Het fysieke beveiligingsaspect van de cloud

Blog

Categorieën

Data zijn tegenwoordig een van ’s werelds meest waardevolle zaken, of het nu gaat om hoogwaardige content van banken, de real-time data bij live TV-uitzendingen of de Big Data-initiatieven die als brug tussen IT en business worden gelegd. Het is dan ook niet vreemd dat bedrijven zich, mede onder invloed van de vele afluisterschandalen en dataprivacyschendingen die recent in het nieuws zijn geweest, steeds meer zorgen maken over de beveiliging van hun data. Het gevoel dat hun data niet veilig zijn, wordt versterkt doordat een steeds groter gedeelte van de bedrijfsdata in de cloud wordt opgeslagen.

Met de adoptie van cloud computing besteden bedrijven steeds meer IT-zaken uit aan derden, waaronder ook de manier waarop het beheer wordt uitgevoerd. Daarbij komt het feit dat veel cloud-achtige diensten gebaseerd zijn op het principe dat meerdere afnemers de onderliggende infrastructuur gedeeld gebruiken. Ook hieruit leiden bedrijven af – overigens ten onrechte – dat anderen zich gemakkelijk toegang tot hun data kunnen verschaffen. Aan de andere kant is het niet voor niets dat banken en andere organisaties met strenge beveiligingseisen ervoor blijven kiezen om hun gevoelige informatie op een besloten en ongedeeld platform onder te brengen. Welke cloud-dienst geschikt is voor een organisatie en welke cloud-vorm dat moet zijn, wordt bepaald door de richtlijnen waar een organisatie zich aan moet houden, het type applicatie en de aard van de dataset. Los van welke cloud-oplossing wordt gekozen, is het hoe dan ook belangrijk dat een bedrijf met een deskundige én betrouwbare cloud-provider of IT-dienstverlener in zee gaat.

Datzelfde geldt voor de selectie van de leverancier van colocatie-datacenterdiensten waar de cloud-oplossing wordt gehuisvest. Want fysieke beveiliging is net zo belangrijk is als virtuele beveiliging van data en de datacenterleverancier is de partij die de fysieke beveiliging voor zijn rekening neemt. Toch is fysieke beveiliging van data niet iets wat top of mind is bij de meeste bedrijven. Dit blijkt ook wanneer ik mensen rondleid die voor het eerst in ons datacenter zijn. Deze bezoekers zijn vaak ronduit verbaasd over de beveiligingsmaatregelen die ze door moeten. En dan hebben ze nog geen voet op de datavloer zelf gezet. Voor een aanbieder van datacenterdiensten geldt dat men er redelijkerwijs van kan uitgaan dat het met fysieke veiligheid goed is gesteld als de datacenterleverancier de processen volgens ITIL-normen heeft ingericht, in de SLA garanties heeft opgenomen over de stroomvoorziening, koeling en luchtvochtigheid, het ISO 27001-certificaat heeft voor informatiebeveiligingsmanagement en de BS25999-certificering voor het adequaat beheren en bewaken van zijn Business Continuity Managementsysteem. ISO 27001 is de meest vergaande internationale standaard voor fysieke systemen en fysieke veiligheidsprocessen. Bij processen gaat het ook om ogenschijnlijk logische gedragscodes die een bedreiging kunnen vormen voor de fysieke veiligheid van de data, zoals geen eten en drinken op de datavloer en geen brandbare materialen en stoffen binnen het datacenter. Het zijn juist dit soort regels die vanzelfsprekend lijken, maar die in de praktijk nog weleens met voeten worden getreden. Het is de taak van een datacenterleverancier om te zorgen dat ook dit soort gedragsregels worden nageleefd, opdat de fysieke beveiliging van data optimaal is.

Fysieke beveiligingsmaatregelen zijn een stuk beter zichtbaar dan virtuele beveiligingsmaatregelen. Tel daarbij op dat de beveiligingsmaatregelen in een onafhankelijk colocatie-datacenter normaal gesproken de beveiligingsmaatregelen van een bedrijf met een eigen datacenter on-site ver overstijgen, en het is verklaard waarom bezoekers die voor het eerst in een onafhankelijk datacenter komen een groot gevoel van vertrouwen krijgen. Met dat gevoel van vertrouwen wordt al een deel van de angst voor de cloud weggenomen. De resterende terughoudendheid van bedrijven die overwegen hun data in de cloud onder te brengen, zal moeten worden weggenomen door de cloud-providers en de IT-dienstverleners. Wat dat betreft helpt het dat de technologische mogelijkheden continu verbeteren, waardoor fysieke en virtuele beveiliging steeds geavanceerder worden. Ik voorzie dan ook dat over een aantal jaren de algemene opinie zal zijn dat data in de cloud veiliger is dan data die lokaal is opgeslagen, juist omdat beveiliging van data een combinatie is van virtuele en fysieke beveiligingsmaatregelen.