Aan alle data lekken in AWS S3 buckets, slecht beveiligde Databases denk ik dat dit geen goed idee is.

Heb je al eens een audit door een externe partij overwogen?

De meeste klanten van mij hebben een van deze combinaties:
- Alles on-premise (muv Office365 mail) en Microsoft
- Google Cloud (mail en storage), Microsoft
- Mix van AWS (Web/Compute), Google Cloud (Storage/mail) en Microsoft (Windows)

Een heeft zelfs authenticatie op Okta laten zetten en dat geeft erg goede resultaten. Desondanks laat ik jaarlijks een Security Audit doen omdat ik / mijn team ook niet alles perfect weet.

In een cloud omgeving zul je ook permissies moeten instellen... Het grote nadeel van "de cloud" is dat je jouw data steeds over je internetverbinding heen en weer stuurt (of je moet met cloud applicaties werken waar de verwerking ook in de cloud plaatsvindt. Het voordeel van "de cloud" is dat back-ups geregeld zijn.

Ik denk dat je meer hebt aan het inhuren van systeembeheerkennis (om een computer- en netwerkplan te maken), dat kan ook op project- of part time basis. Bespreek met een "expert" do voors- en tegens van de verschillende opties.

Ik zou zelf beginnen met de vraag waarom er een programmeur op een functie zit waar hij, zij, het geen formele training voor heeft gehad en welk risico dat vormt voor de bedrijfscontinuïteit in het algemeen. Of in jip janneke taal waarom vliegt een onderhoudstechnicus het vliegtuig? En wat denk je dat de verzekeringmaatschapij, passagiers hiervan zullen vinden?


Externe plaatsing gaat niets doen aan veiligheid zonder gedegen inrichting en beheer. En al zet je dit extern dan nog ben je niet uit gevaarlijk vaarwater en moet je de on-premise infrastructuur auditten, beveiligen en beheren want je zult toch verbinding moeten maken naar de externe data. En zonder training ga je dit niet veilig zelf opzetten dit zijn geen fire and forget infrastructuren zoals iCloud, Dropbox voor de eindgebruiker. Nog niet te spreken over de regelgeving die je moet kennen.

Realistisch zijn dit de opties:
# Uitbesteden aan een andere partij waarbij eerst even de voorwaarden, contract onafhankelijk laten toetsen.
# Je kan die programmeur omscholen en voor tussenpoos iemand inhuren of het uitbesteden.
# Iemand anders de aannemen met aantoonbare ervaring.
# De boel zo laten of zelf knutselen en het risico aanvaarden op failisement, schadeclaims, boetes en een verzekering die niets uitkeert wegens slechte bedrijfsvoering met gedoogbeleid op onaanvaardbare risico's.


En die opties gelden voor zowel cloud als on-premise.

Je schrijft dat jullie programmeur alles voor elkaar krijgt door bekijken van tutorials. Is het niet een idee dat hij/zij dan security tutorials gaat bekijken? De ervaring leert immers dat het dan wel voor elkaar komt.

Ja en nee.
Gebruik maken van cloud oplossingen kan makkelijker en veiliger zijn maar komt met specifieke risico's.
Wie beheerd je cloud omgeving?
Is de toegang naar je cloud portal goed beveiligd (mfa, least privilege etc.)?
Iemand moet de cloud resources/services instellen, heb je die kennis in huis of haal je die van youtube videos af? (Dan zit je met exact hetzelfde vraagstuk).

Vergeet niet dat 'de cloud' niet gelijk staat aan 'veilig'.
Je bent zelf verantwoordelijk voor de data die je er in stopt en hoe je de services instelt.
Stel jij je s3 bucket zo in dat die public is, dan heb je een probleem.
Let ook op de kosten die je voor alles kwijt bent, vooral als je veel data heen en weer gaat sturen.

Los hiervan is het ook afhankelijk welke data je naar de cloud verplaatst. Is dit gevoelige data of persoonsgegevens? Dan moet je ook kijken waar je data wordt opgeslagen en of dit juridisch (AVG) mag.

Wat zijn dingen waar ik op moet letten bij het beveiligen in de cloud?

Kan geen antwoord op gegeven worden zonder te weten wat exact je onder cloud verstaat.
Cloud is niets meer dan een marketing, buzzword waar je in de praktijk niks aan hebt als het aankomt op helderheid creeeren nog inregelen.

On-demand toegang tot IT middelen vanuit een online omgeving waarbij vaak een server infrastructuur bedoeld wordt. Meer betekend het niet je moet het verder uitwerken voor je kunt beginnen met een plan van aanpak. Dus definieer eerst wat je doelen exact zijn en dan kan je verder kijken wat je daarvoor nodig hebt.

