Wanneer een organisatie gebruik gaat maken van de nieuwe mogelijkheden van cloud computing heeft dit veel gevolgen, ook voor de ISO 27001-certificering. In deze analyse wordt aan de hand van een concreet voorbeeld de consequenties voor de ISO 27001-certificering in relatie tot dit voorbeeld zichtbaar.
ISO 27001 is de ISO-standaard voor informatiebeveiliging.Deel twee hiervan bestaat uit BS7799, de standaard waarin wordt beschreven hoe informatiebeveiliging procesmatig ingericht zou kunnen worden. Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties).
De ISO 27001 is gericht op certificering van organisaties. ISO 27001 betekent in de praktijk dat een organisatie zijn beveiligingsobjecten en de controle daarvan vastlegt. Wanneer een organisatie maatregelen heeft genomen conform de ISMS-voorwaarden en de eigen behoefte, kan vervolgens een ISO 27001-certificeringtraject worden gestart.
Probleemstelling
Een organisatie kan zich onderscheiden op het gebied van informatiebeveiliging door de ISO 27001-certificering. Hiermee toont zij aan een hoge standaard te voldoen op het gebied van informatiebeveiliging. Als een organisatie (ongeacht de grootte en sector) hiertoe besluit, moet het voldoen aan een groot aantal maatregelen gesteld in de ISO 27001-norm.
Organisaties hebben een informatiebeveiligingsbeleid, zoals bepaald in ISO 27001. Hierin zijn de maatregelen benoemd die gelden binnen de organisatie op het gebied van informatiebeveiliging. Zoals al gesuggereerd in de uitleg gaat het over ‘binnen' de organisatie. Het informatiebeveiligingsbeleid is intern gericht (gefocust op het interne netwerk/lan en de interne processen). Met de komst van cloudservices verandert dit uitgangspunt diametraal.
Bedrijfsprocessen en informatiestromen worden naar de cloud verplaatst. Beveiligingsprocessen verschuiven mee en komen deels in de cloud en komen deels in de perimeter van de interne infrastructuur terecht. De informatiestromen van en naar de cloud vinden daarbij plaats over het internet (het tussenliggend communicatiekanaal). Dit betekent dat toepassing van de publieke cloud een herziening van de maatregelen in het informatiebeveiligingsbeleid nodig maakt.
De primaire vraag is hoe het gaat met de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie die over het internet gaat. De secundaire vraag is wat de verschuiving van een aantal beveiligingsprocessen naar de netwerkperimeter betekent. De impact van cloudacceptatie wordt geïllustreerd met een aantal zeer bekende beveiligingsmaatregelen uit ISO 27001. Deze set maatregelen is niet compleet, maar wel representatief.
Case access management
Dit voorbeeld toont de uitdaging voor een organisatie die gebruik wil gaan maken van de cloud, voor hun staande informatiebeveiligingsbeleid. Hieruit volgen de consequenties voor een ISO 27001-certificering. Het meest universele voorbeeld is ongetwijfeld de wachtwoordpolicy:
– Gebruik complexe wachtwoorden.
– Minimale wachtwoordlengte.
– Geen gemakkelijk te raden wachtwoorden.
– Geen herhaling van wachtwoorden.
– Opslag van wachtwoorden is te allen tijde versleuteld.
– Wachtwoorden worden altijd versleuteld over het netwerk verstuurd.
De interne organisatie heeft zelf de mogelijkheid in handen om bovengenoemde wachtwoordenbeleid af te dwingen. In de gangbare ict-producten zijn deze mogelijkheden ingebouwd. Ook het naleven hiervan (controls) hebben organisaties nu zelf in handen, zoals de meldingen wanneer de regels worden overtreden. Binnen de organisatie zijn er maatregelen/procedures die acteren nadat bepaalde meldingen/gebeurtenissen zich voordoen.
