Een  mini-onderzoek leverde als resultaat op dat maar één van de  onderzochte  SaaS-leveranciers de informatie over de wijze waarop de  klantendata is  veiliggesteld op orde heeft. En dat deze beveiliging  naar huidige  maatstaven zelfs nog kan verbeteren.
Bij de keuze van een online boekhoudpakket spelen tegenwoordig veel meer zaken dan voorheen. (Potentiële) klanten willen tegenwoordig niet alleen weten of de software aansluit bij hun wensen m.b.t. functionaliteit, applicatiebeheer, licentiekosten, gebruikelijke toegangsbeveiliging en abonnementsprijs, maar zijn ook geïnteresseerd of de overheid bij hun data kan en of onbevoegden absoluut niet bij hun data kunnen. De laatste twee angsten worden nog wel eens door elkaar gehaald, vandaar de onderstaande toelichting.
De wijze waarop de beveiliging van deze software is uitgevoerd en hoe die beveiliging bewaakt wordt, zou beter gecommuniceerd moeten door deze SaaS-leveranciers. Niet in de laatste plaats om het vertrouwen te houden/winnen. De aanbeveling voor verbetering geldt voor heel veel clouddiensten, inclusief die van online boekhouden. Daarover verderop meer.

Cloudangsten

Cloudgeïnteresseerden en cloudgebruikers zijn vaak nog niet in staat hun angsten voor de cloud goed te definiëren. De angsten voor het onbekende zullen we maar zeggen. Zo bestaat er een Babylonische spraakverwarring over de plaats waar de data opgeslagen wordt en de angst dat anderen toegang hebben tot jouw data. Voeg daar de SLA tussen organisatie en leverancier aan toe en de rechten die je er als gebruiker aan mag ontlenen en de verwarring kan compleet zijn.
Voor de duidelijkheid: – er bestaat een angst dat overheden op legale wijze in de data van gebruikers kunnen kijken, zoals de VS, als de data op servers staat, die zich on US soil bevinden. In dat geval wil je dus weten waar de data staat en of je je kunt verenigen met het beleid/recht van dat land. Heb je een Nederlandse organisatie met Nederlandse data en niets te verbergen, dan zou het niet uit moeten maken waar de data staat. – er bestaat angst dat de beveiliging van de data bij een leverancier niet adequaat is uitgevoerd. In dat geval wil je dat jouw (toekomstige) leverancier met jou communiceert op welke wijze hij zijn beveiliging heeft geregeld en hoe hij die dagelijks bewaakt, laat controleren en hier verantwoording over aflegt.
Voor uitvoering, bewaking en vastlegging daarvan zijn internationaal bekende documenten beschikbaar, zoals  accounting standard (SAS 70II) en ISO certificaten (ISO27001). Jouw data moeten absoluut veilig worden bewaard.

Als privépersoon ben je zelf verantwoordelijk voor je eigen data en dat zou ik zeker doorzetten voor de organisatie waar je voor werkt.
Als een cloudleverancier te vertrouwen is, heeft hij geïnvesteerd in deze certificaten. En moet je daar de communicatie over terug kunnen vinden op de website en bijvoorbeeld in de vorm van een pdf downloaden. Een goed voorbeeld is de brochure en informatie die Microsoft over Office 365 en Azure heeft opgesteld. Zoek daarom altijd op de website van die Cloud aanbieder of je hierover iets kunt terugvinden en neem geen genoegen met kreten als ‘Wij zijn 100 procent veilig’, zonder verdere uitleg. Zelfs Microsoft zegt dit niet, maar een Nederlandse leverancier van boekhoudsoftware wel! Is dit nu grappig of naïef?

Cloud security

Aan welke voorwaarden moet een leverancier van online (cloud) boekhoudsoftware voldoen om hem ons vertrouwen te schenken? Cloudaanbieders (laten we ze hier providers noemen) moeten de genomen veiligheidsmaatregelen en de rapportages daarover via hun website aan de cloudgebruikers communiceren en die regelmatig updaten. De volgende zaken moeten daar verplicht deel van uitmaken.
1. Providers passen procedures toe die volgens SAS 70 II (ISAE) / ISO 27001 zijn uitgevoerd, ge-audit en de resultaten uit deze audit jaarlijks zichtbaar maken op hun website. En eventueel op aanvraag verstrekken indien hier om wordt gevraagd.

2. Providers moeten uitleggen wat SAS 70 II en ISO 27001 zijn en waarom deze een goede zaak zijn voor hun klanten.

3. Providers zorgen dat deze informatie eenvoudig toegankelijk is op hun website, bij voorkeur altijd op dezelfde plek onder de noemer van bijvoorbeeld ‘cloud security’.

4. Providers moeten zichtbaar maken dat de transfer van data van en naar de cloud encrypted plaatsvindt.

5. Providers moeten aangeven op welke wijze ze de toegang tot de cloud hebben beveiligd. Nu kun je bijvoorbeeld al voor ISO 27001 met een link zoeken of een bedrijf een geregistreerd ISO certificaat heeft.

Vervolgens zoek je per land. Je zult alleen grote bedrijven hier aantreffen zoals KPN, CSC en Atos Siemens.
Voor ons controllers wordt het dan toetsbaar of deze providers, waar wij eventueel mee in zee willen gaan op basis van de producten of diensten, de nodige energie en effort hebben gestoken in de beveiliging van onze kostbare data. En wees nu eerlijk: waarom vertrouwen we via Salesforce onze klanteninformatie (onze levenslijn) wel toe aan de cloud, net als boekhouden online, projecten online en contracten online, maar aarzelen we als het om managementinformatie gaat? Wie kan dat uitleggen?

Onbevredigende uitkomsten

Een kleinschalig onderzoek naar Cloud security informatie geeft onbevredigende uitkomsten. Op basis van een aantal zoekwoorden heb ik sites bezocht van leveranciers van clouddiensten en specifiek ook van boekhoudsoftware online. Ik heb onderzocht of de aanbieders op hun website melding maken van het naleven van de accounting standard SAS 70 II, waarin wordt verklaard welke procedures ten aanzien van beveiliging worden gevoerd, hoe deze worden gecontroleerd en of ze een verklaring hiervan jaarlijks ontvangen en publiceren. Tevens is gekeken of de desbetreffende bedrijven naar analogie de ISO standaard 27001 volgen.
Als de in dit artikel genoemde zaken op de websites van de leveranciers voorkomen, zijn we goed op weg om de transparantie van de cloud op dit gebied te verbeteren.

Een blik op boekhoudpakketten online: AFAS online sprong hier positief uit maar vermeldt geen SAS 70II. Een partij verwijst naar een audit en assurance certificaat, één verwijst naar een comsec certificaat  – en dat zou ISO 27001 kunnen zijn, maar dat is niet zeker . Een ander verwijst naar ISO 20000, maar dat heeft betrekking op de it-service en niet over databeveiliging. Weer een ander stelt dat de software 100 procent veilig is, maar faalt compleet in de uitleg daarvan. Er is nog geen uniformiteit en ik benijd de controllers niet die een vergelijk moeten maken en als één van de beoordelingspunten cloud computing security hebben staan.
Salesforce verwijst naar de inhoud van de certificaten, maar vermeldt verder niets over de certificaten zelf. Op een website van BSI kun je weliswaar zien dat Salesforce een geregistreerd certificaat heeft, maar wat zegt dat verder? Hoe gaan ze er mee om? Microsoft heeft voor Office 365 een uitgebreid en volledig document opgesteld voor Office 365 en is van plan de audits in de toekomst ook te publiceren, ze hebben inmiddels een Trust Center online gezet, waarin je ook een video over de beveiliging kunt bekijken.

Must have

Controllers kunnen hun werk goed doen als cloudaanbieders de volgende aanbevelingen overnemen: zorg dat je de controles hebt, uitvoert, laat auditen op de uitvoering en communiceer daarover frequent op je website. Het is geen ‘Nice to have’ voor je website maar een ‘Must have’. Maak het voor ons als klant geen zoekplaatje!
Als de leveranciers dit oppakken, wordt het voor ons als controllers ook een stuk transparanter.
Make the Cloud a secure place

http://www.controllersmagazine.nl/Verslaggeving/Algemeen/2012/1/Hoe-veilig-en-transparant-zijn-cloudleveranciers-CONTR005109W/

Eerder gepubliceerd 16-11-2011