Staat van de Cloud ISO 27018

csa-berlin2015Op de eerste dag van het CSA congres viel tijdens de panelsessie over Cloud Trust and Security Innovation het begrip ISO 27018. Dat is de ISO norm die recent in de markt is gezet en moet bijdragen aan een betere, veiligere cloud. De sprekers van IBM, Microsoft, Google en EMC noemden het als voorbeeld om te laten zien dat de industrie echt inspanningen verricht.

Die opmerking ontlokte een van de aanwezigen, de Nederlandse cloud standaardisatie specialist Arthur de vraag: “zijn jullie zelf wel 27018 gecertificeerd, want ik weet maar van drie partijen dat ze dat zijn.” Die vraag deed de aanwezigen van het panel duidelijk zoeken naar een antwoord. We hebben het hier over vier global players en daarvan was alleen Microsoft in staat een helder antwoord te formuleren. Begrijpelijk, het bedrijf is er trots op als eerste cloud provider naar ISO 27018 gecertificeerd te zijn. Maar hoe zit het met Google? Volgens de vertegenwoordigster van de zoekmachine en cloud gigant handelt men in lijn met ISO 27018. EMC had geen antwoord en IBM deed verklaarde voor een deel van de activiteiten gecertificeerd te zijn.

Arthur en enkele andere aanwezigen in de zaal waren duidelijk verbaasd door deze antwoorden. Het verhaal van twee van de sprekers klopt namelijk niet. Tot zover bekend zijn er namelijk maar drie (of vier?) partijen op dit moment naar ISO27018 gecertificeerd, Microsoft, AWS en Dropbox vooArthurr de business en enterprise diensten.

Later de dag was er tijdens de break out sessies een bijdrage van Dropbox over “Implementing ISO 27018 at you organization”. Daar werd uitgebreid ingegaan over de procedure: ISO 27018 verondersteld dat er als ISO 27001 aanwezig is, het is zelfs een eis. Dat leidde tot de vraag uit de zaal of ISO 27018 ook eisen stelt aan de scope van ISO 27001. Volgens Dropbox is dat niet het geval.

Het is nu al lastig voor de markt (“de klant”) te begrijpen dat de ISO 27001 van hoster A niet per se te vergelijken is met de certificering van hoster B. ISO 27018 betekent niet het einde van die verwarring. De verwarring gaat nog groter worden, omdat ook de scope van ISO 27018 per bedrijf kan verschillen.

De conclusie na twee sessies moet dan ook zijn dat op dit moment de cloud ISO niet het wondermiddel is dat gaat zorgen voor blijvend meer vertrouwen in de cloud. Het aantal echt gecertificeerde partijen is te gering en er is geen sprake van échte uniformiteit (appels met peren vergelijken). Het is daarom ook te hopen dat ISO 27018 in aanbestedingen en tenders voorlopig niet als verplichting wordt gesteld.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.