De cloud onveilig of AVG-ramp? 5 tegenargumenten

/, Nieuws/De cloud onveilig of AVG-ramp? 5 tegenargumenten

Lange tijd werd de cloud geplaagd door een onveilig imago. Dat is inmiddels echter voornamelijk gebaseerd op onderbuikgevoel. Iets buiten de eigen invloedssfeer ‘voelt’ al snel onveilig. De cloud biedt inmiddels juist een aantal belangrijke securityvoordelen. Ook AVG-compliance is vaak geen goede reden meer om de cloud links te laten liggen. 5 security- en privacygerelateerde argumenten voor een overstap.

1. De cloud biedt zeer hoogwaardige security- en privacyvoorzieningen

Cloudvendoren profiteren van een schaalvoordeel: ze bedienen vaak duizenden, zo niet miljoenen klanten. Daardoor beschikken ze over securitybudgetten en voorzieningen waar veel organisaties slechts van kunnen dromen. De meeste organisaties hebben simpelweg niet de mankracht en de middelen om datzelfde niveau on-premise te realiseren.

De datacentra van cloudproviders zijn vaak beveiligd met de nieuwste securitytechnologieën. Bovendien ontvangen ze dagelijks een schat aan feedback en dreigingsinformatie. Daarmee kunnen ze hun security verder aanscherpen.

Ten slotte beschikken cloudplatforms over hoogwaardige modules voor identiteits- en toegangsbeheer. Dat minimaliseert de kans dat persoonsgegevens door de handen van onbevoegden gaan en vereenvoudigt dus juist AVG-compliance.

2. De cloud maakt handen vrij voor compliancetaken

De AVG vraagt het nodige van organisaties als het gaat om compliancetaken. Zo is in veel gevallen een verwerkingsregister verplicht. Dat is een uitgebreid overzicht waarin precies staat wie welke persoonsgegevens verwerkt, en voor welk doel dat gebeurt.

Daarnaast hebben organisaties de verplichting te voldoen aan verzoeken van betrokkenen waar het hun persoonsgegevens aangaat. Denk aan het verlenen van inzage in, of het corrigeren en/of verwijderen van alle klantgegevens. Dat moet bovendien tijdig gebeuren, volgens vastgelegde procedures.

Al die zaken kosten tijd en mankracht. De cloud bespaart de IT en administratie doorgaans veel tijd. Het beheer is immers geheel of gedeeltelijk in handen van de cloudprovider. Die vrijgekomen capaciteit kunnen ze dus goed gebruiken voor AVG-gerelateerde taken.

3. De cloud verkleint risico’s door patching

Iedere software bevat fouten en veiligheidslekken. Komen deze aan het licht, dan stelt de softwareleverancier patches beschikbaar. Een vlotte, tijdige installatie van deze patches is een belangrijke randvoorwaarde voor een goede security.

Dat is echter gemakkelijker gezegd dan gedaan. IT-afdelingen willen – terecht – patches van tevoren testen. Niemand zit immers te wachten op downtime doordat software na een patch niet meer naar behoren werkt.

Updates aan de infrastructuur vinden bij IaaS op de achtergrond plaats en staan pas ‘live’ na grondige tests. Bij SaaS heeft de gebruiker ook geen omkijken naar updates aan de applicaties. De cloud kent het risico op downtime door een verkeerd vallende patch dan ook niet of nauwelijks. Securityrisico’s door een zwak patchbeleid zijn een zeldzaamheid.

4. De cloud minimaliseert fysieke securityrisico’s

IT en data die on-premise zijn gehuisvest, staan altijd bloot aan fysieke securityrisico’s. Brand en diefstal zijn de bekendste voorbeelden, maar ook overstromingen en aardbevingen vormen (in sommige delen van de wereld) een bedreiging.

In de cloud is de impact van dergelijke risico’s doorgaans minimaal. De meeste serieuze cloudvendoren hebben hun IT-assets over meerdere datacentra verspreid staan. Het altijd aanwezige risico op brand of natuurrampen zal dan ook vrijwel geen enkele invloed hebben op de continuïteit of beschikbaarheid van data. Ook is door de vele strenge veiligheidsvoorzieningen inbreken in deze datacentra een kansloze missie.

