Steeds meer ondernemingen kiezen voor een multicloud-aanpak als onderdeel van hun digitale transformatie-inspanningen om gedistribueerde teams te ondersteunen die in hybride en externe modellen werken. En net nu hybride werkomgevingen niet meer weg te denken zijn, heeft de multicloudaanpak vaste voet aan de grond gekregen. Gartner voorspelt dat de wereldwijde cloud-inkomsten zullen stijgen $ 474 miljard in 2022met 90% van bedrijven werken al aan een multicloud-strategie.
Wanneer deze op de juiste manier wordt toegepast, kan een multicloud-strategie veel processen efficiรซnter maken. Het biedt ook een grotere veerkracht bij storingen en meer leveranciersflexibiliteit dan een strategie met รฉรฉn cloud. Bijkomende voordelen zijn onder meer:
- Voorkom een โโleverancierslock-in bij รฉรฉn cloudprovider. Een organisatie met een mondiale voetafdruk en gespecialiseerde data kan de locatie van het datacenter selecteren met de minste impact op de bedrijfsvoering. Microsoft Azure is momenteel bijvoorbeeld leidend in het Midden-Oosten vanuit het perspectief van een datacenterlocatie.
- De mogelijkheid om te profiteren van onderscheidende functies die door elke cloudleverancier worden aangeboden, zoals unieke databaseoplossingen in Google Cloud of de mogelijkheid om uw lokale en cloudbronnen veel naadlooser te beheren in Microsoft Azure.
- Betere kosten en bedrijfsveerkracht, met specifieke services die goedkoper zijn via een specifieke leverancier en bescherming tegen serviceonderbrekingen. Voor beide is het nodig dat u uw diensten zo ontwerpt dat u de voordelen optimaal kunt benutten, maar als uw organisatie eenmaal gevestigd is, kan zij haar investering in twee tot drie jaar terugverdienen, wat op de lange termijn tot kostenbesparingen leidt.
Deze voordelen brengen echter een prijs met zich mee. Het kan een uitdaging zijn om ervoor te zorgen dat de data- en cloudinfrastructuur veilig is en is afgestemd op uw verplichtingen en controles wanneer ongelijksoortige omgevingen worden gehost door meerdere providers. Het vertellen van een uniform verhaal over de data, configuratie en beveiliging binnen deze omgevingen kan vrijwel onmogelijk zijn.
CISO's die een multicloud-databenadering moeten zich concentreren op twee belangrijke beveiligingsproblemen: het beheersen van de risico's van leveranciers en hun verschillende cloud-operationele modellen, en het aantonen van de waarde van hun beveiligingscontroles en -strategieรซn in het licht van de hogere kosten van het opereren in een multicloud-wereld.
Risico's beheren in verschillende clouds
De impact en frequentie van cyberaanvallen zijn parallel gegroeid met de escalerende focus op multicloud-strategieรซn. Ransomware-aanvallen, datalekken en grote IT-storingen voerden de boventoon Allianz Risicobarometer dit jaar voor de tweede keer in de geschiedenis van het onderzoek, waarbij leidinggevenden ze als zorgwekkender beschouwen dan verstoring van de toeleveringsketen, natuurrampen en de pandemie. Bedrijven hebben gelijk als ze zich zorgen maken: organisaties over de hele wereld hebben er ervaring mee 50% meer wekelijkse cyberaanvallen in 2021, vergeleken met 2020.
Leiders uit het bedrijfsleven zijn zich bewust van het belang van cyberaanvallen, maar de meesten zijn onvoldoende geรฏnformeerd over de risico's die hun leverancierspartners met zich meebrengen. In PwC's โWereldwijd onderzoek naar digitale vertrouwensinzichten 2022โ, zei 57% van de bedrijfsleiders dat ze een toename van het aantal aanvallen op clouddiensten verwachten, maar slechts 37% zei dat ze de risico's van de cloud begrijpen. De aanpak en operationele modellen van beveiliging variรซren per cloudprovider, en bescherming tegen risico's is een gedeelde verantwoordelijkheid die alleen maar complexer wordt naarmate je gemeenschappelijke cloudservices toevoegt die verschillende benaderingen gebruiken, zoals identiteits- en toegangsbeheer (IAM) of gevirtualiseerde servers.
Verschillende cloudleveranciers hebben bijvoorbeeld hun eigen benadering van op rollen gebaseerde toegang. Amazon Web Services verwerkt de identiteit door IAM-beleid rechtstreeks aan een virtuele server te koppelen, waardoor de server actie kan ondernemen. Het aanbod van Google Cloud richt zich daarentegen op het maken van serviceaccounts (gebruikers) en het vervolgens koppelen van die accounts aan de server, zodat deze met een andere bron kan communiceren. Deze kleine verschillen stapelen zich op bedrijfsschaal op, waardoor de beveiliging complexer wordt en minimale bevoegdheden en andere beveiligingsvereisten in beide clouds worden gegarandeerd.
