Bedrijfssoftwareleverancier Unit4 heeft een certificaat ontvangen voor de informatiebeveiliging van de programmatuur die het bedrijf uit Sliedrecht als webdienst aanbiedt. Het gaat om het ISO 27001-certificaat van het British Standards Institute. Die norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren en verbeteren van een gedocumenteerd Information Security Management System (ISMS) voor het afdekken van bedrijfsrisico's.
Unit4 introduceerde in 2009 de dienst Unit4 Hybrid Computing, Dat is een gedeelde vorm van lokaal geïnstalleerde (on-premise), privé en gedeelde software als webdienst. Gebruikers hebben één aanspreekpunt voor de service levels, facturatie, contracten en ondersteuning en er wordt betaald naar het gebruik van de programmatuur.
Het aanbod van software als webdienst is beschikbaar voor zorginformatiesysteem Unit4 Cura, toepassingen voor de accountancysector en financiële tussenpersonen, Coda, software voor financieel management. Daarnaast levert de leverancier allerlei koppelingen tussen de genoemde programma's en standaard kantoortoepassingen als Microsoft Office, Sharepoint en Exchange.
Veel vragen over beveiliging
Jack van der Velde, directeur van het bedrijfsonderdeel Unit4 IT Solutions: 'Er is veel interesse voor onze hybride computing-oplossing, zeker ook door de flexibiliteit in het op- en afschalen van gebruikers en applicaties. We krijgen veel vragen over de veiligheid van data en processen. Organisaties willen terecht de zekerheid dat hun gegevens in goede handen zijn. Vandaar dat we al in het beginstadium hebben besloten om voor de ISO 27001-certificering te gaan.'
ISO 27001 dateert alweer van 2005 en behoeft aanpassing voor een cloudomgeving waarbij sprake is van onder meer multi-tenancy (verdeling van IT-middelen over meerdere afnemende organisaties) en externe dataopslag bij de vendor of eventuele derde partijen. Ook is de rol van het publieke internet waarbij controle op dataverkeer lastiger is in te regelen komt bij ISO 27001 niet aan te pas.
Het issue is natuurlijk dat er nog geen wijdverbreide standaard is in de markt om de ISO 27001 te vervangen. Er zijn wel (pogingen tot) goede raamwerken, maar geen van die wordt breed in de markt geaccepteerd. Kortom: ISO 27001 is op punten verouderd, maar goede alternatieven zijn er ook nog niet.
Het is dan ook aan de afnemer om alle certificeringen van de vendor kritisch te bekijken en op waarde te schatten, én natuurlijk verder te kijken naar andere zaken die ook van belang zijn in een cloud zoals financiële gezondheid van de vendor, track-record, gebruik van (open) standaarden en transparantie.
Mike Chung
KPMG