Meer kennis, meer kansen.

14 netelige vragen

voor een Saas-provider

voor een Saas-provider

Het is een simpele vraag: ‘Hoe weet ik dat u de data, die onze organisatie u toevertrouwt, afdoende beveiligt?’ Het is gezien de toenemende activiteiten van hackers en de ruime taakopvattingen van inlichtingendiensten als de NSA, ook een relevante vraag. Maar hoe relevant is het antwoord dat de SaaS-provider voor op z’n tong heeft liggen?

 

”In negen van de tien gevallen zult u hetzelfde antwoord krijgen van een SaaS-provider op de vraag of hij de vertrouwelijkheid van de data afdoende waarborgt en waaruit dat dan wel blijkt. De applicatie- en dataservers staan opgesteld in een rekencentrum dat gecertificeerd is volgens ISO/IEC27001, ISAE3402, SIC 1&2, CSA Cloud Control Matrix of anderszins. Maar wat zegt dat eigenlijk? “Strikt genomen weinig”, constateert IT-consultant John Hermans van KPMG. “Voor bijna alle certificeringen geldt dat ze geen de facto minimum beveiligingsniveau definiëren. Feitelijk zijn het checklists van zaken waarvoor iets geregeld moet zijn. Er wordt bijvoorbeeld gesteld dat er zwemvesten moeten zijn, maar daarmee is nog niet gezegd dat die niet van lood mogen zijn”.

Ook Rhett Oudkerk Pool van het beveiligingsadviesbedrijf Kahuna relativeert het belang van certificeringen. “De meeste certificeringen zijn hoofdzakelijk papieren exercities. Vaak wordt uitgegaan van eigen risico-inschattingen, met als gevolg dat een aanbieder voor risico’s die hij niet onderkent ook niets hoeft te doen.”

Er is dus alle reden om door te vragen als een SaaS-provider met certificeringen of audit reports schermt. Maar wat moet je dan vragen? En wat moet je vinden van de antwoorden? AutomatiseringGids vroeg het aan een aantal insiders, zoals SaaS-providers, beveiligingsdeskundigen en juristen. De issues waarmee ze op de proppen kwamen, lopen sterk uiteen.

Uitputtend is de vragenreeks ongetwijfeld niet, maar ze kreeg wel de zegen van de geïnterviewden. Dit alles wel met de steeds weer terugkerende kanttekening dat er ook een zekere relatie zal moeten zijn tussen de gewenste mate van beveiliging en de ‘gevoeligheid’ van gegevens die aan de SaaS worden toevertrouwd. Of zoals een van de geïnterviewde SaaS-providers het formuleert: “Welke hacker is geïnteresseerd in de boekhouding van een MKB-bedrijf met acht medewerkers?”

Delen:

Tags:

Gerelateerde artikelen