Security is voor datacenters altijd al een speerpunt geweest. Het zorgt er immers voor dat niet iedereen zomaar bij de servers kan komen. Een strikt toegangsbeheer en het omgaan met bedrijfsinformatie draagt hieraan bij. Maar security is meer dan alleen een beleidsitem, zo schrijven Joost van der Sluis (Dataplace) en Patrick van de Pol (Eurofiber).
Bedrijfsinformatie is overal. Dat moet je op de juiste manier beheren zodat alleen de mensen die bevoegd zijn er toegang toe hebben. Dat gaat verder dan ICT alleen. In alle aspecten, processen en bedrijfsonderdelen moet je rekening houden met de informatiebeveiliging. Eén van de dingen waar Dataplace zich in onderscheid, is onze geautomatiseerde toegangscontrole systeem en ons klantenportal. Het spreekt voor zich dat alleen de betreffende klant via die portal bij bepaalde data kan. Maar regel dat maar even.
En zelfs wanneer je dat als dienstverlener goed hebt geregeld, dan moet je bedenken dat het landschap continu evolueert. Zelf wil je natuurlijk gewoon ieder jaar beter zijn dan de rest, maar je hebt ook te maken met veranderende wet- en regelgeving waaraan je moet voldoen. De normeringen die daaraan vastzitten zijn streng en het kost veel tijd en energie om de certificeringen in de wacht te slepen.
Voor ons is dit een continu proces en zo hebben we bij Dataplace heel recent de ISO 22301 (Security and resilience – Business continuity management systems – Requirements) behaald. Als dienstverlener werken we bovendien hard aan ons IaaS-aanbod, wat natuurlijk nog meer van ons eist. Maar als Dataplace zijn we al vanaf het allereerste begin zijn gestart met al die elementen in ons achterhoofd. Ook afdelingen die de buitenwereld niet meteen in verband brengt met security, zoals HR en sales, hebben we volgens bepaalde securityprincipes opgezet.
Security zit verweven in onze communicatie, en dat verlangen we ook van onze leveranciers. Met hen maken we hele duidelijke afspraken. Let wel: we eisen niet dat ze aan ieder mogelijke certificering voldoen, al kunnen we dan wel weer aanvullende vragen hebben. Het is trouwens ook niet zo dat je alles zelf moet verzinnen: regelmatig hebben klanten ook zeer goede ideeën, waardoor je op het goede spoor komt en wij daarmee onze processen kunnen optimaliseren.
Niet alleen Dataplace doet dat, maar alle onderdelen van de Eurofiber Group. Security by Design is voor ons een strategisch thema, dat we vertalen naar alle organisaties en de hele value chain. Als onderdeel van de vitale infrastructuur in Nederland brengt dit verplichtingen met zich mee, maar ook toegang tot informatie.
Het is echter niet zo dat een dienstverlener alle verantwoordelijkheid kan overnemen van de klant. Integendeel: voor het gebouw en de infrastructuur kun je een harde garantie krijgen dat de dienstverlener al het mogelijke doet om je te beschermen. Maar op je eigen servers – zelfs als het virtuele servers binnen een IaaS-omgeving zijn – dient de klant het zelf goed in te regelen. Boven alles moeten de verantwoordelijkheden goed zijn gedocumenteerd. Wij leveren een document mee wat onze klanten kunnen verwachten en welke afspraken er zijn gemaakt. Bovendien bieden we assistentie aan in geval van eventuele breaches.
We voldoen dus niet aan al die normen om maar een certificaat aan de muur te kunnen hangen. We geloven er echt in. En de normen brengen een middel met zich mee om de plan-do-check-act cyclus blijvend te doorlopen. Het streven naar perfectie zit in ons DNA.
Joost van der Sluis is Manager Finance & Business Control bij Dataplace
Patrick van de Pol is Chief Information Security Officer bij Eurofiber
Door redactie