Cloud security is niet uit te besteden, je organisatie is aan zet

In dit artikel:

Een rondetafeldiscussie met securityexperts van Conscia, PQR, Tesorion, Thales en Upwind Security benadrukt dat cloudbeveiliging geen kant-en-klare dienst is die je simpelweg kunt uitbesteden: de klant blijft een grote verantwoordelijkheid houden. De deelnemers constateren dat cloudomgevingen gelaagd, complex en vaak afhankelijk van meerdere leveranciers zijn, waardoor heldere keuzes en kennis bij de klant essentieel zijn.

Wie en wat: experts uit de praktijk bespraken hoe organisaties — vooral mkb’ers — vragen moeten stellen aan vendors en intern moeten bepalen welke processen en systemen cruciaal zijn. Zonder die prioritering weten bedrijven niet waar ze in moeten investeren of welke concessies in gebruiksgemak acceptabel zijn. De menselijke factor blijft de zwakste schakel, maar juist medewerkers weten welke systemen levensbelangrijk zijn bij incidenten.

Belangrijke thema’s:
- Prioriteren en dreigingsgedreven denken: bepaal eerst welke processen kritiek zijn en maak keuzes op basis van reële dreigingen. Dat voorkomt zowel overspannen dichttimmeren van systemen als onnodig veel gebruiksfrictie.
- Data en metadata: data-classificatie krijgt te weinig aandacht. Metadata kan veel over een organisatie prijsgeven (functietitels, licenties, context) en verdient bescherming en classificatie, vinden de experts.
- Basismaatregelen zijn niet optioneel: middelen zoals MFA en passkeys helpen, maar zijn geen wondermiddel; aanvallers blijven technieken zoals infostealers en BEC (Business Email Compromise) inzetten. MFA is wel vaak een vanzelfsprekende stap in een dreigingsgerichte verdediging.
- People & process: enkel trainen op phishing is onvoldoende. Organisaties moeten tools inzetten die aanvallen detecteren en data beschermen, inclusief alerts bij toegang tot gevoelige databases.
- Developers en misconfiguraties: ontwikkelomgevingen vormen een risico wanneer developers te veel rechten hebben of Infrastructure-as-Code onzorgvuldig wordt ingezet. Misconfiguraties maken cloudomgevingen kwetsbaar.
- Controle en verantwoordelijkheid: klanten vragen soms niet door bij vendors en controleren onvoldoende of afgenomen maatregelen daadwerkelijk werken — bijvoorbeeld of back-ups effectief afgeschermd zijn. Incidenten laten zien dat functionaliteit in pakketten niet altijd juist is geconfigureerd door de afnemer.
- Technische ontwikkelingen en adoptie: sommige nieuwe oplossingen helpen, zoals enterprise-browsers die meer zichtbaarheid geven op browser-gebaseerde aanvallen. Tegelijkertijd moeten werknemers het idee accepteren dat een werkapparaat bedrijfsmatig beheerd wordt.

Aanpak en advies: voer stapsgewijs verbeteringen door en begin bij wat voor jouw organisatie het belangrijkst is. Stel zowel je business owners als leveranciers vragen over kritische processen, toegangscontrole, data-classificatie en detectie/response-capaciteiten. Controleer periodiek of afgesproken configuraties en beschermingsmaatregelen ook echt zijn doorgevoerd.

Conclusie: cloud security is geen kwestie van één tool of complete uitbesteding: het vereist organisatiebreed bewustzijn, een dreigingsgerichte mindset en actieve betrokkenheid van de klant bij ontwerp, configuratie en controle. Alleen door die verantwoordelijkheden te combineren met passende tooling en simpele, breed toepasbare regels (veilig gedrag, minimale privileges, goede back-ups) ontstaat een realistischer en effectiever beveiligingsniveau.