‘Bedrijven blijven worstelen met de beveiliging van gegevens in de cloud’

27 juli 2016

Ondanks het toenemende belang van de cloud voor de bedrijfsvoering, nemen organisaties onvoldoende governance- en beveiligingsmaatregelen om gevoelige gegevens in de cloud te beschermen. Dit blijkt uit het Global Cloud Data Security-onderzoek van Gemalto, waaraan ongeveer 3.500 respondenten deelnamen. Uit het onderzoek blijkt tevens dat IT-afdelingen geen grip hebben op de helft van alle clouddiensten en bedrijfsgegevens die in de cloud worden opgeslagen. Daarnaast versleutelen bedrijven slechts een derde van alle gevoelige data die zij in cloudapplicaties opslaan. Ook zegt meer dan de helft van alle bedrijven geen proactieve aanpak te hanteren om te waarborgen dat zij handelen in overeenstemming met de privacy- en beveiligingsregelgeving voor data in cloudomgevingen.

Kloof tussen beveiligingswens en praktijk

73 procent van de respondenten geeft aan dat clouddiensten en -platforms belangrijk zijn voor hun bedrijfsvoering. Volgens 81 procent zal het belang hiervan de komende twee jaar nog verder toenemen. Zo geeft 36 procent van de respondenten aan in alle bedrijfsbehoeften op het gebied van IT en dataverwerking voorzien te worden met clouddiensten. Ze verwachten dat dit percentage in de komende twee jaar zal toenemen tot 45 procent.

Ondanks het toenemende belang van cloud, geeft 54 procent van de respondenten aan dat hun organisatie geen proactieve aanpak hanteert voor beveiliging en compliance met regelgeving voor privacy- en databescherming in de cloud. Dit staat haaks op het gegeven dat 65 procent van de respondenten zegt dat hun organisatie het belangrijk vindt om gevoelige en vertrouwelijke informatie in de cloud te beschermen. 56 procent was het bovendien oneens met de stelling dat hun organisatie voorzichtig omgaat met het delen van gevoelige informatie in de cloud met externe partijen, zoals partners, aannemers en leveranciers.

“Bedrijven blijven worstelen met het beveiligen van data in de cloud”, zegt Dirk Geeraerts, identity & data protection expert bij Gemalto. “Ze hebben de cloud omarmd vanwege voordelen als kostenbesparingen en flexibiliteit, maar ze hebben nog altijd moeite om grip te houden op de data in cloudomgevingen. Door de traditionele benaderingen van databescherming toe te passen op de cloud, lopen organisaties achter de feiten aan. Gegevens worden immers niet langer binnen het lokale netwerk opgeslagen. Dit probleem kan alleen worden opgelost met een datagerichte aanpak die IT in staat stelt om klanteninformatie en bedrijfsgegevens uniform te beschermen binnen de tientallen clouddiensten die afdelingen en werknemers dagelijks gebruiken.”

Overige belangrijke bevindingen uit het onderzoek

Beveiliging van de cloud wordt bemoeilijkt door schaduw-IT
Volgens de respondenten wordt bijna de helft (49%) van alle clouddiensten afgenomen door andere bedrijfsonderdelen dan de IT-afdeling. Gemiddeld wordt 47 procent van alle bedrijfsdata die in de cloud wordt opgeslagen niet door de IT-afdeling beheerd of gecontroleerd. Desondanks heeft 54 procent van de respondenten er wel vertrouwen in dat de IT-afdeling op de hoogte is van alle gebruikte cloudapplicaties, platforms en infrastructuren. Dit is een toename met negen procent ten opzichte van 2014.

