CASBs maken werken in de cloud veiliger. Maar dan moet je ze wel goed gebruiken. Vijf tips

CASBs maken werken in de cloud veiliger

Op het strand nippen van een drankje én het laatste financiële verslag van een collega reviewen. Aan de keukentafel een broodje eten én een rapport over beveiliging van infrastructuur schrijven. Het kan allemaal. Technologie bevrijdde onze medewerkers van kantoorruimtes én maakte kantoren van onze huizen, tuinen, ja eigenlijk alle plekken waar we privé vertoeven. Maar is privé werken wel zo veilig?

Contact

Senior consultant

KPMG Nederland

Contact

Gerelateerde content

Veel corporates gebruiken cloud-storage oplossingen voor hun werk. Denk aan Microsoft One Drive, Google Drive, Box of Dropbox. Wanneer ze documenten buiten de organisatie willen delen, nodigen ze externe gebruikers uit voor een interne cloud map, bijvoorbeeld in OneDrive. Dan wordt automatisch een uitnodiging gestuurd aan de externe gebruiker met een link naar die cloud map. Alleen, iedereen die een privé-account heeft bij deze cloud-diensten, kan de zakelijke documenten ook met zijn privé-account bereiken. Het enige wat ze nodig hebben, is de link. En daarin schuilen risico’s. Stel iemand zit thuis, krijgt een link via zijn zakelijke e-mailaccount en surft met zijn privéprofiel naar de cloudopslag van kantoor. Onopgemerkt loopt het bedrijf nu risico. Diegene kan de link bijvoorbeeld delen met anderen. En wat als de laptop niet goed is beveiligd en een hacker de toegang krijgt? Dan kan ook die de link gebruiken. Niet wenselijk.

Nu zijn er over de risico’s van werken in de cloud terrabytes vol geschreven. Onderzoeksinstituut Gartner bijvoorbeeld, publiceerde er meerdere papers over. Het instituut was ook de bedenker van het woord "CASB" = Cloud Access Security Broker, ook wel hét wondermiddel voor beveiliging van de cloud genoemd. CASBs zijn software leveranciers die organisaties inzicht geven in het gebruik van cloud-diensten en bijbehorende datarisico's. CASBs kunnen het gedrag van de medewerkers in de cloud analyseren, de medewerkers controleren, zakelijke gegevens in de cloud beschermen. CASBs, kortom, bewaken zakelijke cloud-diensten en proberen beveiligingsincidenten te voorkomen.

Zijn CASBs echt het wondermiddel waarvoor ze worden gehouden? Jaren van werken met CASBs leerde me dat Gartner en consorten goed werk hebben verricht. Maar dat je CASBs wel op de juiste manier moet inzetten. Hoe?
 

Mijn belangrijkste tips:

  • Ken uw doelen. Wilt u het gedrag van gebruikers in specifieke SaaS-oplossingen controleren. Wilt u het totale internetverkeer dat naar de cloud gaat inspecteren? Of wilt u alleen een extra compliance check om te zien waar de bedrijfsgegevens naartoe gaan? En: hoe zit het met de toegang tot de cloud vanaf (onbeheerde) mobiele apparaten? De antwoorden kunnen de keuze van een mogelijke CASB-provider (of meerdere providers) sterk beïnvloeden. Sommigen aanbieders bijvoorbeeld werken beter dan andere bij mobiele telefonie. 
  • Neem de juiste maatregelen (policies). CASBs beweren dat ze het cloud-gebruik inzichtelijk maken, en dat doen ze dan ook. Maar ze werpen zo veel licht op de zaak, dat gebruikers ervan een zonnebril met UV-filter moet overwegen. Met dit UV-filter bedoel ik beleidsmaatregelen die CASBs zal gebruiken om belangrijke alerts te genereren, te classificeren en te publiceren in de dashboards. Als ze niet goed zijn ingesteld, kunnen CASBs zo veel alerts genereren dat het voor bedrijven onmogelijk wordt om al die informatie te verwerken. Door scherpe beleidsmaatregelen in te stellen kun je ervoor zorgen dat alleen noodzakelijke informatie wordt verzameld.
  • Maak verbinding met enterprise IAM mogelijk. Om de meeste CASB-functionaliteiten te bereiken - zoals het waarschuwen voor de toegang tot cloud-diensten vanuit vreemde of verboden locaties - is het essentieel dat je verbinding kunt maken tussen CASB en jouw Identity en Access Management systeem (dat kan zowel on-premise of IDaaS zijn). Indien goed geregeld (zie het vorige punt), zal dat het risico van onbevoegde toegang tot uw cloud-services verminderen.
  • Sluit CASB aan op de cloud of on-premise SIEMs. Eén bron van alerts is voor administrators vaak makkelijker om cloud-afwijkingen te controleren. Splunk dashboards kunnen handig zijn, of het ontvangen van alle CASB-alerts in uw on-premise SIEM. 
  • Concentreer gebruikers bij specifieke cloud-providers. Als je begrijpt waar het internetverkeer naartoe gaat en vandaan komt en wat typisch gedrag van gebruikers is, kunt u de verkregen kennis gebruiken om specifieke cloud-diensten te stimuleren (dus voor CRM, samenwerking, cloud-opslag, enzovoorts). Zo beperkt u het aantal cloud-diensten waarvan uw personeel gebruikmaakt. Het blokkeren van cloud-diensten als Slack zal overigens niet veel uitmaken, want er zijn altijd alternatieven (voor Slack zijn dat Teamwork of Trello) waarnaar gebruikers kunnen overschakelen. 

CASB maakt veilig werken vanuit huis, vanaf het strand,waar dan ook mogelijk. Maar dan alleen als de werkgever dit wondermiddel op de juiste manier inzet.

Wilt u weten hoe u CASB’s optimaal inzet? Neem dan contact met me op!
 

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

Nieuwe digitale platform van KPMG

KPMG International heeft een state of the art digitaal platform ontwikkeld dat uw digitale ervaring verbetert en het vinden van nieuwe en relevante content optimaliseert.