Voor veel organisaties die zich oriënteren op het gebruik van cloud is het ISO 27001 certificaat van de cloud provider één van de standaard vereisten geworden. Het behoort tot de hygiëne factoren waar een cloud provider aan moet voldoen alvorens vertrouwelijke gegevens van de klant-in-spé te mogen ontvangen. Alle organisaties die blind op het ISO 27001 certificaat van hun provider vertrouwen lopen onbewust een veel groter risico dan gewenst.
Om te beginnen is een ISO-certificering een momentopname. De ISO-auditor (meestal een seniore heer met een snor) komt één, of hooguit twee keer per jaar een audit doen. Tijdens deze audit krijgt hij inzage in de stand van zaken op dat moment. De provider weet maanden van te voren wanneer de audit plaats vindt en heeft alle gelegenheid gehad zich daarop voor te bereiden. Het beeld wat aan de auditor wordt voorgeschoteld is dus gekleurd.
Helpende hand
Daarnaast zijn er inmiddels bedrijven die zich erin gespecialiseerd hebben om providers te helpen bij het behalen van hun ISO 27001 certificering. Vaak wordt hierbij het middel van de ‘scope’ gebruikt. Door handig te formuleren wat er allemaal wel, maar belangrijker, geen onderdeel uitmaakt van de certificering blijven de zwakke delen van de provider buiten beeld. Ook wordt er handig gebruik gemaakt van ‘template’ procesbeschrijvingen en standaardrapportages. Dat deze geoptimaliseerde processen ver van de werkelijke processen van de provider staan mag duidelijk zijn.
Maar dan nog meer: ISO 27001 is een auditing framework dat iedere acht (8!) jaar bijgewerkt wordt. De voorlaatste versie dateerde van 2005 en de meest courante versie dateert van 2013. Dit betekent dat een volgende versie van het ISO-framework pas weer in 2021 komt. Hoe kun je verwachten dat een framework van acht jaar oud past op de huidige situatie? Dat is vergelijkbaar met wetgeving uit de tijd van het telegram op een dienst als Whatsapp proberen toe te passen (deze woordspeling is toevallig).
Dat hier een gat is ontstaan tussen de belangen van de afnemers van cloud en wat de providers op dit moment bieden is duidelijk. Voor de providers is er werk aan de winkel, maar ook de afnemers van cloud hebben nog een boel te leren als het gaat over de manier waarop ze cloud diensten afnemen.
Tijdens de Secure Cloud-conferentie afgelopen week in de Amsterdamse RAI blijkt dat de Nederlandse cloudproviders de certificering (of het gebrek aan duidelijke certificering) niet hoog op de agenda hebben staan. Op dit congres schitterden de Nederlandse providers namelijk door afwezigheid. Behoudens een kleine delegatie van Schuberg & Philis en ondergetekende waren alle ‘usual suspects’ afwezig.
Toch wordt er op de Secure Cloud-conferentie goed gedebatteerd over het gebrek aan duidelijke en bruikbare certificering voor cloudproviders. De grotere Amerikaanse providers (Google/Microsoft/Verizon – Terremark/Amazon) zijn aanwezig om invulling te geven aan de behoefte omtrent cloud beveiliging en de daarbij behorende certificering.
STAR-programma
Er is al geruime tijd een specifiek cloud certificeringsprogramma beschikbaar dat alle beperkingen van het ISO 270001 certificaat onderkent. Dit is het STAR-certificeringsprogramma van de cloud, Security Alliance (CSA). Deze stichting houdt zich al sinds 2008 bezig met de certificering van cloudproviders. In een interview geeft CSA-ceo Jim Reavis aan dat de Europese providers langzaamaan tractie krijgen als het gaat om de adoptie van het STAR-certificeringsprogramma. Op dit moment is van de ruim vijftig geregistreerde providers het merendeel Amerikaans. Er zijn op dit moment geen Nederlandse providers met een STAR-registratie. En dat is jammer want het STAR-certificeringsprogramma is een welkome aanvulling op het huidige ISO 27001. Naast dat het ISO 27001 als uitgangspunt heeft, is het een volledig complementair programma, maar dan met een aantal belangrijke verbeteringen.
1. Het is volledig transparant; De controle mechanismen die de providers in stelling moeten hebben zijn openbaar, maar ook de auditbevindingen zijn volledig openbaar. Volgens Reavis is volledige transparantie over het certificeringsprogramma een vereiste voor het kunnen winnen van het vertrouwen van de afnemers van cloud.
2. Het is geen momentopname maar een continu proces; Het hoogste niveau van certificering vereist dat de (belangrijkste) controle mechanismen continue gemonitord worden. Volgens Reavis wordt hiermee voorkomen dat de certificering een momentopname betreft.
3. Alle afnemers van de cloud zijn potentiele auditors; Doordat alle controlemechanismen openbaar zijn en ook de audit uitkomsten openbaar zijn kunnen de afnemers van de cloud bijdragen aan het auditing proces. Daarnaast worden de auditors ook met een eigen opleidingsprogramma opgeleid en gecertificeerd. Wat weer goed nieuws is voor de man met de snor.
4. Het is een open certificering framework; Het certificeringsprogramma is opensource, en dus continue aan ontwikkeling onderhevig, waardoor het veel meer aansluit op de huidige behoeften dan het ISO 27001 certificaat. Zodra het certificeringsframework bijgewerkt wordt dienen de bij het programma aangesloten providers zich op de wijzigingen opnieuw te certificeren.
