Bedrijven gebruiken steeds vaker clouddiensten om gegevens op te slaan en te verwerken. Maar hoe veilig is de cloud eigenlijk? En heb je niet veel meer controle over je gegevens op je eigen lokale (on-premise) systemen? Is de kans op dataverlies of diefstal dan niet kleiner? De tegenwoordige wet- en regelgeving (AVG/GDPR) stelt hoge eisen aan de bescherming van de (persoons-)gegevens die door jouw organisatie worden bewerkt en bewaard. Reden genoeg om hier terdege aandacht aan te schenken.
Lokale data opslag
Controle op de data die is opgeslagen op je eigen server voelt lekker. Je weet precies wie toegang heeft tot de data op je eigen server. Controle is echter niet hetzelfde als veiligheid. Het is de vraag hoe goed ieder bedrijf echt zicht heeft op de beschikbaarheid van data voor werknemers of bezoekers van jouw organisatie. De fysieke beveiliging van bedrijven en de aanwezige ICT voorzieningen is lang niet altijd goed geregeld. Onrechtmatige toegang tot, of zelfs diefstal van, data op jouw fysieke locatie behoort daarmee tot de mogelijkheden. Dit kan bijvoorbeeld door het inpluggen van een usb-stick in jouw server of in een computer die in directe verbinding staat met deze servers. Wil je een on-premise omgeving continu up-to-date beveiligen, dan moet je zeker de nodige voorzieningen treffen! Concreet betekent dit dat de kennis over beveiliging optimaal moet zijn. In de praktijk is er echter niet altijd voldoende tijd voor bijscholing.
Enkele voor- en nadelen:
- Altijd volledige regie over data en systemen
- Eigen locatie, software, hardware, netwerk
- Beheer, configuratie, security, logging in eigen beheer
- Fysieke beveiliging vaak minder goed geregeld
- Apparatuur is snel verouderd of niet goed geconfigureerd
- Security patches, software updates bij de meeste organisaties pas na 30 tot 60 dagen
- Onveilig handelen door werknemers vergt aandacht
Opslag in een datacenter
Cloud diensten zijn alleen via internet te benaderen en dat brengt natuurlijk veiligheidsrisico’s met zich mee. Angst over de locatie waar de data in de cloud wordt opgeslagen, was in het verleden vaak reden voor twijfel. Meestal ingegeven door een gebrek aan kennis over de beveiliging van datacenters. Het verschil ten opzichte van lokale data opslag is dat in een beveiligde datacenter hackers en virusbrouwers niet snel kunnen binnendringen. Datacenters hebben nu eenmaal meer kennis en middelen ter beschikking en kunnen maximaal investeren in veiligheid. Denk hierbij aan beveiliging op centraal niveau, aan security diensten, zoals een managed en hosted firewall, encryptie van data enzovoort. Toegang tot servers en gemaakte aanpassingen worden bijgehouden in logging-systemen, waarmee iedere uitgevoerde actie inzichtelijk is en misbruik praktisch onmogelijk is. Daarbij komt dat datacenters bij inbraak enorme schade zouden oplopen door imagoverlies.
Enkele voordelen:
- Datacenters zijn goed tegen brand en inbraak beveiligd
- Datacenters hebben goed opgeleid personeel, security gecertificeerd, externe audits
- High-end security software: virusscanner, firewall, encryptie
- Up-to-date hardware, snel gepatched en met de laatste software updates
- Geen zorgen over verlies van data c.q. opslag gespreid over meerdere datacenters
- Snel herstel van data bij malware en cryptoware aanvallen (vanaf back-ups)
Afwegingen
Elke organisatie zal zijn eigen afwegingen maken bij de keuze om lokaal te blijven of al dan niet (deels of geheel) over te gaan naar de cloud. Vooroordelen en twijfels die bestaan over de veiligheid van de cloud zijn niet gegrond. Het inrichten van een net zo veilige lokale omgeving is zeker niet onmogelijk maar vergt wel een solide aanpak en de nodige kennis van hedendaagse security vereisten en beheer om de omgeving veilig te houden. Angarde helpt organisaties met het inrichten van een optimale beveiliging, of er nu gekozen wordt voor cloud of voor lokaal. Neem gerust contact met ons op. Stuur een berichtje of bel 030 666 72 00!
Het team van Angarde
P.S. In de volgende blog zullen we ingaan op de mogelijkheden die Office 365 biedt voor beveiliging van de bedrijfsdata en bijbehorende compliancy aspecten.