Een klein onderzoek naar cloud security van SaaS- en IaaS-leveranciers levert onbevredigende uitkomsten op. In een tijd waarin het zo belangrijk is om het vertrouwen van cloud-gebruikers te houden en van toekomstige te winnen is het belangrijk dat je als aanbieder van cloud-diensten via je website communiceert wat je als leverancier aan beveiliging van data en privacy hebt geregeld, wat de uitkomsten van audits zijn en dat je dat in de toekomst bewaakt en update.
Een transparante cloud bestaat niet. Is deze stelling juist? In dit artikel wil ik daar verder op ingaan
• Een piloot zal zeggen dat dit klopt, dat is duidelijk.
• Een boekhouder denkend aan cloud computing zal ook zeggen als hij een aantal sites van boekhoudprogramma’s en providers heeft bezocht om te onder zoeken of de cloud iets voor hem is.
• Een ict'er zal zeggen, dat klopt in een aantal gevallen maar is niet altijd waar.
Met deze praktijk gevallen ben ik eens aan de slag gegaan om te kijken wat op dit moment de waarheid is. Maar ja, de waarheid kent vele gezichten.
Het zal duidelijk zijn dat de huidige en toekomstige cloud-gebruikers recht hebben om te weten of zijn cloud-leverancier (laten we hem voor het gemak in dit artikel provider noemen) alle maatregelen heeft genomen om zijn (klant) data optimaal te beveiligen en dat de provider in staat is de wijze waarop dit is gebeurd aantoonbaar te maken.
Visie
Mijn visie is dat providers op hun websites uniform moeten communiceren over cloud security en dat de volgende zaken daar verplicht deel van moeten uitmaken.
1. Ze hebben procedures die volgens SAS 70 II (ISAE) / ISO 27001 zijn uitgevoerd, ge-audit en de resultaten uit deze audit jaarlijks zichtbaar maken op hun website.
2. Ze moeten uitleggen wat SAS 70 II en ISO 27001 is en waarom dit een goede zaak is voor hun klanten.
3. Ze zorgen dat deze informatie makkelijk toegankelijk is op hun website, bij voorkeur altijd op dezelfde plek onder de noemer van bijvoorbeeld cloud security.
4. Ze moeten zichtbaar maken dat de transfer van data van en naar de cloud encrypted plaatsvindt.
5. Ze moeten aangeven op welke wijze ze de toegang tot de cloud hebben beveiligd.
Nu kun je bijvoorbeeld al voor ISO 27001 met een link zoeken of een bedrijf een geregistreerd ISO certificaat heeft. Vervolgens zoek je per land. Je zult alleen grote bedrijven hier aantreffen zoals KPN, CSC, Atos Siemens et cetera.
Hebben aanbieders de informatie over SAS 70II, ISO 27001 of andere beveiliging op hun website staan? Op basis van een aantal zoekwoorden heb ik sites bezocht van leveranciers van cloud-diensten en specifiek ook van boekhoudsoftware online. Ik heb onderzocht of ze op hun website melding maken van het naleven van de accounting standard SAS 70 II, waarin wordt verklaard welke procedures ten aanzien van beveiliging worden gevoerd, hoe deze worden gecontroleerd en of ze een verklaring hiervan jaarlijks ontvangen en publiceren. Tevens is gekeken of de desbetreffende bedrijven naar analogie de ISO standaard 27001 volgen.
Geanonimiseerde en niet anonieme uitkomsten
Als de in dit artikel genoemde zaken op de websites van de leveranciers komen zijn we goed op weg om de transparantie van de cloud op dit gebied te verbeteren. Een blik op boekhoudpakketten on line: AFAS online sprong hier positief uit maar vermeldt geen SAS 70II. Een partij verwijst naar een audit en assurance certificaat, één verwijst naar een comsec certificaat en dat zou ISO 27001 kunnen zijn, maar is niet zeker, een ander verwijst naar ISO 20000, maar dat heeft betrekking op de it-service en niet over data beveiliging. Er is nog geen uniformiteit en ik benijd de boekhouders niet die een vergelijk moeten maken en als één van de beoordelingspunten Cloud computing security hebben staan.
Salesforce heeft een verwijzing naar de inhoud van de certificaten, maar vermeldt verder niets over de certificaten zelf. Op een website van BSI kan je zien dat Salesforce een geregistreerd certificaat heeft, maar wat zegt dat verder, hoe gaan ze er mee om? Microsoft heeft voor Office 365 een uitgebreid en volledig document opgesteld voor Office 365 en is van plan de audits in de toekomst ook te publiceren.
Aanbevelingen voor Cloud aanbieders zijn dus:
Zorg dat je de controles hebt, uitvoert, laat auditen op de uitvoering en communiceer daarover frequent op je website. Het is geen 'Nice to have' voor je website maar een 'Must have'. Maak het voor de klant geen zoekplaatje!
Make the Cloud a secure place
@Andre
Misschien doen ze het als goed voornemen in 2012.
We’ll see! 🙂
Unit 4 site beveiliging niet duidelijk: UNIT4 Multivers Online is 100% veilig. De expertise van
UNIT4 op het gebied van gegevensbeveiliging en veilige
internetverbindingen staat garant voor optimale
bescherming van gegevens en privacy.
Daar wordt je dus ook niet echt wijzer van.
@Cordny: ik hoop dat de leveranciers het uberhaupt lezen, anders helpen goede voornemens ook niet
Wordt aan gewerkt.
Begin volgend jaar komt de DHPA met een gestandaardiseerds set van controls voor service providers.
@Michiel: dat kan best transparanter: wat is DHPA en zijn de controls op het niveau van SAS 70II/SSAE16 of ISO 27001, hoe gaat er getoetst worden, worden de uitkomsten van deze toetsen gepubliceerd? Etc. Geldt het alleen voor service providers of gaat dat ook voor SaaS leveranciers in Nederland gelden? Misschien deze vraag aan de verkeerde gesteld: maar past dat in de NEN normering over cloud toepassingen waar men ook mee bezig is?
SAS70 en ISO27001 zijn op zich goede certificaten, als het echter gaat om cloudoplossingen en het afgeven van certificaten die cloud gericht zijn, schieten zij helaas te kort. Mede om die reden heeft EuroCloud, een onafhankelijke Europese organisatie met een vertegenwoordiging in 27 landen (waaronder Nederland), een compleet certificeringsprogramma gelanceerd waarmee iedere leverancier IaaS, PaaS en SaaS gecertificeerd kan worden. Ook in Brussel is EuroCloud hiermee bezig en er wordt langs diverse kanten (zeker ook door de grootzakelijke industrie) met belangstelling naar gekeken en inmiddels ook afgenomen.
@Maurice, ik kan meegaan in je stelling, echter als je de Eurocloud website bezoekt, staat er bij de partners zoals bijvoorbeeld Progress, Twinfield etc.”Under construction” Als potentiele cloud gebruiker heb je daar op dit moment, 21-12-201,1 dus (nog) niets aan, terwijl SAS 70 II en ISO 27001 wel duidelijk zijn.
Het is goed dat er aan gewerkt wordt, want daar ben ik voorstander van, maar op dit moment is er net als bij de NEN normering geen duidelijkheid op dat front.
Daarbij komt dat certificering 1 is, maar dat toetsing door de gebruiker(s)van certificreing ook mee genomen moet worden. De eindklant draagt immers juridisch de verantwoordelijkheid voor zijn data.
Ik doe ook nog een duit in het zakje. Ondanks dat ik de waarde ken van protocollen en afspraken die tot een veiliger product leiden ben ik vooral ook pragmatisch.
Google heeft sinds kort (en een aantal updates verder) twee-weg verificatie. Dit heb ik aangezet (en met collega’s via Google Apps ook afgedwongen). Iemand die mijn username en wachtwoord heeft van Google, kan nog steeds niet inloggen.
Met een hele handige app (IOS en Android) en een papieren noodprocedure is mijn cloud bij Google weer een stukje veiliger geworden.
Hun aanpak vind ik erg goed en een voorbeeld hoe anderen het ook zouden moeten doen. Dit was namelijk een van mijn laatste bezwaren tegen cloud computing, en deze is hiermee vrij effectief weggenomen.
Als iedereen dit nu volgt dan is de cloud uniformiteit en transparantie al een stuk dichterbij gekomen 🙂
Sowieso vind ik de 2e helft van 2011 redelijk spectaculair als het gaat om goede ontwikkelingen. Google, Amazon, Apple, Microsoft en Salesforce (ik zeg Do.Com) worden steeds krachtiger in het uitrollen van nieuwe mogelijkheden die gewoon werken!
Henri,
De grote jongens (MS, google en ook SF) zijn ook niet
gek. Om een cloudacceptatie te krijgen is marketing en productontwikkeling rondom security en ook identity en accessmanagement moodzakelijk. Google heeft zijn 2 FA, MS doet het via afbeeldingen signeren. Intussen wordt door hen ook hard mee gewerkt aan open source
Identity-oplossingen zoals OAUTH, UMA en OpenID, waarbij ze ook gebruik maken van expertise van anderen.
Kijken hoe het komend jaar gaat, maar we zijn er nog lang niet.
Ik ga in 2012 in ieder geval door met het testen van deze identity-oplossingen. Genoeg te doen!
Twee weg authenticatie en/of tokens is natuurlijk een ideale aanvulling op de certificaten SAS 70II en ISO 27001, de toetsbaarheid daarvan en de encrypted data over de lijn.
Maar de essentie van dit artikel is en blijft dat leveranciers van cloud producten de beveiliging moeten regelen en moeten communiceren hoe de beveiliging van de klantendata geregeld is en hoe de klanten dat kunnen toetsen.
Twinfield heeft recentelijk zijn informatie aanzienlijk verbeterd zie: http://www.twinfield.nl/beveiliging/