Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Certificering wordt een must voor hosters (opinie)

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 20 februari 2013 08:00 uur

ISO-certificaatHoster Solcon kondigde deze week trots aan dat het bedrijf ISO27001 gecertificeerd is, specifiek voor de dienstverlening richting de zakelijke markt. Dat is natuurlijk goed nieuws voor Solcon en de klanten van deze degelijke provider. Of niet? Het bedrijf heeft blijkbaar zakelijke klanten die het tot voor kort niet nodig achtten dat hun dienstverlener dit felbegeerde certificaat had. En dat is toch opmerkelijk. Alsof je je kind toevertrouwt aan een badmeester die zelf geen zwemdiploma heeft.

Voor de goede orde: het is ontzettend goed dat Solcon nu gecertificeerd is. Meer bedrijven in de branche zouden dit voorbeeld moeten volgen. Wellicht zelfs afgedwongen door de brancheverenigingen, maar zeker ook door de klanten. Gek? De grote ICT-dienstverleners weten niet beter. Al jaren is een van de standaardvragen in een RFI (Request for Information) het kunnen overleggen van diverse certificaten, waaronder ISO27001. Je parkeert jouw bedrijfskritische data tenslotte alleen bij een bedrijf dat regelmatig door een extern bureau volledig wordt doorgelicht op maatregelen die ervoor moeten zorgen dat jouw data echt jouw data blijft.

Terecht merkt security officer Sven van der Horst van Solcon in het persbericht op dat ,,het bedrijfsleven er vanuit moet kunnen gaan dat de bedrijfsgegevens volgens afspraak beschikbaar en veilig zijn”. Des te opmerkelijker is het dat hosters dus blijkbaar klanten hebben die dat geen prioriteit geven. En dus is het aantal hosters dat zich laat certificeren eigenlijk bedroevend laag. Volgens de gegevens die ISPam.nl heeft, is slechts een op de drie DHPA-leden daadwerkelijk ISO27001-gecertificeerd. Waarbij de kanttekening geldt dat het certificaat niet altijd louter voor de hostingdiensten is afgegeven. En dat terwijl de branchevereniging het wel hoog op haar verlanglijstje heeft staan.

Vertrouwen

Een rondgang langs hostingbedrijven leert dat ook slechts een beperkt aantal bedrijven het noemt. Niet dat er geen aandacht is voor zaken omtrent databeveiliging, integendeel. Neem een bedrijf als Cyso. Onder het kopje ‘juridisch’ vermeldt het bedrijf keurig alle maatregelen die het neemt om data te beveiligen. Maar ook Cyso is niet ISO27001-gecertificeerd. Cyso vermeldt er ook niets over op de website. Een andere grote speler – Argeweb – meldt op haar website ook keurig hoe ze met privacy, cookies, tracking en databeveiliging omgaan, maar ook hier geen verwijzing naar certificaten. Klanten moeten er bij al deze bedrijven domweg op vertrouwen dat alles keurig is geregeld.

Het is voorwaar ook geen sinecure om het ISO-certificaat te krijgen. ISO27001 specificeert haarscherp eisen voor vaststellen, uitrollen, uitvoeren, controleren, beoordelen en verbeteren van een gedocumenteerd Information Security Management System. Hierbij worden alle bedrijfsrisico’s – intern en extern – vastgesteld en vastgelegd, inclusief aanpaksvoorstellen voor verbeteringen. Doel: een waarborg voor klanten dat er goede beveiligingsmaatregelen zijn genomen die periodiek worden gecontroleerd en waarin een organisatie zichzelf verplicht om deze voortdurend aan te passen en te verbeteren. Voor veel hosters is ISO27001 domweg geen haalbare kaart.

Keten

Maar er speelt meer. Daarvoor moeten we een onderscheid maken tussen hosters met eigen datacenters en hosters die op hun beurt weer gebruikmaken van externe datacenters. En van deze laatste soort zijn er heel veel in ons land. En juist die groep bedrijven zou bij hun datacenterleverancier erop aan moeten dringen dat datacenterdiensten ISO27001-compliant zijn. Dat ontslaat ze overigens weer niet van de morele plicht om dit ook zelf te doen. Daarbij rijst onmiddellijk de vraag wat de waarde van zo’n certificaat is als de plaats waar de data is ondergebracht, niet onder volledige controle staat van de hoster die het product aanbiedt aan de eindklant.

Die eindklant vraagt erom. Meer en meer. In het kader van het volwassen worden van de branche is het goed dat hosters zichzelf eens gaan afvragen of certificering niet gewoon een must is. Dan verdient het wel aanbeveling om dit vanuit de keten te bekijken. Een hoster die gebruikmaakt van een extern datacenter dat niet ISO-compliant is, betekent automatisch dat de hoster zelf ook niet compliant kan zijn. Immers, hij kan de maatregelen niet op elk niveau in zijn dienstverlening borgen. Hosters, resellers, datacenters en branchevertegenwoordigers zullen met elkaar om tafel moeten om hier een leidraad in op te stellen. Want in de komende jaren zullen klanten steeds vaker eisen dat security ‘geborgd en getoetst’ is door de hele keten.

