De top 5 redenen waarom klanten kiezen voor Cloud Insight as a Service

Cloud Insight as a Service

De top 5 redenen waarom klanten kiezen voor Cloud Insight as a Service

We hebben de top 5 redenen waarom onze klanten kiezen voor Cloud Insight as a Service op een rijtje gezet. Benieuwd welke dat zijn? Klik hieronder op een reden en spring gelijk naar de juiste locatie op de pagina.

5. Hek om de cloud
4. Wet- en regelgeving
3. Cloud talent
2. Shared Responsibility Model
1. Verantwoording

#5 Hek om de cloud

Hoe bewaak ik de buitengrenzen van mijn cloud met behoud van Technologische innovaties in de cloud infrastructuur?
Innovatie is de levensader van veel bedrijven. Zeker in de technologische sector, maar eigenlijk voor elk bedrijf. Als je verantwoordelijk bent voor de cloud-omgeving van je bedrijf, en met name de beveiliging ervan, heb je de neiging om vanuit een defensieve blik te kijken naar security van je cloud. Je denkt stiekem vaker in beperkingen dan in mogelijkheden.

De commerciële tak van het bedrijf is echter juist gebaat bij het tegemoetkomen aan vragen vanuit de klant. Zij zoeken naar mogelijkheden om daar invulling aan te geven. Denk aan zaken als Internet of Things of Machine learning of het ontwikkelen van een op de klant gerichte app. Vaak zijn die ontwikkelingen gekoppeld aan de cloud. En daarmee aan jouw verantwoordelijkheidsgebied.

Binnenin je cloud heb je qua data waarschijnlijk alles prima op orde, maar de daadwerkelijke configuratie van jouw cloud infrastructuur wordt continue aangepast. Poortje zus open, poortje zo open, etc. Handig voor die belangrijke ‘proof of concept’ van onze belangrijkste klant, die écht vandaag moet worden gestart. In een dergelijke dynamische omgeving is het een nachtmerrie om verantwoordelijk te zijn voor cloud security.

Cloud Insight as a Service zorgt dat je cloud infrastructuur is afgeschermd van de buitenwereld. En onze wekelijkse gesprekken geven duidelijk aan wanneer wij zien dat er ‘een gat in je cloud-hek zit’. Wij zien de wijzigingen in je cloud infrastructuur, nemen aanbevelingen hierop met je door en helpen met het doorvoeren van verbeteringen. Elke maand rapporteren we hier over. Zo heb jij de zekerheid dat je cloud omgeving veilig is afgeschermd en kun je overgebleven risico’s inschatten.

Zeker in een zogenaamde DevOps omgeving zijn deze wijzigingen zeer frequent en is het moeilijk om hier de controle op te houden. Daar kan Cloud Insight as a Service bij helpen. Sterker nog, daarvoor hebben we het ontwikkeld. Eén klant sprak specifiek van een Cloud Security Fence.

#4 Wet- en regelgeving

Ik wil aantonen dat ik passende maatregelen heb genomen qua wet- en regelgeving
We willen allemaal voldoen aan de wet- en regelgeving. Maar we weten ook dat diezelfde regelgeving vaak achterloopt ten opzichte van de praktijk. Met andere woorden, als ik alleen de regels volg en niet verder kijk, loop ik per definitie gevaar. Maar ook hier wil je zo efficiënt mogelijk omgaan met jouw middelen. Je bent op zoek naar een mooie en duidelijk uit te leggen balans. Maar waar moet ik dan nog meer op letten dan die minimum vereisten en hoe krijg ik daar vervolgens inzicht in?

We kennen de usual suspects allemaal… De Wet Computercriminaliteit III, die onder meer zaken over IT-kwetsbaarheden aanstipt en voor overheidsinstanties de Baseline Informatiebeveiliging Overheid (BIO). Daar bovenop komen dan ook nog diverse normeringen , verordeningen en reguleringen bij zoals ISO 27001, NEN 7510 voor medische gegevens, GDPR, ISAE3402 etcetera. Daarin wordt vaak gesproken over ‘passende maatregelen’. Maar wat zijn die passende maatregelen nu precies en wanneer voldoe je daaraan? Hoe kun je aantonen dat je compliant bent en wanneer niet?

Onze cloud experts weten we wat er speelt. Elke dag houden zij diverse ‘clouds’ in de gaten en signaleren we trends en risico’s. We zitten met de vinger aan de pols, dagdagelijks. Die bevindingen vertalen we direct naar onze Cloud Security Indicators. Dat betekent dat onze security meetpunten zeer snel worden aangepast aan de laatste ontwikkelingen. En natuurlijk maken we dat direct kenbaar in onze rapportages. De trendlijn in onze rapportages zorgt er voor dat je kunt aantonen structureel in controle te zijn én maakt dat je continu blijft verbeteren, een stok achter de deur.

