Wie dacht dat met de komst van cloud ict gemakkelijker zou worden, heeft het mis. In feite is er een complexiteitsniveau bijgekomen. En nu ict bedrijfskritisch is geworden, begint die complexiteit meer dan ooit te knellen.
Om houvast te krijgen, willen bedrijven zekerheid over de kwaliteit van de dienstverlener waarmee ze in zee gaan. Elke zichzelf respecterende provider is bezig om gecertificeerd te worden. ISO is voor de meesten een eindstation, maar de volgende certificering voor de cloudsector dient zich al aan: de Europese Cloud Star Audit. Het is trouwens opmerkelijk dat er nog steeds zoveel cloud en hosting providers niet gecertificeerd zijn. Je vraagt je af of dat wel goed kan blijven gaan.
Schakels
In de online services economie is de keten zo sterk als de zwakste schakel. En die keten kan lang zijn en veel schakels bevatten. Connectiviteit is een schakel, net als het datacenter en de hosting provider. De managed security services provider zit er in, de e-mail provider en de back-up-dienstverlener. Een beetje organisatie heeft zo’n vijf tot tien partijen nodig om zijn data veilig en snel van A naar B te krijgen én weer terug.
Hoe bepaalt de klant nu of de kwaliteit en de veiligheid van zijn ict end-to-end, over al die schakels heen verzekerd is? Moet hij alle onderaannemers afzonderlijk gaan inspecteren? Waarop dan? Meestal weet de organisatie niet eens wie er allemaal bij zijn ict-huishouding betrokken zijn. De outsourcing-partner heeft het immers allemaal geregeld. Die is gecertificeerd, dus het zal wel goed zijn. Maar ook dat is een denkfout. Dat certificaat en de afgesproken sla gaat over de eigen dienstverlening van de partner. Die zal/kan geen verantwoordelijkheid nemen over de dienstverlening van zijn toeleveranciers, tenzij de sla’s downstream een op een zijn doorgezet. En dan nog…. lees de kleine lettertjes er maar op na.
De hele ketting
Het wordt tijd dat we dit probleem industriebreed aanpakken. We moeten toe naar ketencertificering, waarin niet alleen de afzonderlijke schakels worden getoetst, maar juist de hele ketting, van begin tot einde. Alleen op die manier kan de sector de veiligheid en de kwaliteit van de geleverde services borgen. Het bieden van transparantie, daar gaat het om.
De nieuwe dataprivacywetgeving maakt het vraagstuk extra urgent. Organisaties zijn verplicht hun informatiehuishouding te documenteren. Ze zullen hun ict-omgeving nauwgezet onder de loep nemen. Dan zou het heel mooi zijn als wij aanbieders hen dat werk uit handen nemen en zekerheid kunnen verschaffen over de staat van hun informatievoorziening, in de vorm van een onafhankelijk getoetst ketencertificaat.
Certificeren, zo is mijn ervaring is niet altijd een kwaliteitsslag maar heel erg vaak ook een commerciele verkoop. Immers, kijk ons eens lekker bezig want ik heb menig organisatie een certificering zien krijgen met een enorm verloop dat ik gewoon durfde te stellen dat die certificering door dat verloop weinig waarde meer had.
We weten dat het verloop in en met IT ICT enorm kan zijn en dat doet aan de waarde van de certificering ook danig af. Immers, we weten dat nog geen 25% van alle IT professionals ooit eens met een complete certificerings slag te maken heeft gehad laat staan dat hier dan erg veel aan op kan worden gehangen.
De IT keten, ik heb daar vaak over geschreven en gesproken, is op zich al een huzarenstukje voor heel veel bedrijven die IT binnen hun muren hebben en zelfs, zo merkte ik onlangs maar weer eens bij een echte nerd, een volkomen onbekend begrip. Gewoon de vraag of die iets begreep van de meest basale IT keten en processen. Blik dat water ziet branden.
Ik ben nog geen hosting of data center tegen gekomen die heel eenvoudig een flyer of leaflet had waarin de betreffende hoster gewoon uitlegde welke IT keten er binnen de muren van dat bedrijf werden gebruikt, hoe die in elkaar zaten en welke schakel waar zich in die keten begon. Sterker, menig IT leverancier die het de klant niet eens fatsoenlijk weet over te brengen.
Eerlijk gezegd heb ik het helemaal niet eens zo op met een ‘branche certificering’. Het doet mij ineens denken aan de radiocommercial van een IT personeelsuitlener die de kreet slaakt, ben u al European compliant bent? Neeheeeeee, maar wij natuurlijk wel.
Ik geloof in de goede intentie van de auteur, ze zullen best goede diensten leveren, maar de data diensten leverancier die ik nu heb doet dat ook volgens de voorwaarden die ik stel en dat gaat al een aantal jaren gewoon goed. Die komt mij niet lastig vallen met een scala aan kreten die een fatsoenlijk burger niet eens meer weet te behappen laat staan de klant.
Als iemand zegt dat die mij werk uit handen nemen wil, prima, dan is mijn wedervraag, weet je dan ook wat voor werk ik op welke manier uit voer? enfin, u kent het antwoord waarschijnlijk al.
Certificeren ben ik helemaal voor. Ga dan naar een centraal orgaan en regel het en kom met zijn allen overeen waar men dan aan moet voldoen.
Anders blijft het weer een commercieel verhaaltje.
Toch?
Ketencertificaat, nu al het ict-woord van 2016.
“Om u nog beter van dienst te kunnen zijn is dit product, duurzaam van indiase kinderhandjes afkomstig, met de grootst mogelijke zorgvuldigheid samengesteld door met raar accent sprekende gladde mannetjes.”
Waarschijnlijk geen garantie dat niet onderweg ergens on demand downstream een paar nieren zijn verdwenen, maar daar rept de SLA ook niet over.
René ik ben het niet heel erg met je eens.
Ondanks dat bijv. ISO27001:2013 heel weinig zeggends kan zijn, Bart Veldhuis heeft het wel eens een leuke cartoon en verhaal geschreven over een certificering die gaat over de pleerollen in het datacenter, ben ik wel degelijk voor certificering en voegt het waarde toe. Veel klanten zien het logo en denken dan dat het voldoende is, en dat is op zich bijvangst. Als een bedrijf gecertificeerd is en de details goed uit kan leggen (zouden ze wel moeten, want ISO27001 grijpt in op de uit te voeren processen), dan geeft mij dat inderdaad meer vertrouwen dan in bedrijven waar ik helemaal niets lees over hun informatie beveiliging.
Een certificering beschrijft wat een bedrijf doet aan informatie beveiliging, doet dat vervolgens ook en anderen hebben gecontroleerd dat het zo is. Dat is niet niks. Downplayen ervan vind ik juist door een IT Professional een beetje dom.
Tja, en als je geen hoster hebt gevonden, heb je ook niet goed gezocht. Ze zijn er prima te vinden en aangezien Amazon / Microsoft / Google ook hosters zijn en zeer veel documentatie geven over de processen en hoe ze de boel beveiligen is jouw uitspraak bij deze tegen gesproken,
Slechte voorbeelden geven over de industrie kun je prima, maar vertel nu ook eens waar het goed gaat en hoe het zou moeten, in de Numoquest kan ik het niet terugvinden…
Beste Henri,
Geen probleem dat je er iets anders tegen aan kijkt. De rode lijn van mijn betoog is vrij helder denk ik. Een certificering staat niet garant voor en het is aan de klant de keus. Ik ken legio voorbeelden waar mensen et een certificaat rond lopen/liepen waar de productie en kwaliteit op zijn zachtst gezegd konden worden bediscussieerd en ik ken IT professionals, overigens elders ok, met zoveel passie voor vak en inzicht die minder gecertificeerd waren maar boordevol energie en parate kennis bezaten.
What;’s your point?
Google en MS hebben beiden verdienmodellen waar ik mijn data niet zo 1 2 3 aan toe zou willen vertrouwen ook als zij de zaken goed op orde hebben. Dat alleen al voor juridische redenen en de manier hoe zij tegen ‘mijn’ data aan kijken. Ik bekritiseer hen niet want zij zullen genoeg klanten hebben.
Kleine tip: Hou het zakelijk en sec. Dat jij iets niet weet te vinden over Numoquest is misschien omdat je een afslag mist een vraag te stellen? Never asume, always verify is onze stelling. Overigens, als je weet hoe Numoquest werkt dan begrijpt je onze stelling wat data betreft waarschijnlijk nog stukken beter.
On Topic:
Het streven van Martijn in dit artikel vind ik zakelijk gezien weer aimabel. Het is het streven naar verbetering van kwaliteit en het uitbannen van hiaten.
Henri,
Een certificering is op zich zelf nietszeggend, je kunt gecertificeerde zwemvesten van beton hebben die je laten zinken als een baksteen wanneer je ze nodig hebt. Auteur van deze blog haalt een interessant punt aan als we kijken naar beloften van DevOps, QA van Continuous Integration doet namelijk precies wat nog nagelaten wordt met het gebruikelijke circus van certificeringen door de zwemvesten te testen in plaats van ze te beschrijven.
Ik wil niet vervelend doen maar de ‘sloepenrol’ van data portabiliteit (artikel 18 in de nieuwe GDPR) wordt bij Continuous Delivery van SOA paradigma vaak nagelaten en de urgentie om hier eens kritisch naar te kijken lijkt me zeker geen overbodig advies. Je zult het niet willen horen maar de publieke cloud is als de Titanic, de compartimenten hiervan lopen vol met de ongeclassificieerde (ISO27002:2013 sectie 8) data waarvan niet alleen een beschrijving over de voedingswaarde en houdbaarheidsdatum ontbreekt maar ook het eigenaarschap vaak nog diffuus is.
De I/O keten is vaak nog een wirwar aan koppelvlakken waardoor de belofte van encryptie net als veel certificeringen gewoon een vorm van marketing is, CIA (confidentiality, integrity & availability) maatregelen stoppen bij de cloud veelal na de voordeur waardoor data-in-rest ligt te wachten op de beloften van moderne datasynthese. Je vind het misschien een slecht voorbeeld van de cloud industrie maar het is helaas wel de realiteit en reden voor herziening van Safe Harbor associatieverdrag.
Mooie van ict.
Certificering is op zichzelf nietszeggend.
Maar tis allemaal zo ingewikkeld, dus moeten we het hebben van zeggenden die effectief niet zoveel zeggen.
Zie overigens ISO27002:2015 sectie 8F.
Geen idee of dat bestaat maar dat is mijn punt 🙂 Ewout gaat er nog inhoudelijk op in maar ik toon aan dat dat eens nodig is. Er staat immers geschreven “Het gaat lang niet altijd om de inhoud en het is vooral de Aap Met De Grote Bek die bepalend is”.
Het evangelie volgens Louis.
Zelf tel ik liever de sloepen dan een verhaal over onzinkbaarheid aan te horen.
@Dino Ha ha, dat is ook een evangelie, dat van de Aap Met De Grote Bek. Maar ingewikkeld is het, en wat is er veel. En voor iedere taal, systeem, tool of framework is er een evangelist en ze vechten elkaar ook nog de tent uit. Nu in de weer met node.js, heel leuk, maar veel javascript frameworks dat er zijn, niet normaal zeg. Met ieder zijn eigen evangelist of thought leader.
Maar zijn die ook te downloaden, PDFjes met die ISO standaarden? Ik kom alleen maar op sites die geld willen zien voor de ISO standaarden. Ik heb zelf ook het altijd idee gehad met dit soort standaarden, het is ook voor de vorm. Het ISO circus.
DIno,
Om sloepen te kunnen tellen moet je plaatselijk aanwezig zijn, iets dat me vrij lastig lijkt in te vullen met de ‘achter gesloten deuren IT’ van uitbesteding. Je bent dus al snel afhankelijk van het oordeel van derden betreffende de ‘fortificatie’ beveiliging van ISO27001 welke dus nog teveel als oude stoomschip is wanneer de organisatorische compartimering (privacy-by-design) in de informatiestromen zelf niet waterdicht is. Voor wat het waard is:
https://www.ipc.on.ca/images/Resources/PbDReport.pdf
Lees laatste bladzijde want ‘call for action’ werd al meer dan 7 jaar geleden gedaan (tik-tak) waardoor 2018 een interessant jaar wordt, ’trust-as-a-service’ blijkt geen garanties te geven in het Big Privacy vraagstuk door exoneratieclausules. Ketencertificatie met open systemen gaat dan ook om Enterprise architectuur waarbij je gewoon eerst het governance (privacy-by-design) framewerk ontwerpt en dan pas de oplossingen kiest, die digitale transformatie gaat namelijk om de organisatorische processen.
Sectie 8 van ISO27002 gaat over classificeren van data, iets dat je beter vooraf (proactief) kunt doen om te voorkomen dat verweesde datasets tot datalekken leiden omdat paragraaf 8.3 (het juist verwijderen van gegevens) ook al niet ingevuld wordt maar wel samenhangt met artikel 17 – right to erasure van GDPR – waar de aap met de grootste bek dus nog wat problemen mee heeft.