Certificering ván en ín de cloud

 
Certificering ván en ín de cloud
In zeer korte tijd heeft cloudcomputing zijn intrede gedaan in de wereldwijde markt. Zowel privépersonen als ook de allergrootste wereldwijde organisaties maken gebruik van (een vorm van) clouddiensten. Aangezien steeds meer informatie in de cloud wordt opgeslagen en incidenten aantonen dat de cloud ook niet 100 procent veilig is, wordt de roep om meer vertrouwen in clouddiensten steeds luider. Vertrouwen kan onder meer worden geboden door het laten certificeren van de cloudserviceprovider of zijn dienstverlening. Een wereldwijd, algemeen geaccepteerd certificeringsstandaard voor cloudcomputing is nog niet doorgebroken. Hoef je dan maar niks te doen?
Paul Willems
Wie naar de levenscyclus van nieuwe diensten of producten kijkt, ziet dat er vaak sprake is van enige wildgroei. Allerlei initiatiefnemers proberen een graantje van de hype mee te pikken. Naarmate de dienst of product meer wordt gebruikt, ontstaat de behoefte aan algemeen geaccepteerde standaardisatie. En men wil erop kunnen vertrouwen dat de standaarden worden gevolgd.
Cloudcomputing is de hypefase nog maar nauwe-lijks ontgroeid en definities zijn nog niet alge meen geaccepteerd, maar er is nu al een zeer sterke roep om standaardisatie. Men wil deze diensten kunnen vertrouwen omdat er grote belangen zijn gemoeid met het veilig kunnen opslaan van (privacy)gevoelige informatie in de cloud.
Behoefte aan vertrouwen
Vanuit de markt wil men meer zekerheid over de aangeboden dienstverlening door cloudserviceproviders. Veel cloudserviceproviders vallen terug op bekende en reeds langer bestaande certifi ceerbare managementsystemen zoals ISO 27001, NEN7510 en ISO 9001. Hoewel deze certificerin gen zeer zinvol en nuttig kunnen zijn, moeten we ook vaststellen dat zij niet volledig aansluiten bij de aard van de activiteiten van de cloudservice-provider. Een certificeringsschema moet niet té specifiek zijn, maar daarentegen op meerdere (typen) organisaties van toepassing kunnen zijn.
Bij het certificeren van een cloudserviceprovider staat de mate van beheersing (‘in control zijn’) van de clouddiensten centraal, de kwaliteit van de sturing dus, en niet direct de kwaliteit van de technische implementatie. Deze technische implementatie is per organisatie uniek en dus niet in een standaard te ondervangen. Ondanks dat certificeerbare managementsystemen niet geheel aansluiten, zijn er diverse mogelijkheden om cloudserviceproviders toch te certificeren.
Initiatieven
Een dienst of product is pas te certificeren als er een standaard is. Verschillende organisaties zijn op dit moment bezig om een standaard te ontwikkelen. Sommige zijn al gereed, andere nog in ontwikkeling. Voorbeelden hiervan zijn van ISO, Eurocloud, ENISA, NIST, CSA en IEEE. Daarmee samenhangend zijn ook certificeringsschema’s opgezet. Diverse andere organisaties, veelal commerciële, beweren ook certificeringsschema’s aan te kunnen bieden, maar deze zijn vaak gericht op hun eigen producten of dienstverlening. Het spectrum van cloudcomputing is echter zo breed dat je je kunt afvragen of het mogelijk is dit te ondervangen in één standaard. Sommige initiatie-ven voorzien hierin door meerdere certificeringen aan te bieden voor de verschillende vormen van clouddiensten. Soms zijn deze standaarden en certificeringen compleet nieuw ontwikkeld, soms is het een aanpassing of aanvulling op bestaande standaarden (CSA Star Certification).
ISAE3401
Regelmatig is ISAE3401 (vergelijkbaar met de vroegere SAS70) als certificeringsschema te horen. Binnen de ISAE3402 worden zogenaamde Service Organisatie Control (SOC)-rapporten opgesteld. Een SOC beschrijft in welke mate de organisatie van de cloudcomputingprovider (de serviceorganisatie) een beheersbaar proces heeft. De ISAE3402 kent twee typen SOC-rapportages.
