Zijn alle veiligheidsmaatregelen wel onder controle?

Datacenter en hosters laten graag weten als ze een ISO of NEN certificering hebben behaald. Dat is voor de klanten en prospects min of meer het bewijs dat de aanbieders van de IT diensten de zaakjes voor elkaar hebben. Het wil echter niet zeggen dat overal aan is gedacht.

Scope

Iedereen die de procedure voor de ISO 9001 of 27001 en NEN 7510 heeft meegemaakt weet dat het bepalen van de scope een belangrijkste eerste stap is. Er zijn valide redenen daar goed naar te kijken en niet alles te willen tot binnen de scope te laten vallen. De buitenwacht, die alleen maar wil weten of een bedrijf aan een standaard voldoet, staat daar amper bij stil. Ze weten ook niet dat daarmee de ISO 27001 van hoster A inhoudelijk flink kan afwijken van die van hoster B. De selectie voor een IT dienstverlener maken puur op basis van de welke papiertjes zijn behaald is daarom een vorm van appels met peren vergelijken.

Met bovenstaande wordt niet gesuggereerd dat bedrijven die gecertificeerd zijn de zaakjes niet voor elkaar hebben. In het geval van ISO 27001 kan in ieder geval worden uitgegaan van een set beschreven en permanent gecontroleerde maatregelen waardoor de veiligheid van data, applicaties en ook hardware dient te worden gewaarborgd.

Automatiseren als trend

Er is echter een geniepige trend waarneembaar. Die beslaat een groot deel van de markt, dus niet alleen de ISP, MSP of datacenters. Die trend heeft te maken met automatiseren. Toegangscontrole en object bewaking gaan tegenwoordig op veel plekken zonder noemenswaardige tussenkomst van personen. Het is bedoeld om de veiligheid te vergroten, wat in lijn met ISO 27001 iedereen moet aanspreken.

Het probleem zit hem echter in de werking van alle sensoren en devices en het datatransport die dit mogelijk maken. Wat de gevolgen zijn van het gebruiken van el cheapo webcams hoeft hier niet verder te worden uitgelegd, de lezer van ISP Today weet dat daar een botnet van te maken is. De doorsnee lezer weet ook dat dit type verkeer en de dataopslag gescheiden moet worden van de overige business.

Encrypten

Toch is er dan iets dat te makkelijk over het hoofd wordt gezien en dat is het datatransport. Tot zover ons bekend is er maar een bedrijf in Nederland dat hier werk van heeft gemaakt en ook het dataverkeer tussen (bijvoorbeeld) de camera en de fysiek gescheiden en apart beveiligde storage unit encrypt. Voor ChannelConnect is deze ondernemer eind 2018 nog geïnterviewd. Hem is toen uiteraard vraag gesteld waarom ze dit zijn gaan doen. Het antwoord was twee ledig. Ze zagen dat het nog niet bestond en ze vernamen dat een of meerdere klanten het moest hebben om aan bepaalde eisen te kunnen voldoen. 100% E2E encryptie viel binnen de scope van maatregelen waaraan die klanten weer van hun eigen klanten moesten voldoen.

Opmerkelijk aan dat verhaal is trouwens dat die klanten en eindklanten niets met ISP, MSP of datacenter markt te maken hebben. De leverancier van de systemen heeft tot op heden uit die sector ook nog nooit signalen opgevangen dat ze het wel belangrijk vinden. Daarom is de titel van dit artikel ook een vraag. Hebben de lezers echt alles onder controle?

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.