NL EN
  • Home»
  • Weblog »
  • Certificering cloud providers: handig maar geen garantie

Certificering cloud providers: handig maar geen garantie

Cloud computing is booming, ondanks de vaak genoemde haken en ogen met betrekking tot continuïiteit, privacy, toegang tot data en potentiële vendor lock-in. Nog maar weinig cloud leveranciers zijn officieel gecertificeerd via een SAS 70 of ISO 27001 audit. Er is nog veel onbekendheid bij klanten en leveranciers. In een zeer lezenswaardig artikel in Computable gaat expert Maarten van Emmerik in op de vraag wat er allemaal bij certificering komt kijken en beantwoordt hij de vraag of certificering de oplossing is.

Door het uitbesteden van de activiteiten aan een leverancier, zoals bijvoorbeeld een provider van cloud computing, worden de betreffende activiteiten feitelijk niet meer door de uitbestedende onderneming uitgevoerd, maar blijft  (het management van) de onderneming wel eindverantwoordelijk richting eindgebruikers.

 

(afb. hutaudit)

 

Met een SAS 70/ISAE3402 verklaring van een onafhankelijke auditor kan een leverancier aantonen dat er beheersmaatregelen genomen zijn om de risico's voor de eindgebruiker te beperken. NB: SAS 70 is per 15 juni 2011 vervangen door de internationale standaard ISAE3402 (isae3402.com). Een Type I verklaring geeft voor een specifiek moment aan dat er beheersmaatregelen bestaan en dat deze werken. Bij een Type II wordt via steekproeven ook aangetoond dat de beheersmaatregelen over een langere periode effectief zijn geweest. In zijn artikel geeft Van Emmerik een kort overzicht wat de leverancier allemaal moet doen in het kader van een audit voor ISAE3402 Type II.


De keuze voor certificering is een strategische. Het proces kent een doorlooptijd van minstens enkele maanden en kost, afhankelijk van de scope, al gauw enkele tienduizenden euro's aan interne uren, begeleiding, advieskosten en kosten voor de audit zelf. De vraag is of deze tijd en geld niet beter besteed kan worden aan productontwikkeling en marketing, afhankelijk van de ontwikkelingsfase van een onderneming.  Maar certificering heeft uiteraard ook voordelen: als leverancier dwing je jezelf de kwaliteit van je dienstverlening te verbeteren en het is voor klanten een indicatie dat deze leverancier zijn zaken op orde heeft. Maar, terugkomend op de vraag die Van Emmerik stelt in zijn artikel: nee, het biedt geen garantie dat er niets mis kan gaan. Wel is er de garantie dat de leverancier hier in ieder geval goed over na heeft gedacht, maatregelen heeft genomen en dat een onafhankelijke derde partij met kennis van zake hier naar gekeken heeft.


Lees hier het hele artikel in Computable.

 

BRON: Computable


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.