Type I beschrijft het proces en de beheersmaatregelen en is een momentopname, een oordeel van de auditor. Deze beschrijving zegt alles over de daadwerkelijke operationele situatie. Type II omvat een langere periode, meestal zes maanden tot een jaar, en beschrijft het proces en de
beheersingsmaatregelen, zoals die gedurende die periode hebben gewerkt. De auditor toetst daarvoor de beheersingsmaatregelen en of deze in de praktijk werken conform de beschrijving. Een ISAE3402-rapportage moet een zogenaamd ‘written statement of assertion’ van het management bevatten. In deze managementverklaring laat het management zich uit over het bestaande beheersingsraamwerk en legt daarover dus verantwoording af.
Hieruit blijkt dat een SOC Type II-rapport géén certificaat is in de echte zin van het woord. Welke maatregelen in de SOC-rapportages worden meegenomen, is niet gestandaardiseerd en kan van organisatie tot organisatie verschillen. De klant zal dus altijd moeten controleren wat de scope van deze rapportage is geweest en wat de bevindingen van de auditor zijn geweest.
Keuze certificerende organisatie
De verschillende standaarden en certificerings schema’s en de nieuwe programma’s die de komende tijd het licht zullen zien, zijn geen van allen algemeen geaccepteerd en beproefd. Betekent dit dat een cloudserviceprovider dan maar niks kunt hoeft te doen? Het antwoord hierop luidt zonder meer nee. De roep vanuit de maatschappij is namelijk zo luid dat een cloudprovider wel moet aantonen dat er alles aan wordt gedaan om de beveiliging op orde te hebben. Onderscheidend vermogen ten opzichte van de concurrent is te verkrijgen door de organisatie ondanks de beperkingen wél te laten certificeren. Wereldwijd zijn er meerdere organisaties die deze certificering kunnen uitvoeren. Als deze certificering wordt uitgevoerd door een 100 procent onafhankelijke certificeerder die op dit vlak zijn sporen al heeft verdiend, dan weet je dat een certificeringsaudit goed en betrouwbaar wordt uitgevoerd.
In de keuze welke certificeerder het beste bij de organisatie past, kan een cloudleverancier met het volgende rekening houden:
• Deskundigheid van organisatie en personeel. De certificeerder en zijn medewerkers moeten kennis van zaken hebben. Is het een certificeerder pur sang of is het een ‘bijproduct’? Zijn de medewer-kers van de certificeerder deskundig en hebben ze kennis van cloudserviceproviders?
• Onafhankelijkheid en onpartijdigheid van organisatie en personeel. Is de certificeerder 100 procent onafhankelijk of levert het nog andere diensten of producten? Is de certificeerder aan-wezig in die landen die voor u van belang zijn?
• Toezicht op de certificerende organisatie. Er zijn toezichthouders voor certificerende organisa ties. De belangrijkste zijn UKAS uit het Verenigd Koninkrijk (www.ukas.com) en de Raad voor Accreditatie (www.rva.nl). Beide organisaties hebben online registers waarin u kunt controleren of een certificeerder onder toezicht (accreditatie) staat.
• Deelname in de totstandkoming en het gebruik van certificatieschema’s. Neemt de certificeerder een afwachtende houding aan, of is R&D een serieus onderdeel van de bedrijfsvoering? Dit kan onder meer worden aangetoond door actieve deelname in normcommissies bij de totstandkoming van nieuwe normen.
Certificeringsproces
De keuze voor welke standaard en certificering is niet eenvoudig te maken. Grondig overleg met klanten en branchegenoten ligt voor de hand. Ook de certificeerder moet u hierover kunnen informeren. Op dit moment zijn de certificeringsschema’s van Cloud Security Allicance (CSA), Eurocloud en het nog te publiceren schema van ISO het meest veelbelovend. Het principe voor certificering is dat u zegt (schrijft) wat u doet en doet wat u zegt. Voor welke certificering een organisatie ook kiest, de te nemen stappen zijn grofweg vergelijkbaar.