5. De cloud heeft een hoge duurzaamheid en beschikbaarheid

Cloudproviders bieden vrijwel altijd een zeer hoge uptime van hun diensten. Harde garanties hierover zijn in een SLA vast te leggen. Bovendien garanderen ze een aan 100 procent grenzende duurzaamheid van opgeslagen gegevens. De kans dat data ‘kwijtraken’ door bijvoorbeeld kapotte disks is zo goed als nihil. Dat is belangrijk: want wanneer persoonsgegevens door technische gebreken niet toegankelijk zijn, geldt dat ook als datalek. Zo biedt Amazons Simple Storage Service 99,99999999999% duurzaamheid en tot 99,99% beschikbaarheid van data. Dat is op locatie moeilijk te evenaren.

Geen vrijbrief

De cloud is, ondanks de genoemde voordelen, geen vrijbrief voor een lakse houding. Ook in de cloud blijven organisaties verantwoordelijk voor de veiligheid van privacygevoelige informatie. De meeste cloudproviders hanteren een ‘shared responsibility’-model. Daarbij ontfermt de provider zich over de veiligheid van zowel de fysieke als digitale infrastructuur en – in het geval van SaaS-oplossingen – applicatie(s). De klant blijft aansprakelijk voor de veiligheid van de opgeslagen gegevens. Bij een datalek kunnen organisaties zich niet verschuilen achter de cloudaanbieder. Maatregelen als versleuteling en het opzetten van veilige verbindingen met de cloud blijven noodzakelijk. Uiteraard kunnen wij u daarbij ondersteunen.

De cloud is beslist geen allesomvattend antwoord op securityvraagstukken, en voor sommige workloads zelfs simpelweg ongeschikt. Bijvoorbeeld wanneer organisaties door zeer strikte compliancevereisten of specifieke klantwensen gebonden zijn aan zaken als ’air gaps’ of volledige controle over de servers. Dat neemt niet weg dat de cloud in alle andere gevallen een veilig alternatief biedt voor on-premise.

2019-01-31T08:31:38+00:00Categorieën: blog, Nieuws|

QSight IT wordt KPN Security: wat betekent dit voor u?

Beste relatie,

Samen met onze klanten willen wij Nederland elke dag een stukje veiliger maken. Met ingang van vandaag doen we dit onder een nieuwe merknaam: KPN Security. Graag leggen we uit wat dit voor u als gewaardeerde relatie van QSight IT betekent.

Wat is KPN Security

KPN voegt zijn securityorganisaties samen onder de nieuwe merknaam KPN Security. Hiermee ontstaat de grootste securityspecialist van Nederland. KPN Security biedt voor alle type organisaties (van midden- en kleinbedrijf tot corporate organisaties) een compleet security aanbod: van kant-en-klare (geïntegreerde) securityoplossingen tot complete managed securitydiensten.

Wat gebeurt er met QSight IT?

QSight IT maakt vanaf nu deel uit van KPN Security. Het merk QSight IT zal daarmee gaan verdwijnen, net als het eveneens in 2017 overgenomen securitybedrijf DearBytes. Wij opereren met ingang van vandaag onder de vlag van het nieuwe merk.

Wat verandert er voor u?

Geleidelijk zult u de overgang naar KPN Security gaan merken, maar u blijft contact houden met dezelfde mensen en ook de werkwijze blijft hetzelfde. De kernwaarden van QSight IT – betrokkenheid, betrouwbaarheid en innovatie – leven voort in KPN Security. Met gebundelde krachten kunnen we u nog beter van dienst zijn.

We presenteren KPN Security vandaag tijdens The Digital Dutch. Naar aanleiding hiervan is er ook eenpersbericht gepubliceerd, waarin u nog meer details kunt lezen.
Heeft u vragen over onze nieuwe organisatie of anderzijds? Dan horen we dat natuurlijk graag van u.

Met vriendelijke groet,

Martijn Hakstege
CEO QSight IT / EVP KPN Security

close-link