De cloud is publiek toegankelijk en heeft dus geen toegangpoortjes, zoals het eigen netwerk. Dit is een extra reden om ervoor te zorgen dat de informatie goed is beveiligd. Het is van extra belang dat bijvoorbeeld de wachtwoordpolicy ook op een of andere manier wordt afgedwongen in de cloud; immers iedereen wereldwijd kan bij de wachtwoordprompt komen. De policy moet op deze basis ook aangescherpt worden. Evenzeer van belang is dat in de cloud maatregelen/procedures gelden waarop geacteerd moet worden nadat er iets is gebeurd.
De ISO-eisen laten zich goed projecteren op de cloud, maar voor een implementatie geldt dat er andere dan de nu gebruikelijk maatregelen en voorzieningen nodig zijn.
Hoe wordt wachtwoord compliance in de cloud afgedwongen? Daarvoor heb je twee cloudimplementaties met ieder eigen maatregelen, over de wachtwoordpolicy, om de beleidsdoelen te realiseren.
1. Trusting cloud: de cloudserviceprovider ‘vertrouwt' de login van het eigen netwerk. Dit houdt in dat de organisatie fungeert als identityprovider voor de cloudserviceprovider. De cloudserviceprovider vraagt het authenticatietoken/-ticket op bij de identityprovider die aanwezig is binnen de organisatie. De organisatie heeft zelf de touwtjes in handen van het authenticatiemechanisme. De opening gecreëerd voor de cloudserviceprovider is ook toegankelijk voor het grote publiek. Als gevolg hiervan zijn andere bedreigingen, zoals ‘dictionary attack' en ‘brute force attack'', anders dan in een traditionele ict-omgeving.
Om te voldoen aan de ISO 27001-norm moet het externe toegangsbeleid ingeregeld zijn. Door het fungeren als idendityprovider moet dit beleid en naleving hiervan worden aangepast om te blijven voldoen aan de ISO 27001-norm. De organisatie heeft hier zelf de controle over.
2. IdMapping: gebruikersnamen uit het eigen netwerk wordt gesynchroniseerd naar de cloudserviceprovider. Dit is het meest gangbare model (voorbeelden Microsoft BPOS, Google Apps). Om hiervan gebruik te kunnen maken dient een account (extern in de cloud) aangemaakt te worden en te worden gekoppeld aan een interne medewerker. Hierdoor komt intern gebruikte informatie in handen van de cloudserviceprovider. Om single sign on (SSO) mogelijk te maken, moeten maatregelen genomen worden voor de synchronisatie van wachtwoorden.
Om te voldoen aan de ISO 27001-norm moet het wachtwoordbeleid en naleving hiervan geprojecteerd worden naar de cloud. Ook moeten in de cloud maatregelen/procedures gelden waarop geacteerd moet worden nadat er iets is gebeurd. Voor elk van de maatregelen geldt dat de organisatie in conclaaf moet met de cloudserviceprovider.
Kijkend naar het voorbeeld van de wachtwoordpolicy en het voldoen aan de ISO 27001-norm moet bij cloudimplementatie 1 (trusting) het externe toegangsbeleid worden aangepast, daar de organisatie fungeert als identityprovider. De organisaties hebben dit beleid en de naleving hiervan zelf in handen. Voor cloudimplementatie 2 (IdMapping) moeten de organisaties eisen stellen aan het wachtwoordbeleid en controles aan de cloudserviceprovider om te voldoen aan de ISO 27001-norm. De organisaties gaan met een eisenlijst naar de cloudserviceprovider.
Uiteraard zijn er andere zaken (business-continuïteitplan, veiligstellen van bedrijfsintellect, autorisatie, etc.) die van invloed zijn op de ISO 27001-norm. In dit artikel is er alleen gekeken naar één voorbeeld en wat de impact hiervan is op de ISO 27001-norm.
Euhm, …
– ISO 27001 gericht op certificering ..? Nee, gericht op het opzetten en inrichten van een ISMS;
– ‘ISMS-voorwaarden’..? Wat zijn dat? Certificeringsvoorwaarden = het ISMS conform de eisen ingericht;
– Certificering toont aan dat de beveiliging volgens hoge standaarden is ingericht? Onzin. Het ISMS voldoet aan de voorwaarden, da’s heel wat anders. Papieren tijger…!
– Enzovoort.
