Voor veel organisaties die zich oriënteren op het gebruik van cloud is het ISO 27001 certificaat van de cloud provider één van de standaard vereisten geworden. Het behoort tot de hygiëne factoren waar een cloud provider aan moet voldoen alvorens vertrouwelijke gegevens van de klant-in-spé te mogen ontvangen. Alle organisaties die blind op het ISO 27001 certificaat van hun provider vertrouwen lopen onbewust een veel groter risico dan gewenst.
Om te beginnen is een ISO-certificering een momentopname. De ISO-auditor (meestal een seniore heer met een snor) komt één, of hooguit twee keer per jaar een audit doen. Tijdens deze audit krijgt hij inzage in de stand van zaken op dat moment. De provider weet maanden van te voren wanneer de audit plaats vindt en heeft alle gelegenheid gehad zich daarop voor te bereiden. Het beeld wat aan de auditor wordt voorgeschoteld is dus gekleurd.
Helpende hand
Daarnaast zijn er inmiddels bedrijven die zich erin gespecialiseerd hebben om providers te helpen bij het behalen van hun ISO 27001 certificering. Vaak wordt hierbij het middel van de ‘scope’ gebruikt. Door handig te formuleren wat er allemaal wel, maar belangrijker, geen onderdeel uitmaakt van de certificering blijven de zwakke delen van de provider buiten beeld. Ook wordt er handig gebruik gemaakt van ‘template’ procesbeschrijvingen en standaardrapportages. Dat deze geoptimaliseerde processen ver van de werkelijke processen van de provider staan mag duidelijk zijn.
Maar dan nog meer: ISO 27001 is een auditing framework dat iedere acht (8!) jaar bijgewerkt wordt. De voorlaatste versie dateerde van 2005 en de meest courante versie dateert van 2013. Dit betekent dat een volgende versie van het ISO-framework pas weer in 2021 komt. Hoe kun je verwachten dat een framework van acht jaar oud past op de huidige situatie? Dat is vergelijkbaar met wetgeving uit de tijd van het telegram op een dienst als Whatsapp proberen toe te passen (deze woordspeling is toevallig).
Dat hier een gat is ontstaan tussen de belangen van de afnemers van cloud en wat de providers op dit moment bieden is duidelijk. Voor de providers is er werk aan de winkel, maar ook de afnemers van cloud hebben nog een boel te leren als het gaat over de manier waarop ze cloud diensten afnemen.
Tijdens de Secure Cloud-conferentie afgelopen week in de Amsterdamse RAI blijkt dat de Nederlandse cloudproviders de certificering (of het gebrek aan duidelijke certificering) niet hoog op de agenda hebben staan. Op dit congres schitterden de Nederlandse providers namelijk door afwezigheid. Behoudens een kleine delegatie van Schuberg & Philis en ondergetekende waren alle ‘usual suspects’ afwezig.
Toch wordt er op de Secure Cloud-conferentie goed gedebatteerd over het gebrek aan duidelijke en bruikbare certificering voor cloudproviders. De grotere Amerikaanse providers (Google/Microsoft/Verizon – Terremark/Amazon) zijn aanwezig om invulling te geven aan de behoefte omtrent cloud beveiliging en de daarbij behorende certificering.
STAR-programma
Er is al geruime tijd een specifiek cloud certificeringsprogramma beschikbaar dat alle beperkingen van het ISO 270001 certificaat onderkent. Dit is het STAR-certificeringsprogramma van de cloud, Security Alliance (CSA). Deze stichting houdt zich al sinds 2008 bezig met de certificering van cloudproviders. In een interview geeft CSA-ceo Jim Reavis aan dat de Europese providers langzaamaan tractie krijgen als het gaat om de adoptie van het STAR-certificeringsprogramma. Op dit moment is van de ruim vijftig geregistreerde providers het merendeel Amerikaans. Er zijn op dit moment geen Nederlandse providers met een STAR-registratie. En dat is jammer want het STAR-certificeringsprogramma is een welkome aanvulling op het huidige ISO 27001. Naast dat het ISO 27001 als uitgangspunt heeft, is het een volledig complementair programma, maar dan met een aantal belangrijke verbeteringen.
