Indien je gaat outsourcen naar een datacenter, dan wil je dat de data en apparatuur goed is ondergebracht. Je wil voor een partij kiezen, die de zekerheid biedt dat er correct en zorgvuldig met de data omgegaan wordt. De vraag is echter hoe je de kwaliteit en de veiligheid kunt toetsen die het datacenter biedt.
Certificering geeft weliswaar geen absolute garantie, maar maakt kwaliteit beter aantoonbaar voor derden. Het is een externe kwaliteitsbeoordeling aan de hand van heel duidelijke normen en/of eisen door een onafhankelijke instantie. Ik zal hier drie vaak gestelde vragen beantwoorden.
Tier 3 datacenters
Tier-classificaties geven de verschillende classificaties van redundantie aan die datacenters bieden. Deze classificatie is ontstaan na het uitkomen van de Amerikaanse norm TIA-942 in 2005 die de minimumeisen voor een datacenter, voor wat betreft telecommunicatie-infrastructuur, omschrijft. Datacenters kunnen Tier 1 t/m 4 geclassificeerd zijn door het Uptime Institute; dat is de certificeringsinstantie. Hoe hoger de classificatie, hoe beter de beschikbaarheid van het datacenter is.
Omdat Europa en de Verenigde Staten zaken op verschillende manieren organiseren, zoals het enkelvoudige stroomnet en de wet en regelgeving, is het in Europa per land verschillend of datacenters aan de gestelde eisen kunnen voldoen. Juridisch gezien is er in Nederland op dit moment geen enkel datacenter dat zich officieel Tier 1, 2 3, of 4 gecertificeerd mag noemen. Zie in dat verband ook de kaart van het Uptime Institute die aangeeft welke datacenters per land in de wereld gecertificeerd zijn.
ISO 27001 equivalent aan NEN 7510?
ISO 27001 en NEN 7510 zijn standaarden voor informatiebeveiliging. De Nederlandse norm NEN 7510 beschrijft specifiek de informatiebeveiliging (patiëntgegevens) in de zorg. Beide normeringen hanteren een procesmatige aanpak en zijn daarin vrijwel identiek. Echter door de patiëntspecifieke aanvullingen in de maatregelen omtrent beheer uit de NEN 7510 norm, verschilt deze van de ISO norm en zijn de beiden daarom niet equivalent. Echter voor organisaties die moeten voldoen aan de NEN 7510 norm zoals zorginstellingen, is men voor de keuze van een leverancier niet beperkt tot alleen de NEN 7510 gecertificeerde bedrijven. Want wanneer de leverancier zelf geen patiëntgegevens verwerkt is ISO 27001 afdoende.
Klopt de certificering?
Hoe kom ik er als klant achter dat de certificering (of soms lijsten van certificeringen) echt klopt en bijvoorbeeld niet allang is verlopen? Helaas vergt dit wat uitzoekwerk. Vraag als stap één naar een kopie van het certificaat met de naam van de “Registrar” en het certificaatnummer. Check of dat het document geldig is. Indien het is verlopen kan het nog wel zo zijn dat het datacenter net op het moment in het proces van audit/her-certificatie zit. Vraag dan om een duidelijke uitleg en de verificatie van het bureau dat de audit uitvoert.
Het BSI, DNV-KEMA en TüV zijn veel gebruikte certificeringorganisaties. Op hun sites zijn ook zoekfuncties waarmee een certificaat te verifiëren is. De leverancier kan deze url, zie bijvoorbeeld hier, meteen geven. Check ook voor welk locatie of dienst het certificaat exact geldt. Een leverancier kan het bijvoorbeeld voor telefoniediensten hebben gehaald in Engeland, en niet voor datacenterdiensten in Nederland.
Veel datacenters behalen de certificering vooral vanwege de vraag van de klant en omdat hun concurrenten het ook hebben. Het certificaat puur als strik om het product is de verkeerde insteek. Als leverancier zou je ten eerste je eigen processen willen verbeteren en dan zal de dienstverlening vanzelf ook daarin meegaan.
De NEN is bezig met een Nederlandse Praktijkrichtlijn, NPR 5317 ‘Cloud computing’. De zaken die ik ervan gezien heb, geven antwoord op de vragen die in bovenstaand artikel worden gesteld maar vooral ook op die hier niet worden gesteld.
Het gaat er natuurlijk om welke antwoorden zijn goed (genoeg voor mij)?
Bedrijven die participeren in de NPR zijn o.a. CloudVPS van Lennart Zwart die ook regelmatig publiceert en reageert op Computable.nl
Stijn benoemt de technische Tier-norm en ISO27001 c.q. NEN7510, maar een wellicht betekenisvollere toets zou ingaan op de dienstverlening van het datacenter. Uiteindelijk is een (extern) datacenter gewoon een dienstverlener van IT-diensten. Daarvoor is wereldwijd vooral ISO20000 gepositioneerd. In Nederland is dat nog niet echt aangeslagen. Spanje geeft bijvoorbeeld per jaar meer nieuwe certificaten uit dan in ons land in z’n geheel ooit zijn uitgereikt.
