Tijd voor een betere cloud-beveiligingstandaard

Standaarden, richtlijnen en certificeringen, is dat nou wel allemaal nodig? Niet altijd, zegt Eric Vredeveldt in onderstaande opinie, maar hij wil graag een uitzondering maken.

We worden in IT doodgegooid met allerlei standaarden, richtlijnen en certificeringen. Ik zal de laatste zijn die dit onzinnig vindt, maar ik denk wel dat veel van deze initiatieven hun doel voorbij schieten. Voor IT-dienstverleners kost het veel geld om ze te ondersteunen, en eindklanten hebben vaak geen flauw idee wat ze precies inhouden.

In vrijwel elke bedrijfstak neemt het gebruik van cloud-services toe. Een duidelijk signaal dat het Nederlandse bedrijfsleven inmiddels over de grootste cloud-vrees heen is. De markt is volwassen geworden en de functionele en kostentechnische voordelen van cloud zijn eigenlijk niet meer te negeren. Toch heeft dit rijpingsproces ook een aantal onpraktische ontwikkelingen met zich meegebracht.

Wildgroei aan certificeringen

Om de adoptie van cloud te bevorderen zijn organisaties in verschillende branches eigen certificeringen gaan ontwikkelen. Die certificeringen staan los van de bekende ISO 27001 security-certificering, maar ze vertonen wel regelmatig veel overlap. Bedrijven weten vaak ook niet wat de verschillende soorten certificeringen inhouden en vragen hun dienstverleners maar om zoveel mogelijk van deze normen te ondersteunen. Ze gaan voorbij aan de vraag of dat ook daadwerkelijk nodig is en het feit dat de organisatie zelf ook een belangrijk deel van de verantwoordelijkheid draagt.

Ik pleit daarom voor een nieuwe standaard security-certificering voor cloud, die de verschillende branchespecifieke certificeringen overbodig maakt. Een nieuwe en uiterst heldere basisnormering, die veel bestaande certificeringen overbrugt en eenheid schept in de chaos. Een standaard die een eind maakt aan de vraag wat nu echt de belangrijkste basiseisen zijn voor security in de cloud. Maar ook een die voorziet in zowel standaard als bijzondere informatiebeveiliging en de klant onderdeel maakt van het certificeringsproces.

Er is volgens mij weinig mis met de ISO 27001-certificering. Het definieert een goede basis aan maatregelen voor de security van bedrijfsdata en de opslag hiervan. Cloud- en datacenterleveranciers kunnen zich aan die standaard houden en deze als onderdeel van hun SLA aan eindgebruikers aanbieden. Dit betekent echter niet dat de verantwoordelijkheid voor de beveiliging van privacygevoelige data daarmee volledig wordt overgedragen aan de dienstverlener. De klant moet daar ook zelf actie voor ondernemen, en zowel technische als procesmatige maatregelen treffen.

Aan de andere kant zijn er ook heel specifieke certificeringen, bijvoorbeeld DigID voor overheidsdiensten en de NEN 7510-certificering voor de zorgsector. Die zijn veel doelgerichter en grondiger qua opzet, en vereisen bijvoorbeeld ook dat er een uitgebreide inventarisatie wordt gemaakt van de soorten persoonsgegevens die worden beheerd. Vervolgens moet de gevoeligheid ervan geclassificeerd worden, om daarna het gewenste beveiligingsniveau vast te kunnen stellen.

Tussen twee uitersten

Volgens mij zou een nieuwe security-standaard voor cloud ergens tussen deze twee uitersten moeten liggen. Het mag zeker een heel specifieke en strenge beveiligingsnormering zijn, maar hij moet met name gericht zijn op het creëren van meer transparantie op het gebied van cloud-beveiliging. Ik denk hierbij aan een uniforme security-basisstandaard voor cloud met wellicht een of twee verschillende gradaties van beveiligingsniveaus.

Deze standaard zou dan de andere beveiligingsnormen in de verschillende branches kunnen vervangen. Hierdoor zou er weer overzicht ontstaan in het oerwoud van certificeringen en normeringen. Cloud-gebruikers zouden zich vervolgens meer kunnen richten op het invullen van hun eigen verantwoordelijkheden op cloud-gebied, in plaats van zich enkel te focussen op het afvinken van zoveel mogelijk security-standaarden in de SLA van een dienstverlener.

Maar bovenal zou het duidelijkheid scheppen in de Nederlandse cloud-industrie. De afgelopen jaren heb ik bij Previder veel bekende beveiligingsnormen ingevoerd of uitgebreid. Ik denk dat ik mijn klanten heel blij zou kunnen maken met een vereenvoudigd systeem dat aansluit op de strenge beveiligingseisen aan cloud-systemen. En eerlijk gezegd, denk ik dat ik ook mijzelf, de security officer en mijn medewerkers hiermee een groot plezier zou doen.

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden