Een klein onderzoek naar cloud security van SaaS- en IaaS-leveranciers levert onbevredigende uitkomsten op. In een tijd waarin het zo belangrijk is om het vertrouwen van cloud-gebruikers te houden en van toekomstige te winnen is het belangrijk dat je als aanbieder van cloud-diensten via je website communiceert wat je als leverancier aan beveiliging van data en privacy hebt geregeld, wat de uitkomsten van audits zijn en dat je dat in de toekomst bewaakt en update.
Een transparante cloud bestaat niet. Is deze stelling juist? In dit artikel wil ik daar verder op ingaan
• Een piloot zal zeggen dat dit klopt, dat is duidelijk.
• Een boekhouder denkend aan cloud computing zal ook zeggen als hij een aantal sites van boekhoudprogramma’s en providers heeft bezocht om te onder zoeken of de cloud iets voor hem is.
• Een ict'er zal zeggen, dat klopt in een aantal gevallen maar is niet altijd waar.
Met deze praktijk gevallen ben ik eens aan de slag gegaan om te kijken wat op dit moment de waarheid is. Maar ja, de waarheid kent vele gezichten.
Het zal duidelijk zijn dat de huidige en toekomstige cloud-gebruikers recht hebben om te weten of zijn cloud-leverancier (laten we hem voor het gemak in dit artikel provider noemen) alle maatregelen heeft genomen om zijn (klant) data optimaal te beveiligen en dat de provider in staat is de wijze waarop dit is gebeurd aantoonbaar te maken.
Visie
Mijn visie is dat providers op hun websites uniform moeten communiceren over cloud security en dat de volgende zaken daar verplicht deel van moeten uitmaken.
1. Ze hebben procedures die volgens SAS 70 II (ISAE) / ISO 27001 zijn uitgevoerd, ge-audit en de resultaten uit deze audit jaarlijks zichtbaar maken op hun website.
2. Ze moeten uitleggen wat SAS 70 II en ISO 27001 is en waarom dit een goede zaak is voor hun klanten.
3. Ze zorgen dat deze informatie makkelijk toegankelijk is op hun website, bij voorkeur altijd op dezelfde plek onder de noemer van bijvoorbeeld cloud security.
4. Ze moeten zichtbaar maken dat de transfer van data van en naar de cloud encrypted plaatsvindt.
5. Ze moeten aangeven op welke wijze ze de toegang tot de cloud hebben beveiligd.
Nu kun je bijvoorbeeld al voor ISO 27001 met een link zoeken of een bedrijf een geregistreerd ISO certificaat heeft. Vervolgens zoek je per land. Je zult alleen grote bedrijven hier aantreffen zoals KPN, CSC, Atos Siemens et cetera.
Hebben aanbieders de informatie over SAS 70II, ISO 27001 of andere beveiliging op hun website staan? Op basis van een aantal zoekwoorden heb ik sites bezocht van leveranciers van cloud-diensten en specifiek ook van boekhoudsoftware online. Ik heb onderzocht of ze op hun website melding maken van het naleven van de accounting standard SAS 70 II, waarin wordt verklaard welke procedures ten aanzien van beveiliging worden gevoerd, hoe deze worden gecontroleerd en of ze een verklaring hiervan jaarlijks ontvangen en publiceren. Tevens is gekeken of de desbetreffende bedrijven naar analogie de ISO standaard 27001 volgen.
Geanonimiseerde en niet anonieme uitkomsten
Als de in dit artikel genoemde zaken op de websites van de leveranciers komen zijn we goed op weg om de transparantie van de cloud op dit gebied te verbeteren. Een blik op boekhoudpakketten on line: AFAS online sprong hier positief uit maar vermeldt geen SAS 70II. Een partij verwijst naar een audit en assurance certificaat, één verwijst naar een comsec certificaat en dat zou ISO 27001 kunnen zijn, maar is niet zeker, een ander verwijst naar ISO 20000, maar dat heeft betrekking op de it-service en niet over data beveiliging. Er is nog geen uniformiteit en ik benijd de boekhouders niet die een vergelijk moeten maken en als één van de beoordelingspunten Cloud computing security hebben staan.
Salesforce heeft een verwijzing naar de inhoud van de certificaten, maar vermeldt verder niets over de certificaten zelf. Op een website van BSI kan je zien dat Salesforce een geregistreerd certificaat heeft, maar wat zegt dat verder, hoe gaan ze er mee om? Microsoft heeft voor Office 365 een uitgebreid en volledig document opgesteld voor Office 365 en is van plan de audits in de toekomst ook te publiceren.
Aanbevelingen voor Cloud aanbieders zijn dus:
Zorg dat je de controles hebt, uitvoert, laat auditen op de uitvoering en communiceer daarover frequent op je website. Het is geen 'Nice to have' voor je website maar een 'Must have'. Maak het voor de klant geen zoekplaatje!
