Bestuursraden kunnen ingedeeld worden in twee groepen wanneer het gaat om cloud security. De eerste, en kleinste, groep zijn de bestuursraden die niet graag bedrijfsdata naar cloud-platforms overzetten, om security-redenen. De tweede, en grotere, groep zijn bestuursraden die hun zorgen over cloud security hebben, maar die wel positief zijn over de cloud, opzettelijk of onopzettelijk. Zij hebben hun gang naar de cloud al gemaakt en werken met platforms zoals Office 365, Salesforce en Amazon Web Services. Echter, zij hebben niet altijd security-risico's meegenomen in hun beslissingen.

Ongeacht de groep waar je bestuur bij hoort; het is essentieel voor CISO's om betrokken te worden bij de cloud-discussie, zodat zij het belang van security kunnen overbrengen op het hoogste niveau van de organisatie. Dit gezegd hebbende, wil ik graag vier zaken benadrukken die CISO's tegen hun bestuursleden moeten zeggen tijdens de (soms ongemakkelijke) gesprekken over cloud security.

1. De cloud is slechts één van de vele risico's

Het is veel eenvoudiger voor bestuursleden om het belang van cloud security te begrijpen wanneer hen wordt uitgelegd hoe deze de business kan bedreigen. Bestuursleden maken elke dag keuzes over risico's en de cloud is slechts één van deze risico's. In discussies over cloud security moeten bestuursleden zich hetzelfde afvragen als in elke discussie over risico's: Hoe verkleinen we het risico op materiële impact op de organisatie wanneer we data naar de cloud overzetten?

Elke cloud-applicatie bevat een verschillende dataset die elke organisatie anders gebruikt. Wanneer een bedrijf bijvoorbeeld publieke marketingdocumenten naar de cloud wil migreren, is het risico op materiële impact op de business niet heel hoog in het geval van een datalek. Echter, wanneer het bedrijf de broncodebibliotheek van een nieuw product naar de cloud migreert, is het risico van materiële impact bij een datalek aanzienlijk hoger.

2. Interne public cloud-security is niet genoeg

Bestuursraden moeten de basics kennen van wat de public cloud is en hoe deze beveiligd is. Bijna elke cloud-provider heeft een vorm van interne security op zijn platform. Vaak nemen mensen aan dat elk type security dat deze providers aanbiedt voldoende is, maar dat is op z'n zachtst gezegd niet waar. Binnen cloud security delen zowel bedrijven als public cloud-providers de verantwoordelijkheid. Hierbij is de security van de platform-infrastructuur de verantwoordelijkheid van de cloud provider en de data security de verantwoordelijkheid van de organisatie.

De waarheid is dat cloud-data net zo veilig is als data waar dan ook in de organisatie. Als je daarom extra security-maatregelen wil nemen om non-cloud data te beveiligen, moet je een stap meer zetten om de data te beschermen die wél is opgeslagen in de cloud. Daarnaast moeten je cloud-maatregelen diep geïntegreerd zijn met de rest van je security-architectuur, welke onderling moeten communiceren met een hoge graad van automatisering. Op deze manier heeft de organisatie een veel grotere kans om cyberaanvallen en de daar uit voortkomende datalekken te voorkomen.

3. Cloud security is geen ander type security

Vaak wordt cloud security gezien als een ander type security die een andere benadering nodig heeft. Wanneer ik hierover nadenk, vraag ik me altijd hetzelfde af: Zou het niet ideaal zijn om de security van cloud-diensten te beheren op dezelfde manier waarop het bedrijf omgaat met security op externe locaties, in het datacenter en op mobiele apparaten?

Wanneer bedrijven ook maar een sprankje hoop hebben dat zij succesvolle cyberaanvallen kunnen voorkomen in de cloud, het netwerk of op de endpoints, moeten bestuursraden een bedrijfsbrede benadering van securitybeheer steunen. CISO's weten dat het beheer en de orchestratie van meerdere security-benaderingen en producten tot complicaties kunnen leiden in security-omgevingen, waarbij er meer ruimte is voor fouten, risico's en de daarbij horende kosten. Het in kaart brengen van deze risico's en potentiële kosten is iets wat de bestuursraad zal appreciëren, begrijpen en daarom op de juiste manier zal prioriteren.

4. Bij preventie hoort ook het beveiligen van de cloud

De meeste moderne bestuursraden die ik spreek over cybersecurity houden er een filosofie van preventie op na. Zichtbaarheid is de fundering van deze filosofie, evenals de beveiliging van de gehele organisatie, of dit nu in het datacenter is, op externe locaties, op mobiele apparaten of in de cloud. Met hulp van hun CISO's begrijpen bestuursleden dat, om gevaarlijke situaties te voorkomen, preventie het belangrijkste doel is en de basis moet zijn van elke investeringsbeslissing op het gebied van security. Voor CISO's die dit hun bestuursleden duidelijk willen maken is het essentieel om te laten zien hoe een holistische benadering van security uiteindelijk risico's voor de business vermindert en succesvolle cyberaanvallen voorkomt. Hierbij speelt ook de manier waarop de cloud beveiligd is een rol.