En in bedrijfs situaties is het altijd te adviseren een specialist, consultant in te huren met specialisatie tenzij je in-house knowledge tot de beschikking hebt.

Definieer Cloud?
IAAS? PAAS? SAAS?

Maar eigenlijk waar het op neer komt, begrijpen wat je aan het doen bent.

Bij KAAS, als er witte/groene/blauwe plekken op komen. Die is wat gemakkelijkers.

Eén ding is zeker. De cloud is geen magische oplossing voor alle problemen waaronder Windows gebukt gaat.

Ik wil bestanden op de cloud plaatsen, bijvoorbeeld ala google Drive of ergens waar ik bestanden kan plaatsen en later openen (dit dan met 20 gebruikers tergelijker tijd), email ook via een cloud of email-provider meer niet eigenlijk

Zijn dat bestanden die maar door een van de werknemers aangepast mogen worden of is het de bedoeling dat meer werknemers aan een document werken?
Moeten de documenten alleen toegankelijk zijn voor specifieke werknemers, alle werknemers. Moet "de klant" ook toegang krijgen?
Weet je hoe je deze toegangsaspecten correct configureert in jouw gekozen cloud oplossing?

Wat kost de gekozen cloud oplossing?

Ok en al die gebruikers mogen dus ook alle bestanden bewerken, verwijderen, dupliceren en uitprinten ook al staat er bijvoorbeeld kwartaalcijfers, bedrijfsstrategie, klankbord of directie vermeldt in de titel?

De accountnamen mogen bijvoorbeeld pietje@cloudprovider.tld zijn en er zijn geen gedeelde mailboxen? Toegang mag ook vanuit de noordpool richting de documenten als een medewerker toevallig daar op vakantie is? En men hoeft enkel maar een accountnaam en wachtwoord op te geven voor toegang? Hoe ga je om met een medewerker die zijn laptop gejat wordt op het vliegveld?

Mijn advies terug naar de tekentafel en uitwerken wat je precies wilt of huur een consultant in die al die vragen voorlegt waardoor je enkel antwoord hoeft te geven op de openstaande punten. Daar hangt wel een prijskaartje aan vast zeker als je niet voorbereid bent erop.

Ik heb nog geen marktverkenning gedaan buiten Google Drive om.
De klant krijgt geen enkele toegang.

Sommige medewerkers mogen alleen bepaalde files zien, andere bestanden moeten voor iedereen/algemeen zichtbaar zijn.
Bij Google Drive heel simpele andere geen zicht op, heb jij zicht op welke andere spelers er op de markt actief zijn en betrouwbaar (beschikbaarheid) zijn?

Gogole Drive is de enige die dit soort dingen kan doen.

Een Cloud of Server is niet automatisch veilig. Simpel voorbeeld: als het wachtwoord 12345 is maakt het niet uit welke oplossing je kiest.

Het gaat in de praktijk ook wel eens mis met de cloud:
https://www.businessinsider.nl/hackers-teslas-amazon-cloud-to-mine-cryptocurrency-2018-2?international=true&r=US

Beide kan je beveiligen.

Wat betreft software is het netjes als je de server danwel cloud kan instellen in een configuratie bestandje, de url zou in de toekomst wel eens kunnen veranderen en de programmeur werkt over 5-10 jaar misschien ergens anders.

Cloud is geen magische oplossing voor problemen, klopt, niet alleen voor Windows maar voor alle systemen. Ook niet voor Android (account/wachtwoord gelekt, gegevens weg) of iCloud (zelfde) en alle andere OSsen, wanneer je probeert om daarmee een 'veilige' externe opslag te regelen, zonder dit goed te configureren

Ik heb goede ervaringen met Google Drive, ook in combinatie met Sheets, Docs, etc. Toegang is makkelijk in te stellen.
Ik heb geen goed zicht op wat andere cloudleveranciers bieden.

Wat staat er in die 'files'? Persoonsgegevens? Bedrijfskritische informatie? Concurrentiegevoelige informatie? Ook dit bepaalt wat een goede oplossing is.

Als je Google Drive overweegt, ligt ook een kijkje naar Microsoft 365 voor de hand.

How to back up your data and keep it safe?


https://www.bbc.com/news/business-58050387


Experts adviseren tenminste drie afzonderlijke externe backup volumes te gebruiken, waarvan een SSD en twee HDD, afkomstig van twee of drie verschillende fabrikanten. Eén van schijven bewaar je op een andere locatie, i.v.m. het diefstal- en brandrisico. Zaken die onvervangbaar zijn, zoals familiefoto's, zet je ook op cd-rom en die print je ook uit.