Make the Cloud a secure place
Zeer terechte opmerking! Ik heb gisteren ook een opinie ingediend over Cloud! Dat Cloud nog “wollig is” en er nog veel zaken in niet goed geregeld zijn. Een stukje van mijn tekst(premier:-p):
“De mediaherrie rondom Cloud heeft voor een chaos gezorgd. Men heeft hierdoor nog geen aandacht besteed aan een aantal essentiële zaken die een scheidingslijn vormen tussen outsourcing, virtualisatie in het (externe)datacenter en Cloud. Er is nog geen duidelijke definitie voor Cloud vastgelegd …”
En verder op “Als resultaat zien we dat alle diensten op het internet opeens Cloud genoemd worden..er zijn geen officiële kenmerken van Cloud vast gelegd die door aanbieders en afnemers geaccepteerd is en gehanteerd wordt!”
Hopelijk wordt dit binnenkort op deze site gepubliceerd.
Goed punt, André. Ten aanzien van het vastleggen en borgen van managementbeslissingen hebben we al audit trails, maar de integriteit van cloud-based faciliteiten… Inderdaad, de aard en status kennen van de cloud security measures, geeft wel te denken.
Inderdaad door onduidelijkheid over beveiling, controle en audits moeten we aanbieders maar op hun blauwe ogen geloven dat ze hun zaken op orde hebben. Dat geldt helaas niet alleen voor cloud providers maar ook voor de overheid. We vertrouwen steeds meer informatie toe aan systemen maar kunnen niet controleren of er ook vertrouwelijk mee omgegaan wordt.
Andre, ik ben het met je artikel eens. Al is de cloud geen standaard, ISO en de controle erop middels SAS is dat op zich wel al moet ik zeggen dat ik zelf inhoudelijk nog niet goed kan beoordelen hoe goed ISO 27011 en SAS 70 II samen zijn. Ik weet ook niet hoe kostbaar dit voor een organisatie is.
Stel je bouwt een cloud product op welke gebruik maakt van Microsoft Azure en Amazon AWS. Hoe certificeer je zoiets? En als dat niet of moeilijk gaat rem je dan niet de innovatie. Want een gebrek aan de veiligheids standaard betekent niet dat je product per definitie onveilig is.
Ben het dus met je artikel eens; wees duidelijk over je veiligheid. Wel ben ik zelf iets milder over de noodzaak, zolang je hier maar open over bent.
Cloud security, wanneer zouden aanbieders als Exact online, Twinfield, Accountview SAP en al die anderen iets met dit topic gaan doen? Voor mij is Microsoft op dit moment koploper met communicatie over dit onderwerp.En dat is echt objectief!!Voor andere voorbeelden houd ik me aanbevolen en dank voor jullie commentaar zo ver.
Compliancy en security zijn 2 verschillende zaken :
-Een compliant systeem is niet noodzakelijkerwijs secure.
-Een secure systeem is niet noodzakelijkerwijs compliant.
Compliancy standaarden zijn op security gebied allang achterhaald. Gezien het stijgende aantal hacks van de laatste jaren is het accent nu (gelukkig) aan het verschuiven richting “echte” security. Dat betekent onder meer een complete integrale herorientatie op de infrastructuur (hardening van platform en applicaties) en het ontwikkelen en faciliteren van een efficiente patching strategie.
Andre, de communicatie kan inderdaad beter. AccountView heeft services uitbesteed bij provider met ISO27001 certificaat, onlangs uitgebreid naar ISO9001 en ISO14001. Klanten zien in toenemende mate het belang van security en wij zullen en daarom ook meer over gaan publiceren.
@Casper, dat is goed om te lezen. Ik heb op diverse manieren geprobeerd om deze informatie te achterhalen met diverse zoekwoorden, echter de door jou vermelde informatie kreeg ik(nog) niet boven water.
Daarnaast is het zo dat het voor boekhoud/accounting software online een aanbeveling is als die partijen ook de SSAE16/SAS70 auditing standard toe kunnen passen. Hun doelgroep zal dat zeker begrijpen.
Inmiddels heb ik van Twinfield een reactie gekregen dat ze er op terug zullen komen. Ik ben benieuwd.
Het eenvoudigste is als die partijen, net als jij, hier reageren.
@Casper, @Andre
Wellicht is het een goed idee van de cloud-aanbieders om ipv ‘wc-eend verkoopt wc-eend-artikelen’ hun computable-experts artikelen te laten schrijven hoe hun werkgevers omgaan met cloud security etc.
En dan niet alleen: ‘wij van.. voldoen aan dat en dat certificaat’; maar met degelijke argumentatie.
Dat brengt, naar mijn mening, meer duidelijkheid in de cloudsecurity-wolk.
Daarnaast geeft dit hopelijk ook een meer inhoudelijke discussie op de Computable.
@Cordny, je klanten informeren op de manier waarop de klant geinformeerd wil worden over de veiligheid van hun data is precies wat ik beoogd heb.
Het verbaast me dat de aanbieders van online boekhoudsoftware en andere aanbieders van online backup (nog)niet echt reageren.