Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Cloud security moet uniformer en transparanter

 

Computable Expert

Andre Salomons
Directeur/CIO, Smart SharePoint Solutions. Expert van Computable voor de topics Cloud Computing en Loopbaan.

Een klein onderzoek naar cloud security van SaaS- en IaaS-leveranciers levert onbevredigende uitkomsten op. In een tijd waarin het zo belangrijk is om het vertrouwen van cloud-gebruikers te houden en van toekomstige te winnen is het belangrijk dat je als aanbieder van cloud-diensten via je website communiceert wat je als leverancier aan beveiliging van data en privacy hebt geregeld, wat de uitkomsten van audits zijn en dat je dat in de toekomst bewaakt en update.

Een transparante cloud bestaat niet. Is deze stelling juist? In dit artikel wil ik daar verder op ingaan
• Een piloot zal zeggen dat dit klopt, dat is duidelijk.
• Een boekhouder denkend aan cloud computing zal ook zeggen als hij een aantal sites van boekhoudprogramma’s en providers heeft bezocht om te onder zoeken of de cloud iets voor hem is.
• Een ict'er zal zeggen, dat klopt in een aantal gevallen maar is niet altijd waar.
Met deze praktijk gevallen ben ik eens aan de slag gegaan om te kijken wat op dit moment de waarheid is. Maar ja, de waarheid kent vele gezichten.

Het zal duidelijk zijn dat de huidige en toekomstige cloud-gebruikers recht hebben om te weten of zijn cloud-leverancier (laten we hem voor het gemak in dit artikel provider noemen) alle maatregelen heeft genomen om zijn (klant) data optimaal te beveiligen en dat de provider in staat is de wijze waarop dit is gebeurd aantoonbaar te maken.

Visie


Mijn visie is dat providers op hun websites uniform moeten communiceren over cloud security en dat de volgende zaken daar verplicht deel van moeten uitmaken.
1. Ze hebben procedures die volgens SAS 70 II (ISAE) / ISO 27001 zijn uitgevoerd, ge-audit en de resultaten uit deze audit jaarlijks zichtbaar maken op hun website.
2. Ze moeten uitleggen wat SAS 70 II en ISO 27001 is en waarom dit een goede zaak is voor hun klanten.
3. Ze zorgen dat deze informatie makkelijk toegankelijk is op hun website, bij voorkeur altijd op dezelfde plek onder de noemer van bijvoorbeeld cloud security.
4. Ze moeten zichtbaar maken dat de transfer van data van en naar de cloud encrypted plaatsvindt.
5. Ze moeten aangeven op welke wijze ze de toegang tot de cloud hebben beveiligd.
Nu kun je bijvoorbeeld al voor ISO 27001 met een link zoeken of een bedrijf een geregistreerd ISO certificaat heeft. Vervolgens zoek je per land. Je zult alleen grote bedrijven hier aantreffen zoals KPN, CSC, Atos Siemens et cetera.

Hebben aanbieders de informatie over SAS 70II, ISO 27001 of andere beveiliging op hun website staan? Op basis van een aantal zoekwoorden heb ik sites bezocht van leveranciers van cloud-diensten en specifiek ook van boekhoudsoftware online. Ik heb onderzocht of ze op hun website melding maken van het naleven van de accounting standard SAS 70 II, waarin wordt verklaard welke procedures ten aanzien van beveiliging worden gevoerd, hoe deze worden gecontroleerd en of ze een verklaring hiervan jaarlijks ontvangen en publiceren. Tevens is gekeken of de desbetreffende bedrijven naar analogie de ISO standaard 27001 volgen.

Geanonimiseerde en niet anonieme uitkomsten

Als de in dit artikel genoemde zaken op de websites van de leveranciers komen zijn we goed op weg om de transparantie van de cloud op dit gebied te verbeteren. Een blik op boekhoudpakketten on line: AFAS online sprong hier positief uit maar vermeldt geen SAS 70II. Een partij verwijst naar een audit en assurance certificaat, één verwijst naar een comsec certificaat en dat zou ISO 27001 kunnen zijn, maar is niet zeker, een ander verwijst naar ISO 20000, maar dat heeft betrekking op de it-service en niet over data beveiliging. Er is nog geen uniformiteit en ik benijd de boekhouders niet die een vergelijk moeten maken en als één van de beoordelingspunten Cloud computing security hebben staan.