Maar pas op: waar het bij certificaten op neer komt is niet dat certificaat. We hebben al lang geleerd dat er met enkele kunstgrepen een mooi certificaat kan worden gescoord waar in de praktijk zeer beperkte waarde aan kan worden toegekend (zie de ISO9000-misstanden van eind negentiger jaren). Ik heb ooit het boek “ISO20000 Certication – The Roadmap” geproduceerd, en daarin ook een aantal cases besproken. Cruciaal is daarbij de scoping van het domein waarop de certificering van toepassing is. En daar heb je meteen de eerste kans op ‘ontwaarding’ (c.q. listig bedrog) te pakken.
De tweede valkuil is dat je vanuit een best practice benadering werkt en dus geen robuust managementsysteem invoert, maar alleen een serie ‘kunsten’ adopteert. De ervaringen met de ISM-methode, dat intussen geldt als de brede landelijke praktijkstandaard voor IT-serviceorganisaties, laten zien dat als je een degelijk managementsysteem invoert, de certificering tegen zoiets als ISO20000 of NEN7510 een beperkte inspanning vergt.
Mocht je dus willen kijken naar certificering van datacenters, dan zou ik daarbij op z’n minst aandacht willen hebben voor het managementsysteem dat de betreffende organisatie daarvoor gebruikt heeft.
In het verleden heb ik me erg veel met verschillende vormen van certificeren bezig gehouden. Uiteraard zijn de wegen geplaveid met goede intentie en voornemen. Mijn ervaringen zijn dat beslis niet altijd het toekennen/uitreiken van certicaat betekend dat men er ook daadwerkelijk iets mee doet.
Het is totaal ondoenlijk om jaarlijks controles uit te voeren of men nog steeds volgens de regels opereert of niet. Dat geld overigens voor alle certificaathouders zoals hier bedoeld en van (IT) professionals.
Ik volg de retoriek van Jan van Bon hier dan ook graag. Ik kom wel veel commercie tegen maar even zozeer zeer ingewikkelde weinigzeggende constructies die juridisch uiteindelijk niet zoveel te betekenen hebben.
Hetzelfde geld voor IT professionals. Ik kom zeer gedegen, goed kijkende en nadenkende IT professionals tegen die met visie en hart voor de materie bezig zijn maar ook volkomen overgecertificeerde professionals waarvan je je af vraagt wat die of gene toch in hemelsnaam in en met IT aan het doen is.
Tier is prachtig, wanneer het overzichtelijk en functioneel is ingeregeld. Ik schiet nog steeds erg eenvoudige gaten in audits van E2E processen. Dus tsja….
Een certificaat is de afdruk van een indruk, niet meer en niet minder. Geschiedenis van Titanic tot DigNotar leert dat het weinig garanties biedt, vaak niet meer dan een boterbriefje. Benieuwd dus hoe auteur het verschil inzichtelijk denkt te maken tussen de gebruikelijke strik om de drol en de werkelijke waarde.
Goed om te zien dat er recentelijk weer veel wordt gepubliceerd over certificeringen van datacenters. Dat er duidelijk verschaft dient te worden op dit gebied blijkt wel uit alle verwarring die er bestaat over de veelvoud aan certificeringen die aangehouden kunnen worden. Nog afgezien van het feit dat sommige certificeringen soms een wassen neus zijn. De ervaring leert dat de meeste “gebruiks” certificeringen worden verlangd door de eindklant van de exploitant. De exploitant is vooral geïnteresseerd in de basis certificeringen die te maken hebben met de technische infrastructuur.
Er zijn er nu wel meer dan veertig verschillende normen in omloop die beweren betrekking te hebben op datacenters. Een categorisatie van deze certificeringen zou al een verbetering zijn. Denk daarbij dan aan informatiebeveiliging, beschikbaarheid/resilience, energie efficiëntie, milieu, kwaliteitsrichtlijnen, continuïteit, gebouwrichtlijnen, veiligheid en gezondheid. Eén generieke certificering zou overigens dus ook niet haalbaar zijn aangezien de focus te divers is.
Naast het ontwerp van het datacenter is overigens ook de Operational Availability & Sustainability van belang. Dit geeft een veel beter beeld van de beschikbaarheid gedurende de gehele operationele fase.
Kleine correctie op het artikel: de Tiering classificatie komt in oorsprong niet vanuit de TIA-942 maar is in orgine (2001) van het Uptime Institute. En hoewel het geen stempel van het Uptime Institute zelf is, kunnen geAccrediteerde Tier Designers (ATD) wel gefundeerd aangeven in hoeverre een DC voldoet aan de Tier classificatie.