De veiligheid wordt als de grootste bedreiging gezien van het werken in de cloud. De huidige cloud aanbieders hebben er enorm veel baat bij om de omgeving goed af te schermen en te beschermen tegen aanvallen. Indien er een aanbieder door de mand valt, is deze ook direct alle klanten kwijt. Daarnaast is het zo dat de hackers zelf gebruik maken van de cloud. Hierin geldt het gezegde; een vogel bevuilt zijn eigen nest niet.
Een denkwijze is om alle bedrijfsgevoelige informatie (intellectueel eigendom, personeelsgegeven, financiële gegevens e.d.) op de eigen server op te slaan, achter een firewall. Dan kan met er in de beleving niet bij. Er wordt echter gebruik gemaakt van internet. Een hacker kan een rootkit plaatsen die ervoor zorgt dat ook het hele interne netwerk besmet wordt. Gevoel en werkelijke mogelijkheden gaan niet altijd gelijk op.
Hoe zijn de uit te wisselen gegevens dan wel goed te beveiligen? Dit kan middels API keys. Dit zorgt voor de versleuteling van de data. Deze API keys dienen wel echt goed beveiligd opgeslagen te worden. Deze “sleutels” worden alleen afgegeven aan mensen die een gegronde reden hebben om deze te gebruiken. Te denken valt aan een tussenpersoon tussen de cloud-aanbieder en de eindgebruiker. Dit zijn bijvoorbeeld de software ontwikkelaars die verschillende clouds met elkaar verbinden.
Hoe kies in nu een goede cloud-aanbieder? Onderstaand een tiental vragen die je aan de cloud-aanbieder kunt stellen om te achterhalen hoe de kwaliteit is van de onderneming.
- Is de dienst ontwikkeld met een veilige lifecycle in het ontwikkelingsproces?
- Zijn er resultaten / bewijs van uitgevoerde penetratietesten?
- Welke maatregelen zijn er genomen om de data te beveiligen?
- Hoe is het privacybeleid met betrekking tot de data?
- Op welke wijze worden alle beleidsmaatregelen gehandhaafd en gecontroleerd?
- Hoe is de beveiliging opgenomen in de SLA (niet opgenomen? Waarom niet?)
- Hoe zijn de back-ups georganiseerd? Hoe worden de back-ups terug gezet?
- Hoe is de versleuteling van de data die onderweg is en de data die op de server staat?
- Op welke manier is mijn data afgeschermd van andere data op dezelfde server?
- Heb ik inzage in de logbestanden?
En als je dan een goede cloud-aanbieder gekozen hebt, is de veiligheid nog beïnvloedbaar door de mens zelf. Hoe ga je om met het internet gebruik? Op het moment je in een openbare ruimte het wachtwoordloze wifi-punt neemt en via dat wifi-punt de bedrijfsgevoelige data raadpleegt, loopt een kans om gehackt te worden. Gebruik de bedrijf kritische alleen via een beveiligde verbinding. 100 % veilig is het nooit, maar dat geldt ook voor de server die in je bedrijf staat.