Klanten binden door implementatie security certificering

Onlangs hebben wij de ISO 27001 en NEN 7510 certificeringen behaald en tevens de additionele CloudControls geaudit. Wij zijn dit project mid 2012 begonnen omdat bijna alle klanten die gevoelige data in onze cloud wilden onderbrengen om deze certificeringen vroegen. Deze normen vervullen een zeer belangrijke functie omdat ze de klant in staat stellen te bepalen of gevoelige data in een bepaalde cloud kan worden opgeslagen. Een certificering is geen garantie maar zeker een krachtig bewijs dat een cloud-provider energie steekt in het implementeren, onderhouden en auditen van bepaalde procedures.

Controls
Bij de ISO 27001 en NEN 7510 kan een provider zelf aangeven welke controls op de beoordeelde infrastructuur van toepassing zijn. Bij ons type public cloud bleken vrijwel alle controls van toepassing te zijn. Dit komt omdat wij onze cloud dienst vanaf de hardware laag omhoog zelf bouwen en beheersen.

Breder dan veiligheid
De ISO 27001 en NEN 7510 certificeringen hebben beiden betrekking op veiligheid. Wij zagen echter telkens veel niet-security gerelateerde vragen terugkomen in serieuze offerteaanvragen. Het outsourcing element van de cloud speelt hierbij een belangrijke rol. De klant zal een laag belangrijke infrastructuur voortaan bij een externe partij afnemen en hieruit volgen extra zaken waaraan gedacht moet worden. Denk hierbij aan het voorkomen van lock-in risico’s of het garanderen van de informatie voorziening naar de klant.

Resource-management
Naast outsourcing is multi-tennancy een andere factor inherent aan een publieke cloud. Dit zijn zaken die gerelateerd zijn aan het delen van infrastructuur met verschillende klanten. Een belangrijk element hiervan is resource-management.

Risico analyse met KPMG
Er zijn verschillende initiatieven maar er is op dit moment nog geen heldere control-set die door cloud providers geïmplementeerd kan worden. KPMG zag dat hier ook behoefte aan was en wilde met ons samen werken om een control-set creeeren. Stap 1 was een risico analyse: Wij hebben als eerste samen met KPMG en enkele andere partijen een lijst samengesteld van de ons bekende cloud specifieke risico’s. Hierbij hebben wij vooralsnog alleen naar het Infrastructure as a Service (IaaS) niveau gekeken.

CloudControls
Vervolgens hebben wij al deze risico’s geneutraliseerd of gemitigeerd door middel van 43 controle maatregelen: de CloudControls Wij hebben deze controls als een appendix bij de ISO27001 ‘geaudit’ en ze zijn dan ook in onze Statement of Applicability te vinden. Deze statement, de risico’s en controls zijn te downloaden op onze website, evenals onze certificaten en audit raporten. De CloudControls zijn nu al een enorm voordeel bij grotere offerte trajecten.

Steeds belangrijker
Wij denken dat security certificeringen steeds belangrijker gaan worden, deze verdienen veel aandacht. Omdat het nog een aantal jaar lijkt te gaan duren voordat er een algemene cloud-certificering zal ontstaan zouden wij graag met andere partijen samenwerken om de CloudControls verder te ontwikkelen en te implementeren. Op deze manier kan de Nederlandse cloud-sector de serieuzere klanten nu al aan zich gaan binden.

Effectief benutten
De grote groei in cloud-diensten gaat nog komen als de grotere bedrijven en applicaties de komende jaren de stap gaan maken. Europese bedrijven kunnen daar alleen een flink stuk van meepikken als ze zaken privacy en certificering effectief weten te benutten.


Lennard Zwart is Managing Director bij CloudVPS. CloudVPS heeft een grote public cloud waar flexibel capaciteit kan worden afgenomen. Hiernaast is er veel private cloud en maatwerk expertise. CloudVPS is een internationale speler die voorop loopt op het gebied van cloud-certificering en cloud-gerelateerde open source-projecten.