- Bouw
- Farmaceutische industrie
- 22/04/2014
Gebruik cloud en SaaS maken ISO 27001 en NEN 7510 compliance complex
De cloud en SaaS raken ingeburgerd en worden gebruikt voor steeds belangrijkere data en door steeds serieuzere partijen. Eigenlijk is er niets nieuws onder de zon. Vooral banken maken in feite al tientallen jaren gebruik van data centra. Alleen zijn deze data centra altijd eigendom van de bank geweest en werd de operatie uitgevoerd door eigen personeel. De private cloud of een Saas-dienst via een data center is in principe hetzelfde. Het data center is echter nu niet meer eigendom van de organisatie en de werkzaamheden worden niet meer uitgevoerd door eigen medewerkers. Dat is een logische stap in de trend van outsourcing. En nu spreekt men van ‘de cloud’ of van SaaS.
Andere eigenaren betekent ook een andere governance structuur. Voor het primaire gebruik levert dit doorgaans weinig problemen op. Als je echter wilt of moet voldoen aan beveiligingseisen zoals ISO 27001 of NEN 7510, dan stuit je al snel op problemen. Deze normenkaders gaan er impliciet vanuit, dat het data center opereert zoals jouw eigen data center en dus ook die rapportages levert zoals je die wilt hebben. Zo liggen de zaken natuurlijk niet. De cloud en SaaS zijn interessante concepten omdat door vergaande standaardisatie hoogwaardige diensten tegen lage kosten geleverd kunnen worden. En het is evident dat een dedicated data center veiliger is dan een eigen serverruimte. Veel data centers zijn opgezet als bunkers en toegang krijgen tot deze bunkers kost moeite vanwege de diverse controles. Ook zijn allerlei preventieve voorzieningen vaak dubbel uitgevoerd. Het risico op een calamiteit is daardoor sterk gereduceerd.
Samenwerking met een data center
Per definitie is een data center dus veiliger dan een eigen serverruimte. Bovendien beschikken data centers doorgaans over de schaalgrootte en de competenties om risico’s kosteneffectief te reduceren. Uitbesteding is daarom een volstrekt normale manier om risico’s af te dekken.
Normenstelsels als ISO 27001 en NEN 7510 zijn ‘risk-based’. Ze eisen dus dat de organisatie ‘in control’ is over het beheersen van haar relevante informatiebeveiligingsrisico’s. ‘Zeggen wat je doet, doen wat je zegt en aantonen dat dit inderdaad het geval is’ is de kern van deze normen. Dat geldt niet alleen voor wat jezelf en jouw medewerkers doen, maar ook voor wat het data center doet.
Data centers zijn echter vaak veel meer gericht op het voorkomen van incidenten dan op het rapporteren over de gestelde eisen. Toch vindt in die data centers een aanzienlijk deel van de operatie van de geautomatiseerde informatieverwerking plaats. Je zult hierover dus moeten kunnen rapporteren als je wilt voldoen aan de norm. Als geen andere beveiligingseisen dan beschikbaarheidseisen onderdeel uitmaken van het SLA, dan ben je wel gedwongen maatwerk af te nemen. Dat is ook logisch. Het data center bedient immers ook klanten die geen behoefte hebben aan die rapportages. Zij zitten meestal niet te wachten op uitbreiding van de standaarddienstverlening met betrekking tot beveiliging en zullen dus ook niet bereid zijn om hieraan mee te betalen.
Zodra je als klant van het data center maatwerk gaat eisen, is de kans groot dat dit geweigerd wordt of dat je tegen hoge kosten een doorgaans matige add-on krijgt op de door jouw gewenste dienst. Dit behoort immers meestal niet tot de missie van een data center. Hieraan toegeven is vaak de reden van het in de praktijk mislukken van Shared Service Centers.
Is ISO 27017 voor cloud security de oplossing?
