Een klein onderzoek naar cloud security van SaaS- en IaaS-leveranciers levert onbevredigende uitkomsten op. In een tijd waarin het zo belangrijk is om het vertrouwen van cloud-gebruikers te houden en van toekomstige te winnen is het belangrijk dat je als aanbieder van cloud-diensten via je website communiceert wat je als leverancier aan beveiliging van data en privacy hebt geregeld, wat de uitkomsten van audits zijn en dat je dat in de toekomst bewaakt en update.
Een transparante cloud bestaat niet. Is deze stelling juist? In dit artikel wil ik daar verder op ingaan
• Een piloot zal zeggen dat dit klopt, dat is duidelijk.
• Een boekhouder denkend aan cloud computing zal ook zeggen als hij een aantal sites van boekhoudprogramma’s en providers heeft bezocht om te onder zoeken of de cloud iets voor hem is.
• Een ict'er zal zeggen, dat klopt in een aantal gevallen maar is niet altijd waar.
Met deze praktijk gevallen ben ik eens aan de slag gegaan om te kijken wat op dit moment de waarheid is. Maar ja, de waarheid kent vele gezichten.
Het zal duidelijk zijn dat de huidige en toekomstige cloud-gebruikers recht hebben om te weten of zijn cloud-leverancier (laten we hem voor het gemak in dit artikel provider noemen) alle maatregelen heeft genomen om zijn (klant) data optimaal te beveiligen en dat de provider in staat is de wijze waarop dit is gebeurd aantoonbaar te maken.
Visie
Mijn visie is dat providers op hun websites uniform moeten communiceren over cloud security en dat de volgende zaken daar verplicht deel van moeten uitmaken.
1. Ze hebben procedures die volgens SAS 70 II (ISAE) / ISO 27001 zijn uitgevoerd, ge-audit en de resultaten uit deze audit jaarlijks zichtbaar maken op hun website.
2. Ze moeten uitleggen wat SAS 70 II en ISO 27001 is en waarom dit een goede zaak is voor hun klanten.
3. Ze zorgen dat deze informatie makkelijk toegankelijk is op hun website, bij voorkeur altijd op dezelfde plek onder de noemer van bijvoorbeeld cloud security.
4. Ze moeten zichtbaar maken dat de transfer van data van en naar de cloud encrypted plaatsvindt.
5. Ze moeten aangeven op welke wijze ze de toegang tot de cloud hebben beveiligd.
Nu kun je bijvoorbeeld al voor ISO 27001 met een link zoeken of een bedrijf een geregistreerd ISO certificaat heeft. Vervolgens zoek je per land. Je zult alleen grote bedrijven hier aantreffen zoals KPN, CSC, Atos Siemens et cetera.
Hebben aanbieders de informatie over SAS 70II, ISO 27001 of andere beveiliging op hun website staan? Op basis van een aantal zoekwoorden heb ik sites bezocht van leveranciers van cloud-diensten en specifiek ook van boekhoudsoftware online. Ik heb onderzocht of ze op hun website melding maken van het naleven van de accounting standard SAS 70 II, waarin wordt verklaard welke procedures ten aanzien van beveiliging worden gevoerd, hoe deze worden gecontroleerd en of ze een verklaring hiervan jaarlijks ontvangen en publiceren. Tevens is gekeken of de desbetreffende bedrijven naar analogie de ISO standaard 27001 volgen.
Geanonimiseerde en niet anonieme uitkomsten
Als de in dit artikel genoemde zaken op de websites van de leveranciers komen zijn we goed op weg om de transparantie van de cloud op dit gebied te verbeteren. Een blik op boekhoudpakketten on line: AFAS online sprong hier positief uit maar vermeldt geen SAS 70II. Een partij verwijst naar een audit en assurance certificaat, één verwijst naar een comsec certificaat en dat zou ISO 27001 kunnen zijn, maar is niet zeker, een ander verwijst naar ISO 20000, maar dat heeft betrekking op de it-service en niet over data beveiliging. Er is nog geen uniformiteit en ik benijd de boekhouders niet die een vergelijk moeten maken en als één van de beoordelingspunten Cloud computing security hebben staan.
Salesforce heeft een verwijzing naar de inhoud van de certificaten, maar vermeldt verder niets over de certificaten zelf. Op een website van BSI kan je zien dat Salesforce een geregistreerd certificaat heeft, maar wat zegt dat verder, hoe gaan ze er mee om? Microsoft heeft voor Office 365 een uitgebreid en volledig document opgesteld voor Office 365 en is van plan de audits in de toekomst ook te publiceren.
Aanbevelingen voor Cloud aanbieders zijn dus:
Zorg dat je de controles hebt, uitvoert, laat auditen op de uitvoering en communiceer daarover frequent op je website. Het is geen 'Nice to have' voor je website maar een 'Must have'. Maak het voor de klant geen zoekplaatje!
Make the Cloud a secure place
Dit doet me denken aan diverse webseals die begin deze eeuw opkwamen. Bij pwc hebben we toen ook een webseal (BetterWeb) ontwikkeld dat o.a. inging op dislosure van privacy en security policies op e-commerce sites. Misschien weer eens uit de kast halen en afstoffen?
AFAS is nu ISAE3402 gecertificeerd, dat is niet zomaar iets. Op naar de volgende stap: frequent publiceren van audits Transparantie zoals het moet!!! Mooie voorbeeld functie. Later dit jaar ook ISO 27017?
Mijn beste heer Salomons toch, U leest hier een reactie van een verbijsterde IT’er. De reden dat ik dit zeg is dat beveiliging een zaak is van exclusiviteit en discretie. Ik kan wellicht van leverancier op aan maar wanneer die leverancier lijnen heeft liggen naar puur goedkope datacenter in Kuala Lumpur, Sjanghai, New Delhi of Bombay, om er maar gewoon een paar te noemen.
Die zullen beleefd ja knikken als hen de vraag gesteld wordt of alles beveiligd is volgens dit model? Mooi. U geeft ze twee prachtige handvatten. Bits en bites gaan we volgens dit model bij daar storen, waar u persoonlijk geen enkele weet van heeft. U weet namelijk niet welke lijnen uw directe leverancier heeft lopen in dit verhaal.
Ik hoop niet dat er iemand is die tegen mij zegt ach …. dat valt allemaal best mee. Die verhalen heb ik ook in het verleden gehoord maar weet inmiddels dat security een zaak van discretie en implementatie is en niet van afgesproken niveaus en/of protocollen, of iso normeringen.
Althans,
Dat is mijn bescheiden mening.
@Henri twee weg authenticaties is er nu ook voor Office 365 http://t.co/ESriiy2c
Simpel.
Mensen/bedrijven met weinig eisen/financiële middelen kiezen voor een prijsvechter. Mensen/bedrijven met veel eisen/financiële middelen kiezen voor een kwaliteit. 100% slaafvrije chocolade is altijd duurder dan de repen van € 0,30.
Voor ieder wat wils, wat zijn je normen & waarden oftewel… Hoeveel omzet ben je bereid in te leveren voor hoeveel veilige Cloud?
De één heeft lak aan normeringen, de ander zweert erbij. Daarom verkoopt Albert Heijn Euroshopper. Daarom heeft KPN Simpel. Daarmee bieden ze kwaliteit met de ene BV en prijsvechten ze met de ander.
Wat is jouw ondernemingsplan?