Conventionele beveiliging niet van toepassing in de cloud
In 2014 was 60 procent van alle respondenten van mening dat het moeilijker was om gevoelige informatie te beschermen wanneer er gebruik werd gemaakt van clouddiensten. Dit jaar had 54 procent deze mening. 60 procent van de respondenten vond het moeilijker om gevoelige of vertrouwelijke informatie te beschermen bij het gebruik van clouddiensten. Het aantal respondenten dat problemen ondervond met het beheren of inperken van de toegang voor eindgebruikers nam toe van 48 procent in 2014 tot 53 procent in 2016. Andere belangrijke problemen die de beveiliging bemoeilijken zijn het onvermogen om conventionele technieken voor databescherming toe te passen binnen cloudomgevingen (70%) en het ontbreken van de mogelijkheid om de omgeving van cloudaanbieders direct te inspecteren op naleving van de beveiligingsrichtlijnen (69%).

Steeds meer klantgegevens opgeslagen in de cloud
Volgens het onderzoek zijn klantgegevens, e-mailberichten, consumentendata, werknemersinformatie en betalingsgegevens de typen data die het vaakst in de cloud worden opgeslagen. Sinds 2014 is de opslag van klantgegevens in de cloud het sterkst toegenomen, van 53 procent in 2014 tot 64 procent. 53 procent van de respondenten ziet klantgegevens als de data die het meeste gevaar loopt in de cloud.

Beveiligingsteams niet betrokken bij de aanschaf van clouddiensten
Slechts 21 procent van de respondenten zegt dat het beveiligingsteam wordt betrokken bij beslissingen rond de aanschaf van cloudapplicaties of -platforms. De meerderheid van de respondenten (64%) geeft aan dat hun organisatie geen beleidsregels gebruikt voor het beveiligen van de cloud, zoals encryptie als een voorwaarde voor het gebruik van bepaalde cloudapplicaties.

Encryptie nog niet op brede schaal toegepast in de cloud
72 procent van de respondenten vindt het belangrijk om vertrouwelijke informatie te beschermen door middel van encryptie of tokenization. 86 procent zegt dat het belang hiervan de komende twee jaar verder zal groeien, een toename ten opzichte van de 79 procent in 2014. Ondanks het groeiende belang van encryptie wordt deze techniek nog altijd niet op brede schaal in de cloud toegepast. In het geval van Software-as-a-Service (SaaS) zegt slechts 34 van de respondenten dat hun organisatie gevoelige data binnen applicaties met encryptie of tokenization beschermt.

Gebruikersnaam en wachtwoord nog in gebruik voor toegang tot clouddiensten
67 procent van de respondenten zegt dat beheren van gebruikersidentiteiten moeilijker is in de cloud dan lokaal. Organisaties verzuimen echter om gemakkelijke maatregelen te implementeren die de beveiliging van de cloud verbeteren. Zo maakt ongeveer de helft (45%) van alle bedrijven geen gebruik van two-factor authenticatie om toegang tot applicaties en data in de cloud te beveiligen voor medewerkers of derden. Dit betekent dat veel bedrijven gebruikersidentiteiten nog altijd valideren aan de hand van gebruikersnamen en wachtwoorden. Hierdoor loopt meer data gevaar, omdat 58 procent van de respondenten aangeeft dat hun organisatie ook gebruikers van derden toegang geeft tot data en gegevens in de cloud.

Advies over databeveiliging in de cloud
Geeraerts concludeert: “IT-afdelingen zouden duidelijke beleidsregels moeten opstellen voor data governance en compliance. Geef richtlijnen voor de aanschaf van nieuwe clouddiensten en bepaal welke soorten data wel of niet in de cloud mogen worden opgeslagen. Door gecentraliseerd data te beschermen, bijvoorbeeld met encryptie, zorgt een IT-afdeling ervoor dat gegevens ook in de cloud beschermd zijn, zonder dat de medewerkers hoeven in te leveren op hun behoefte om gebruik te maken van clouddiensten. De nadruk zou meer gelegd moeten worden op het verbeteren van het beheer van gebruikerstoegang, met behulp van multi-factor authenticatie. Zeker voor bedrijven die hun data delen met leveranciers of derden is dit een noodzaak.”

Global-Cloud-Data-Security-

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This