Risicoanalyse
Een grondig uitgevoerde risicoanalyse, inclusief risicobeoordeling, vormt de basis van de invoering van beveiligingsmaatregelen en daarmee certificering. Elke cloudserviceprovider heeft zijn eigen unieke kenmerken die het belang van bepaalde beveiligingsmaatregelen kleiner of juist groter maken. Het maakt nogal verschil of de organisatie alleen nationaal georiënteerd is of dat u dienstverlening naar de EU of zelfs daarbuiten is uitgebreid. Van belang zijn ook het type klant en de gewenste vertrouwelijkheid van informatie dat bij de leverancier wordt opgeslagen. Is er specifieke wet of regelgeving van toepassing? Maakt de leverancier zelf weer gebruik van een cloudserviceprovider?
Beleid
Een leverancier zal beleid moeten ontwikkelen rond het onderwerp informatiebeveiliging.
Dit beleid moet door het hoogste management worden uitgedragen zodat duidelijk is dat het management dit beleid volledig ondersteund. Om dit beleid tot stand te brengen is veelal overleg in de gehele organisatie en vaak ook met stakeholders en branchegenoten noodzakelijk. Het door het management geaccepteerde beleid vormt de basis voor het op te stellen implementatieplan en de verdere uitrol van de beveiligingsmaatregelen.
Procedures en werkinstructies
Aan de hand van het opgestelde beleid zal op tactisch niveau procedures worden opgesteld.
Uniformiteit van deze procedures over de diverse processen of afdelingen is hierbij raadzaam.
Procedures geven uw medewerkers houvast in de uitvoering van hun dagelijkse werkzaamheden en tijdens het opstellen van werkinstructies. Het opstellen van deze procedures en werkinstructies is maatwerk. Medewerking van uw deskundige medewerkers die met de uitvoering belast zijn, is van essentieel belang. Houd bij het opstellen van procedures rekening met de specifieke vereisten van het certificeringsschema waarvoor u kiest. Elk schema heeft verplichte elementen waaraan u móet voldoen.
Implementatie
Na het opstellen en goedkeuren van procedures en werkinstructies zullen deze moeten worden ingevoerd. Dit zal met vallen en opstaan gepaard gaan. Heel mooi bedachte procedures kunnen in de praktijk toch niet werkbaar blijken te zijn.
Vaak is te zien dat belangrijke stappen uit een procedure té afhankelijk zijn van slechts één medewerker. Als de implementatie grotendeels voltooid is, zullen uw medewerkers ook moeten kunnen aantonen dat ze volgens de opgestelde procedures werken. Het vastleggen (digitaal of hard copy) van bewijsmateriaal is hierbij belangrijk. Zonder vastlegging is er geen bewijs en dus geen certificaat.
 
Lessonslearned
• De motivatie voor certificering moet vanuit het topmanagement komen. Stel iemand binnen het management eindverantwoordelijk voor implementatie van beveiligingsmaatregelen en het behalen en behou-den van het certificaat.
• Analyseer welk certificeringsschema het beste bij uw organisatie past.
• Overleg hiervoor met de certificeerder, maar kijk ook wat de markt doet. Kies in ieder geval voor een schema dat zijn sporen reeds verdiend heeft. Onderzoek goed welke verplichte elementen het gekozen certificerings schema bevat en voldoe daaraan.
• Aanpassing van uw organisatie aan cer-tificering is niet nodig. Zie certificering niet als een noodzakelijk kwaad, maar pluk de vruchten en richt processen efficiënt in zodat ze bij uw organisatie en uw doelstellingen passen.
• Als u eenmaal voor een certificerings-schema gecertificeerd bent, zal een ander schema eenvoudiger te behalen zijn.
• Zorg ervoor dat u aantoonbaar voldoet aan de door u zelf opgestelde beveiligingsmaatregelen. Elke auditor zal om dat bewijsmateriaal vragen.
 
Paul Willems RE CISA (paul.willems@lrqa.com) is al sinds 1992 werkzaam op het gebied van informatiebeveiliging. De laatste vijftien jaar werkt hij als auditor, docent en projectmanager. Sinds 2011 is hij werkzaam voor Lloyd’s Register LRQA. Naast business development richt hij zich vooral op privacyvraagstukken en de informatiebeveiliging van complexe organisaties en cloudserviceproviders.
Dit artikel is ook gepubliceerd in het boekje ‘Efficiënt Automatiseren; Praktijkvisie op Cloud Computing’, uitgegeven door Uitgeverij Tiem.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag