Home Klantcases Security en de kansen voor de SaaS dienstverlener / Application Service Provider

    Security en de kansen voor de SaaS dienstverlener / Application Service Provider

    Fox-IT,

    Een aanbieder van software, of dit nu een Software-as-a-Service (SaaS) provider of een Application Service Provider (ASP) is,  bevindt zich in een merkwaardige positie. De software draait immers niet bij de klant maar in een datacenter. Ook de bijbehorende data die de klant genereert worden elders opgeslagen. Niettemin bestaat er een relatie tussen SaaS-dienstverlener of ASP (de bewerker van de data) en de afnemer (de data-verantwoordelijke) die een grote impact heeft op de security. Bedrijven realiseren zich dat nu terdege en verwachten dat hun leverancier zijn security op orde heeft. AFAS, de Nederlandse ontwikkelaar van SaaS ERP bedrijfssoftware, speelt hier op in met een grondige security aanpak en is daar bovendien opmerkelijk open over.

    SaaS-dienstverleners en ASP’s bieden hun afnemers veel gemak. Ze nemen de softwareontwikkeling, het beheer, de fysieke en de digitale infrastructuur voor informatiesystemen, en de security, volledig uit handen. Geen zorgen meer, dus? Niet helemaal. Want het groeiende aantal securityincidenten en veranderingen in wetgeving hebben de security behoefte bij de afnemers versterkt: zij willen zekerheid hebben dat de Software leverancier de security ook écht op orde heeft. Denk wat regelgeving betreft aan de Algemene Verordening Gegevensbescherming (AVG) en de aanstaande Europese General Data Protection Regulation (GDPR) die strenge eisen stellen aan de omgang met data – inclusief security.

    Vertrouwen

    Ook als een bedrijf gebruik maakt van een SaaS-dienst of ASP, blijft het de verantwoordelijke over de data. En moet het voldoen aan de WPB en de GDPR. Bovendien, als er iets mis gaat, is het de reputatie van het bedrijf dat op het spel staat. Wat de zaak compliceert is dat de data-verantwoordelijke zelf niet in staat is om de benodigde maatregelen te nemen, de software draait immers niet in huis en ook de data bevinden zich elders. Wil de data-verantwoordelijke zijn data- verantwoordelijkheid kunnen nemen, dan zal deze moeten borgen dat de SaaS-aanbieder zijn security-zaken voor elkaar heeft. Hij moet er absoluut op kunnen vertrouwen dat er dan aan de wetgeving voldaan kan worden.

    Anders dan gebruikelijk

    Tot nu toe hebben veel SaaS-dienstverleners en ASP’s zich gewapend tegen cyberdreigingen door voornamelijk preventieve maatregelen te nemen. De realiteit leert dat alleen preventieve maatregelen – hoewel nog steeds van groot belang – niet toereikend zijn. AFAS Software heeft dat al vroeg ingezien.

    Hans Roozen, Manager AFAS Procesbeheer: “Weten wat er wat er in je systemen en op je netwerk gebeurt is nog belangrijker dan een ‘muur’ er omheen. In zo’n muur zit altijd een deur en die kan open. We moeten ons bewust zijn van wat er kan gebeuren, de grote angst is daarvoor blind te zijn. Wie klopt er bij ons aan de digitale deur, hoe reageren we als een deur ongewenst open is of is geweest en kunnen we precies bepalen wat er is gebeurd?

    AFAS: Standaardisatie als belangrijk pilaar voor Security

    AFAS kiest op alle vlakken voor standaardisering, dus ook voor de security. Roozen: “We leveren geen maatwerksoftware, ook niet online. Security is eveneens gestandaardiseerd en werkt voor alle gebruikers hetzelfde. Het zijn de uitzonderingen – en dat is maatwerk – die risico’s opleveren. Dat willen we niet. We hebben ook één standaard SLA voor onze online SaaS-software die voor alle klanten geldt. Standaardisering vergroot de digitale veiligheid van data. Wat buiten de standaard valt biedt je niet aan en hoef je dus ook niet te beveiligen.”

    Externe Specialisten

    AFAS heeft geen unieke specialisten in dienst, niet op het gebied van security en ook niet op andere gebieden. Het bedrijf zou van een enkele specialist te afhankelijk kunnen worden en die afhankelijkheid kan weer risico’s opleveren. In plaats daarvan zoekt AFAS naar externe specialisten die het bedrijf het beste kunnen helpen. Zo ook voor security. Voor een deel van de Security aanpak werkt AFAS daarom al geruime tijd samen met Fox-IT.

    Roozen: “We doen aan security het uiterste dat in ons vermogen ligt. We hebben daarom o.a. de securityspecialisten van Fox-IT binnengehaald. Samen met hen, en met onze klanten, werken we permanent aan verbeteringen. Waar het ons om gaat is dat we steeds de verantwoordelijkheid kunnen nemen waar we verantwoordelijk voor zijn.”

    Openheid en inzage

    Status quo is dat security en openheid elkaar lijken uit te sluiten. Bij AFAS is dat niet het geval. “We geven vergaande openheid over welke securitymaatregelen we o.a. met Fox-IT hebben genomen. We vertellen wat we doen, alleen niet precies hoe. Zo geven we op onze website inzage in onze certificeringen en de resultaten van securityaudits. We geven informatie over de missers en gesignaleerde verbeterpunten. Ook wij laten soms steken vallen, maar we laten dan direct zien wat we daaraan doen.”

    Fox-IT monitort de IT-infrastructuur van AFAS voortdurend een meldt onmiddellijk als er wat wordt aangetroffen. Daarop neemt AFAS de nodige maatregelen en legt meteen vast wát er wordt gedaan, zodat later kan worden aangetoond dat er op de issues gereageerd is en welke maatregelen vervolgens zijn getroffen. De dienstverlening van Fox-IT legt het digitale verkeer voor een periode vast waardoor er extra forensische capaciteiten aanwezig zijn. Deze capaciteiten zijn – in geval van een incident – zeer nuttig bij de omgang met de huidige en toekomstige toezichthouder.

    Waar het om gaat is dat de security continu gemonitord wordt en dat daar over gerapporteerd wordt. Daar komt bij dat de zeer grote dynamiek op securitygebied een zeer flexibele instelling vraagt van de security operatie. Hier heb je externe experts bij nodig.

    SaaS ook als onderdeel van de keten

    Als SaaS leverancier moeten wij op onze beurt ook in de relatie met onze datacenter leverancier borgen dat deze in zijn datacenter alle nodige securitymaatregelen heeft genomen. Dat borg je in contracten maar die zijn niet waterdicht, je moet er ook op kunnen vertrouwen, maar garanderen kunnen we het niet. Ook daar zijn we open over.”

    Hoe win je het vertrouwen?

    AFAS heeft weliswaar de nodige certificeringen op securitygebied, maar voor het bedrijf is openheid van zaken geven de manier om het vertrouwen van de klant te winnen. “Mijn ervaring is dat dankzij onze openheid klanten dat vertrouwen in ons ook echt hebben”, zegt Roozen. “Bij AFAS vinden we het normaal om onze gebruikers te melden wat er precies is gebeurd, los van eventuele wettelijke verplichtingen om dat te doen. En, als we de klant melden wat er is gebeurd, staan we hem ook volledig bij mocht dat nodig zijn om securityissues te verhelpen. Dat wordt ook van ons verwacht.”

    Roozen: “Ik denk dat na de banksector de SaaS-sector security het meest serieus neemt. Alle klanten vragen nu om security. Met hulp van externe partijen zoals Fox-IT hebben we de dienstverlening voortdurend verbeterd. Op basis van wat we vertellen over hoe we de security hebben geregeld, geeft 99% ons direct het vertrouwen. De resterende 1% doet aanvullend onderzoek of laat een audit uitvoeren. Vervolgens gaan ook die klanten allemaal akkoord.”