In de theoretisch perfecte wereld van de ISO-normen wordt natuurlijk hard gesleuteld aan een oplossing. In 2015 is de ISO 27017 norm voor cloud security verschenen. Deze norm zal echter dezelfde kinderziekten krijgen als ISO 27002. Pas na jaren werd geaccepteerd, dat voor alle controls van ISO 27002 het principe geldt van ‘pas toe of leg uit’. Voor organisaties betekent dat, dat ze tegenwoordig tegen veel lagere kosten kunnen voldoen aan de certificatie eisen van ISO 27001.
Zo zal het ook gaan werken voor ISO 27017. Er zal een aantal data centra (en vooral shared service centers) zijn, dat onder druk van hun klanten gaat voldoen aan alle eisen van ISO 27017. Met als gevolg, dat de prijs van de primaire dienstverlening aanzienlijk stijgt, terwijl het niveau van beveiliging niet veel verbetert. In hoofdzaak zal slechts de rapportage over naleving verbeteren. Daarmee houd je echter computercriminelen niet tegen en voorkom je geen calamiteiten.
Het logisch vervolg op de ‘early adapters’ die voldoen aan alle eisen van ISO 27017, is dat ook andere data centers en shared service centra het certificaat willen behalen, maar wel gebruik maken van het principe van ‘pas toe of leg uit’. Zij kunnen dan tegen een zeer concurrerende prijs een basisbeveiligingsniveau bieden, dat voldoet aan de compliance eisen van de meeste klanten conform ISO 27001 of NEN 7510. (Zie ook ‘Beveiligingseisen cloud en SaaS leveranciers conform ISO 27001, ISO 27017 of NEN 7510’.) Helaas zijn er nog maar weinig data centers en SaaS-leveranciers die een tweede standaardniveau bieden voor klanten die willen of moeten certificeren voor informatiebeveiliging. In veel gevallen zullen de klanten zelf het initiatief moeten nemen.
De verantwoordelijkheid kun je niet uitbesteden
Eén ding blijft echter volstrekt helder. Als je wilt of moet voldoen aan de ISO 27001 of de NEN 7510 norm, dan ben en blijf je ook verantwoordelijk voor de informatiesystemen waarvan je de operatie en het beheer hebt uitbesteed aan een data center, dan wel aan een SaaS-leverancier die ook gebruik maakt van een data center.
Als je als organisatie gecertificeerd wilt of moet worden, dan moet je kunnen aantonen dat je volledig de maatregelen naleeft, die jij jezelf oplegt. Het excuus, dat het data center (of jouw SaaS-leverancier) de benodigde informatie niet levert, is onacceptabel voor auditors. Je zult minstens moeten kunnen aantonen, dat je bezig bent dit te regelen. Als je nog niet gekozen hebt voor een leverancier, dan zou je dit als knock out criterium kunnen gebruiken voor de selectie van een oplossing. De meeste organisaties zijn echter dit station al gepasseerd. Zij zullen zelf het initiatief moeten nemen.
Als dit voor jou geldt dan is de eenvoudigste weg, dat je het risico van de applicatie met de bijbehorende data kwalificeert als laag. Via het principe ‘pas toe of leg uit’ kun je dan aangeven dat een inbreuk op de beveiliging van deze applicatie een acceptabel risico is. Gaat het echter om een applicatie die bijvoorbeeld ook persoonsinformatie verwerkt (klantsystemen en HRM-systemen en administratieve systemen), dan kom je hier niet mee weg. Dan heb je rapportages nodig van het data center. Uiteraard heeft het dan de voorkeur, dat het data center of de SaaS-leverancier zelf het initiatief neemt om te komen tot een pragmatische oplossing.
Lukt dit niet, zoek dan contact met andere klanten van de leverancier, want die zitten waarschijnlijk met eenzelfde problematiek. Als je met hen tot een samenwerking komt, bestaat de kans dat de leverancier alsnog door de bocht gaat, zo niet dan kun je samen komen tot een behoeftestelling, zodat de meerwerkkosten beperkt blijven en grotendeels eenmalig zijn.
De grootste valkuil bij deze samenwerking is, dat de behoeftestelling een optelsom wordt van de individuele behoeften. Probeer dit te voorkomen door gezamenlijk een risico analyse te maken en slechts die risico’s te willen afdekken, die echt onacceptabel zijn. Voor de restrisico’s geldt dan: ‘dat leggen we wel uit’.
Bruikbare checklist voor risico’s data centers en SaaS-diensten
Voor deze risico analyse en het bepalen van de bijbehorende maatregelen zijn checklists beschikbaar. Deze checklists gaan er meestal vanuit, dat alle beheersmaatregelen van ISO 27002 of NEN 7510-2 volledig worden ingezet, maar dat is natuurlijk niet nodig. Dat heb je tenslotte ook zelf niet gedaan. Door alleen de onacceptabele risico’s af te dekken, kun je aanzienlijk besparen op jouw kosten. Een aantal voorbeelden uit zo’n checklist voor de risico’s en de bijbehorende vragen die het data center moet beantwoorden, zie je in onderstaande tabel:
|
# |
Risico |
Vragen aan cloud provider |
|
1 |
|
|
|
|
Andere partijen die actief zijn binnen het netwerk van de dienstverlener zijn in staat om verkeer te onderscheppen tussen de verschillende klantomgevingen. |
Hoe zorgt de provider ervoor dat netwerkverkeer tussen verschillende omgevingen niet kan worden onderschept? |
|
2 |
|
|
|
|
De dienstverlener vervult zijn SLA-verplichtingen niet door een slechte definitie of slechte interne communicatie. |
Welke interne maatregelen neemt de dienstverlener om de afgesproken SLA-verplichtingen te behalen? |
|
3 |
|
|
|
|
De klant is niet geïnformeerd over het niet behalen van de SLA-verplichtingen. |
Hoe wordt de klant op de hoogte gesteld van SLA-overtredingen? |
|
4 |
|
|
|
|
Data van de klant lekken ongewild naar buitenlandse entiteiten omdat de dienstverlener juridisch verplicht is deze data af te staan. |
Aan welke externe partijen is de dienstverlener mogelijk verplicht om klantgegevens te overhandigen? |
|
5 |
|
|
|
|
Vergaard bewijs is niet te gebruiken in een juridische situatie. |
Hoe verzekert de dienstverlener het verzamelen en beschikbaar stellen van bewijsmateriaal in het geval de klant deze uit rechtswege nodig heeft? |
|
6 |
|
|
|
|
Zwak privacybeleid en zwakke privacy clausules bedreigen klant privacy. |
In welke mate voorkomen de privacyrichtlijnen van de dienstverlener de analyse en verspreiding van klantgegevens? |
|
7 |
|
|
|
|
Een gebrek aan informatie over de infrastructuur van de dienstverlener leidt tot het verkeerd inschatten van de beschikbaarheidsrisico’s en de performance door de klant. |
Heeft de dienstverlener openheid gegeven over alle relevante informatie gerelateerd aan het beschikbaarheidsrisico en de performance? Voor beschikbaarheid is een goede beschrijving van de redundantie in de verschillende componenten in de netwerk-, server- en opslaglagen essentieel. Voor performance is dit de netwerksnelheid, CPU en opslagcapaciteit. |
|
8 |
|
|
|
|
Het moet voor de klant mogelijk zijn een kwetsbaarheidsanalyse uit te voeren. |
Is het voor de klant mogelijk om een kwetsbaarheids analyse uit te voeren? |
|
9 |
|
|
|
|
Logs over incidenten worden niet aan de klant beschikbaar gesteld. |
Garandeert de dienstverlener de beschikbaarheid van incident-logboeken voor de klant? |
Voor de vertaling van risico’s naar maatregelen is de volgende tabel beschikbaar. Het referentienummer verwijst naar het nummer van de risico’s.
