- Door
- Jeroen Mulder
- geplaatst op
- 22 februari 2013 08:05 uur
Moord en brand. Van de Nederlandse hosters die zijn aangesloten bij DHPA is slechts een op de drie ISO 27001 gecertificeerd. ISPam.nl besteedde er een paar dagen geleden uitgebreid aandacht aan. Dat artikel deed wat stof opwaaien. Immers, waar gaat het fout? Nemen de bedrijven het niet serieus of zijn er andere reden om geen certificeringsproces te doorlopen? Het gehele certificeringsproces is complex en tijdrovend, daarmee meteen ook flink kostenverhogend.
Tegelijkertijd vraagt de markt wel meer en meer om certificaten. Zeker in het cloud-tijdperk waarin de data virtueel overal kan worden bewaard, lijkt het juist van uitermate groot belang dat hosters een geborgd en gecontroleerd proces hebben op het gebied van informatiebeveiliging. Een van de opmerkingen die de redactie te horen kreeg was dat ‘we ook niet roomser dan de paus moesten worden’. Achterliggende argument: uitgerekend de Nederlandse branche voor hosters doet het juist helemaal niet onaardig.
Dat klopt. Als je de totale omvang van de branche internationaal bekijkt en vervolgens gaat kijken hoeveel bedrijven een ISO 27001:2005-certificaat voeren, dan is er maar een conclusie mogelijk: de Nederlandse hosters lopen keurig in de pas en met een beetje goede wil zou je zelfs kunnen concluderen dat Nederlandse hosters voorop lopen. In opdracht van de Duitse rijksoverheid naar de ISO-normering binnen het MKB-segment, onderzocht ECO – een competentiegroep voor beveilingsvraagstukken – de mate waarin ISO 27001 wordt toegepast, ondermeer bij Duitse hosters.
Onthutsend
De resultaten zijn eigenlijk onthutsend. Terwijl grote ondernemingen te pas en te onpas certificaten moeten kunnen overleggen in aanbestedingstrajecten onder het mom dat ISO ‘gemeengoed’ is, zijn er wereldwijd schrikbarend weinig bedrijven die 27001 op zak hebben. Binnen MKB-bedrijven voor IT-dienstverlening, waaronder veel hostingbedrijven, zijn er mondiaal 7.840 bedrijven die ISO 27001:2005 voeren. Daarvan zijn 4.152 bedrijven Japans. ECO telde in Duitsland 228 ondernemingen, ongeveer 15 procent van dit aantal zijn pure hosters.
Nou. Klaar ben je. Zo beschouwd doen Nederlandse hosters het dus bepaald niet slecht. Een relatief groot aantal ondernemingen is gecertificeerd. De volgende vraag is echter: waarvoor zijn deze bedrijven dan gecertificeerd? Het simpelweg voeren van 27001 zegt namelijk nog steeds niet zoveel. Voor elke afzonderlijke propositie is een certificeringsproces gewenst. Zo heeft Amazon afzonderlijke ISO-certificaten voor de cloudoplossing E2, de storage onder S3 en Amazon VPC. Vervolgens voert Amazon nog SOC1, SSAE 16, ISAE 3402 en specifiek voor de Amerikaanse markt SOC 2, FISMA, DIACAP en FedRamp. Waarom? Dat heeft te maken met de Amerikaanse claimcultuur waartegen providers zich maximaal indekken.
Transparant
Daar is de branche het wel over eens: dat moeten we niet willen. Laten we vaststellen dat we als hosters op de goede weg zijn door actief bezig te zijn met informatiebeveiliging en certificering. Het is dan wel de vraag of we ISO 27001 ‘heilig’ moeten verklaren. De ‘wereld’ lijkt uitgerekend 27001 niet massaal te adopteren, als we de cijfers van ECO mogen geloven. Het is de internationale standaard, maar dekt niet de behoefte van de hosters af. En of de ISO-processen helemaal transparant zijn voor bijvoorbeeld klanten, laat zich ook betwijfelen. Misschien is dat eens een goede discussie waard: leven na ISO 27001.