Thales: Organisaties falen in adequaat beschermen van data in de cloud

Slechts de helft van de organisaties (49 procent) gebruikt encryptie om gevoelige data in de cloud te beschermen, terwijl er steeds meer gegevens in de cloud worden opgeslagen. In 2016 was dit al iets meer dan een derde van alle gegevens (35 procent) en in 2019 zelfs bijna de helft (48 procent). Dit blijkt uit wereldwijd onderzoek naar cloud security onder 3.667 IT- en beveiligingsmedewerkers. Het onderzoek is uitgevoerd door Ponemon Institute in opdracht van Thales, anbieder op het gebied cybersecurity en gegevensbescherming.

Goede beveiliging van gegevens in de cloud heeft bij veel organisaties geen prioriteit. Zo hanteert slechts een derde (32 procent) een ‘security first’ aanpak en vindt eenzelfde aantal dat de cloudgebruiker grotendeels verantwoordelijk is voor het beveiligen van gevoelige data. 35 procent vindt dat cloudproviders voornamelijk de verantwoordelijkheid dragen, en 33 procent is van mening dat beide partijen verantwoordelijk zijn. Beveiliging is echter bij minder dan een kwart (23 procent) een belangrijk aspect in de selectie van cloudproviders.

Groeiend risico
Organisaties worden steeds afhankelijker van cloudproviders. Bijna de helft van de organisaties (48 procent) maakt gebruik van meerdere cloud service providers waarbij Amazon Web Services (AWS), Microsoft Azure en IBM het meest populair zijn. Gemiddeld maken organisaties gebruik van drie cloudomgevingen, maar ruim een kwart (28 procent) gebruikt er zelfs vier of meer. Hoewel meerdere organisaties meer dan één cloudprovider hebben, beseft minder dan de helft (46 procent) dat ze als gevolg hiervan kwetsbaarder zijn voor cyberaanvallen.

“Het wordt steeds belangrijker dat organisaties inzicht hebben in welke gegevens waar worden opgeslagen, aangezien het gebruik van meerdere cloudomgevingen en –providers toeneemt”, zegt Larry Ponemon, chairman en oprichter van het Ponemon Institute. “Het is onmogelijk om gevoelige data goed te beveiligen als organisaties niet weten welke gegevens waar zijn opgeslagen, waardoor ze zichzelf onnodig blootstellen aan veiligheidsrisico’s. Wij stimuleren ze om hun verantwoordelijkheid te nemen, zodat ze het nodige inzicht hebben om hun data goed te kunnen beveiligen.”

Regionale verschillen
Hoewel de helft van de organisaties geen enkele vorm van encryptie gebruikt om gevoelige data in de cloud te beschermen, laat het onderzoek wel duidelijke verschillen zien tussen diverse regio’s. Zo maken Duitse organisaties het meest gebruik (66 procent) van encryptie, gevolg door Frankrijk (54 procent) en de Verenigde Staten (51 procent). Braziliaanse organisaties hebben hun gegevens in de cloud het minst goed beveiligd, daar gebruikt slechts een kwart (27 procent) encryptie of tokenisatie. Daarnaast is het opvallend dat een deel van de organisaties (44 procent) encryptiesleutels deelt met cloudproviders. Hoewel ruimt driekwart (78 procent) van de organisaties vindt dat ze encryptiesleutels zelf zouden moeten beheren, doet slechts de helft (53 procent) dit daadwerkelijk.

Onvoldoende aandacht
“De resultaten laten zien dat organisaties volop gebruikmaken van de cloud en de kansen die dit biedt, maar dat er onvoldoende aandacht is voor gegevensbeveiliging”, vertelt Dirk Geeraerts, regional director for cloud protection and licensing activity bij Thales. “Dat verbaast me, want de verantwoordelijkheid om gevoelige gegevens in de cloud te beschermen, ligt altijd bij de organisatie zelf. Het onderzoek laat zien dat organisaties hier anders over denken. Een groot deel legt de verantwoordelijkheid namelijk bij de cloudprovider. Opvallend daarbij is dat beveiliging vervolgens geen belangrijke factor is in het selectieproces van een geschikte provider. Organisaties lijken de noodzaak van een adequate beveiliging niet te voelen, terwijl het hun reputatie is die op het spel staat als er sprake is van een datalek.”