Wat is er nodig voor een 100 procent veilige SaaS-omgeving? Natuurlijk nemen software-vendors passende beveiligingsmaatregelen, maar zij zijn voor een belangrijk deel afhankelijk van het hostingplatform waarop de software draait. Hoe ga je om met deze verantwoordelijkheid en welke eisen stel je aan je hostingpartner? Heliview organiseerde onlangs een kennissessie samen met hostingprovider Previder rondom deze security-issues.
Hoewel certificeringen misschien papieren tijgers zijn en applicaties niet beschermen tegen datalekken, werd hier toch vanaf het begin van de sessie veel over gediscussieerd. Als antwoord op de vragen ‘welke eisen stel je aan een hostingprovider?’ en ‘wat heb je nodig als het gaat om wet- en regelgeving om risico’s af te dekken’ werden steeds certificeringen genoemd, samen met de maatregelen die een provider neemt om deze op een hoog niveau te houden.
Certificeringen
Voor informatiebeveiliging dekt ISO 27001 voor de meeste aanwezigen de belangrijkste risico’s af. Inhoudelijk gezien betekent ISO 27001 dat een organisatie een risicomanagementsysteem heeft geïmplementeerd, met risicoanalyses en passende maatregelen binnen de scope die is gekozen. Het is echter heel relevant, zo bleek gedurende de discussie, om verder te kijken dan de certificering alleen. Het gesprek aangaan met hostingpartners over hoe de risico’s in de keten zijn afgedekt, is minstens zo belangrijk.
Natuurlijk stel je als vendor functionele eisen aan een hostingprovider, bijvoorbeeld ten aanzien van back-ups en testprocedures. Binnen twee jaar moeten organisaties echter voldoen aan nieuwe Europese wetgeving. Samen met de Meldplicht datalekken bepaalt deze wetgeving dat de hele keten moet borgen dat zogenaamde bewerkingsovereenkomsten door alle schakels heen worden doorgevoerd.’“Zo’n risicoanalyse is best ingewikkeld en daar kunnen we nog veel slagen maken’, aldus Jeroen Renard, security officer van de Odin Groep.
Vragen van klanten
Tijdens de kennissessie gaven de aanwezige securityspecialisten, directeuren en technische consultants aan dat zij graag inspiratie wilden opdoen om hun bestaande cloudomgeving te verbeteren en wilden horen wat bijvoorbeeld de waarde is van certificeringen voor andere deelnemers.
Alle deelnemers vertelden dat ze vaak vragen krijgen van hun klanten over de beveiliging van een geboden oplossing. Veel organisaties (bijvoorbeeld ziekenhuizen) ‘hikken aan’ tegen een SaaS-oplossing en geloven niet dat het echt betrouwbaar kan zijn. Zij vinden het een eng idee dat het beheer van de data niet meer on-premise gebeurt en zijn bezorgd over privacy en de bescherming van persoonsgegevens. Dat on-premise zeker niet veiliger is en dat het vooral gaat om een gevoel, wordt door softwarevendors in zo’n geval benadrukt. Ook zijn de vendors van mening dat het juist voor klanten die twijfelen goed is om een hostingprovider te kiezen die de juiste specificaties en certificeringen heeft.
Zachte kant vaak doorslaggevend
Beveiliging gaat niet alleen om techniek, maar zeker ook om mensen, zo was de consensus aan tafel. Menselijke fouten, zoals het slordig omspringen met wachtwoorden, staan vaak aan de basis van datalekken. Juist daarom draaien veel certificeringen om dit aspect van security.
Bewustwording is hierbij het sleutelwoord: een certificering heeft pas waarde als mensen snappen wat er gebeurt wanneer bijvoorbeeld persoonsgegevens openbaar worden én als zij vervolgens hun gedrag echt veranderen. De securitymaatregelen moeten voor medewerkers echter wel werkbaar blijven: two factor authentication werd als voorbeeld gegeven van een gemakkelijke manier om veel te bereiken, terwijl werknemers niet het gevoel krijgen dat ze er veel tijd aan kwijt zijn.
Tot slot gaven de aanwezige vendors aan dat de zachte kant, het vertrouwen tussen softwarevendor, cloudhoster en klant, vaak een doorslaggevende factor is, zeker bij SaaS. ‘Het belangrijkste is dat je elkaar helpt’, werd er gezegd. Zaken als certificeringen en sla’s moeten op orde zijn, maar spelen geen rol in het dagelijks contact met partners: ‘Als je naar de sla moet kijken, is dat geen goed teken.’
Conclusie
De conclusie van de kennissessie is daarom dat je weliswaar technisch gezien alles kunt beveiligen – providers kunnen tegenwoordig vrijwel alles realiseren – maar dit moet wel betaalbaar en uitvoerbaar blijven. Risicoanalyses moeten uitwijzen welke securitymaatregelen je besluit wel en niet te implementeren. Er is daarmee een duidelijke behoefte aan een hostingprovider die verder denkt dan techniek of prijs.
100 procent veilig is dus een utopie, maar als je naast techniek aandacht besteedt aan wat de relevante wet- en regelgeving is en als klanten binnen hun organisatie een helder veiligheidsbeleid weten te communiceren, kom je een heel eind.
Een stapje verder in de “security keten”; maak de keuze voor een SaaS leverancier (en hun ketenpartners) die in het bezit zijn van een ISAE3402-verklaring (type 1 en 2).
Top artikel!
100% beveiligen kan vrijwel niet alhoewel je, wanneer je zaken goed op elkaar afstemt zeker tot 97.5% moet kunnen komen.
IT keten
Van belang is dat iedereen zich nu eens realiseert dat wanneer je je in IT begeeft, beroepsmatig, je te maken hebt met een standaard IT keten die jouw vak discipline overstijgt. Niet dat je kennis van andere onderdelen van de keten inhoudelijk zou moeten bezitten, maar wel de positie in de betreffende keten.
Security een zaak van iedereen
Al vaker heb ik gesteld dat we te maken zullen gaan krijgen met steeds meer incidenten met een steeds grotere impact. We hebben de eerste gepubliceerde Ddos attack mogen vernoemen waarbij IoT een aanzienlijk deel van het aanvallende contingent uit maakte. Ik heb daar aan het begin van de IoT idiotie al breeduit over geschreven.
Security is niet alleen een zaak van de gebruiker, maar zeker ook van, om het even welke, producent van elk IT product. Roepen,’na mij de zondvloed’ is tegelijkertijd een akte van onvermogen. In de waan van de quick sale worden essentiële onderdelen zoals security maar wat makkelijk veronachtzaamd.
Gemiste kans
Wat ik persoonlijk een gemiste kans vind is dat de koper niet gewoon afdwingt dat er een bepaald minimaal niveau van beveiliging aanwezig is in hetgeen men verkoopt. Immers, de producent heeft op dit vlak ook een verantwoordelijkheid.
Gedeelde smart, halve smart
Naar mate er meer partijen bij een bepaald traject betrokken zijn, in dit geval Saas, moet je samen aan tafel en niet zomaar roepen naar elkaar wie waar verantwoordelijk voor zou moeten zijn. Het is namelijk het opdoen van kennis die je in de toekomst alleen maar beter en sterker zal maken. Als producent en als dienstverlener.
100% bestaat niet
Laten we daar wel over zijn,. Maar als we de hype van cloud misschien eens achter ons laten, ons bedienen van common sense en bewezen methoden en technieken, zou 97,5% al een zeer loffelijk streven zijn.