1. Het is volledig transparant; De controle mechanismen die de providers in stelling moeten hebben zijn openbaar, maar ook de auditbevindingen zijn volledig openbaar. Volgens Reavis is volledige transparantie over het certificeringsprogramma een vereiste voor het kunnen winnen van het vertrouwen van de afnemers van cloud.
2. Het is geen momentopname maar een continu proces; Het hoogste niveau van certificering vereist dat de (belangrijkste) controle mechanismen continue gemonitord worden. Volgens Reavis wordt hiermee voorkomen dat de certificering een momentopname betreft.
3. Alle afnemers van de cloud zijn potentiele auditors; Doordat alle controlemechanismen openbaar zijn en ook de audit uitkomsten openbaar zijn kunnen de afnemers van de cloud bijdragen aan het auditing proces. Daarnaast worden de auditors ook met een eigen opleidingsprogramma opgeleid en gecertificeerd. Wat weer goed nieuws is voor de man met de snor.
4. Het is een open certificering framework; Het certificeringsprogramma is opensource, en dus continue aan ontwikkeling onderhevig, waardoor het veel meer aansluit op de huidige behoeften dan het ISO 27001 certificaat. Zodra het certificeringsframework bijgewerkt wordt dienen de bij het programma aangesloten providers zich op de wijzigingen opnieuw te certificeren.
Niet zaligmakend
Is het hiermee een zaligmakend programma? Nee zeker niet, er zijn nog zorgen. Zo is de adoptie van het programma in Europa nog beperkt. Een van de uitdagingen van het programma is namelijk dat het behapbaar moet blijven voor de kleinere providers. De grotere Amerikaanse providers hebben de financiële mogelijkheden om verschillende certificeringsprogramma’s te doorlopen, iets wat voor een kleinere provider ondoenlijk is. Toch is het CSA STAR-programma dermate volwassen en beter in staat om iets te zeggen over de mate waarin een cloudprovider geëquipeerd is een veilige dienst te leveren dan het ISO 27001 certificaat. Daarmee is het vreemd dat nog zo weinig Nederlandse providers belangstelling hebben voor dit programma.
Is de Nederlandse cloud hiermee minder ontwikkeld of minder veilig dan een Amerikaanse cloud? Nee in tegendeel juist. De Amerikaanse providers hebben zo hun eigen uitdagingen, zoals de rol die de overheid speelt bij de opslag van data (de altijd informatiehongerige NSA). Daarnaast nemen de grote providers beslissingen gebaseerd op de grootste gemeenschappelijke deler (volume) en dat is niet altijd in het belang van de Nederlandse afnemers van cloud.
In een volgend artikel zal ik meer in gaan op de technische aspecten van veiligheid van de cloud zoals die besproken zijn tijdens de Secure Cloud-conferentie.
Het is een kwestie van vraag en aanbod;
De afnemers, in al hun onwetendheid, vragen om een ISO 27001 certificaat. (Er is ook nog zoiets als onbewust-onbekwaam zijn).
De providers krijgen de vraag om een ISO 27001 certificaat en beginnen zonder verweer aan het proces. Vol trots presenteren ze hun middels theater en poppenkast verkregen stikker, terwijl ze eigenlijk weten dat ze de klant beter hadden moeten informeren.
Wie heeft er hier dan nu oogkleppen op?
@Bart
Misschien leg ik je laatste reactie verkeerd uit maar deze doet denken dat providers de klant onwetend laten.
@Michiel
Er was hier ook een stuk over hoe de hosting branch over hun toekomst dacht, helft denkt binnen 3 jaar overgenomen te worden. In dat geval wil invulling van compliance nog wel eens als volgt zijn: “wij repareren lekken niet omdat dit economisch niet rendabel is.”
Je vergelijk met de voedselindustrie is inderdaad slecht gekozen omdat niemand meer wijs wordt uit al die E-nummers. En zo lijkt het ondertussen ook te vergaan met certificering en keurmerken. Het is als nat toiletpapier, je steekt er al gauw door heen!