Nextgen Certificering – haalbaar en amper disruptive

ISP Today heeft in 2017, net als de jaren daarvoor, enige keren aandacht besteed aan certificeringen. De ISO en NEN reeksen zijn daarbij het meest genoemd, omdat die veel voorkomen en redelijk bekend zijn. Deze post gaat over een andere kijk op de materie, namelijk de vragen wat onder Nextgen certificering verstaan moet worden en of het een verbetering is.

Certificeringen en alles dat daarbij komt kijken is een onderwerp waar de nodige kritiek mogelijk is. Een van meeste gehoorde klachten vanuit de hosting- en datacentersector, van welke ISO of NEN dan ook, is dat het allemaal te veel tijd vergt. Tussen het lanceren van het idee voor een nieuwe of verbeterde norm of certificering en het daadwerkelijk kunnen toepassen bij bedrijven zit meerdere jaren. ISO 27001 – 2005 is bijvoorbeeld het resultaat van een eerdere standaard uit 2002. Ook al zijn er nadien wijzigingen doorgevoerd, de basis van de audit en voorwaarden blijft gebaseerd op het pré-cloud tijdperk.

Die klacht is niet typisch Nederlands, overal is dat geluid al langer te horen. Het blijft niet bij klagen, we zien dat vanuit meerdere invalshoeken is geprobeerd het algemeen herkende probleem van de te snelle technische veroudering van de normen en criteria te ondervangen. Organisaties als de Cloud Security Alliance en Eurocloud Europe zijn voorbeelden van platformen die vanuit de industrie tot een ander type certificering willen komen. Ook de ISO organisatie zelf heeft het probleem onderkend en heeft “hals over kop” (lees: in minder dan 5 jaar) per 2015 ISO 17788 en 17789 vrijgegeven. In lijn met de overige ISO’s zijn dit procedures die uitgaan van een vast startpunt met vaste definities en daarna een vooraf vastgelegde periode gelden.

Reeds in 2014 was er ook een ander geluid te horen vanuit de sector. Cloud operators in de DACH regio, het Fraunhofer instituut, een handvol universiteiten en het BSI (de Duitse “Cyberwaakhond”) staken in de marge van een Eurocloud bijeenkomst de hoofden bijeen en besloten er een wetenschappelijk vraagstuk van te maken. Dat leidde tot een website, bijeenkomsten en een rapport. Eind 2017 is het eindresultaat opgeleverd en dat zal binnenkort wel online verschijnen.

Wat in ieder geval nu al duidelijk is, is dat men de problematiek goed in kaart heeft gebracht. Het is niet alleen een kwestie dat de ISO’s op het moment van lancering al verouderd zijn. Het proces van de periodieke audits sluit niet meer aan op de ontwikkelingen in de cloud sector en vergt bovenal te veel tijd. Met al die kennis is men op zoek gegaan naar een nieuw model certificering. De werktitel daarvan is NGCert (Next Gen Certificering).

Een NGCert zou volgens deze expertgroep moeten voldoen aan de volgende eisen: automatische controle als algemeen uitgangspunt, de mogelijkheid op kleinere delen te kunnen controleren en certificeren, de uitgangspunten makkelijker kunnen bijstellen als externe omstandigheden als wetgeving (GDPR!) verandert en last but not least de optie bieden continuous monitoring en auditing te integreren.

De eisen klinken niet onredelijk, zo kan inderdaad meer flexibiliteit in een ISO certificering worden aangebracht zonder dat de kwaliteit daaronder lijdt. NGCert zou daarmee een verbetering zijn. Er is echter een maar. NGCert zal er niet toe leiden dat kleinere ondernemers massaal naar ISO gecertificeerd kunnen worden. Anders gezegd: NGCert is geen disruptieve ontwikkeling zoals bijvoorbeeld Let’s Encrypt (een geheel ander soort certificering) wel is.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.