Salesforce heeft een verwijzing naar de inhoud van de certificaten, maar vermeldt verder niets over de certificaten zelf. Op een website van BSI kan je zien dat Salesforce een geregistreerd certificaat heeft, maar wat zegt dat verder, hoe gaan ze er mee om? Microsoft heeft voor Office 365 een uitgebreid en volledig document opgesteld voor Office 365 en is van plan de audits in de toekomst ook te publiceren.

Aanbevelingen voor Cloud aanbieders zijn dus:
Zorg dat je de controles hebt, uitvoert, laat auditen op de uitvoering en communiceer daarover frequent op je website. Het is geen 'Nice to have' voor je website maar een 'Must have'. Maak het voor de klant geen zoekplaatje!

Make the Cloud a secure place

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4317531). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Zeer terechte opmerking! Ik heb gisteren ook een opinie ingediend over Cloud! Dat Cloud nog "wollig is" en er nog veel zaken in niet goed geregeld zijn. Een stukje van mijn tekst(premier:-p):

"De mediaherrie rondom Cloud heeft voor een chaos gezorgd. Men heeft hierdoor nog geen aandacht besteed aan een aantal essentiële zaken die een scheidingslijn vormen tussen outsourcing, virtualisatie in het (externe)datacenter en Cloud. Er is nog geen duidelijke definitie voor Cloud vastgelegd ..."
En verder op "Als resultaat zien we dat alle diensten op het internet opeens Cloud genoemd worden..er zijn geen officiële kenmerken van Cloud vast gelegd die door aanbieders en afnemers geaccepteerd is en gehanteerd wordt!"

Hopelijk wordt dit binnenkort op deze site gepubliceerd.

Goed punt, André. Ten aanzien van het vastleggen en borgen van managementbeslissingen hebben we al audit trails, maar de integriteit van cloud-based faciliteiten... Inderdaad, de aard en status kennen van de cloud security measures, geeft wel te denken.

Inderdaad door onduidelijkheid over beveiling, controle en audits moeten we aanbieders maar op hun blauwe ogen geloven dat ze hun zaken op orde hebben. Dat geldt helaas niet alleen voor cloud providers maar ook voor de overheid. We vertrouwen steeds meer informatie toe aan systemen maar kunnen niet controleren of er ook vertrouwelijk mee omgegaan wordt.

Andre, ik ben het met je artikel eens. Al is de cloud geen standaard, ISO en de controle erop middels SAS is dat op zich wel al moet ik zeggen dat ik zelf inhoudelijk nog niet goed kan beoordelen hoe goed ISO 27011 en SAS 70 II samen zijn. Ik weet ook niet hoe kostbaar dit voor een organisatie is.

Stel je bouwt een cloud product op welke gebruik maakt van Microsoft Azure en Amazon AWS. Hoe certificeer je zoiets? En als dat niet of moeilijk gaat rem je dan niet de innovatie. Want een gebrek aan de veiligheids standaard betekent niet dat je product per definitie onveilig is.

Ben het dus met je artikel eens; wees duidelijk over je veiligheid. Wel ben ik zelf iets milder over de noodzaak, zolang je hier maar open over bent.

Cloud security, wanneer zouden aanbieders als Exact online, Twinfield, Accountview SAP en al die anderen iets met dit topic gaan doen? Voor mij is Microsoft op dit moment koploper met communicatie over dit onderwerp.En dat is echt objectief!!Voor andere voorbeelden houd ik me aanbevolen en dank voor jullie commentaar zo ver.

Compliancy en security zijn 2 verschillende zaken :

-Een compliant systeem is niet noodzakelijkerwijs secure.
-Een secure systeem is niet noodzakelijkerwijs compliant.

Compliancy standaarden zijn op security gebied allang achterhaald. Gezien het stijgende aantal hacks van de laatste jaren is het accent nu (gelukkig) aan het verschuiven richting "echte" security. Dat betekent onder meer een complete integrale herorientatie op de infrastructuur (hardening van platform en applicaties) en het ontwikkelen en faciliteren van een efficiente patching strategie.

Andre, de communicatie kan inderdaad beter. AccountView heeft services uitbesteed bij provider met ISO27001 certificaat, onlangs uitgebreid naar ISO9001 en ISO14001. Klanten zien in toenemende mate het belang van security en wij zullen en daarom ook meer over gaan publiceren.

@Casper, dat is goed om te lezen. Ik heb op diverse manieren geprobeerd om deze informatie te achterhalen met diverse zoekwoorden, echter de door jou vermelde informatie kreeg ik(nog) niet boven water.

