Heb jij ook je bedrijfssoftware in de cloud staan? Je bent niet de enige. Drie op de tien bedrijven in Nederland maakt al gebruik van een betaalde cloud-dienst. Nederlanders maken daarmee na Denemarken, Groot-Brittannië en Zweden het meest gebruik van cloud software in Europa.
Bij het gebruik van CRM software is dit percentage een stuk hoger. Al ongeveer zeventig procent van de organisaties maakt bijvoorbeeld al gebruik van CRM in de cloud. De verwachting is dat cloud software alleen nog maar gaat toenemen. Forbes verwacht dat in het komende jaar het aantal organisaties dat CRM in de cloud gebruikt zal stijgen naar ruim tachtig procent.
Een overstap naar bedrijfssoftware in de cloud (SaaS), en daarmee ook je bedrijfsgevoelige data, betekent dat er iets belangrijks voor jou verandert. Je geeft namelijk behalve het beheer van de software ook de beveiliging van de software uit handen.
Deze verantwoordelijkheid komt te liggen bij de SaaS. Aan hen dus de taak om jouw gegevens goed te bewaken. Maar doen ze dat wel goed? En zo ja, hoe dan? Is het de moeite waard om meer te betalen voor een leverancier die een keurmerk heeft dan een die géén keurmerk heeft? Ik ben in het onderwerp gedoken en vroeg de leveranciers over wat zij er aan doen om de veiligheid van gegevens te garanderen.
Een overstap naar SaaS betekent dat je de beveiliging van je data uit handen geeft
SaaS-beveiliging, een technisch verhaal
Waar ik al snel tegenaan liep is dat de beveiliging van software in de cloud een heel technisch verhaal wordt. Heeft de hoster van de software een ISO27001-certificaat of een ISAE3042-onderzoeksmethodiek? En welk SSL-certificaat gebruikt de leverancier om de klantomgeving te beschermen? Klinkt ingewikkeld, nietwaar? Maar wees niet bezorgd. Ik zal je uitleggen wat deze technische begrippen inhouden.
Verschil tussen SaaS en softwareleverancier
Het is belangrijk om te vermelden dat er een onderscheid te maken is in de manier waarop je data wordt beveiligd. Veel softwareleveranciers besteden de beveiliging namelijk uit aan hosters. Zij beveiligen de data en zijn in bezit van onder andere de hierboven genoemde certificaten. De SaaS-leveranciers zijn echter zelf ook verantwoordelijk voor het beschermen van de data. Zij moeten ervoor zorgen dat ze een duidelijk inlogbeleid hebben en dat hun CMS altijd up to date is. Wanneer bijvoorbeeld iemand van een softwareleverancier zijn CMS open laat staan, en een kwaadwillende kan zo in het CMS, dan is dit de verantwoordelijkheid van de leverancier en niet van de hoster. Hosters helpen echter wel de leveranciers en begeleiden hen een goede beveiliging te hanteren. Dit is ook in het belang van de hoster zelf, want zo beschermen ze zich tegen een eventuele inbrekers die via een leverancier bij hun data op de server kan komen.
Hosters helpen de leveranciers en begeleiden hen een goede beveiliging te hanteren
Cloud software beveiligen kan al heel makkelijk
De beveiliging van data begint al op een heel basaal niveau: met een SSL-encryptie voor websites. Als bedrijfswebsitehouder is het heel eenvoudig en goedkoop om je klanten een gevoel van veiligheid te geven. Dit kan door een SSL-certificaat aan te schaffen. Eigenlijk is het doel van een SSL-certificaat heel simpel: het beveiligen van het verkeer een website en bezoeker. Dit gebeurt door middel van encryptie. Elke interactie wordt dus versleuteld en is niet te kraken voor iemand met kwade bedoelingen.
Er zijn drie verschillende SSL-varianten te onderscheiden: Domain Validated (DV), Organisation Validated (OV) en Extended Validation (EV). DV, de meest eenvoudige en goedkoopste variant, beveiligt het verkeer tussen een website en bezoeker. OV is gelijk aan DV, maar voert bij de aanvraag ook controles uit naar de identiteit van de aanvrager.
EV is voor bezoekers de meest herkenbare variant. Websites met dit certificaat hebben een duidelijke groene balk en de bedrijfsnaam van de aanvrager prominent in beeld. Gebruikers weten dan zeker welk bedrijf eigenaar is van de website. Bij EV worden tijdens het aanvraagproces diepgaande controles uitgevoerd naar de identiteit en tekenbevoegdheid van de aanvrager. Slechts 0,3 procent van de bedrijfswebsites die privacygevoelige gegevens verwerken is hiermee uitgerust. Maar ook de andere SSL-certificaten worden niet veel gebruikt door bedrijfswebsites.
Websites met een EV-certificaat hebben een duidelijke groene balk en de bedrijfsnaam van de aanvrager prominent in beeld
Angst is een slechte raadgever
Maar, wees gerust. Bij webshops is een SSL-certificaat standaard. Hier zijn je gegevens dus goed beveiligd. Angst is dus geen goede raadgever. Want werken in de cloud biedt veel kansen, zolang de veiligheid maar op orde is. Uit cijfers van het CBS blijkt dat mensen die cloud software gebruiken en er dus meer vanaf weten, zich minder zorgen maken dan mensen die niet in de cloud werken. Hieruit kan je opmaken dat zodra je je inleest erachter komt dat het met de veiligheid wel goed zit.
De 270 normen van het Keurmerk Zeker-OnLine
Zoals gezegd werken al veel leveranciers van boekhoudsoftware in de cloud. Omdat het hierbij gaat om de bescherming van bedrijfsgevoelige gegevens, doen de leveranciers er alles aan om zich goed te beveiligen en hun klanten een gerust gevoel te geven. Sommige leveranciers hebben het zogenoemde Keurmerk Zeker-Online. Hier kom je de eerder genoemde begrippen als ISO27001-certificaat of een ISAE3042-onderzoeksmethodiek tegen. Deze staan in de maar liefst 270 normen die het keurmerk heeft opgesteld.
Leveranciers doen er alles aan om zich goed te beveiligen en hun klanten een gerust gevoel te geven
Keurmerk Zeker-Online is een stichting die in samenwerking met de Belastingdienst hele strenge eisen stelt aan de beveiliging van data, getuige de 270 normen. Het keurmerk baseert deze normen op de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nederlands Cyber Security Centrum. Wil je als leverancier het keurmerk krijgen, dan moet je aan deze eisen voldoen. Nog niet veel leveranciers hebben dan ook het keurmerk, een aantal (Exact, Unit4 en Yuki) is nog bezig het keurmerk te halen.
Audit-proces is streng
De weg naar het behalen van het keurmerk is namelijk erg lang. Voordat een leverancier in aanmerking komt voor het keurmerk, gaat eerst een streng audit-proces aan vooraf. Nog voor de eerste audit, wordt er een nulmeting uitgevoerd. Bij deze meting gaan auditors naar de boekhoudsoftwareleverancier toe en beoordelen deze of ze wel ‘compliant’ zijn aan de 270 normen. Het gaat dan nog niet eens om de officiële audit, het is een soort proefaudit. Dit wordt gedaan omdat je als boekhoudsoftwareleverancier natuurlijk tijdens de echte audit aan alle normen wil voldoen.
De weg naar het behalen van het keurmerk is lang
Deze proefaudit duurt ongeveer een week, waarna er een rapport verschijnt waarin staat of en wat de aspirant-keurmerkhouder nog moet veranderen wil hij goed beslagen ten ijs komen voor de ‘echte’ audit. Tijdens de echte audit wordt minutieus bekeken of de leverancier wel aan de 270 normen voldoet. Zo wordt er gelet op de leverancier wel een logische toegangsbeveiliging heeft. Dit gaat om het uitdelen van rechten aan de gebruikers. Je wilt bijvoorbeeld niet dat een gebruiker andermans gegevens kan inzien.
Alles bijhouden in een audit-trail
Maar daarmee ben er als aspirant-keurmerkhouder nog niet. Mocht je aan de strenge normen voldoen, dan moet je hierna ook nog aan kunnen tonen dat de normen over een periode van zes maanden hebben gewerkt. Alles wordt bijgehouden in een zogenoemde audit trail, zodat de auditor terug kan kijken of alles heeft gewerkt zoals het zou moeten. Maar dat is nóg niet alles. Een jaar na de echte audit komt de auditor terug om te checken of alles nog steeds perfect werkt. Is dit niet het geval? Dan kan het keurmerk worden ingetrokken.
Kosten van keurmerk zijn hoog
Dat nog niet veel leveranciers het keurmerk hebben, heeft, naast de striktheid van het keurmerk, ook te maken met het kostenplaatje. Want dat is niet gering, beaamt ook Remco Frühauf, directeur van Informer en trots bezitter van het keurmerk. “Van het geld dat we uitgeven aan het keurmerk kan je een leuke BMW 5-serie kopen. Maar ik heb het er voor over. Ik wil zeker zijn dat het wat veiligheid betreft goed zit. Dan kan ik ‘s nachts tenminste met een gerust hart slapen.”
"Van het geld dat we uitgeven aan het Keurmerk kan je een leuke BMW 5-serie kopen" Remco Frühauf
Ook Ficsus is sinds maart vorig jaar in bezit van het keurmerk. Ook marketing manager Rens Caspers vindt de kosten van het keurmerk aan de hoge kant. “Het keurmerk kost vrij veel geld. Maar dan weet je dat je pakket veilig is. Dit geeft zekerheid voor onze klanten. Zij kunnen met een gerust hart boekhouden”, licht Caspers toe.
Uitbesteding van servers
Maar de meeste leveranciers hebben geen Keurmerk Zeker-OnLine. Betekent dan dat zij de data niet goed beschermen? Nee. Eén van de manieren van SaaS-leveranciers om hun data te beschermen is om de beveiliging van de data uit te besteden aan specialisten, zogenoemde ‘hosters’. Vooral de ‘kleinere’ leveranciers besteden de beveiliging van data uit. Zij beschikken namelijk vaak niet, of over een te kleine ICT-afdeling die de verantwoordelijkheid van de beveiliging van de data op zich kan nemen.
Zo heeft bijvoorbeeld Kleisteen de beveiliging uitbesteed aan Vancis en hebben CCV Shop, MoneyMonk en Mijnwebwinkel de data ondergebracht bij de servers van True in Amsterdam. Deze vorm van bescherming van je data heet CMaaS (Cloud Monitoring as a Service). Een aparte dienstverlener dus, die het overzicht over de hele cloudomgeving bewaart, waarmee softwareleveranciers de garantie hebben dat de data van hun klanten goed is beschermd. “We hebben de beveiliging van de data praktisch vanaf dag één uitbesteed”, zegt Jacqueline Langedijk an Kleisteen. “We hebben in het begin eventjes een servertje onder het bureau staan. Maar dat kon eigenlijk echt niet.”
"We hebben de beveiliging van de data praktisch vanaf dag één uitbesteed" Jacqueline Langedijk
Hosters zijn tot de nok toe beveiligd
Omdat steeds meer leveranciers de beveiliging van data uitbesteden, nemen hosters de verantwoordelijkheid van de databescherming uiterst serieus. Zo beschikt Vancis, met dataservers in Amsterdam en Almere, over het, daar is-ie, ISAE3402-onderzoeksmethodiek. ISAE3402 is een internationale assurance-standaard, dat betekent dat deze wordt gebruikt door accountants. Een serviceorganisatie legt dan door middel van een ISAE3402-onderzoeksmethodiek verantwoording af aan een andere organisatie (in dit geval de softwareleverancier) over de uitgevoerde processen. Met de ISAE3402-standaard laat een hoster dus zien dat hij ‘in control’ is.
Voor de meeste hosters is een ISAE3402-rapport niet genoeg en beschikken daarom ook nog over andere certificaten. True is naast ISAE3402-, ook ISO9001- en ISO27001-gecertificeerd. “Maar eigenlijk moet elk een zichzelf respecterende hoster over al deze certificaten beschikken”, zegt Sjors van Santen IT & Cloud Marketeer bij True. "Wij hebben bijvoorbeeld ook het NEN7510-certificaat, wat inhoudt dat we ons houden aan de hoogste standaarden van informatiebeveiliging omtrent medische gegevens. Het gaat er dus met name om dat degene die de data laat hosten, dit met een gerust hart kan doen. "Maar het laat wel zien dat je jezelf continu challenged", zegt Sjors.
"Ook mét certificaten heb je geen garantie dat je volledig bent beveiligd" Sjors van Santen
Je hebt nooit honderd procent garantie
"Maar ook mét deze certificaten heb je geen garantie dat je volledig bent beveiligd", gaat Sjors verder. "De website-eigenaar is en blijft namelijk verantwoordelijk voor de eigen site en de CMS-applicatie waar deze in is gebouwd. Wij zijn verantwoordelijk voor alle lagen hieronder en zorgen dat deze secure zijn. Wanneer het CMS van een website verouderd is kan het zijn dat er lekken bekend zijn waardoor website een doelwit kan zijn voor hackers. Het niet updaten van het CMS kan tal van redenen hebben, denk bijvoorbeeld aan plugins die mogelijk niet meer werken of koppelingen met softwarepakketten die kunnen omvallen, maar is wel van levensbelang, dat is de verantwoordelijkheid van de klant of organisatie die de website beheerd en ontwikkeld" legt Sjors uit."
