Dat doen ze goed: Microsoft Duitsland ISO gecertificeerd

Microsoft, om precies te zijn Microsoft Deutschland MCIO GmbH, heeft per deze week het recht voor de Azure diensten die het in en vanuit Duitsland aanbiedt te mogen wijzen op een ISO 27001:2013 en een ISO 27018:2014 certificering. Dat is toch wel opmerkelijk.

Wie zelf ooit betrokken is geweest bij een dergelijk proces weet dat je dat iets heel anders is dat een ssl certificaat aan vragen (om maar eens wat te noemen). De gemiddelde doorlooptijd in Nederland voor een 27001:2013 wordt op tenminste drie maanden gezet, het aantal bedrijven met complexe processen dat op twee of meer kwartalen zit is best wel groot. Het zijn vooral de ondernemers met “betrekkelijk” simpele en weinig processen die hier het gemiddelde naar beneden krijgen.

MCIO met het label “simpele business” voorzien is niet aan de orde. Een beetje publieke clouddienst aanbieden en dat op een veilige manier doen is een proces dat tijd vergt. Natuurlijk helpt het enorm dat Azure al meerdere jaren ook elders draait en dat moeder Microsoft Inc. over heel veel kennis, geld en mensen beschikt om een certificeringstraject goed te kunnen begeleiden.

De business van MCIO (wat trouwens ook een RIPE deelnemer is) is echter wel iets anders dan bijvoorbeeld in de States zelf. MCIO, dat is dus die constructie waarbij Microsoft niet de middelen heeft om bij de data in de cloud te komen. Het datacenter is ook niet van Microsoft, dat is van Deutsche Telekom. Dat maakt een min of meer reguliere cloud ISO27001:2013 al onmogelijk, een dergelijke scheiding is namelijk uniek. Dat MCIO er wel in is geslaagd is daarmee niet gelijk aan een wonder, de hele opzet van de “Duitse configuratie” is er namelijk op gericht het type klant te kunnen bedienen dat ISO’s en al die andere bewijzen van kunde, kennis, veiligheid en integriteit als voorwaarde stelt.

Maar zelfs dan nog (of: juist daarom) is het een prestatie om even bij stil te staan: in minder dan 4 maanden na opening van de nieuwe business (!) is gelukt de ISO certificering te ontvangen.