dachten dat verantwoordelijk was voor het beveiligen van cloud-resident bedrijfsgegevens. Elke leidinggevende geloofde dat gegevensbeveiliging niet langer hun zorg was als de gegevens zich op de servers van iemand anders bevonden.
Het Businessweek-artikel van 2012 Wie is verantwoordelijk voor het beschermen van gegevens in de cloud? door Sarah Frier bevestigde mijn onwetenschappelijke enquête. In het artikel citeerde Frier Mario Santana van Verizon Communication, die zei: "Sommige bedrijven gaan er ten onrechte van uit dat wanneer ze ervoor kiezen om gegevens op externe servers op te slaan, ze zich niet langer bezig hoeven te houden met het beveiligen van die informatie."
Op basis van de bevindingen van Ponemon en Businessweek werd de ontkoppeling tussen C-level executives en IT-afdelingen in 2012 duidelijk. Twee jaar vooruit en wat bedrijfsleiders en IT-professionals zeggen over beveiliging en wie verantwoordelijk is voor bedrijfsgegevens die aan een cloudserviceprovider zijn toevertrouwd, is veranderd.
Wat is er anders in 2014?
In april 2014 bracht Ponemon Institute zijn derde jaarlijkse Trends in Cloud Encryption Study uit, gesponsord door Thales e-Security. Het onderzoek van Ponemon vroeg 4.275 bedrijfs- en IT-managers in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Frankrijk, Australië, Japan, Brazilië en Rusland. De hoofdtaak van het onderzoek was om te onderzoeken hoe organisaties hun gegevens beschermen wanneer deze aan cloudserviceproviders worden verstrekt.
Ponemon-onderzoekers stelden de deelnemers twee vragen die belangrijk zijn voor deze discussie:
- Welk percentage van organisaties draagt gevoelige of vertrouwelijke gegevens over naar externe cloudservices?
- Wie is het meest verantwoordelijk voor het beschermen van gevoelige of vertrouwelijke gegevens die worden overgedragen aan een cloudserviceprovider?
Bron: trends in cloudcodering
Wie was in het enquêtejaar 2013 het meest verantwoordelijk voor het beschermen van gevoelige of vertrouwelijke gegevens die zijn overgedragen aan een cloudserviceprovider? Het hangt er van af. De deelnemers aan de enquête zeiden dat verantwoordelijkheid afhangt van het type cloudservice dat wordt aangeboden: SaaS of IaaS / PaaS. De onderstaande dia toont de meningen van de respondenten over wie verantwoordelijk was toen een bedrijf een SaaS-omgeving gebruikte. In 2013 beschouwde 54 procent de cloudprovider als verantwoordelijk voor de beveiliging en 24 procent beschouwde cloudservicegebruikers als verantwoordelijk, terwijl 19 procent van mening was dat verantwoordelijkheid moest worden gedeeld. (Meer informatie in kiezen tussen IaaS en PaaS: wat u moet weten.)
Bron: trends in cloudcodering
De volgende dia toont de mening van de respondent over wie verantwoordelijk was wanneer een bedrijf een IaaS / PaaS-omgeving gebruikt. In 2013 beschouwde 47 procent beveiliging als een gedeelde verantwoordelijkheid, 26 procent beschouwde cloudservicegebruikers als verantwoordelijk en 22 procent vond dit een verantwoordelijkheid van cloudserviceproviders.
Bron: trends in cloudcodering
Het komt neer op? Dingen zijn veranderd. Het lijkt erop dat de houding van de "koper pas op" is samen met de cloudserviceproducten volwassen geworden. Maar zoals een internetbewuste advocaat me vertelde, worden verantwoordelijkheden bepaald door de contracten, niets meer of niets minder. Dat is iets voor iedereen die bij cloudservices betrokken is.
