Hoe weet je als klant of een leverancier van clouddiensten betrouwbaar is? Een systeem van certificering kan hierbij helpen.

Vandaag verkondigt elke leverancier ‘cloud’ te zijn, want dat verkoopt blijkbaar als zoete broodjes. Hoe kan je dan als prospect het kaf van het koren onder die leveranciers scheiden? Zoals in het verleden kan een systeem van certificates (getuigschriften) hier een uitkomst bieden. Met behulp hiervan kan je de kwaliteiten van een persoon of bedrijf immers in de verf zetten. Maar hoe zet je zoiets op voor een nieuw en nog bijzonder snel evoluerend gebied als ‘cloud computing’?

Eurocloud geeft ‘sterren’

Op dit punt schoot de EuroCloud erg vlug uit de startblokken. Deze non-profit organisatie presenteert zich als een onafhankelijke vereniging die de kennis rond clouddiensten in bredere kring wil verspreiden, onder meer door de opbouw van een kennisnetwerk doorheen Europa. Momenteel heeft EuroCloud al eigen afdelingen in 17 Europese landen, en wordt er samengewerkt met andere informatietechnologie- verenigingen (zoals de Software & Information Indiustry Association).

Wat getuigschriften betreft koos EuroCloud voor een certificering van bedrijven, gestoeld op ‘best practices’ bij het verlenen van diensten. Er worden ‘sterren’ toegekend, op een schaal van ‘één’ tot ‘vijf’, waarbij pas vanaf ‘drie’ ook een certificaat wordt afgeleverd. Een certificaat – Trusted Cloud Service / Advanced /High Availability – biedt een indicatie van de leverancier inzake security, privacy, ‘exit’-modaliteiten en dies meer. In Zweden zou tevens een ‘cloud readiness’-test worden ontwikkeld, waarmee bedrijven zichzelf kunnen inschatten wat betreft de levering van clouddiensten. “Het doel is een Europese standaard”, aldus Maurice van der Woude, general director EuroCloud, “met oog voor best practices!”

Standaarden in ontwikkeling

Hoewel gelieerd aan de ISO 27.000 standaard, blijft het EuroCloud-certificaat wel het product van een belangenvereniging. Uiteindelijk zullen getuigschriften die onderling kunnen worden vergeleken, en afgestemd zijn op verschillende groepen, met verschillende niveaus, het best steunen op erkende internationale standaarden. Ook hier doet de Cloud Security Alliance (CSA) meer dan een duit in het zakje.

“Het initiatief van EuroCloud biedt in wezen een ‘attestatie’ (een soort verklaring) en niet zozeer een certificatie, dat het resultaat is van een heel wat meer formele aanpak, op basis van standaarden,” meent Daniele Catteddu, managing director van CSA Europe. Vandaag werkt de CSA samen met het British Standards Institute (BSI) aan een ‘Star Certification’ op basis van de ISO 27001 standaard en CSA’s Cloud Controls Matrix, volgens een ”Plan, do, check, act’ aanpak. Er wordt een formeel certificiëringsproces uitgetekend, met een beoordeling door erkende onafhankelijke organisaties. Met de medewerking van een rist instellingen en overheden, zoals het Amerikaans instituut voor standaarden (NIST), het Amerikaans ministerie van defensie, de overheden van Singapore en Hong Kong, evenals de ITU-IT, met het certificatiesysteem dan wereldwijd ingang vinden.

CSA zelf heeft hiervoor zijn Open Certificate Framework (OCF) gepubliceerd, dat “voorziet in ‘incrementeel en meerlagig certificiëringssysteem voor cloudleveranciers,” zodat de markt niet moet wachten met het definiëren van een definitieve standaard.

Het eerste niveau – Star Self Assessment – is al beschikbaar als een vorm van ‘zelf-certificiëring, en is bedoeld om de inzet van een leverancier inzake ‘best practices’ aan te tonen. Het is het instapniveau dat de klant een eerste kijk op de transparantie en betrouwbaarheid van de leverancier moet bieden. Het tweede niveau wordt dan de Star Certification die in samenwerking met het Britse BSI wordt ontwikkeld, vergelijkbaar met een certificatie op basis van een erkende standaard. Het derde en hoogste niveau veronderstelt een doorlopende monitoring van de werking van de cloudleverancier. Immers, klassieke certificaten op basis van een standaard als ISO 27.000 bieden een snapshot van een bestaande toestand, “die de volgende dag al weer anders kan zijn”, merkt Catteddu nuchter op, “Een dienstverlening gaat maar door en klanten willen dan ook de security-toestand op elk ogenblik kunnen opvolgen, met een soort continue audit.” Dit niveau zal wel niet eerder dan 2015 op punt staan, stelt Daniele Catteddu.

www.eurocloud.org

Guy Kindermans