Hun ervaringen met de zgn. "cloud" als externe backup, als de gepropageerde magische oplossing, zijn niet positief.

misschien kan een getrainde programmeur logischer nadenken en beter dingen doorhebben dan je standaard beheerder? althans ik merk heel duidelijk dat vele beheerders in mijn omgeving tijdens het troubelshouten (pun intended) niet logisch systematisch nadenken zoals een programmeur dingen zou debuggen en aanpakken. wellicht kan zo een programmeur ook verder kijken dan de GUI? t zijn maar wat vragen.... j egaat er namelijk van te voren al uit dat deze persoon slecht werk zou leveren terwijl vele mijn ervaring zullen delen dat het vooral die security audit mensen papieren excel sheet vinkers zijn...

Cloud provider hebben veel geïnvesteerd in cyber security. Ik heb nog nooit gehoord dat iemand zijn Google Drive of Amazon bucket is gehacked zonder de eind gebruiker te manipuleren.

Bij beiden zit qua technische kennis vaak overlap echter qua denkwijze zit er meestal wel een heel groot verschil.
Als ik een programmeur zou vragen om een onbekend probleem op te lossen met een corporate firewall dan zal deze sneller geneigd zijn debug modus runlevel aan te passen en de logs aandachtig door te lezen van genoemde firewall. Waar een beheerder heel waarschijnlijk eerst een service herstart zal geven en dan profiel opnieuw inladen en als dat niet lukt dan pas door de logs te gaan duiken.

In het geval van software schrijven is die denkwijze van een beheerder niet veel waard. Afterall als je code faalt dan zal een herstart most likely het niet verhelpen.

Maar andersom is de denkwijze van een programmeur ook gauw niet handig op een beheer positie omdat het heel makkelijk is te diep in een probleem te duiken omdat je het probleem niet alleen wilt oplossen maar ook koste wat kost wilt voorkomen. Terwijl een beheerder veel eerder gevraagd wordt om het probleem nu op te lossen en later pas als er tijd is en de kwestie ook de tijd, geld waard is naar een betere implementatie te kijken of simpelweg een ticket inschieten richting een leverancier.

Ik kan enkel vanuit mijn eigen ervaring spreken als IT Manager maar we hadden een competente programmeur die het leuk leek om meer de IT kant op te gaan. We hebben hem, haar toen een serieuze kans gegeven door parttime mee te laten draaien (half jaar). De aspirant was goed in het correct oplossen van problemen maar kon de openstaande taken niet gauw genoeg gedaan krijgen. Waar een van mijn beheerders 10 minuten deed over een bepaalde tickets stond er dan 35 minuten bij de aspirant met een soortgelijk probleem en de openstaande workload stapelde op. Voornamelijk als het problemen of vragen ging waarbij de aanvrager weinig kennis had op technische gebied liep de aspirant vast. Hierbij vermeldt de programmeur had ervaring met klant contact voor deze bij ons kwam.

De aspirant gaf dan ook na enige tijd aan liever terug te gaan naar zijn, haar oude taken en besloot dat IT Beheer niet de juiste keuze was. Wij waren het eens met die uitleg en er waren al gesprekken geweest met HR voor terugplaatsing voor de aspirant zelf het iniatief nam.

Andersom mijn beheerders kennende waren die gillend gek geworden van het oplossen van programmatuur bugs als ze het apparaat al niet letterlijk door de ruimte hadden gemikkerd.
Beide vakgebieden kun je leren maar het moet je wel liggen anders hou je het niet lang vol.


Als dit mijn bedrijf was had ik de door TS genoemde programmeur gevraagd naar wat zijn haar ambities zijn en of de toegeschroven taken wel worden gewaardeerd. Is dat niet het geval dan had ik richting HR verzoek ingediend voor het vinden van of een beheerder of consultant voor het schrijven van een advies plan omtrent outsourcing met vermoedelijk cloud als eindpunt.

Als de programmeur wel de ambitie heeft richting IT en de taken ook leuk vindt dan had ik zijn haar argumenten meegenomen pro en cons uitgeschreven overleg gevoerd met HR omtrent wat hun ervaringen zijn qua persoonlijkheid en als de kosten baten daaruit niet te veel verschillen het voorgelegd aan de directie met de optie het programeer werk te outsourcen of een on-premise programmeur aan te nemen, in te huren.

Maar combineren van taakpakketten nee dan bespaar ik liever op iets extra's om die situatie te voorkomen of op te lossen.