Cloud Security & ISO 27001 – A match made in heaven

Cqure Platformblog

Je kunt er niet meer omheen: de Cloud. Wat de Cloud is en dat het nieuwe risico’s herbergt, kunnen we wel als bekend veronderstellen. Maar de ISO27001 en de Cloud? Die twee worden niet vaak met elkaar geassocieerd. En waar wel, worden ze veelal zeer sceptisch benaderd. Binnen sommige kringen heeft de ISO nog steeds, onterecht, het stigma van “betonnen zwemvesten”. Hierbij volledig voorbijgaand aan de gigantische ontwikkelingen die de ISO de afgelopen jaren heeft ondergaan. Anderzijds is er het feit dat we met z’n allen steeds meer gebruik maken van de Cloud en daarin behoefte hebben aan meer zekerheid. Door alle (privacy)-incidenten het afgelopen jaar is er sprake van een toenemende stroom van vragen:

“Zijn onze klantgegevens wel veilig in de Cloud? Hoe zit het met mijn privacy? Wie kunnen er meekijken? Waar staat mijn data? Wat gebeurt er met mijn data als de hostingspartij plotseling failliet gaat? Heb ik last van mijn buren als zij plotseling veel gebruik maken van dezelfde resources? Etc etc.”

Vanuit de markt is dan ook een groeiende vraag naar het aantoonbaar maken dat het inderdaad wel goed zit met deze issues. En dan nog denken we vaak niet aan de ISO27001, want die heeft een imagoprobleem.

De realiteit is dat de ISO27001 praktisch geworden is, gericht op de realiteit en de werking en sinds de laatste revisie meer en meer principe-georiënteerd. De beheersmaatregelen die de ISO27001 (en in het verlengde daarvan de ISO27002) voorstelt zijn best practices. Met andere woorden: Ze moeten nog vertaald worden naar de specifieke situatie van de betreffende organisatie. Niet alle beheersmaatregelen zijn perse nodig en ze mogen uitgebreid worden, afhankelijk van de uitkomsten van een risicoanalyse. Daarnaast krijgen de beheersmaatregelen als kritiek dat zij niet erg duidelijk ingaan op de bijzonderheden die de Cloud met zich meebrengt. En dat zij primair intern gericht zijn, terwijl de Cloud juist een stuk outsourcing naar een externe Cloud Provider behelst. Hoe ga je hier als organisatie mee om? Heeft een ISO27001 certificaat dan wel nut voor Cloud Service Providers? Wat toont het certificaat dan aan? De kracht van met name de 2013-versie is juist de flexibiliteit, die in de context van de Cloud essentieel is.

Wat relatief onbekend is, is dat de ISO27001 de mogelijkheid biedt om additionele beheersmaatregelen te definiëren. Een in de praktijk niet erg populaire optie. Op http://www.cloudcontrols.org is een eerste werkbare voorzet gedaan om op een praktische manier invulling te geven aan de specifieke situatie de Cloud met zich meebrengt. Deze Cloud Controls hebben juist als doel om aantoonbaar te maken dat de Cloud provider informatiebeveiliging serieus neemt. Zo wordt een praktische handreiking gedaan om onder andere invulling te geven aan issues ten aanzien van Multitenancy, waarbij meerdere klanten (tenants) gebruik maken van dezelfde resources. Er worden praktische richtlijnen gegeven tegen het overmatig gebruik van de resources. Maar ook privacy-aspecten en rechten van klanten komen ruimschots aan bod.

Een van de partijen die zich heeft laten certificeren tegen ISO27001 met aanvullende Cloud Controls is CloudVPS (http://www.cloudvps.nl) uit Rotterdam. De security officer zegt hierover:

“Onze klanten stellen terecht hogere eisen aan ons ten aanzien van informatiebeveiliging, niet alleen wat betreft de directe zaken zoals hacking maar ook wat betreft zaken als beschikbaarheid en continuïteit. ISO27001 is daarin erg belangrijk aangezien het zowel het beheer als de uitvoering beschrijft in de vorm van een managementsysteem en een set met controls. Bij het onderzoeken van ISO27001 realiseerden we ons dat de set met controls goed is maar niet alle risico's voor ons en voor onze klanten dekt; met name de risico's die samenhangen met cloud-hosting waren onderbelicht. De standaard biedt echter de ruimte om eenvoudig extra controls toe te voegen, zodat we eenvoudig de Cloud Controls konden gebruiken om deze aanvullende risico's af te dekken. Onze klanten waarderen dit ook zeer, omdat ze hiermee dezelfde garanties krijgen als bij het intern hosten van infrastructuur.”

Een ISO27001 certificaat aangevuld met additionele Cloud Controls is een ideale methode om te laten zien dat je als organisatie het nodige gedaan hebt om de beveiliging, privacy en controle van de klanten zeker te stellen en continu te verbeteren. Cloud Security & ISO27001: It’s a match made in heaven!