- Door
- Rashid Niamat
- geplaatst op
- 6 september 2013 08:01 uur
Maar we laten ons natuurlijk niet leiden door de persberichten van ondernemers die trots melden ISO27001 gecertificeerd te zijn. Eigenlijk boeit het ons meer te achterhalen waarom deze stap is genomen. Was er een grote klant die dreigde zijn contract op te zeggen of was de verzekeringsmaatschappij met een lastige vragenlijst langsgekomen?
Het is ISPam.nl snel duidelijk geworden dat de redenen voor hosters en datacenters deze stap te nemen niet veel afwijken van wat in andere sectoren speelt. Wil je mee kunnen blijven draaien in het speelveld en kans maken op grote opdrachten dan is ISO (en dan met name 9001 en 27001) gewoon een must. Het is een eis bij aanbestedingen en tenders en al wordt daar soms de term ‘gecertificeerd of aantoonbaar gelijkwaardig’ gehanteerd, als je het papiertje niet hebt, sta je op een fikse achterstand ten opzichte van de concurrentie die dat wel heeft. ISO lijkt te leiden tot grootschalig kopieergedrag – niemand wil voor elkaar onder doen en voor in de rij staan als de prijzen worden uitgekeerd.
Het is echter niet waarschijnlijk dat al die honderden DC’s en hosters in Nederland afhankelijk zijn van die paar grote tender gestuurde opdrachten die per jaar worden vergeven. Daarom zijn we dieper de materie ingedoken. Welk type klant – buiten overheden en beursgenoteerde bedrijven – vraagt om ISO gecertificeerde dienstverlening? Om op die vraag een antwoord te krijgen hebben we 3 totaal verschillende bedrijven benaderd met dezelfde vragenlijst: Ezwim, leverancier van tools waarmee bedrijven controle houden over hun mobiele en vaste toestellen en bijhorende kosten; Goedloont, landelijke ARBO dienst en intensief SaaS gebruiker en TheSecretLab, dat zich in 3 woorden laat omschrijven ‘Strategy, Apps and Websites’.
De eerste vraag was: zijn jullie op de hoogte van de ISO status van jullie IT leveranciers?
Van Ezwim kregen we als antwoord: “ja onze belangrijkste IT-leverancier is sinds dit voorjaar ISO27001 gecertificeerd en we zijn trots binnenkort zelf ook gecertificeerd te zijn. Twee aansluitende schakels in de keten dus. Wij vinden het van belang klanten en relaties te laten zien dat wij de complete keten beheersen en controleren.”
Goedloont is als arbodienst zelf aan zware eisen is onderworpen, het werkt immers met medische gegevens en daarvoor gelden regels die verder gaan dan ISO27001. Goedloont merkte direct op, dat de ISO status van een leverancier altijd wordt gecontroleerd. Ten eerste omdat de klanten dat verwachten en ten tweede omdat men naar optimale zekerheid streeft. Een arbodienst waarbij de IT leverancier de mist ingaat (en dat is recent gebeurd) heeft een lastig verhaal naar zijn klanten en toezichthouders te vertellen.
TheSecretLab werkt voor bedrijven die hoge eisen stellen aan veiligheid en betrouwbaarheid van data en toepassingen. Daarom worden toepassingen ondergebracht bij bedrijven die aantoonbaar aan de – door de opdrachtgever – gestelde eisen kunnen voldoen. Maar zelf is het niet gecertificeerd, omdat dit consequenties zou hebben voor alle activiteiten en daarmee de bedrijfsvoering kan hinderen.
Doorvragend over de ISO bij leveranciers merkte Ezwim op dat dit, helemaal nu ze binnenkort zelf ook ISO gecertificeerd zijn, bij de keuze van nieuwe partners wel een rol kan gaan spelen. Evenmin wordt uitgesloten dat men verder gaat. Of dit concreet betekent dat ISAE3402 type II wordt overwogen, is niet bekend. Wat belangrijk is, is dat we hier voor het lezen dat ISO dus als een olievlek kan werken. Een bedrijf dat voor ISO-x kiest, vraagt zich al snel af of verder gaan met ISO-y of ISAE-z niet een logische next step is. We zien tussen de regels door ook terug waarom bedrijven ertoe overgaan – omdat ze anders klanten kunnen verliezen die zelf (recent) gecertificeerd zijn.