”Het grootste gevaar op een lek ligt inderdaad bij de SaaS-leveranciers”, beaamt Bianca Smit van het Keurmerk ZekerOnline. “Je kunt als klant niet goed zien wat bijvoorbeeld hun inlogbeleid is. Maar degenen die het Keurmerk hebben, zitten wat dit betreft goed legt Bianca uit. “In de 270 normen die wij hebben opgesteld, staat ook duidelijk beschreven waaraan de Saas-leveranciers moeten voldoen op het gebied van hun inlogbeleid. “De SaaS-leveranciers die in bezit zijn van het Keurmerk, hebben dus bewezen een veilig beleid te hebben. Ik vind het daarom heel belangrijk dat er meer SaaS-leveranciers zich bij ons aansluiten.”
”Toch wil ik geen angst zaaien”, zegt Bianca. “De meeste SaaS-leveranciers zullen vast een goede interne beveiliging hebben. We hebben hier alleen nog geen goed inzicht in.”
Naast het hebben van het Keurmerk zit je bij True als SaaS-leverancier ook goed zegt Sjors. True helpt namelijk de leveranciers met een goed inlogbeleid en voeren regelmatig penetratietests uit bij hun klanten. Met zo’n test ‘hacken’ ze de database van hun klanten. Zo leggen ze de zwakke plekken bloot. Hierna kunnen hun klanten dit lek dichten, zonder dat er ooit een kwaadwillende dit heeft kunnen doen.
True heeft niet veel klanten, maar daar hebben ze bewust voor gekozen. “Wij hebben gekozen voor kwaliteit, niet kwantiteit”, zegt Sjors. “We hebben misschien niet veel klanten, maar de klanten die we hebben zijn wel grote spelers. Wij zijn dan ook de Ferrari onder de hosters.”
Mijnwebwinkel heeft ook bewust gekozen om de beveiliging uit handen te geven en over te stappen op CMaaS bij True. “We hadden geen zin in een 24-uursdienst om de data te beveiligen”, zegt developer Bert-Jan de Lange “We hebben daarom anderhalf jaar geleden unaniem besloten om over te stappen naar True. We wilden en hoster met expertise die onze data veilig kon onderbrengen. Want we konden zelf de groei van de data niet meer aan, omdat we in een korte periode van een bedrijf van 1 naar 28 werknemers zijn gegroeid.”
"We hadden geen zin in een 24-uursdienst om de data te beveiligen" Bert-Jan de Lange
Ook overheid houdt zich bezig met beveiliging
Naast het Keurmerk Zeker-Online en het uitbesteden van de beveiliging aan hosters, is er nog een manier hoe cloud-gebruikers zich kunnen beveiligen. Zo zijn er in Nederland diverse overheidsinstanties die zich bezighouden met een veilige cloud. Zo is er het Centrum voor Informatiebeveiliging en Privacybescherming, het CIP. Hierin werken vele overheidsorganisaties en marktorganisaties samen als kennispartners. Het doel is om van elkaar te leren op het vlak van informatiebeveiliging en privacybescherming en samen tot afspraken te komen over normen en werkwijzen. Op basis van ‘good practices’ stellen ze gratis handboeken ter beschikking, waarmee organisaties hun IT-dienstverlening kunnen optimaliseren, zodat burgers deze IT-dienstverlening durven vertrouwen.
Maak je geen zorgen over de veiligheid van cloud software
Hoewel er nooit een volledige garantie is dat gegevens bij software in de cloud veilig zijn, doen SaaS-leveranciers er alles aan om ervoor te zorgen dat bedrijfsgevoelige informatie optimaal is beschermd. De ene leverancier betaalt veel geld om in het bezit te komen van het Keurmerk Zeker-Online en voldoet aan een uitgebreid normenkader. De ander besteedt de beveiliging van de data uit aan een specialist die tot de nok toe is beveiligd. Wat dan wel van belang is, is dat de Saas-leveranciers zelf ook goede veiligheidseisen hebben. Als ondernemer die een overstap naar cloud software overweegt hoef je je dan ook geen zorgen te maken. Je gegevens zijn in veilige handen.
