Home » Technology » Security » Waarom zou je de beveiliging van Google en Facebook niet vertrouwen?

Waarom zou je de beveiliging van Google en Facebook niet vertrouwen?

Tech Page One

Waarom zou je de beveiliging van Google en Facebook niet vertrouwen?

 

Veel CSO’s hebben een strenge houding ten opzichte van het gebruik van schaduw-IT cloud-diensten van bijvoorbeeld Google en Facebook binnen de eigen bedrijfsmuren. Ze hebben immers geen compleet inzicht in de kwaliteit van de veiligheidsmaatregelen die deze cloud-bedrijven nemen. Mijn oproep: omarm schaduw-IT en maak het onderdeel van je security audit!

Vroeger had je het maar makkelijk als CSO en was het relatief eenvoudig te beheersen welke software en devices de medewerkers op de werkvloer gebruikten. Met de komst van cloud computing en cloud-diensten is dat een stuk lastiger geworden. Iedere werknemer kan gratis of voor een paar euro’s van de beste cloud-diensten gebruik maken. Voor de werknemer prettig, maar voor de CSO natuurlijk een nachtmerrie. Bedrijfsdata verplaatst zich immer gemakkelijk buiten de eigen bedrijfsmuren en is daar buiten de controle van IT waardoor je maar moeilijk in kan staan voor de beveiliging van die data. De grote vraag: wat moet je als CSO doen?

Coulance

Waarom zou je de beveiliging van Google en Facebook niet vertrouwen?Er wordt door CSO’s heel verschillend gereageerd op schaduw-IT. Zie ook de blog die daar door John McClurg, CSO van Dell, over geschreven is. Sommige CSO’s hebben een coulante houding. En voor een deel is dat begrijpelijk. Cloud-dienstverleners als Google, WhatsApp en Facebook bieden immers allerlei diensten aan consumenten die ook interessant kunnen zijn voor werk. Denk bijvoorbeeld aan chatprogramma’s als Skype of Google Hangout, of cloud-opslag als Dropbox en Google Drive. De werkdruk is hoog en je wilt mensen niet in de weg zitten om dit soort nuttige cloud tools te gebruiken. Bovendien is de beveiliging van diensten van Google en Facebook de laatste jaren sterk verbeterd. Zo krijg je tegenwoordig direct een melding als er vanaf een onbekend apparaat wordt ingelogd op je Google-account, en ook is het mogelijk om two factor authenticatie in te stellen. En waarom zou je de beveiliging van Google en Facebook eigenlijk niet vertrouwen?

Praten met Google

Andere CSO’s kiezen weer voor het andere uiterste: zij blokkeren juist alle mogelijke alternatieve cloud-diensten. Ze hebben daar verschillende argumenten voor. Op de eerste plaats is er een compliance-kwestie. De Nederlandse overheid stelt steeds strengere eisen aan de IT-security van bedrijven. En zonder enige controle op Google en Facebook kan je als CSO natuurlijk nooit bewijzen en garanderen dat je de security goed op orde hebt. En los van compliance-risico’s wil je toch ook de governance modellen begrijpen van je usual schaduw-IT suspects: hoe hebben ze het geregeld en welke afspraken hebben ze intern gemaakt?

Gesprek

Ik vind dat je het gesprek aan moet gaan met de veel gebruikte cloud-dienstverleners, zodat je je eigen beveiligingsmaatregelen kunt afstemmen op die van hen. En dat geldt dus ook voor Google en Facebook. Waarom maak je Google bijvoorbeeld niet onderdeel van je security audit? Het zorgt ervoor dat je business voldoet aan wet en regelgeving en het geeft de CSO zekerheid. Grote banken kunnen nu bijvoorbeeld vaak maar beperkt gebruik van Google-tools toestaan. Voor hen opent het in potentie een grote markt. Bedrijven maken zich zorgen om hun kroonjuwelen (bedrijfsdata) en medewerkers maken zich zorgen over hun privacy en hun digitale identiteit. Waarom dan niet maximale openheid verschaffen over je security-maatregelen, zodat iedereen weet dat de IT-beveiliging van Google goed is?

 

 

Mark-Peter Mansveld

Mark-Peter Mansveld

Mark-Peter Mansveld is sinds april 2012 country manager Benelux van Dell Software Group. In deze rol is hij verantwoordelijk voor de Dell Software Group in Nederland, België en Luxemburg. Hij richt zich vooral op Identity & Access Management, Performance Monitoring en Cloud Information & Integration Management. Voor de overstap naar Dell was Mark-Peter country manager voor Quest Software dat in 2012 werd overgenomen door Dell. Daarvoor bekleedde hij diverse commerciële functies bij Novell, Hewlett-Packard en Compaq.

Laatste Artikels:

 

Tags: Security, Technology