Ook als het gaat om wachtwoordpolicies en zo: Misschien kan auteur onderzoeken of hij zelf het verschil tussen ISO 27001 en ISO 27002 kan uitleggen. Pas daarna schrijven over de impact van ‘cloud’..?
Tja,…
Feit blijft dat we in de nabije toekomst meer gebruik zullen gaan maken van services in de cloud. De eerste jaren (en misschien wel voor altijd) zal er zeker sprake zijn van een hybride situatie waarin fucntionaliteiten lokaal (on premise) en in de cloud leven.
Door integratie en koppelingen van services ontstaat een end-to-end situatie met meerdere aanbieders van diensten. En dan zou je kunnen spreken van een keten met sterke en zwakke schakels wat betreft vertrouwelijkheid, integriteit en beschikbaarheid van de informatie.
Los van een certificering als ISO-27001 of ISO-27002 zou een organisatie zich hier zeer goed bewust van moeten zijn. Immers, het Internet als drager voor deze services kent geen enkele SLA ten aanzien van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie. En dan heb ik nog niet eens over juridische aspecten en aansprakelijkheden.
Zo bezien vind ik het een goed artikel dat laat zien dat de cloud wat betreft de beveiliging en veiligheid nieuwe uitdagingen met zich mee brengt. Technisch gezien kan er al heel veel, de uitdagingen zijn echter meer van organisatorische aard en dan niet alleen t.a.v. de beveiliging en veiligheid.
Er is inderdaad verschil tussen ISO27001 en ISO27002, de laatste werkt als een aanvulling op de eerste en is een voortzetting van de beroemde ISO17799. En je kan je alleen op ISO27001 laten certificeren, want als je geen ISMS hebt, hebben de beheersmaatregelen van ISO27002 niet zo heel veel inbedding in een organisatie. Voor die certificering is het dus wel zaak dat je ISMS zich langs de beheersmaatregelen en richtlijnen van ISO27002 begeeft. En die van ISO27005 kunnen helpen om je risico assessment voor ISO27001 te maken, zodat je de juiste beheersmaatregelen uit ISO27002 kan toepassen.
Eens dat het een beetje een dwarrelig stuk is. Maar de boodschap lijkt me helder: als je de cloud in gaat is het wel raadzaam om je policies zoals je deze ooit hebt verzonnen in het kader van je ISO27001 traject nog eens goed tegen het licht te houden. Maar continuous improvement is dan ook een sleutelbegrip binnen elke certificering, anders ben je hem na drie jaar echt kwijt. Zonde van de centen lijkt me.
Er wordt gesuggereerd dat ISO27001 certificering gericht is op de interne organisatie. Dit is misleidend aangezien ISO27001 gebaseerd is op een effectief werkend ISMS op alle assets die binnen de scope van het ISMS valt.
Als cloud computing daar niet invalt heeft cloud computing geen impact op de ISO27001 certificering. Mocht een geheel bedrijfsprocess die onderdeel uitmaakt van de huidige scope overstappen naar cloud computing dan heeft het wel impact. Je kan een onderdeel van de organisatie op ISO27001 laten certificeren en de daarbij behorende processen.
De consequenties van een password policy die nu toepasbaar moet zijn op de cloud is afhankelijk wat er in de password policy genoemd staat. Als we het voorbeeld noemen zoals beschreven kan dit prima zonder een directe koppeling met SSO. Er behoeven helemaal geen koppelingen gemaakt worden naar interne users, Waarom? Je kan ook eisen stellen aan de service provider dat zij jouw controls toepasen op het systeem los van het netwerk. Zij moeten dan simpelweg kunnen voldoen aan de controls die gezet zijn en kunnen aantonen dat die controls effectief zijn wat gecontroleerd kan worden door de dezelfde auditors die de ISO27001 audit doen. Men zal moeten beginnen met specifieke policies die voor het type cloudcomputing toepasbaar is en aan de hand daarvan bekijken welke technische maatregelen daarvoor nodig mochten zijn. Alles heeft te maken met risico management.
Marco Mulder
Senior Consultant
Orange Business Services