Omdat cloudservices niet zijn ontworpen om te integreren met hun concurrenten, is het leren gebruiken van beveiligingstools voor elke cloudprovider nog maar het begin. IT-teams zullen hun beveiligingsmonitoring moeten centraliseren met een security information event management (SIEM)-tool, samen met andere tools van derden om de interoperabiliteit van clouddiensten te vergroten. Deze toegevoegde systemen vereisen extra training en middelen en misschien zelfs extra IT-personeel om expertise op elk cloudplatform te garanderen en hoe deze platforms samenwerken.
Naast deze ingebouwde verschillen tussen hun diensten, geven de meeste cloudleveranciers prioriteit aan hun eigen, specifiek op maat gemaakte beveiligingsaanbod. Dit zorgt voor een groot aantal complicaties die de cloudbeveiliging teisteren. Een cloud-webtoepassingsfirewall (WAF) kan bijvoorbeeld worden gebruikt om uw netwerk te beschermen, maar deze werkt alleen met een specifieke cloudserviceprovider en kan niet worden uitgebreid over meerdere cloudaanbiedingen. Het dupliceren van deze functionaliteiten voor verschillende providers vereist het dupliceren van teams om deze belangrijke beveiligingstools te ondersteunen en beheren, of het kopen van een cloud-agnostische dienst โ wat weer een nieuwe leverancier aan de mix toevoegt.
Deze extra risico's en kosten, die doorgaans pas laat in de implementatie van een multicloud-model worden ontdekt, kunnen de tijdlijnen verschuiven, de kosten verhogen en tot auditbevindingen leiden. Als u deze risico's niet plant en beperkt, kan een bedrijf vatbaar zijn voor financiรซle verliezen, regelgevende maatregelen, rechtszaken en reputatieschade.
Waarde communiceren met risicokwantificering
Gartner schat dat tegen 2023 30% van de effectiviteit van CISO's zal afhangen van hun vermogen om waarde aan te tonen. Naarmate multicloud-datastrategieรซn de norm worden en de kosten van beveiligingscontroles binnen die strategie toenemen, kan risicokwantificering leiders helpen hun waarde consistent te communiceren door de multicloud-risicopositie uit te drukken in duidelijke monetaire waarden.
Volgens PwC hadden organisaties die de grootste verbetering in datavertrouwen rapporteerden twee dingen gemeen: ze voorspelden een stijging van hun cybersecurity-uitgaven, en ze integreerden business intelligence en data-analyse in hun operationele modellen, inclusief risicokwantificering.
Om de financiรซle risico's van een multicloud-strategie te beoordelen, moeten CISO's rekening houden met de kosten van elk platform, afgewogen tegen de waargenomen risico's. Deze overwegingen moeten het gegevensbeheer en de cyberbeveiligingspraktijken omvatten van alle cloudproviders die u overweegt, samen met eventuele cloudonafhankelijke tools en platforms die u gaat gebruiken voor gezamenlijke monitoring.
Omdat er zoveel factoren spelen, kun je het je niet veroorloven om te vertrouwen op onnauwkeurige, op je gevoel gebaseerde meetschalen als โlaag, gemiddeld, hoogโ en โrood, geel, groenโ. Het uitdrukken van risicogegevens in financiรซle termen is een krachtig hulpmiddel omdat het een gemeenschappelijke taal biedt om veranderende risicoprioriteiten over te brengen, de afstemming tussen CISO's en het bestuur te verbeteren en beter geรฏnformeerde beslissingen op het gebied van risicobeheer mogelijk te maken.
Hier is een voorbeeld: een CISO kijkt naar de financiรซle waarde die gepaard gaat met de verschillende risico's van multicloud-architectuur. Door tactieken voor het beperken van een cyberbeveiligingsincident te vergelijken, komen ze erachter dat betere controles over administratieve privileges de financiรซle kosten van het evenement veel meer verlagen dan het implementeren van een cyberbeveiligingstrainingsprogramma. Terwijl de CISO de technische details van cyberrisicoโs binnen multicloud-architectuur begrijpt, zal de rest van de C-suite profiteren van de duidelijkheid van de monetaire waarden die aan elk risico en elke risicobeperkende tactiek zijn gekoppeld. Door CISO's in staat te stellen hun standpunt tegenover hun collega's en het bestuur te bepleiten, zorgt risicokwantificering voor meer transparantie in de vele bewegende delen van een multicloudstrategie.
Volgens Gartner zal in 85 meer dan 2025% van de organisaties als cloud-first functioneren en zullen ze hun digitale strategieรซn niet volledig kunnen realiseren zonder gebruik te maken van cloud-native technologieรซn. Een Gartner-leider verwoordde het zo: โEr is geen bedrijfsstrategie zonder een cloudstrategie.โ
Het is absoluut noodzakelijk dat bedrijfsleiders strategieรซn nastreven om hun gegevens te beschermen en hun multicloud-prioriteiten te communiceren, waarbij ze binnen de hele organisatie op รฉรฉn lijn komen met een gemeenschappelijke taal van waarde.