Goedloont is door wettelijke eisen verplicht de kwaliteit van nieuwe en bestaande leveranciers te controleren. In het geval van de laatste groep betekent dat: “[dat] tenminste 1 keer per jaar de leverancier wordt bezocht, de certificaten worden opgevraagd én de verbeterpunten die bij de audits naar voren zijn gekomen worden besproken”. Wat we hier teruglezen is dat ISO dus geen eenmalige activiteit is. De resultaten van de verplichte audits en eisen die klanten stellen, maken dat ISO feitelijk een ongoing process is, waarvoor soms zelfs verantwoording aan de klanten moet worden afgelegd.
TheSecretLab is zelf niet ISO gecertificeerd, maar heeft wel regelmatig te maken met eisen (API’s) die door klanten worden gesteld. Voorbeeld dat werd genoemd was een klant die het Thuiswinkel.org-logo wil gaan voeren. Daaraan zijn onder andere technische eisen verbonden. TheSecretlab is op dat moment aanspreekpunt en centrale spil in de uitvoering zodat aan die eisen voldaan kan worden. Dit zal inhouden dat leveranciers kwaliteitseisen voorgelegd krijgen die onder de streep weinig onder doen voor de vragen die bij een audit gesteld worden.
Heden en toekomst
De laatste vragen die de partijen voorgelegd kregen, betroffen heden en toekomst. Wat is de impact van ISO en wat zie je verder? Ezwim zegt dat het is goed als je in kleine dingen aan je klant laat merken dat je het ernstig neemt met security. Bijvoorbeeld geen USB-sticks gebruiken, een strikt fysiek securitybeleid in je kantoor etc. Dat is herkenbaar en tot op zekere hoogte ook geruststellend, want zo moeilijk moet dit niet zijn.
De reactie van Goedloont is minder geruststellend voor de gehele sector. Op dit moment is slechts 5 – 7 procent (!) van de aanbieders in Nederland in staat te voldoen aan de (complexe) eisen die dit bedrijf stelt. Let wel: dit zijn eisen die vooral door de overheid aan arbodiensten worden opgelegd en dus vertaald moeten worden naar de IT leverancier. De verwachting is dat de eisen die moeten worden gesteld alleen maar zullen toenemen. In combinatie met de uitspraak “we zijn kritischer dan de klant én kritischer dan de leverancier” wordt hier een krachtig signaal afgegeven aan IT-leveranciers die iets willen met sector healthcare (en dat is een groeimarkt): het moet beter kunnen. Deze opmerking gekoppeld aan de eerdere constatering dat ISO als een olievlek werkt, bewijst waarom elke IT-leverancier meer over deze materie moet nadenken. Wil je actief acteren in het veld en grotere opdrachten binnenhalen, dan is ISO onvermijdelijk. Ook als je als onderaannemer opereert, kan het je raken, omdat je eigen klanten aan die eisen moeten voldoen en dat verder de keten in moeten laten sijpelen.
Dus ISO is onvermijdelijk?
Dat is voor een deel afhankelijk van de sectoren en marktsegmenten waar jij je omzet realiseert en of je met je huidige klanten tevreden bent. Is ISO de oplossing voor alle bestaande tekortkomingen in de sector? Die vraag zal door alle insiders ontkend worden. Diginotar is maar een voorbeeld dat aangeeft waarom ISO geen wondermiddel is. Dat ISO hoe dan ook een grotere rol gaat spelen lijkt echter onvermijdelijk. Echter we mogen niet uit het oog verliezen bij een veilige, integere, controleerbare keten op basis van goed beschreven processen – om met de woorden van TheSecretLab af te sluiten – “het draait uiteindelijk ook om de vraag klikt het tussen bedrijven en de mensen?”.