Niall Browne, hoofd informatiebeveiliging
De Cloud Security Alliance (CSA) organiseerde vorige week, 16-17 november, hun jaarlijkse congres in Florida. Een vraag die grotendeels afwezig was op de bijeenkomst van dit jaar was de repetitieve vraag "Zullen bedrijven naar de cloud verhuizen?" wat veel angst en handenwringen vergde. Dit werd in plaats daarvan vervangen door het besef dat de acceptatie van de cloud snel een realiteit in de branche aan het worden was en dat bedrijven stappen moesten ondernemen om bij te blijven, anders zouden ze achterblijven.
Het advies van de voorzitter van Symantec, John W. Thompson, vanaf het podium was inderdaad "Vecht niet tegen moeder natuur!" die goed werd ontvangen door de aanwezigen.
"Trust but Verify" is altijd een van de belangrijkste filosofieën van bedrijven geweest bij het evalueren van de beveiliging van hun leveranciers, en cloudproviders vormen hierop geen uitzondering. Een van de belangrijkste zorgen met betrekking tot de cloud is echter dat er bij de introductie van nieuwe technologieën en operationele modellen nieuwe cloudcontroles moeten worden gecreëerd om de veranderingen bij te houden, en de vraag rijst: "Waar zijn deze cloudbeveiligingsverificatiecontroles?"
Gelukkig waren er tal van leiders in de cloud en instanties in de beveiligingsindustrie aanwezig op de conferentie om te beginnen met het beantwoorden van de cloud-verificatievraag, waaronder CSA, ISACA, BITS en CAMM, onder andere. Zelfs de federale overheid was aanwezig met het Federal Risk and Authorization Management Program (FedRAMP), dat is opgezet om een standaardbenadering te bieden voor het beoordelen van cloudservices. Een van de belangrijkste voordelen is dat de beveiligingsresultaten van de cloudleverancier vervolgens door de hele federale overheid kunnen worden gebruikt. Verdere informatie is te vinden hier.
Vorige maand verscheen BITS Shared Assessments "Het evalueren van cloudrisico's voor de onderneming", een gids van vijftig pagina's over de stappen die nodig zijn om de cloud te beveiligen. Dit omvatte de deelname van vele marktleiders, waaronder Goldman Sachs, US Bank, AT&T, Gartner, KPMG, ISACA en CSA. Tijdens de conferentie presenteerde ik de nieuwe 'Delta'-cloudcontroles die nodig zijn om de beveiliging van cloudleveranciers te evalueren, en de stappen die grote bedrijven kunnen nemen om cloudbeveiliging op te nemen in hun bestaande leveranciers- en risicobeheerprogramma's. Deze Begeleiding, die werd voorgezeten door LiveOps, is te vinden hier.
Iedereen was het erover eens dat het proces om de cloud te helpen beveiligen en de nodige verificatiestappen te creëren een progressief en iteratief traject inhoudt. Deze conferentie luidde de eerste wijdverbreide toewijding van de industrie in om dit doel te helpen bereiken, met tal van organisaties en bedrijven die innovatieve beveiligingsprogramma's voor de cloud aankondigden, en met belangrijk leiderschap van de Cloud Security Alliance (CSA). Meer informatie over het congres is te vinden hier.
Wilt u meer weten over LiveOps en onze kijk op cloud computing en beveiliging? Bekijk het recente artikel waarop ik schreef Contact Center-beveiliging en de True Cloud.
