Co auteurs: Maarten Mennen & Joëlle Salomons

1. Inleiding

Wij hebben regelmatig gesprekken met vakgenoten over de Cloud. Wat ons daarin opvalt, is dat de meeste van onze vakgenoten en dan niet specifiek de IT auditor, maar voornamelijk de accountants de Cloud benaderen vanuit inzichten die zij door studie en praktijk hebben verworven. Een voorbeeld hiervan is de benadering van security in relatie tot de Cloud. Wij stelden deze collega’s de vraag wat zij onder Cloud security verstaan. Uit de antwoorden bleek, dat er door deze accountants geen onderscheid werd gemaakt tussen “toegang tot klantdata door onbevoegden” en de “werkelijke beveiliging van klantdata door aanbieders van Clouddiensten”. De antwoorden van de accountants kwamen overeen met de antwoorden van afnemers van Clouddiensten.

Tijdens deze gesprekken werd ons toevertrouwd dat afnemers regelmatig contact met hen opnemen om duidelijkheid te krijgen over de betrouwbaarheid van een Cloudprovider of een Clouddienst. Zij vinden het lastig om een passend antwoord te geven, omdat ze vaak zelf niet weten hoe ze een correct oordeel moeten vormen. Ook staan zij er niet bij stil om in die gevallen hun collega de IT auditor het antwoord te laten geven.

Met dit artikel willen wij inzicht geven in de wijze waarop de afnemer van Clouddiensten zich een oordeel kan vormen over de beheersmaatregelen die de Cloudprovider heeft genomen om zijn diensten het predicaat veilig te mogen meegeven.

Wij leggen uit wat wij onder de Cloud verstaan en welke vormen van Clouddiensten er nu bestaan, en wij geven uitleg hoe wij “zekerheid” kunnen vaststellen en welke stappen er door welke accountants genomen moeten worden om uiteindelijk tot een ISAE 3402 type 2 Audit rapport te komen.

Het audit rapport ISAE 3402 type 2 kan voor een afnemer een essentieel onderdeel zijn om tot gebruik van een Clouddienst over te gaan. In bepaalde branches kunnen er nog aanvullende rapporten (bijvoorbeeld HipAA of SOC 1,2 of3) nodig zijn om de keus te maken, denk hierbij aan de gezondheidszorg en defensie. Deze aanvullende zekerheden worden niet in dit artikel behandeld. Het audit rapport ISAE 3402 type 2 kan door de afnemer of diens accountant opgevraagd worden om een oordeel te vormen over de beheersmaatregelen die door de Cloud Provider worden uitgevoerd en getoetst. Onder bepaalde voorwaarden (o.a. een geheimhoudingsverklaring)zal dit rapport door Cloudprovider aan afnemer of diens accountant worden verstrekt.

Wij kunnen ons voorstellen dat het grootste deel van dit artikel bekend is voor de IT auditor, maar dat hij met dit artikel een dialoog over Cloud security met zijn collega, de controlerend en/of adviserend accountant, kan voeren.

2.  Wat is de Cloud en wat is Cloud computing?

Wat is de Cloud? Vraag het een aantal Cloudexperts en u zult verschillende definities van de Cloud krijgen. We zullen daarom een aantal begrippen rondom de Cloud verder toelichten voordat we de diverse audit rollen begrijpelijk kunnen verwoorden.

De Cloud is “het internet”. Het begrip Cloud komt voort uit de wijze waarop het internet werd weergegeven in illustraties om uit te leggen hoe computers e.d. zijn verbonden met het internet. In de vorm van een wolk dus. Slimme marketeers besloten daarom jaren geleden de term Cloud te gaan gebruiken voor het internet.

Als we “Cloud computing” beschrijven, hebben we het over een parallel computersysteem waarbij de software verdeeld is tussen meerdere computers op het internet. Onder het containerbegrip “Cloudcomputing” worden alle computerhandelingen samengevat die niet op de eigen computer worden uitgevoerd, maar waarvan de resultaten wel via de webbrowser van de gebruiker toegankelijk zijn. Internetboekhouden is een goed voorbeeld van een Clouddienst, en behoeft geen nadere toelichting.

De termen “Cloud” en “Cloud computing” worden helaas regelmatig door elkaar gebruikt. Diensten op het gebied van Cloud computing hebben een aantal specifieke kenmerken, waaronder “schaalbaarheid” en het feit dat diensten voornamelijk, maar niet uitsluitend, in abonnementsvorm beschikbaar zijn voor eindgebruikers. Onder schaalbaarheid wordt verstaan dat de dienst naar gelang de behoefte van diensten is aan te passen. Dat betekent aanpassing in de zin van uitbreiding, maar ook in de zin van het terugbrengen van het aantal gebruikers of bijvoorbeeld het aantal modules. De diensten zijn voornamelijk op aanvraag via zelfbediening beschikbaar en men betaalt naargelang het gebruik of in vaste termijnbedragen.

