Ondanks alle voordelen, cloud-diensten kan nieuwe veiligheidsproblemen opleveren. Hoewel u geen serverracks meer hoeft te beveiligen, ontslaat het rechtstreeks verwerken van gegevens via de cloud u niet van deze verantwoordelijkheid. In dit artikel worden verschillende cruciale tips onderzocht om de cloudbeveiliging van bedrijven intact te houden.
Stel een veilig wachtwoordbeleid op
Door de groei van cloudservices is het belang van wachtwoorden alleen maar toegenomen. Zelfs als u uw gegevens in de cloud opslaat, kan een aanvaller nog steeds toegang krijgen tot gevoelige informatie en bedrijfsmiddelen met gestolen inloggegevens. Een sterk wachtwoordbeleid vereist meer dan alleen ingewikkelde wachtwoorden eisen van medewerkers. Als multi-factor authenticatie bijvoorbeeld is ingeschakeld, is een gestolen wachtwoord niet langer voldoende voor een aanvaller om toegang te krijgen. Single sign-on (SSO) authenticatie wordt ook aanbevolen voor gebruik door organisaties, volgens Cindi Keller, communicatiecoördinator bij HET CRIMINELE VERDEDIGINGSBEDRIJF:
“Het toewijzen van Single Sign-On (SSO)-authenticatie zou een uitstekende techniek zijn om menselijke fouten te verminderen. We moeten niet het risico nemen om van individuen te eisen dat ze hun wachtwoord regelmatig bijwerken. We hebben twijfelachtige cyberbeveiligingspraktijken en ik ben ook niet immuun.
Beperk de toegang tot gevoelige informatie
Zodra een gebruiker is geverifieerd, houdt de cloudbeveiliging niet op. Het gebruik van bronnen op een systeem moet daarom worden beperkt door betrouwbare toegangscontroles, met speciale aandacht voor het beperken van de toegang tot gevoelige gegevens en bedrijfsmiddelen. Volgens Tiffany Hafler, Marketing Manager at Fortis medische facturering:
“Zorg ervoor dat je de juiste rechten hebt om gevoelige bedrijfsgegevens te beschermen. Het voltallige personeel mag geen toegang hebben tot bepaalde bestanden en programma's. Toegangscontroles zijn nodig om diefstal en manipulatie van belangrijke bedrijfsgegevens te voorkomen. Als er geen duidelijk gedefinieerde toegangsniveaus zijn, heeft een hacker die erin slaagt een laaggeplaatste medewerker te phishen, in feite onbeperkte toegang tot het hele netwerk.”
Veel bedrijven kiezen een zero-trust beveiligingsstrategie als een stap verder. Volgens Timothy Allen, Sr. Bedrijfsonderzoeker, at Oberheiden PC:
“Zero-trust verwijst naar het hebben van nul vertrouwen in iemand, zowel binnen als buiten het bedrijf, zelfs de provider van uw virtuele desktops. Voorwaardelijke toegang, een reeks beperkingen waarbij een gebruiker zijn identiteit moet verifiëren voordat hij toegang krijgt tot bedrijfsgegevens, is een cruciaal onderdeel. Welke rol speelt de gebruiker? Wat moeten ze bereiken? Op welke locatie zijn ze? Wat voor gadgets hebben ze? Welk netwerk gebruiken ze? Na het verkrijgen van deze context kan IT regels opstellen en afdwingen rond de acties die de gebruiker mag uitvoeren. Moeten ze bijvoorbeeld toestemming krijgen om af te drukken of een screenshot te maken? Moeten ze überhaupt toegang hebben? Het risico van een inbreuk op de beveiliging van binnenuit, opzettelijk of onopzettelijk, wordt verminderd door deze vangrails voor voorwaardelijke toegang.”
Leer medewerkers om phishingpogingen en andere aanvallen te herkennen
Bij veel van de meest voorkomende aanvallen, zoals phishing, wordt social engineering gebruikt om te profiteren van menselijke fouten. Het implementeren van doorlopende bewustmakingstrainingen voor phishing is een van de beste dingen die een bedrijf kan doen om cyberaanvallen in dit opzicht te voorkomen. Volgens Inga Broerman, Vice President bij BluLogix:
“Het grootste indirecte risico voor de beveiliging van je cloudopslag komt mogelijk van je medewerkers. Toch stelt regelmatige, grondige training uw team in staat om phishingpogingen te identificeren en te vermijden. Het wordt aangeraden om anti-phishingtraining voort te zetten voor de beste effectiviteit. Succesvolle training vereist regelmatige, consistente inspanningen in de loop van de tijd in plaats van een eenmalige inspanning.”
Zorg voor een strak offboardingproces
Een van de laatste dingen die een bedrijf nodig heeft, is een ontevreden ex-werknemer die grote schade aanricht terwijl hij nog steeds volledige toegangsrechten heeft. Daarom dien je een duidelijk offboardingbeleid op te stellen en je daar bij beëindiging strikt aan te houden. Volgens Jake Smith, algemeen directeur bij Absoluut reg:
“Het is noodzakelijk om alle autorisaties voor het gebruik van datasystemen, inclusief clouddiensten, in te trekken. Als ex-werknemers uw privégegevens aan de verkeerde partijen verkopen nadat ze uw organisatie hebben verlaten, kunnen zij daar niet op worden aangesproken. Je moet daarom een robuust offboardingproces implementeren dat het gebruik van de cloud door voormalige werknemers beperkt.”
Besteed aandacht aan je netwerk
Het is onmogelijk om van een IT-team te verwachten dat het hun netwerk op de juiste manier bewaakt of het tegen bedreigingen verdedigt als ze dat niet kunnen. SIEM-systemen (Security Information and Event Management) worden veel gebruikt in ondernemingen om aanvallen te detecteren. Om clouddiensten te integreren in deze huidige systemen, Adam Garcia, eigenaar van De Stock Dork, geeft het volgende voorbeeld:
“Inzicht in de mogelijkheden die elke leverancier kan bieden op het gebied van desktopprestaties en -beschikbaarheid, evenals aanvullende gegevens die kunnen worden gesynchroniseerd met SIEM-systemen, zoals inlogpogingen, gebruikerslocaties en andere beveiligingsgebeurtenissen, is belangrijk als een organisatie overweegt cloud -native, SaaS-applicaties, zoals cloud-desktops. Zorg dat je IT-team volledig en real-time inzicht heeft in je IT-landschap.”