Hoe weet je of een cloud provider zijn zaakjes op orde heeft? Een van de eerste – en gemakkelijkste – selectiecriteria is certificering. ISO voorop. Maar wat zegt een ISO27001 certificering eigenlijk? En: zijn er geen betere voor onze business?
Elke serieuze partij in de cloudwereld – datacenters, hosters, SaaS-spelers, connectivity providers – is ISO-gecertificeerd. Of is bezig het certificaat te behalen. Dat is een goede ontwikkeling. Het leidt tot meer kwaliteit in de sector, het kaf wordt van het koren gescheiden, en het geeft de markt enig houvast. ISO moet, ISO doet je goed.
Beperkingen van ISO
Toch is een kanttekening op zijn plaats. Dutch Cloud is zelf ISO-gecertificeerd. En we hebben de certificering heel serieus genomen. We zien absoluut de meerwaarde van het certificaat, voor onszelf en voor onze klanten. Maar we zijn ons ook bewust van de beperkingen van ISO.
ISO kijkt naar processen: zijn ze goed gedocumenteerd en worden ze conform de norm afgehandeld? ISO zegt niets over de aard van de processen. Bovendien bepaal je zelf welke controls je toepast. Het is heel goed mogelijk om een proces gecertificeerd te krijgen dat geen enkele meerwaarde heeft voor het bedrijf, laat staan voor de klant. Je kunt bij wijze van spreken de veilige toegang tot de bezemkast volledig volgens de ISO-norm regelen, maar of de klant daar beter van wordt?
Beperkte scope
Er is nog een zwakte en dat is de beperkte scope. Deze tekortkoming geldt overigens voor de meeste certificeringen, dus niet alleen voor ISO. ISO en andere beperken zich tot de afzonderlijke provider. Cloudservices zijn bij uitstek een combinatie van verschillende diensten van uiteenlopende providers. Je wilt eigenlijk dat de hele stack transparant en uniform gecertificeerd is. En niet elk bedrijf afzonderlijk, zoals nu.
Een derde zwakte van ISO is de ontoegankelijkheid. Het is voor gewone stervelingen bijna ondoenlijk om het ISO-jargon te doorgronden en om een weg te vinden in de overvloed aan documentatie.
Transparantie
Het CSA STAR programma komt tegemoet aan deze tekortkomingen. Het is openbaar, begrijpelijk en biedt zowel klanten als providers transparantie. We hebben er werk van gemaakt om CSA STAR compliance te bereiken. We lopen daarmee voorop in Nederland.
Het CSA STAR programma is door de Cloud Security Alliance (CSA) specifiek in het leven geroepen voor Cloud Providers. STAR staat voor Security Trust and Assurance Registry. STAR is een kosteloos, publiek toegankelijk register dat de security controls documenteert van de gecertificeerde providers. In de VS heeft het programma grote status. Dat gaat in Europa ook komen. CSA STAR certificeringen worden centraal gedeponeerd en zijn openbaar, net zoals dat gaat met de jaarstukken bij de KvK.
Drie niveaus van certificering:
Level 1 is op basis van self-assessment. Verreweg de meeste deelnemers bevinden zich op Level 1. Level 2 wordt extern ge-audit en Level 3 (nog in ontwikkeling) monitort doorlopend en geautomatiseerd de security practices van de provider. Providers publiceren hun security practices volgens CSA-opmaak en specificaties, en klanten en vendoren kunnen deze informatie in verschillende contexten ophalen en presenteren. Dit is een belangrijke stap naar ketencertificering omdat het nu mogelijk is om de security practices van alle bij de levering van een dienst betrokken partijen geüniformeerd te beoordelen.
Wij hebben Level 1 bereikt en we werken toe naar de volgende levels. Kijk hier naar onze vermelding. U kunt onze assessment daar ook downloaden.
Over transparantie gesproken! Wordt vervolgd…
Martijn van Zoeren, CEO Dutch Cloud