De diensten hebben in de Cloud specifieke benamingen gekregen, zoals IaaS, SaaS, en PaaS als hoofdvormen, welke we hieronder graag toelichten:

–             SaaS (Software as a Service), dit is applicatiesoftware, waarbij de dienstverlening bestaat uit het ter beschikking stellen van software door de softwareleverancier via de webbrowser, denk hierbij aan Online boekhouden;

–             PaaS (Platform as a Service) dit is het platform waarop applicaties draaien, bijvoorbeeld Office365, Google apps;

–             IaaS (Infrastructure as a Service) dit is de infrastructuur die wordt aangeboden. Hierbij kun je bijvoorbeeld tijdelijk opslagcapaciteit of tijdelijk het gebruik van een databasehuren, (bijvoorbeeld Azure van Microsoft). Denk hierbij bijvoorbeeld eens aan de top 2000 waarbij Radio 2 gedurende 1 maand opslagcapaciteit nodig heeft, inclusief intensief gebruik van communicatiebronnen. De overig 11 maanden is die niet nodig en dan hoeft de extra capaciteit niet gehuurd te worden.

*) voetnoot: zo kan er een situatie ontstaan dat uw data op een Amerikaanse server komen, waardoor de Amerikaanse overheid inzage in uw data zou kunnen krijgen op basis van de Patriot act.

3. Hoe stellen we “zekerheid” vast, assuring the Cloud?

In het vorige hoofdstuk is aangehaald dat de Cloudprovider voor “Cloud Computing” moet voorzien in een goede beheersomgeving. Een goede set van controls, die ervoor moet zorgen dat eventuele risico’s zijn geïdentificeerd en zijn afgedekt met de juiste maatregelen, maakt hier deel van uit. Enkele risico’s zijn o.a. verlies van data dan wel de mogelijkheid dat data in verkeerde handen raken. Daarnaast dient deze set van controls te voorzien in maatregelen die gericht zijn op de informatie (data)beveiliging (ISO 27001). Wij gaan daar in dit artikel niet verder op ISO 27001 in.

In het kader van deze beheersmaatregelen speelt de internal auditor (of IT auditor)een belangrijke rol. Vragen zoals “Wat zijn de risico’s en wat zijn de bijbehorende beheersmaatregelen?”, “Met behulp van welke normenkader(s) kunnen deze risico’s worden geïdentificeerd?” en “Hoe kunnen bijbehorende controls worden gedefinieerd?”, vormen een belangrijk onderdeel voor de normering. De auditor van de afnemer wil daar dan graag kennis van nemen en bovendien informatie hebben of de controls betrouwbaar hebben gewerkt. Dit alles met het doel om zekerheid te creëren ten aanzien van afgenomen diensten.

Bij de provider hebben zowel de internal auditor als de externe accountant een belangrijke rol. Beide leveren een bijdrage aan het verschaffen van de noodzakelijke zekerheid, de laatst genoemde vanuit een onafhankelijke positie. Voor dit voorbeeld gaan wij ervan uit dat de provider ook een Deze Cloudprovider biedt alle platformen aan en heeft derhalve ook een groot aantal datacenters in eigendom. Als gevolg van het eigendom van deze datacenters heeft de CloudProvider ook een ISO 27001 certificaat voor al deze datacenters. Het bestaan van een interne accountantsdienst (controle functionaris) is ons uitgangspunt om de rollen van de diverse auditors uit te leggen.

Kader:

ISAE (= International Standards for Assurance Engagements) 3402 type 2 verklaring, geeft aan welke beheermaatregelen als serviceprovider zijn genomen en of deze adequaat zijn en conform deze standaard zijn uitgevoerd.

ISO 27001 certificaat (een ISO certificaat dat wordt verkregen als alle procedures rondom het proces van databeveiliging vastliggen en volgens de vastgelegde normen zijn uitgevoerd) nodig om aan te tonen dat alle maatregelen rondom data beveiliging juist zijn en juist zijn uitgevoerd.

4. De audit omgeving en de onderlinge rolverdeling

4.1          Totstandkoming van auditrapport ISAE 3402, de rol van de internal auditor, de IT auditor en de externe accountant van de Cloudprovider.

De Cloudprovider is als serviceorganisatie verantwoordelijk voor de beschrijving van de beheersmaatregelen waarop het audit rapport en bijbehorende oordeelsverklaring van toepassing is. De internal auditor van de provider heeft daarin een belangrijke rol.