|
Beheersmaatregel |
Best Practices |
Ref |
|
1 |
|
|
|
Het is mogelijk om de omgevingen van een enkele klant af te schermen. |
Sniffing en ip spoofing worden uitgesloten. |
1 |
|
2 |
|
|
|
Vervulling van het Service Level Agreement wordt gedefinieerd, beoordeeld en naar klanten gecommuniceerd. Procedures zijn beschikbaar om vervulling van het SLA te herstellen in het geval er niet aan de verplichtingen wordt voldaan. |
In het geval de verplichtingen met betrekking tot de vervulling van het SLA blijvend niet kunnen worden vervuld, zullen klanten in de gelegenheid worden gesteld om te migreren en zullen zij gedurende een redelijke periode hun product zonder kosten ontvangen om de migratie te faciliteren. Indien de verplichtingen niet kunnen worden vervuld door een wetswijziging zullen de punten waarop niet kan worden voldaan toelaatbaar worden geacht. |
2,3 |
|
3 |
|
|
|
De klant kan de jurisdictie bepalen waar zijn data worden opgeslagen. Er zal gecommuniceerd worden welke overheden en jurisdicties aanspraak kunnen maken op de data van een klant. |
In situaties waarin de data van een deel van het netwerk van de klant wordt verplaatst naar een ander deel, zal rekening worden gehouden met welke overheden en jurisdicties aanspraak kunnen maken op de data van een klant. |
4 |
|
4 |
|
|
|
Er is een procedure voor het verzamelen van bewijsmateriaal voor onderzoeken door klanten en informatie over deze procedure is beschikbaar. Geautomatiseerde verzameling van bewijsmateriaal is geïmplementeerd en chain of custody wordt behouden. |
Bewijsbare traceerbaarheid van virtueel bezit (ISO27017): migraties van virtuele machines worden gelogd en beveiligd. |
5 |
|
5 |
|
|
|
Een privacy beleid is ontwikkeld en wordt formeel gecommuniceerd en geaudit. Robuuste vertrouwelijkheidsclausules die de vertrouwelijkheid van alle klantgegevens beschermen zijn aan de voorwaarden toegevoegd. |
Vertrouwelijkheidsclausules: de cloud provider zal geen klantdata opzoeken, analyseren of opslaan als dit niet nodig is voor technische doeleinden of om fraude of aanvallen op het netwerk van de cloud provider te bestrijden. Klantdata worden op verzoek van de klant vernietigd. Beleid omtrent het scheiden van klantdata zal worden gecommuniceerd en aan audits onderworpen. |
6 |
|
6 |
|
|
|
De verwachte capaciteit, de mate van redundantie en verwachte hersteltijden op het niveau van de verwerkingslaag, de dataopslag, het interne netwerk en de transitverbindingen zijn beschikbaar. Een back-up procedure is ontwikkeld en beschikbaar. Informatie over datacenterlocaties, security, de mate van redundantie en herstelprocedures is beschikbaar. |
Spreekt voor zich. |
7 |
|
7 |
|
|
|
De cloud provider moet de gelegenheid geven voor een beveiligingsonderzoek door klanten en informatie verschaffen over het beleid ten aanzien van beveiligingsonderzoeken. |
Spreekt voor zich. |
8 |
|
8 |
|
|
|
Er is een procedure beschikbaar om klanten te informeren in het geval van een privacy incident, een beveiligingsincident of een technisch falen dat effect kan hebben op de diensten van de klant. De logging procedure zal worden gecommuniceerd en relevante logs zullen op verzoek aan klanten beschikbaar worden gesteld. |
Spreekt voor zich. |
9 |
De volledige lijst bestaat uit 61 risico’s en 39 beheersmaatregelen, die af en toe zijn uitgesplitst naar meerdere best practices. Dit voorbeeld geeft echter een redelijk beeld hoe snel in kaart gebracht kan worden wat je belangrijk vindt en welke maatregelen het data center daartoe moet treffen. Het meest optimaal is, als je deze lijst samen met andere klanten en het data center of de SaaS-leverancier doorwerkt om zo te komen tot een acceptabel basis beveiligingsniveau.
Wil je meer informatie?
Actueel
Gerelateerd nieuws
Persoonlijk
Innovatief
Pragmatisch