Ondertussen hebben bedrijven als Solcon dus nu een streep voor. Dat vergroot hun onderscheidende vermogen. Naarmate de druk vanuit klanten en ook vanuit de politiek op ‘veilige hosting en dataopslag’ toeneemt – en dat is iets dat we dit jaar in sterk toenemende mate zullen zien – zal de branche zelf het kaf van het koren moeten scheiden en certificering hoog op de agenda moeten hebben.

Arjan, 20 februari 2013 8:26 am

Had Diginotar ook niet van die mooie ISO certificeringen?

ISO is een moment opname. Het is slechts een kwestie van geld en alles mooi genoeg oppoetsen om aan een dergelijk certificaat te komen. Over hoe de organisatie met zijn zaken omgaat zegt het weinig, het geeft enkel aan dat het tijdens die een of twee keren dat er gescreend werd goed is verlopen.

Pim, 20 februari 2013 10:32 am

ISO een momentopname? Bij dit soort certificeringen worden juist de processen getoetst en niet zo zeer gekeken naar incidenten.

robin, 20 februari 2013 10:59 am

Ken genoeg bedrijven die speciaal voor de certificering allerlei processen in het leven roepen en daarna er niets meer mee doen.
mooi logo maar zegt niets over de kwaliteit van de dienstverlening.

Arjan, 20 februari 2013 2:34 pm

@Pim: Voor het behalen van je rijbewijs ga je zo netjes mogelijk rijden. Zodra je dit rijbewijs hebt kan je best een tikkie harder tot je merkt dat Politie meekijkt.

ISO werkt net zo... Voor het behalen doe je zo netjes mogelijk, daarna word dat voornamelijk nog gevolgd als je weet dat er meegekeken kan worden. Net als Robin ken ik ook de nodige bedrijven welke een ISO certificering hebben en dit zo aanhouden.

Persoonlijk ben ik meer voor een systeem zoals de NEN normen. Deze normen zijn eenvoudig en voor iedereen te raadplegen en er word streng op toegezien dat elke installateur via deze normen werkt.

  • Pingback: Vertrouwen scheppen begint met transparantie | Bureau Terdege

  • Michiel Steltman, 6 september 2013 10:48 pm

    De DHPA deelt de mening dat audits en certificeringen steeds belangrijker worden. Professionalisering van informatiebeveiliging is een belangrijk gegeven. Op de langere termijn verwachten wij ook dat audit standaards zoals de ISAE2402 de norm zullen worden, die toetsen op bestaan EN op effectiviteit van de maatregelen.
    De gegevens van ISpam over DHPA deelnemers zijn enigszins outdated. In de afgelopen periode hebben veel deelnemers certificeringstrajecten doorlopen. Van de DHPA deelnemers hebben inmiddels 18 een ISO27001 certificering en 3 beschikken over een NEN7510, de ISO17001 voor medische toepassingen. 8 deelnemers beschikken ook over de zwaardere ISAE3402 verklaring. 2 van deze 8 hebben beide. Daarmee lopen DHPA deelnemers i.h.a. ruim vooruit op de markt. Het is juist dat de certificeringen niet altijd prominent op de sites te vinden zijn. De overweging van sommigen is dat het adverteren van veiligheidsbeleid op zich ook risico’s kent.

    Wij delen ook de mening dat certificeringen geen harde garanties geeft. Maar met de geschetste aanpak en certificeringen zijn de risico's wel aanzienlijk kleiner. Vergelijk de ontwikkelingen in andere sectoren: het bereiken van goede veiligheid kost tijd. En ondanks toezicht en certificaten gaat het toch nog wel eens mis.

    Ook juichen wij alle initiatieven die afnemers van online diensten bewust te maken van hun rol m.b.t. informatiebeveiliging. Een van die initiatieven is het PCR (Partnering for Cyber resiilience) van het WEF (World economic forum)


    Daarmee lopen DHPA deelnemers i.h.a. ruim vooruit op de markt.

    Wij delen ook de mening dat dit geen harde garanties biedt. Vergelijk de luchtvaart: ondanks toezicht en certificaten gaat het toch nog wel eens mis. Maar met de geschetste aanpak en certificeringen zijn de risico's wel aanzienlijk kleiner.

    Michiel Steltman, 7 september 2013 9:25 am

    P.s. negeer de laatste 2 alinea's van mijn commentaar, een copy-paste foutje... Redactie willigt mijn verzoek om ze te schrappen misschien nog even in ??

    Feedback!
    Fill out my online form.
    Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.