Door de interne auditdienst / auditfunctionaris van de provider moet, afhankelijk van het normenkader, een werkprogramma worden voorbereid in overeenstemming met het gewenste Assurance niveau, de tolerantie en de te nemen controlestappen. Het opstellen van een toereikend normenkader is van belang, omdat de “controls” daarvan afhankelijk zijn. Het definiëren van deze activiteit in het audit charter, indien van toepassing, strekt dan tot aanbeveling. Bij de vaststelling van de aanpak moeten de frequentie waarmee de interne en externe audits worden uitgevoerd, de gewenste mate van Assurance (redelijk mate / beperkte mate) en het bespreken van de uitkomsten van de audits met de eindverantwoordelijkheden, een vaste plaats krijgen. Het ultieme doel voor de Cloudprovider is om aantoonbaar te maken dat hij “in control” is met betrekking tot “key controls” op het gebied van beveiliging.

Onder verwijzing naar ISAE3402 zal de Cloudprovider de vereiste “controls” dus onder eigen verantwoordelijkheid laten opstellen en deze laten controleren op het bestaan daarvan. Als de Cloudprovider het bestaan heeft laten testen door een internal auditor dan ontvangt de provider een type 1 verklaring. Deze verklaring wordt afgegeven om te verklaren dat de gewenste “controls” zijn aangebracht. Na het succesvol toetsen van de werking op effectiviteit door de internal auditor ontvangt de Cloudprovider de zogeheten ISAE3402 type 2 verklaring.

De externe accountant van de Cloudprovider zal, om de onafhankelijkheid te bewaken, het werk van de internal auditor toetsen aan de richtlijn 402, zoals COSO voorschrijft. De externe accountant zal bij gebleken juistheid onder eigen verantwoordelijkheid meetekenen. De uitkomsten van toetsing worden vastgelegd in een Audit rapport type 1 (alleen initieel bij inrichten) en type 2 (bij de jaarlijkse toetsing van de werking) verklaringen.

De aard van de “controls”: inhoudelijk kunnen de controls van ISAE 3402 verschillen, een datacenter heeft meer (en dus ook fysieke) controls nodig dan een SAAS aanbieder die gebruik maakt van de data opslag van een PAAS of IAAS aanbieder.

4.2  Het gebruik van ISAE 3402 type 2 rapport als toetsingsinstrument bij de afnemer, de rol van internal auditor en of externe accountant van de cliënt (= afnemer)

Afnemers – de gebruikersorganisaties -, dienen ervan verzekerd te zijn dat de Cloudprovider – de serviceorganisatie -, zijn beheersmaatregelen correct heeft vastgesteld, deze ook heeft geïmplementeerd en dat deze effectief werken.

De internal auditor of externe accountant van de afnemer moet derhalve oog hebben voor de kenmerken en aard van de “controls” van een Cloudprovider (betrouwbaarheid, eerdere “foute” feiten, beheersmaatregelen etc.) en hoe hij zijn opdrachtgever (de cliënt / afnemer) hierover moet adviseren.

Hij moet dit doen door het actief opvragen van het meest recente ISAE 3402 Type 2 audit rapport van de Cloudprovider, en met zijn opdrachtgever te bespreken of op die gronden sprake kan zijn van een betrouwbare Cloudprovider.

Indien de internal auditor of externe accountant de beschikking krijgt over een door een collega externe accountant getekend ISAE 3402 type 2 rapport lijkt het niet al te moeilijk. Omdat de ene auditor het rapport van de ander analyseert, spreken we in deze over een auditor-to-auditor report, ze spreken elkaars taal. Uiteraard is het belangrijk om vast te stellen dat de “controls” elementaire maatregelen van met name databeveiliging toereikend afdekken. Hij kan dit beoordelen en hierover rapporteren aan zijn opdrachtgever. Het versterken van zekerheid staat centraal.

Op welke criteria moet hij met name letten?

• toegepaste normenkaders, scope en reikwijdte;
• de objecten van controle
• de complete toereikendheid van de toetsing;
• de toegevoegde verklaring van de service auditor (waaruit blijkt of het een qualified of unqualified opinion betreft)
• de frequentie van toetsing(dat wil zeggen het uitbrengen van een ISA3402 rapportering, nu jaarlijks plaats, gelijkgeschakeld aan het boekjaar).

• organisatorische maatregelen
• dataopslag en databeveiliging waaronder toegangscontroles
• bijbehorende dataverwerking en datadistributie in de Cloud
• beheersing van applicaties;
• datatransport  van en naar de Cloud;

Een frequentere audittermijn is nu onderwerp van discussie, omdat de technologische ontwikkelingen zo snel gaan dat het interval van 1 jaar tussen de controles niet meer voldoende wordt geacht. Voor een test op werking is evenwel een periode van 6 maanden aan de orde.

Voor de potentiële afnemer kan een “derden opinie” relevant zijn, voordat hij überhaupt een verbintenis met een Cloudprovider aan zou willen gaan. Zijn eigen auditor kan dan aangeven of de “controls” gewerkt hebben, dan wel welke risico’s niet op dezelfde wijze als eerder aangegeven afgedekt zijn.

Het is als afnemer dus zaak om goed voorbereid te zijn, voordat je met een Cloudprovider in zee gaat. Met een best practice checklist kunnen zowel de klant als de adviserende accountant behulpzaam zijn bij het maken van een verantwoorde Cloud keuze. Deze is op aanvraag beschikbaar.

5. Actualiteit

Op dit moment zijn er veel initiatieven om tot nationale en internationale normeringen te komen ten aanzien van Cloudsecurity. Om te beginnen in Nederland, waar er hard gewerkt wordt aan Zekeronline, een initiatief van marktpartijen die online administratieve oplossingen aanbieden, belastingdienst en ECP-EPN. De voorbeelden die zij op hun website vermelden zijn de volgende

• gegevens moeten ongewijzigd toegankelijk blijven voor ondernemer, accountant en belastingdienst tijdens de wettelijke bewaartermijn (ook bij faillissement van de dienstverlener of wanneer de ondernemer besluit over te stappen naar een andere),
• het moet duidelijk zijn in de administratie wie wanneer welke gegevens op welke manier heeft veranderd.
• de relatie tussen de ingevoerde gegevens en rapportages moet waterdicht zijn.
• een ondernemer moet ook zonder veel kennis van administratie en belastingen gegevens goed kunnen administreren.

Het Europese initiatief is EuroCloud en EuroCloud wil de ontwikkeling van SaaS- en Cloud-diensten in heel Europa bevorderen en de toepassing ervan stimuleren. EuroCloud moet het zakendoen, het aangaan van technologische relaties en kennisontwikkeling versnellen, aldus hun website.

Het internationale initiatief is Cloud security Alliance, waarvan het Nederlandse chapter hoopt om kennis, kunde en ervaringen op te bouwen en te gebruiken in Nederland, alsmede met elkaar te kunnen delen op nationaal, regionaal en internationaal niveau. De Cloud Security Alliance heeft inmiddels een control framework voor Cloud diensten ontwikkeld.

Al deze initiatieven lopen op dit moment parallel en wij maken ons zorgen of de lokale initiatieven tijdig alle nieuwe verworven internationale kennis met betrekking tot Cloud security kunnen verwerken in de lokale normen.

In het geval dat de internationale normering niet volledig en gelijktijdig in lokale normen verwerkt wordt, is het de vraag of een organisatie aan de actuele normering/standaard en daarmee tevens aan de internationale standaard voldoet.

6. Conclusies

Zowel de internal auditor als de externe accountant van de Cloudprovider zal een belangrijke rol spelen bij de ondersteuning van de inrichting van de beheersmaatregelen op basis van ISAE 3402 bij de Cloudprovider. De Cloudprovider heeft als serviceorganisatie ook de plicht in het auditrapport een formele verklaring van haar bestuur af te geven waaruit haar verantwoordelijkheid blijkt.

De auditor van de afnemer zal zijn opdrachtgever behulpzaam kunnen zijn bij de keuze van een betrouwbare Cloudprovider, door bijvoorbeeld een ISA3402 Type 2 verklaring bij een mogelijke Cloudprovider op te vragen en te boordelen.

Het is aan te bevelen dat uitsluitend de Cloudproviders die gecertificeerd zijn volgens de vigerende normen Clouddiensten mogen aanbieden, waardoor de klant beter geborgd kan zijn van optimale dienstverlening. Het artsen model dus, maar dat kan nooit voorkomen dat criminelen Clouddiensten zullen proberen aan te bieden.

Wij adviseren accountants en afnemers voor zowel nieuwe als bestaande Cloud overeenkomsten om jaarlijks de ISAE 3402 Type2 verklaringen bij de Cloudprovider op te vragen en deze te beoordelen. Aan de andere kant achten wij het nuttig dat de Cloudprovider zijn controles 2 keer per jaar en eventueel “partieel roulerend” laat uitvoeren.

De zekeronline, EuroCloud en CSA standaarden zijn nog niet operationeel, zodat in 2012 de vertrouwde ISAE 3402 type 2 auditverklaring, voor de klant nog maatgevend zijn, ook al kennen wij de beperkingen.

Het zal nog enige tijd vergen voordat er een definitieve normering tot stand is gebracht. Het is ook maar de vraag of er ooit sprake zal zijn van 1 allesomvattende wereldwijd erkende norm/standaard. Onder invloed van constante wijzigingen in Cloud technologieën, zal men blijven zoeken naar nieuwe cq aangepaste standaarden, normeringen en Cloud control frameworks. De komende jaren zal de ISAE 3402 auditverklaring hierdoor naar onze mening dan ook regelmatig wijzigen.

Het laatste woord over Cloud security is nog niet geschreven………..

(2800)

Deze post is ook beschikbaar in/Also available in: Engels