Security controls in hybride cloudomgevingen

Martin Maas CISO

27 augustus 2024

Security controls in hybride cloudomgevingen

Verhoog je weerbaarheid met een holistische aanpak

De toenemende regeldruk door Digital Operational Resilience Act (DORA) en de Network and Information Security Directive (NIS2) dwingt organisaties om hun digitale weerbaarheid te verhogen. Hoewel dit een uitdaging kan zijn, biedt het ook kansen voor verbetering en innovatie binnen de IT-omgeving. Met de opkomst van steeds geavanceerdere bedreigingen en strengere regelgeving is het belangrijker dan ooit dat organisaties proactieve en grondige beveiligingsmaatregelen implementeren. Een holistische benadering van security controls, waarbij alle aspecten van de IT-omgeving worden meegenomen, is cruciaal voor het verhogen van de digitale weerbaarheid.

De complexiteit van compliance

Compliance met wet- en regelgeving zoals DORA en NIS2 is cruciaal voor financiële instellingen, maar het kan een ingewikkeld proces zijn. Vooral in hybride en private cloudomgevingen blijft het voldoen aan deze eisen een uitdaging door het gebrek aan kennis, expertise, en mankracht. Daarentegen maakt de public cloud het voldoen aan compliance-eisen vaak eenvoudiger. Voor een actueel overzicht van de compliance met ISO 27001-status hoef je bijvoorbeeld weinig te doen in Azure, omdat veel security controls ingebakken zijn. Dit geldt ook voor een flink aantal maatregelen binnen SOC 1 en SOC 2, waar Microsoft checkt of deze worden uitgevoerd. Dit kan omdat in de public cloud zoveel mogelijk geautomatiseerd wordt. Geautomatiseerde security- en compliancechecks helpen organisaties zelf ook beter in control te zijn.

"Als je op basis van die overeenkomsten een stevige baseline vaststelt, zorg je er op een efficiënte manier voor dat je voldoet aan de compliance eisen."

8,5 miljoen computers plat

Maar dan nog blijven we kwetsbaar. Een groeiende zorg binnen cybersecurity is bijvoorbeld de dreiging van supply chain aanvallen. Hierbij krijgen bedrijven onbewust software in huis die tijdens de ontwikkeling geïnfecteerd is, wat ernstige gevolgen kan hebben. Auditors vragen expliciet naar supply chain aanvallen, omdat geïnfecteerde software die geïnstalleerd en gebruikt wordt via een achterdeurtje toegang kan geven tot de gehele omgeving. Het is daarom van groot belang dat organisaties niet alleen hun eigen systemen beveiligen, maar ook de leveranciers en software die zij gebruiken grondig controleren. Want overigens niet alleen via een bewuste aanval, maar ook door een foutje ergens in een update kan je bedrijfsproces verstoord worden. Denk maar aan de wereldwijde storing in miljoenen computers door een foutieve update van cybersecuritybedrijf CrowdStrike op 19 juli jongstleden. 

Een holistische aanpak van security controls

Ook hierdoor blijft het voldoen aan regelgeving voor hybride en private clouds complex en is een holistische benadering essentieel. Dit houdt in dat organisaties een overkoepelende set van security controls moeten implementeren die aan alle vereisten voldoen. Je kijkt hierbij verder dan individuele maatregelen en ontwikkelt een geïntegreerde strategie die alle aspecten van cybersecurity omvat. Dit is vooral belangrijk in complexe IT-omgevingen zoals hybride en private clouds.

Er zijn namelijk veel overeenkomsten tussen de vereisten van de verschillende wet- en regelgeving. Als je op basis van die overeenkomsten een stevige baseline vaststelt, zorg je er op een efficiënte manier voor dat je voldoet aan de compliance eisen.

Maar met het gebrek aan kennis en expertise én de nodige mankracht, is het voldoen aan compliance-eisen in een hybride of private cloud nog geen sinecure. Solvinity voert jaarlijks SOC 1 en SOC 2 audits uit en neemt klanten hiermee zorgen uit handen. Klanten en gebruikers van onze Solvinity Private Cloud én de door ons beheerde Azure cloudomgevingen kunnen met de SOC 2 Compliance Assurance Service het rapport gebruiken om de eigen compliance-inspanningen en -kosten te reduceren.