Daarom kunnen we met onze garanties dus ook echt GARANDEREN dat we MINIMAAL de wet- en regelgeving volgen en daar scherp geanalyseerde adviezen over uitbrengen. Én nog belangrijker, je wordt geholpen met het daadwerkelijk realiseren van de verbeteringen.

Met ruim 200 cloud security indicators gaan we zelfs een heel stuk verder dan welk standaard cloud securityproduct dan ook. Juist onze dienst maakt hier het verschil. Je kunt aantonen dat je altijd je uiterste best hebt gedaan om je cloud infrastructuur veilig te maken én te houden.

Voldoen aan wet- en regelgeving is namelijk het echte minimum waaraan je moet voldoen. Met Cloud Insight as a Service kun je bewijzen dat je passende maatregelen hebt genomen, blijft nemen én ruim voldoet aan die vereiste minimale inspanningen.

#3 Cloud talent

Ik heb een gebrek aan cloud talent
Cloud talent is schaars. Goed cloud talent is nog schaarser en zeker niet goedkoop. Momenteel is het verloop heel erg groot en vechten organisaties om het cloud talent dat in de markt beschikbaar is, binnen te halen. Zelfs de afstudeerders en stagiaires worden door hun mentor belaagd met interessante voorwaarden om vooral aan te blijven.

Het is dus al geen sinecure om goed cloud talent te vinden en aan boord te brengen. Mocht dat toch gelukt zijn, komt er een volgende hobbel… De kans is zeer klein dat het kostbare talent wordt ingezet voor (interne) security en beheer in plaats van (betaalde) ontwikkeling of consultancy. Het cloud talent zal al snel worden geclaimd door de drang naar business groei en het versnellen van dev/ops teams. En dat is puur vanuit de economische gedachte ook begrijpelijk. Duur talent moet immers zo snel mogelijk terugverdient worden.

De dienst Cloud Insight as a Service biedt niet alleen een intelligente rapportagestructuur, de kracht van de dienst komt pas echt tot uiting met het gezamenlijk doorvoeren van verbeteringen. Er is wekelijks toegang tot een poule van cloud experts om mee te schakelen. Wij fungeren daarmee eigenlijk als die interne cloud security- en beheerconsultants op afstand. En dat creëert de gemoedsrust die we in eerste instantie ook voor ogen hadden tijdens het ontwikkelen van de dienst.

Op het moment dat een klant de dienst Cloud Insight as a Service van Telindus afneemt, heb je cloud expertise in huis en kun je die inzetten voor jouw eigen cloud security. Mocht je toch eigen talent hebben, maak je die vrij om betaald inzetbaar te zijn.

Het cloud talent mes snijdt daarmee dus aan twee kanten… Cloud Insight as a Service biedt synergie in het cloud beheer, door het actief aanbieden van additionele kennis tijdens wekelijkse klankbordsessies.

#2 Shared Responsibility Model

Hoe omzeil ik de valkuilen van het Shared Responsibility Model?
In het Oracle and KPMG Cloud Threat Report 2019 wordt voor het eerst naar een breed publiek de term “shared responsibility security model (SRSM)” gebruikt. Dit als variant op het meer bekende Shared Responsibility Model.

Van alle uitdagingen die gepaard gaan met het beveiligen van clouddiensten, bestaat misschien wel de meeste verwarring rond het shared responsibility security model (SRSM). En laat dat nou net vaak de basis zijn van een goede cloud beveiligingsstrategie.

Het gedeelde verantwoordelijkheidsbeveiligingsmodel geeft in wezen de inspannings- en daarmee beveiligingsverdeling weer tussen de cloud service provider (CSP) en de klant die een bepaalde cloud service afneemt. Dat is natuurlijk inclusief de bijbehorende gegevens. Juist daarom is het van cruciaal belang dat die scheidslijn tussen de verantwoordelijkheden scherp wordt vastgesteld en nageleefd.

Hoewel veel Cloud Service Providers (CSP) een aantal cloud beveiligingsfuncties bieden, zoals gegevensversleuteling, is het nog steeds de klant die de eindverantwoordelijkheid daarvan draagt. De CSP is in het geval van cloud infrastructuur verantwoordelijk voor de fysieke infrastructuur (in het datacenter). De klant is daarbij zelf verantwoordelijk voor de inzet en configuratie van de cloud infrastructuur die hij afneemt van de CSP. Laten we het vergelijken met een huis… De CSP levert het fundament en garandeert deze. Wat je vervolgens met het fundament doet en hoe veilig dat is, dat is aan de huiseigenaar.

Frappant is om te zien dat hoe minder verantwoordelijkheden een klant heeft in het totale cloud model, hoe groter de verwarring is omtrent die eigen verplichtingen. Ter verduidelijking; waar bij een on-prem implementatie zeer duidelijk was dat alle verantwoordelijkheid ligt bij de klant zelf, is dat in een IaaS-model minder ‘invoelbaar’. Terwijl je die verantwoordelijkheden op basis van het Shared Responsibility Security Model (SRSM) eigenlijk nooit hebt verloren.

