- Door
- Jeroen Mulder
- geplaatst op
- 1 augustus 2016 08:00 uur
Security officers en auditors bij grote bedrijven staan doorgaans niet te trappelen om allerlei zaken in de cloud te stoppen. De angst voor ‘shadow IT’ is reëel: door de laagdrempeligheid van cloudtoepassingen, kunnen medewerkers zelf eenvoudig allerlei diensten afnemen vanuit die cloud. Veel ondernemingen kiezen daarom voor private cloud-omgevingen voor zakelijke toepassingen. Het idee is dat deze private clouds wel goed kunnen worden beveiligd. Beveiliger Blue Coat toont echter in een steekproef aan dat medewerkers veel data in ongecontroleerde, onvoldoende beveiligde apps bewaren.
Bedrijven denken dat ze met de inrichting van een private cloud controle hebben over de wijze waarop medewerkers data bewaren. Het tegendeel blijkt echter het geval: medewerkers bewaren data op veel meer plaatsen, in cloudapps waar de IT-afdelingen geen zicht op hebben. Deze ‘shadow data’ vormt een groot beveiligingsrisico. Blue Coat stelt zelfs vast dat dit risico heel groot is: gemiddeld gebruiken medewerkers tot een factor twintig meer apps dan de IT-afdeling zelf faciliteert.
Uit de steekproef op bijna 15.000 zakelijke cloudtoepassingen en 108 miljoen documenten van Britse bedrijven, blijkt dat elk bedrijf gemiddeld 841 apps ‘gebruikt’ – het twintigvoudige van wat de IT-afdeling zelf in beeld heeft. Met andere woorden: IT-afdelingen zijn op de hoogte van gemiddeld 40 apps, terwijl de medewerkers in werkelijkheid zo’n 800 actief gebruiken. Is dat een probleem? Ja: want er is dan ook geen zicht op de data in die apps. En ja: want van die apps is slechts een heel klein deel goed beveiligd. Blue Coat stelt dat slechts 2 procent van alle zakelijke apps voldoen aan de security-eisen die de Britse overheid stelt, vooral op het gebied van privacy. Data in veel apps is eenvoudig te bereiken en te zien door onbevoegden.
De oplossing is niet eenvoudig. Een aantal bedrijven voert een actief encryptiebeleid op apparaten die werknemers gebruiken, maar die encryptie betreft dan alleen de data op de apparaten zelf. Data die in een onbeveiligde cloudapp staat, wordt hiermee niet ‘veiliger’. Het verbieden of zelfs actief blokkeren van het gebruik van dergelijke apps blijkt in de praktijk erg lastig – zowel technisch als juridisch, helemaal op bijvoorbeeld telefoons en tablets die via Bring Your Own-policies voor het werk worden gebruikt. Security blijkt meer en meer te gaan om gedrag van mensen – en dat is de grootste uitdaging in dit vakgebied.