Niet zaligmakend
Is het hiermee een zaligmakend programma? Nee zeker niet, er zijn nog zorgen. Zo is de adoptie van het programma in Europa nog beperkt. Een van de uitdagingen van het programma is namelijk dat het behapbaar moet blijven voor de kleinere providers. De grotere Amerikaanse providers hebben de financiële mogelijkheden om verschillende certificeringsprogramma’s te doorlopen, iets wat voor een kleinere provider ondoenlijk is. Toch is het CSA STAR-programma dermate volwassen en beter in staat om iets te zeggen over de mate waarin een cloudprovider geëquipeerd is een veilige dienst te leveren dan het ISO 27001 certificaat. Daarmee is het vreemd dat nog zo weinig Nederlandse providers belangstelling hebben voor dit programma.
Is de Nederlandse cloud hiermee minder ontwikkeld of minder veilig dan een Amerikaanse cloud? Nee in tegendeel juist. De Amerikaanse providers hebben zo hun eigen uitdagingen, zoals de rol die de overheid speelt bij de opslag van data (de altijd informatiehongerige NSA). Daarnaast nemen de grote providers beslissingen gebaseerd op de grootste gemeenschappelijke deler (volume) en dat is niet altijd in het belang van de Nederlandse afnemers van cloud.
In een volgend artikel zal ik meer in gaan op de technische aspecten van veiligheid van de cloud zoals die besproken zijn tijdens de Secure Cloud-conferentie.
Goed en leerzaam stuk Bart. Waarvoor dank.
Ik deel je mening of ISO en al die andere certificeringen die vaak al zwaar verouderd is.
Wat je over STAR schrijft spreekt mij zeker aan. Zo zou het eigenlijk moeten. Het liefste continu en en totaal onverwachts.
Bart,
Mooi artikel waarin je vergelijking van een 8 jaar oud framewerk met wetgeving voor telegrammen treffend is, je aan de regel of de geest van de wet houden is dan ook totaal verschillend. Rule-based compliance staat al enige tijd ter discussie en er wordt gezocht naar een principle-based oplossing.
Ik sluit me aan bij Ruud, goed stuk.
Er zijn wel verschillende methoden om de ISO27001 in te zetten, bijvoorbeeld koppelen met ISO31000 (niet dat het de “holy grail” is hoor). De 2013 revisie van de ISO27001 geeft naar mijn mening voldoende ruimte om vele jaren verder met deze norm te gaan. Je moet er zelf wel energie in stoppen om de randvoorwaarden actueel te houden.
De STAR spreekt mij ook aan, denk wel dat ze meer moeten doen aan hun bekendheid in de markt. Het gedeelte transparant is zowel een kans als een bedreiging voor de partijen die gebruik maken van de dienstverlener. Als het openbaar wordt dat bedrijf X bij een minder presterende dienstverlener zit dan worden het aantal aanvallen op bedrijf X opeens een stuk hoger.
Het snorren gehalte bij de certificerende instellingen wordt wel steeds minder trouwens.
Goed stuk, ik heb hier een tijdje geleden ook aandacht aan besteed in combinatie met softwaretesten:
https://www.computable.nl/artikel/opinie/security/4552921/1276896/compliancy-versus-security-timing-en-risicos.html
Ik zag toen al dat er teveel nadruk werd gelegd op certificaten, terwijl die eigenlijk maar een momentopname belichten, met alle gevolgen van dien, zie Diginotar.
Maar tijden veranderen, en dat is maar goed ook
Hi allen,
Dank alvast voor deze eerste reacties. Ik heb het vermoeden dat er nog wel een paar zullen volgen. Volgens mij heb ik wel een gevoelig punt in providerland geraakt.
@Cordny: let-op het gaat hier om andere certificaten dan diegene waar Diginotar in handelde.
Bart,
Klopt, het gaat bij mij ook niet om het type certificaat, maar de momentopname die dan speelt.
Al moet ik ook zeggen dat ook met ISO27001 veel geschermd wordt, maar of dat garantie geeft…?
Erg goed stuk Bart.
Ook het CBP gaat in de zienswijze over veilige cloud computing in op het uitvoeren van een risicoanalyse (voor inzicht in de risico’s is de afnemer deels afhankelijk is van de provider) door verantwoordelijke, het contract met de leverancier, de aansprakelijkheid en de meldplicht voor datalekken.
Cordny,
Ik deel je mening. Het zou eigenlijk een ongepland bezoekje net zoals de “smaakpolitie” altijd doet. Zo dat de leverancier totaal onvoorbereid getoetst wordt. Dan pas weet je echt of ze kwaliteit leveren.
De branche was niet aanwezig, heeft idd niet gepresenteerd, maar zit zeker niet stil!
Wij (i.e. ECP, DHPA) verkennen momenteel met vele anderen uit overheid en private sector, i.s.m de CSA , een aanpak voor het koppelen van control frameworks. Zodat betere control in online ketens kan worden bereikt, inclusief de software. Vergelijk de voedselproductie (al is die metafoor momenteel niet voor alle soorten voedsel een gelukkige keuze..) Als je een biologisch broodje koopt, verwacht je dat alle leveranciers in de keten hun eigen control hebben geregeld. De ISO veronderstelt control van de gecertificeerde partij over de hele keten. Zegt dus in feite: “stel als broodjesverkoper je beleid op , en vertel de boer – als derde partij – wat te doen”
Dat werkt uiteraard niet: boeren, cloud providers en datacentra hebben hun eigen beleid.
Hoogste tijd dus voor keten compliance, modulaire control, aanevuld met continuous auditing.
Wordt vervolgd, en wie interesse heeft om dit initiatief / project te mede te sponsoren is van harte welkom!
En nog ten overvloede: Reasonnet (bart) is DHPA deelnemer.
Bart’s bijdragen illustreren goed hoe er in de professionele hosting sector over compliance en governance wordt gedacht.