Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Nederlandse hosters doen het helemaal niet slecht met certificering

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 22 februari 2013 08:05 uur

ISOMoord en brand. Van de Nederlandse hosters die zijn aangesloten bij DHPA is slechts een op de drie ISO 27001 gecertificeerd. ISPam.nl besteedde er een paar dagen geleden uitgebreid aandacht aan. Dat artikel deed wat stof opwaaien. Immers, waar gaat het fout? Nemen de bedrijven het niet serieus of zijn er andere reden om geen certificeringsproces te doorlopen? Het gehele certificeringsproces is complex en tijdrovend, daarmee meteen ook flink kostenverhogend.

Tegelijkertijd vraagt de markt wel meer en meer om certificaten. Zeker in het cloud-tijdperk waarin de data virtueel overal kan worden bewaard, lijkt het juist van uitermate groot belang dat hosters een geborgd en gecontroleerd proces hebben op het gebied van informatiebeveiliging. Een van de opmerkingen die de redactie te horen kreeg was dat ‘we ook niet roomser dan de paus moesten worden’. Achterliggende argument: uitgerekend de Nederlandse branche voor hosters doet het juist helemaal niet onaardig.

Dat klopt. Als je de totale omvang van de branche internationaal bekijkt en vervolgens gaat kijken hoeveel bedrijven een ISO 27001:2005-certificaat voeren, dan is er maar een conclusie mogelijk: de Nederlandse hosters lopen keurig in de pas en met een beetje goede wil zou je zelfs kunnen concluderen dat Nederlandse hosters voorop lopen. In opdracht van de Duitse rijksoverheid naar de ISO-normering binnen het MKB-segment, onderzocht ECO – een competentiegroep voor beveilingsvraagstukken – de mate waarin ISO 27001 wordt toegepast, ondermeer bij Duitse hosters.

Onthutsend
De resultaten zijn eigenlijk onthutsend. Terwijl grote ondernemingen te pas en te onpas certificaten moeten kunnen overleggen in aanbestedingstrajecten onder het mom dat ISO ‘gemeengoed’ is, zijn er wereldwijd schrikbarend weinig bedrijven die 27001 op zak hebben. Binnen MKB-bedrijven voor IT-dienstverlening, waaronder veel hostingbedrijven, zijn er mondiaal 7.840 bedrijven die ISO 27001:2005 voeren. Daarvan zijn 4.152 bedrijven Japans. ECO telde in Duitsland 228 ondernemingen, ongeveer 15 procent van dit aantal zijn pure hosters.

Nou. Klaar ben je. Zo beschouwd doen Nederlandse hosters het dus bepaald niet slecht. Een relatief groot aantal ondernemingen is gecertificeerd. De volgende vraag is echter: waarvoor zijn deze bedrijven dan gecertificeerd? Het simpelweg voeren van 27001 zegt namelijk nog steeds niet zoveel. Voor elke afzonderlijke propositie is een certificeringsproces gewenst. Zo heeft Amazon afzonderlijke ISO-certificaten voor de cloudoplossing E2, de storage onder S3 en Amazon VPC. Vervolgens voert Amazon nog SOC1, SSAE 16, ISAE 3402 en specifiek voor de Amerikaanse markt SOC 2, FISMA, DIACAP en FedRamp. Waarom? Dat heeft te maken met de Amerikaanse claimcultuur waartegen providers zich maximaal indekken.

Transparant

Daar is de branche het wel over eens: dat moeten we niet willen. Laten we vaststellen dat we als hosters op de goede weg zijn door actief bezig te zijn met informatiebeveiliging en certificering. Het is dan wel de vraag of we ISO 27001 ‘heilig’ moeten verklaren. De ‘wereld’ lijkt uitgerekend 27001 niet massaal te adopteren, als we de cijfers van ECO mogen geloven. Het is de internationale standaard, maar dekt niet de behoefte van de hosters af. En of de ISO-processen helemaal transparant zijn voor bijvoorbeeld klanten, laat zich ook betwijfelen. Misschien is dat eens een goede discussie waard: leven na ISO 27001.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.