Daarnaast is het zo dat het voor boekhoud/accounting software online een aanbeveling is als die partijen ook de SSAE16/SAS70 auditing standard toe kunnen passen. Hun doelgroep zal dat zeker begrijpen.

Inmiddels heb ik van Twinfield een reactie gekregen dat ze er op terug zullen komen. Ik ben benieuwd.

Het eenvoudigste is als die partijen, net als jij, hier reageren.

@Casper, @Andre

Wellicht is het een goed idee van de cloud-aanbieders om ipv 'wc-eend verkoopt wc-eend-artikelen' hun computable-experts artikelen te laten schrijven hoe hun werkgevers omgaan met cloud security etc.
En dan niet alleen: 'wij van.. voldoen aan dat en dat certificaat'; maar met degelijke argumentatie.
Dat brengt, naar mijn mening, meer duidelijkheid in de cloudsecurity-wolk.
Daarnaast geeft dit hopelijk ook een meer inhoudelijke discussie op de Computable.

@Cordny, je klanten informeren op de manier waarop de klant geinformeerd wil worden over de veiligheid van hun data is precies wat ik beoogd heb.

Het verbaast me dat de aanbieders van online boekhoudsoftware en andere aanbieders van online backup (nog)niet echt reageren.

@Andre

Misschien doen ze het als goed voornemen in 2012.
We'll see! :-)

Unit 4 site beveiliging niet duidelijk: UNIT4 Multivers Online is 100% veilig. De expertise van
UNIT4 op het gebied van gegevensbeveiliging en veilige
internetverbindingen staat garant voor optimale
bescherming van gegevens en privacy.
Daar wordt je dus ook niet echt wijzer van.
@Cordny: ik hoop dat de leveranciers het uberhaupt lezen, anders helpen goede voornemens ook niet

Wordt aan gewerkt.

Begin volgend jaar komt de DHPA met een gestandaardiseerds set van controls voor service providers.

@Michiel: dat kan best transparanter: wat is DHPA en zijn de controls op het niveau van SAS 70II/SSAE16 of ISO 27001, hoe gaat er getoetst worden, worden de uitkomsten van deze toetsen gepubliceerd? Etc. Geldt het alleen voor service providers of gaat dat ook voor SaaS leveranciers in Nederland gelden? Misschien deze vraag aan de verkeerde gesteld: maar past dat in de NEN normering over cloud toepassingen waar men ook mee bezig is?

SAS70 en ISO27001 zijn op zich goede certificaten, als het echter gaat om cloudoplossingen en het afgeven van certificaten die cloud gericht zijn, schieten zij helaas te kort. Mede om die reden heeft EuroCloud, een onafhankelijke Europese organisatie met een vertegenwoordiging in 27 landen (waaronder Nederland), een compleet certificeringsprogramma gelanceerd waarmee iedere leverancier IaaS, PaaS en SaaS gecertificeerd kan worden. Ook in Brussel is EuroCloud hiermee bezig en er wordt langs diverse kanten (zeker ook door de grootzakelijke industrie) met belangstelling naar gekeken en inmiddels ook afgenomen.

@Maurice, ik kan meegaan in je stelling, echter als je de Eurocloud website bezoekt, staat er bij de partners zoals bijvoorbeeld Progress, Twinfield etc."Under construction" Als potentiele cloud gebruiker heb je daar op dit moment, 21-12-201,1 dus (nog) niets aan, terwijl SAS 70 II en ISO 27001 wel duidelijk zijn.

Het is goed dat er aan gewerkt wordt, want daar ben ik voorstander van, maar op dit moment is er net als bij de NEN normering geen duidelijkheid op dat front.

Daarbij komt dat certificering 1 is, maar dat toetsing door de gebruiker(s)van certificreing ook mee genomen moet worden. De eindklant draagt immers juridisch de verantwoordelijkheid voor zijn data.

Ik doe ook nog een duit in het zakje. Ondanks dat ik de waarde ken van protocollen en afspraken die tot een veiliger product leiden ben ik vooral ook pragmatisch.

Google heeft sinds kort (en een aantal updates verder) twee-weg verificatie. Dit heb ik aangezet (en met collega's via Google Apps ook afgedwongen). Iemand die mijn username en wachtwoord heeft van Google, kan nog steeds niet inloggen.

Met een hele handige app (IOS en Android) en een papieren noodprocedure is mijn cloud bij Google weer een stukje veiliger geworden.

