Op de hoogte blijven van ontwikkelingen in cloud-certificering

Normen zijn extreem belangrijk voor de verdere groei van cloud-diensten. Een groot aantal partijen heeft interesse in het plaatsen van belangrijke informatie en bedrijfsprocessen in de cloud, maar deze partijen ervaren een zeker verlies van controle als nadeel van een cloud-oplossing. Denk hierbij aan verlies van controle over de inrichting van de infrastructuur of zelfs verlies van controle over de data in bepaalde juridische situaties. Een andere factor is een verminderde informatie voorziening, bijvoorbeeld over performance en het oppakken van incidenten. Het is de verantwoordelijkheid van de cloud-industrie om deze zorgen weg te nemen en normeringen kunnen hier een belangrijke rol in spelen omdat ze een bepaald niveau van risico-beheersing aangeven. Dit maakt risico-analyse en vergelijkingen tussen aanbieders makkelijker voor partijen die een cloud oplossing overwegen.

Diverse partijen
Er zijn een aantal partijen met normen bezig. De internationaal georiënteerde CSA biedt haar Cloud Controls matrix, dit is een lijst met risico verlagende maatregelen. Deze controls zijn echter nog voor veel verbetering vatbaar en de vaart lijkt al enige tijd uit het project te zijn. In Europa lijkt branche-organisatie Eurocloud met een norm bezig maar deze lijkt ook nog in de kinderschoenen te staan.

CloudControls
Bij gebrek aan een volwassen standaard vragen veel klanten in Europa nu om ISO 27002 om een minimum niveau van informatiebeveiliging te garanderen. Hiernaast presenteren zij cloud-providers nu vaak met lijsten met vragen om cloud-specifieke risico’s, die te maken hebben met het overdragen van controle en een verminderde informatievoorziening, af te dekken. Om deze cloud-specifieke vragen te beantwoorden hebben wij samen met KPMG en enkele andere partijen de CloudControls ontwikkeld, een serie van 44 maatregelen die naast de ISO 27002 kunne worden geïmplementeerd en geaudit.

NPR Cloud Computing
De kans is echter groot dat bestaande normeringsorganisaties, waar inkopers van diensten bekend mee zijn, uiteindelijk de algemeen geaccepteerde normen gaan definiëren. In Nederland is dat al in een aantal sectoren gebeurd nadat er een Nederlandse praktijkrichtlijn (NPR) van de NEN is gedefinieerd en daarom is het goed dat de NEN nu met een NPR Cloud Computing gaat komen. Wij zijn ook erg tevreden dat de CloudControls hier een belangrijke input voor gaan vormen. Ook interessant is dat Nederlandse praktijkrichtlijnen vaak dienen als input in internationale richtlijnen en normen en soms grotendeels worden overgenomen.

Vraag vanuit klanten
Er zijn niet veel partijen bezig met cloud certificering en de houding van de sector is dan ook afwachtend te noemen. Steeds meer partijen zijn ISO 27002 gecertificeerd maar het gebrek aan een duidelijke cloud-normering schrikt veel partijen vooralsnog af om daar een tijdsinvestering in te maken. Als men let op de vraag vanuit de klanten is het echter wel duidelijk dat de markt op een duidelijke norm aan het wachten is.

Neem normering serieus
ISO 27002 is niet afdoende om alle vragen die een klant over een cloud-propositie heeft te beantwoorden. Zorg daarom dat je als cloud-provider op de hoogte blijft van cloud specifieke ontwikkelingen certificering en industrie standaarden en doe ook mee aan de discussie. Wij zitten sinds vorig jaar in de NEN commissie voor cloud-computing. Hierdoor kunnen wij met partijen als Microsoft en het AMC meepraten over belangrijke ontwikkelingen en ook aan onze klanten laten zien dat wij normering serieus nemen. Probeer waar mogelijk ook zaken te implementeren. CloudVPS heeft door het implementeren van de CloudControls een hele reeks zorgen kunnen wegnemen en hiermee een hele nieuwe groep klanten aangeboord.


Lennard Zwart is Managing Director bij CloudVPS. CloudVPS is één van de top cloud providers van Nederland. Vanuit een netwerk dat over drie A-klasse datacentra is verspreid worden vele bekende en veeleisende klanten bediend. CloudVPS heeft een grote public cloud waar flexibel capaciteit kan worden afgenomen. Hiernaast is er veel private cloud en maatwerk expertise.