Het is daarom van cruciaal belang dat je zeker weet dat jouw eigen verantwoordelijkheden binnen het shared responsibility model goed worden ingevuld. Je moet dus als klant zelf controles toepassen en beheren op je eigen cloud omgeving, naast de controles die de CSP al voor je heeft gedaan. Daar is Cloud Insight as a Service werkelijk onmisbaar bij. Onze dienst is er juist op gebaseerd om die verantwoordelijkheden af te kaderen en het deel waar je als klant verantwoordelijk voor bent te controleren. Die controle vindt geautomatiseerd plaats op meer dan 200 Cloud Security Indicators, waarbij de interpretatie wordt gedaan door onze cloud experts. Tevens kun je onze cloud experts inzetten als klankbord. Onze dienst Cloud Insight as a Service checkt op wekelijkse basis het deel van de cloud waar je als klant verantwoordelijk voor bent. Daarmee ondersteunt Cloud Insight as a Service de klantverantwoordelijkheid op de cloud infrastructuur en de inrichting daarvan optimaal.

#1 Verantwoording

Hoe koppel ik cloud verantwoordelijkheid aan bestuurlijke verantwoordelijkheid?
Het is duidelijk dat de reikwijdte van de CISO of cloud security rol voortdurend verandert. Cloudsecurity incidenten nemen toe. Zowel van externe krachten als vanuit (kwaadwillende) insiders. En dat risico geldt ook voor het voldoen aan wettelijke vereisten.

Om het cloud beveiligingsbudget te verhogen of de capaciteit van het team uit te breiden, is het belangrijk de huidige cloudsecurity-houding onder woorden te brengen bij de CIO of de board. Dat kan het beste door voortdurend waarde te tonen aan het bestuur. Maar hoe toon je die waarde aan en kan Cloud Insight as a Service hierbij helpen?

De beste manier om jouw waarde aan de board te tonen, kun je bereiken door het opzetten van een duurzaam cloud beveiligings- en beheerprogramma. Daarbij dient de nadruk te liggen op de juiste indicatoren. De juiste metriek. Idealiter geef je de board inzicht in de juiste KPI’s die aansluiten op cloud beveiligingstrends. Daarmee loop je eerder voor op beveiligingsgebied dan achter.

Stel altijd een basislijn vast van wat een laag, gemiddeld en hoog cloud risico is, gebaseerd op jouw eigen beleid en risicobereidheid. Focus daarbij niet alleen op de snelheid van het sluiten van incidenten of het aantal incidenten. Kijk bijvoorbeeld ook naar het aantal kritieke kwetsbaarheden dat nog steeds open staat na bijvoorbeeld 3 maanden. Dat zegt veel meer over de inspanningen dan alleen het aantal kritieke kwetsbaarheden.

De board behoeft geen detailrapportages. Maar je dient ze wel bij de hand te hebben wanneer er een verdiepingsvraag wordt gesteld. De board houdt van een ‘praatplaat’. Een holistisch overzicht dat grafisch wordt ondersteund Het is daarbij essentieel dat uw technische cloud gegevens worden verwerkt via een analyse-engine. Die engine maakt gebruik van vaste schema’s die je omzet naar een praatplaat voor het eenvoudig delen en duiden van gegevens.

Dit is waar een uniform, gemakkelijk te begrijpen rapportage kan helpen. In het ideale geval eentje die wekelijks wordt bijgewerkt en de belangrijkste statistieken bevat die je eerder al hebt geïdentificeerd. Een set van kritieke cloud security indicatoren, oftewel de belangrijkste cloud infra KPI’s.

Met Cloud Insight as a Service voldoe je aan drie belangrijke manieren om de board te kunnen overtuigen van jouw meerwaarde. We bieden een garantie-percentage waarmee jij holistisch de beveiligingsprogressie en dynamiek en vooral jouw controle daarvan kunt aantonen. Duidelijker dan een percentage wordt het niet.

Tegelijkertijd geeft de rapportage je inzicht in de gemaakte progressie over meer dan 200 cloud security indicatoren. Je hebt dus altijd diepte inzicht. Daarnaast bieden we een grafiek waarmee in één oogopslag duidelijk wordt wat de progressie is. Handig voor je maandelijkse copy-paste actie in PowerPoint.

En tot slot; mocht er wat escaleren, kun je altijd schakelen met jouw achterban. Dat zijn onze cloud experts die je elke vorm van duiding kunnen geven die je nodig hebt om sterk terug te rapporteren over een discussiepunt dat in de board of bij de CIO ontstond. En als bonus maken we jullie cloud omgeving daadwerkelijk kosten efficiënter. Alleen al daarmee kan Cloud Insight as a Service duurzame meerwaarde aantonen.

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.