Hun aanpak vind ik erg goed en een voorbeeld hoe anderen het ook zouden moeten doen. Dit was namelijk een van mijn laatste bezwaren tegen cloud computing, en deze is hiermee vrij effectief weggenomen.

Als iedereen dit nu volgt dan is de cloud uniformiteit en transparantie al een stuk dichterbij gekomen :-)

Sowieso vind ik de 2e helft van 2011 redelijk spectaculair als het gaat om goede ontwikkelingen. Google, Amazon, Apple, Microsoft en Salesforce (ik zeg Do.Com) worden steeds krachtiger in het uitrollen van nieuwe mogelijkheden die gewoon werken!

Henri,

De grote jongens (MS, google en ook SF) zijn ook niet
gek. Om een cloudacceptatie te krijgen is marketing en productontwikkeling rondom security en ook identity en accessmanagement moodzakelijk. Google heeft zijn 2 FA, MS doet het via afbeeldingen signeren. Intussen wordt door hen ook hard mee gewerkt aan open source
Identity-oplossingen zoals OAUTH, UMA en OpenID, waarbij ze ook gebruik maken van expertise van anderen.
Kijken hoe het komend jaar gaat, maar we zijn er nog lang niet.
Ik ga in 2012 in ieder geval door met het testen van deze identity-oplossingen. Genoeg te doen!

Twee weg authenticatie en/of tokens is natuurlijk een ideale aanvulling op de certificaten SAS 70II en ISO 27001, de toetsbaarheid daarvan en de encrypted data over de lijn.

Maar de essentie van dit artikel is en blijft dat leveranciers van cloud producten de beveiliging moeten regelen en moeten communiceren hoe de beveiliging van de klantendata geregeld is en hoe de klanten dat kunnen toetsen.

Twinfield heeft recentelijk zijn informatie aanzienlijk verbeterd zie: http://www.twinfield.nl/beveiliging/

Dit doet me denken aan diverse webseals die begin deze eeuw opkwamen. Bij pwc hebben we toen ook een webseal (BetterWeb) ontwikkeld dat o.a. inging op dislosure van privacy en security policies op e-commerce sites. Misschien weer eens uit de kast halen en afstoffen?

AFAS is nu ISAE3402 gecertificeerd, dat is niet zomaar iets. Op naar de volgende stap: frequent publiceren van audits Transparantie zoals het moet!!! Mooie voorbeeld functie. Later dit jaar ook ISO 27017?

Mijn beste heer Salomons toch, U leest hier een reactie van een verbijsterde IT'er. De reden dat ik dit zeg is dat beveiliging een zaak is van exclusiviteit en discretie. Ik kan wellicht van leverancier op aan maar wanneer die leverancier lijnen heeft liggen naar puur goedkope datacenter in Kuala Lumpur, Sjanghai, New Delhi of Bombay, om er maar gewoon een paar te noemen.

Die zullen beleefd ja knikken als hen de vraag gesteld wordt of alles beveiligd is volgens dit model? Mooi. U geeft ze twee prachtige handvatten. Bits en bites gaan we volgens dit model bij daar storen, waar u persoonlijk geen enkele weet van heeft. U weet namelijk niet welke lijnen uw directe leverancier heeft lopen in dit verhaal.

Ik hoop niet dat er iemand is die tegen mij zegt ach .... dat valt allemaal best mee. Die verhalen heb ik ook in het verleden gehoord maar weet inmiddels dat security een zaak van discretie en implementatie is en niet van afgesproken niveaus en/of protocollen, of iso normeringen.

Althans,

Dat is mijn bescheiden mening.

@Henri twee weg authenticaties is er nu ook voor Office 365 http://t.co/ESriiy2c

Simpel.

Mensen/bedrijven met weinig eisen/financiële middelen kiezen voor een prijsvechter. Mensen/bedrijven met veel eisen/financiële middelen kiezen voor een kwaliteit. 100% slaafvrije chocolade is altijd duurder dan de repen van € 0,30.
Voor ieder wat wils, wat zijn je normen & waarden oftewel... Hoeveel omzet ben je bereid in te leveren voor hoeveel veilige Cloud?
De één heeft lak aan normeringen, de ander zweert erbij. Daarom verkoopt Albert Heijn Euroshopper. Daarom heeft KPN Simpel. Daarmee bieden ze kwaliteit met de ene BV en prijsvechten ze met de ander.
Wat is jouw ondernemingsplan?

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×