Nu de cloud de nieuwe infrastructuur is, is het zaak de security daarop aan te passen. NIet iedereen ziet daarvan het belang en dus is het zaak dat de CISO het bestuur daarop wijst. Hier zijn vier aandachtspunten.

Bestuursraden kunnen ingedeeld worden in twee groepen wanneer het gaat om cloud security. De eerste, en kleinste, groep zijn de bestuursraden die niet graag bedrijfsdata naar cloud-platforms overzetten, om security-redenen. De tweede, en grotere, groep zijn bestuursraden die hun zorgen over cloud security hebben, maar die wel positief zijn over de cloud, opzettelijk of onopzettelijk. Zij hebben hun gang naar de cloud al gemaakt en werken met platforms zoals Office 365, Salesforce en Amazon Web Services. Echter, zij hebben niet altijd security-risico's meegenomen in hun beslissingen.

Ongeacht de groep waar je bestuur bij hoort; het is essentieel voor CISO's om betrokken te worden bij de cloud-discussie, zodat zij het belang van security kunnen overbrengen op het hoogste niveau van de organisatie. Dit gezegd hebbende, wil ik graag vier zaken benadrukken die CISO's tegen hun bestuursleden moeten zeggen tijdens de (soms ongemakkelijke) gesprekken over cloud security.

De cloud is slechts één van de vele risico's

Het is veel eenvoudiger voor bestuursleden om het belang van cloud security te begrijpen wanneer hen wordt uitgelegd hoe deze de business kan bedreigen. Bestuursleden maken elke dag keuzes over risico's en de cloud is slechts één van deze risico's. In discussies over cloud security moeten bestuursleden zich hetzelfde afvragen als in elke discussie over risico's: Hoe verkleinen we het risico op materiële impact op de organisatie wanneer we data naar de cloud overzetten?

Elke cloud-applicatie bevat een verschillende dataset die elke organisatie anders gebruikt. Wanneer een bedrijf bijvoorbeeld publieke marketingdocumenten naar de cloud wil migreren, is het risico op materiële impact op de business niet heel hoog in het geval van een datalek. Echter, wanneer het bedrijf de broncodebibliotheek van een nieuw product naar de cloud migreert, is het risico van materiële impact bij een datalek aanzienlijk hoger.