Geschreven door: Dave Barneveld

In mijn begindagen van mijn rol als Accountmanager voor Networking4all, hoorde ik vaker dat mensen zeggen dat je gegevens veilig zijn, zolang je maar in de cloud werkt of een externe IT partij inschakelt. Dan heb je namelijk geen security maatregelen of audits meer nodig. Maar, is dat wel zo?

Security is als de beveiliging van een huis

Ik gebruik graag metaforen. Die hebben mij enorm geholpen om security beter tastbaar te maken en de vertaalslag te maken. Security kan je zien als het beveiligen van je huis. Belangrijke documenten bewaar je in een kluis, en voor je weggaat van huis, zet je misschien wel het alarm aan. Maar stel dat je een uit-de-hand gelopen hobby hebt in het verzamelen van exclusieve motoren, waar je alleen met mooi weer op wilt rijden? Thuis heb je misschien geen of net genoeg ruimte om een of twee motoren te stallen, maar waar sla je de rest van de motoren op? Aan de straatkant neem je een risico dat de motor wordt beschadigd en of gestolen wordt. Daarnaast laat je je dure motoren toch ook niet wegroesten wanneer het regent? Het maandelijks huren van een externe opslagplaats, is dan een hele goede oplossing. 

Ik blijf in dit voorbeeld bij de opslagplaats. Die kun je vergelijken met de data die naar de cloud wordt gestuurd. Als het goed is, is deze opslagplaats goed beveiligd, daar betaal je immers voor! Maar stel dat je je sleutel verliest? Voor het kwijtraken van je sleutel ben jij verantwoordelijk, niet de verhuurder. De kans dat degene die jouw sleutel vindt, ook nog eens weet waar jouw opslagplaats en de motoren zich bevinden is zeldzaam. Maar hoe zit het in de digitale wereld?

De digitale sleutel naar de opslagplaats

Om terug te komen op de gehuurde opslagruimte – vaak ben jij de enige die hier de toegang heeft. Om toegang te krijgen tot de digitale wereld heb je een digitale sleutel nodig, een inlognaam en hopelijk een moeilijk lang wachtwoord met verschillende karakters. 

Echter, ben jij niet de enige die een sleutel nodig heeft om de toegang te krijgen, maar ook jouw collega’s moeten deze toegang hebben. Jij hebt zelf dus geen controle meer over hoe zij met hun sleutel omgaan.

Daarbij zien we dat de medewerkers vaak dezelfde sleutel gebruiken, waarmee ze ook toegang hebben tot andere diensten, zoals Facebook, Instagram en de online privemail. Wordt één wachtwoord gekraakt, dan kan men bij alle andere diensten ook inloggen.

Is alleen een digitale sleutel voldoende?

Om de toezicht te verscherpen voor wie toegang heeft tot de externe opslag, zou je kunnen werken met een portier, die alleen de opslagplaats kan openen, wanneer jij jezelf kan authenticeren en ook de persoon bent, wie daarvoor gemachtigd is. Nu is dit in de fysieke wereld en voor deze metafoor wel een erg overdreven voorbeeld, maar waar meerdere personen in de digitale wereld op dezelfde locatie werken en daarvoor de toegang nodig hebben, is het wel handig dat degene met de digitale sleutel zichzelf ook kan identificeren/authenticeren. Wij noemen dat ook wel tweestapsauthenticatie (2FA). Helaas zien we vandaag de dag, dat ook nog niet iedereen met een tweestaps login werkt. 

Een medewerker die de digitale sleutel verliest waarna er vervolgens gebruik van wordt gemaakt door een onbevoegde, behoort niet tot de verantwoordelijkheid van de externe partij of clouddienst, maar van de persoon en de organisatie waar hij of zij voor werkt.

Conclusie

Je zou dus kunnen zeggen dat de digitale wereld ten opzichte van de fysieke wereld, makkelijker binnen te dringen is dan bijvoorbeeld die opslag voor de motoren. Met het enkel hebben van een externe IT-partij of een clouddienst, zijn er nog zoveel security maatregelen extra, die de aandacht horen te krijgen. 

In de volgende blogpost ga ik hierop verder.

Networking4all is een ervaren professional op het gebied van Security. Wij gaan graag met u in gesprek om de mogelijkheden voor uw specifieke situatie te bespreken.

Neem vrijblijvend contact op met ons via +31 (0)20 7881030 / sales@networking4all.com


Deel artikel via: