Categorie: Assurance

Foto van onderen gemaakt van wolkenkrabbers

Cloud diensten en ISAE 3402 | SOC 1

Cloud diensten en ISAE 3402 | SOC 1

Binnen de IT outsourcing en Cloud services is de de vraag naar ISAE 3402 sterk toegenomen. n het ISAE 3402-register is een indrukwekkende lijst met SaaS en hosting-providers opgenomen die ISAE 3402 gecertificeerd zijn. Wat is de reden voor deze toegenomen vraag in de IT sector en specifieker in de Cloud Services Industry; SaaS, IaaS, PaaS en datacenter services? ISO 27001 is een belangrijke internationale certificeringsstandaard voor informatiebeveiliging. Waarom is dan toch de vraag naar ISAE 3402-certificering toegenomen in de IT sector? Een belangrijke reden is dat steeds meer cruciale systemen van organisaties vanuit de Cloud worden aangeboden. Waarom is ISAE 3402 dan vervolgens zo belangrijk en waarom is ISO 27001 dan niet toereikend? Het antwoord hierop begint in de financiële sector.

Financial instellingen

Financiële instellingen zijn vanuit wet- en regelgeving, zoals de PensioenWet of de Wft verplicht om risico’s ten aanzien van outsourcing aantoonbaar te beheersen. Een ISO 27001 certificering wordt door zowel de Nederlandse Bank als de AFM niet als afdoende waarborg beschouwd. De Nederlandse Bank ziet ISAE 3402 wel als voldoende waarborg en eist een dergelijke rapportage zelfs in wet- en regelgeving.

Auditors en corporates

Naast financiële instellingen spelen accountants een belangrijke rol. Organisaties die controleplichtig zijn maken steeds meer gebruik van Cloud diensten. Hierdoor moeten accountants de processen op systemen in Cloud meenemen in de jaarrekeningcontrole. Accountants ‘steunen’ voor deze controles vaak op ISAE 3402 assurance rapportages van een gespecialiseerde service auditors. Daarnaast is het normenkader van belang.

Normenkader ISAE 3402 en ISO 27001

In tegenstelling tot ISO 27001 kent ISAE 3402 een normenkader; de jaarrekening of specifieker; alle processen die van belang zijn voor de interne organisatie van de user organisatie en dan specifiek gericht op de jaarrekening. Dus, alle processen die leiden tot een financiële verwerking in de jaarrekening. Bij veel organisatie wordt data van operationele processen opgeslagen in de Cloud of operationele processen worden geoutsourced naar een SaaS-provider of ondergebracht bij een hosting partij. Ook deze operationele processen hebben vrijwel altijd direct- of indirect invloed op de jaarrekening. Zoals boven aangegeven zullen deze processen voor accountants van belang zijn bij de uitvoering van de jaarrekeningcontrole.

Een accountant kan geen waarde ontlenen van een ISO 27001 certificering. Een ISAE 3402 certificering is in een dergelijke geval wel herkenbaar voor een externe accountant en is tevens (vaktechnisch) bruikbaar voor de jaarrekening controle van de user organisatie ISAE 3402 kent in tegenstelling tot ISO 27001 geen gedetailleerde normen voor informatiebeveiliging. In de praktijk wordt hier meestal het CobiT 5 framework gebruikt omdat dit normenkader toereikend is voor om de informatiebeveiliging voor jaarrekening te waarborgen. en ISAE 3402 rapportage heeft om deze redenen vaak meer toegevoegde waarde voor zowel gebruikersorganisaties als hun accountants; immers naast security onderdelen van ISO 27001 zijn tevens alle processen die effect hebben op de jaarrekening opgenomen.

Cloud Security

Een belangrijke vraag voor de toekomst is, hoe er omgegaan gaat worden met Cloud Security. In veel gevallen is niet duidelijk waar in de Cloud informatie is opgeslagen en of de landen waar deze data is opgeslagen ook voldoen aan bijvoorbeeld de General Data Protection Regulation (GDPR). In hoeverre heeft een Cloud Service Provider processen voldoende op orde, welke security richtlijnen worden gebruikt en hoe worden operationele IT risico’s beheerst?

In de VS wordt vanuit de overheid als eis gesteld dat alle partijen die Cloud diensten verlenen aan de overheid dienen te voldoen aan de FedRAMP-richtlijnen. Dergelijke eisen zijn nog niet geformuleerd voor private partijen, ook niet vanuit de Amerikaanse Sarbanes Oxley (SOx404-vereisten). Primair geldt dat in het geval van uitbesteding door beursgenoteerde organisaties, dat voldaan moet worden aan de SSAE18-eisen. Deze zijn grotendeels overeenkomstig met de ISAE 3402-vereisten. ok in dit geval biedt de ISAE 3402-certificering een mogelijkheid. Indien namelijk voldaan wordt aan SSAE18, dan kan met een vrij beperkte inspanning tevens conform de SSAE18-eisen gecertificeerd worden.

Op basis van bovenstaand kan geconcludeerd worden dat ISAE 3402 voor meerdere doelen inzetbaar is, zowel om aan te tonen aan een opdrachtgever dat de uitbestede processen ‘ goed’ beheerst worden, daarnaast is een ISAE 3402 ook bruikbaar voor de externe accountant.

Lees meer over Securance en ISAE 3402.

Hoe kies je de juiste SOC 2 principes?

Hoe kies je de juiste SOC 2 principes?

Vaak vraagt men zich af wie er verantwoordelijk is voor het bepalen en selecteren van de principes die worden meegenomen in een SOC 2 onderzoek. Het antwoord op deze vraag is niet altijd wat een serviceorganisatie wil horen. Net zoals bij een SOC 1 krijgt het management altijd de taak om de Trust Services Principles (TSP) te kiezen. Dat komt vaak neer op welke principes passen bij jouw zaak, services en klanten. Helaas bestaat er niet een lijst met regels die in acht moeten worden genomen als deze principes worden gekozen. Hieronder zie je een omschrijving van deze zogenaamde TSP’s:

  • Informatiebeveiliging. Het systeem is beschermd tegen ongeautoriseerd(e) toegang, gebruik of veranderingen in de afspraken of systeemvereisten van het bedrijf.
  • Beschikbaarheid. Het systeem kan gebruikt worden op de afgesproken manier en voldoet aan de systeemvereisten.
  • Integriteit van processen. Het systeemproces is compleet, geldig, accuraat, tijdsgebonden en gemachtigd.
  • Betrouwbaarheid. Informatie die is gemarkeerd als betrouwbaar wordt beschermd en voldoet aan de vereisten van de entiteit.
  • Privacy. Persoonlijke informatie wordt verzameld, bewaard, openbaargemaakt en verwijderd om aan de verplichtingen van de entiteit en systeemvereisten te voldoen.

De scope

Voordat je besluit wat de principes zijn, moet je eerst vaststellen wat de scope van het onderzoek zal. Dit doet men door het identificeren van de verschillende onderdelen die binnen de scope vallen, inclusief derde partijen die dezelfde diensten aanbieden. Dit is een belangrijke stap gezien de organisaties zelf vaak een smallere visie hebben op hun diensten en wat meegenomen moet worden in een SOC 2 systeem. Bovendien moeten organisatie bijzonder voorzichtig hun infrastructuur, software, medewerkers, procedures en data in acht nemen als ze de outline bepalen van een SOC 2 onderzoek. Elke van deze afzonderlijke componenten wordt verder omschreven in SOC 2 literatuur.

Informatiebeveiliging

Nadat het vaststellen van de scope is de volgende stap om te bepalen welke principes van toepassing zijn op het systeem van de serviceorganisatie. Neem bijvoorbeeld het Veiligheidsprincipe. Dit moet worden opgenomen in alle SOC 2 onderzoeken omdat het criteria bevat die betrekkingen hebben op alle andere principes. Deze gemeenschappelijke criteria hebben onder andere betrekking op het waarborgen van de veiligheid van een systeem. Dit gaat over het opmerken en voorkomen van een wijziging, of vernietiging of openbaarmaking van informatie.

Als een klant een redelijke zekerheid wil over de veiligheid van hun data, dan zijn ze waarschijnlijk het meeste geïnteresseerd in het Veiligheidsprincipe. Dit principe is zo breed dat het voor de klant soms kan volstaan om alleen dit principe te onderzoeken om ze een zeker gevoel te geven over de veiligheid van hun data.

Beschikbaarheid

Het tweede meest gekozen principe voor een SOC 2 onderzoek is Beschikbaarheid. Aangezien de meeste serviceorganisaties een uitbestede dienst verstrekken aan hun klant, ligt de beschikbaarheid hiervan vaak contractueel vast doormiddel van zogenaamde Service level Agreements (SLA’s). Hierom is het principe Beschikbaarheid een zeer interessante om mee te nemen in een SOC 2 onderzoek.

Processen

Als de serviceorganisatie transacties voor zijn klanten verstrekt, is een derde interessant principe de Processen. Dit principe draagt bij aan het gevoel van veiligheid dat de gegevens op een complete, geldige, accurate en geautoriseerde manier worden verwerkt. Naast het Veiligheidsprincipe, het Beschikbaarheidsprincipe en de Processen zijn er nog twee principes die meegenomen kunnen worden in een SOC 2 onderzoek.

Betrouwbaarheid en privacy

De laatste twee principes zijn Betrouwbaarheid en Privacy. Regelmatig wordt er over beide gesproken in dezelfde context alhoewel de principes wel degelijk anders van aarde zijn. Daar bovenop zijn diverse organisaties van mening dat deze twee principes van groot belang zijn voor het SOC 2 onderzoek. De principes lijken op elkaar omdat ze beiden betrekking hebben op de informatie die ‘in’ het systeem zit. Het verschil is dat het privacyprincipe alleen betrekking heeft op persoonlijke informatie. Echter kan de term ‘vertrouwelijke informatie’ verschillende betekenissen bij verschillende bedrijven hebben. Neemt de serviceorganisatie vertrouwelijke informatie waar en zijn specifieke afspraken gemaakt over de beveiliging van deze data?

Dan is het betrouwbaarheidsprincipe interessant. Binnen de context van een SOC 2 onderzoek heeft Privacy betrekking op de beveiliging van persoonlijke informatie. Als een serviceorganisatie een verantwoordelijkheid heeft over het bewaren van de ‘levenscyclus’ van persoonlijke informatie, (ook wel PII, Personally identifiable information genoemd) dan is dit principe interessant om mee te nemen in het onderzoek. Met de levenscyclus wordt het verzamelen, gebruiken, verstrekken, bewaren en vernietigen van persoonlijke informatie bedoelt.

Al met al is het kiezen van de goede principes een belangrijk proces. Dit begint met goed op de hoogte zijn over welke principes men het best kan toepassen in een bepaalde situatie. Hiervoor is een goede kennis van de organisatie vereist. Vervolgens is de kennis en ervaring van een ervaren SOC 2 bedrijf van onschatbare waarde. Een gerenommeerde onderneming begeleidt een organisatie bij het kiezen van de juiste principes voor het SOC 2 onderzoek.

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

Onder de ISAE 3402, ISAE 3000 en ISO 27001 ontstaat vaak veel verwarring. Welke standaard is het beste vragen veel klanten? En wat zijn de voordelen? Dit verschilt per organisatie en in dit artikel worden de standaarden uitgelegd en voordelen beschreven.

ISAE 3402

De ISAE 3402 standaard is een term voor de rapportage standaarden voor initiële controles voor financiële rapportagedoelstellingen. Dit betekent dat deze standaard de effectiviteit van de systemen controleert om zo ondersteuning van de veiligheid en integriteit van de onderliggende gegevens te zijn. ISAE 3402 is geschikt voor diensten met bedrijfsprocesdoelstellingen die verder gaan dan alleen de kernfocus op technologie en beveiliging.

Voordelen:

  • Internationaal erkend
  • Verbetering risico management
  • Minder audits door accountants
  • ‘In control’ uitstraling naar klanten
  • Ondersteunt bij professionalisering

ISAE 3000

De ISAE 3000 standaard is het raamwerk voor het beheren van en rapporteren over nieuwe technologische risico’s en daarbij ook de controlepraktijken. Dit heeft betrekking op de beveiliging van een organisatie, vertrouwelijkheid van de organisatie, verwerking integriteit en privacy van de klanten. De ISAE 3000 norm probeert het beste van twee werelden te combineren Het is een combinatie van de verhoogde zekerheid van operationele effectiviteit van de ISAE normen en de verfijnde focus op cyberbeveiliging met als voorbeeld de ISO 27001 standaard.

Voordelen:

  • Internationaal erkend
  • Gedegen standaard voor informatiebeveiliging
  • Erkend door accountants
  • Ondersteunt de organisatie bij professionalisering

ISO 27001

Het ontwerpen en implementeren van een ISMS (Information Security Management System) is vastgesteld in de ISO 27001 norm. ISO 27001 kan gebruikt worden om de informatiebeveiliging in te richten. In 2017 is de laatste ISO 27001 norm gepubliceerd. Deze norm is gebaseerd op de HLS structuur. (Zie hier het artikel over HLS structuur)

ISO 27001 wordt wereldwijd erkend en ondersteund als een van de beste normen voor informatiebeveiliging. Het is de feitelijke ‘best practice’-benadering voor het beheren van informatiebeveiliging in een organisatie.

Implementatie van ISO 9001

Implementatie van ISO 9001

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. De ISO 9001 standaard is gericht op twee belangrijke aspecten: voldoen aan de vereisten van klanten en het verhogen van klanttevredenheid. Hiervoor zijn binnen de ISO 9001 standaard een aantal specifieke aspecten benoemd die zijn uitgewerkt in vereisten.

Fase 1

Een ISO 9001 implementatie start in de eerste fase met het bepalen van het toepassingsgebied. Deze reikwijdte omvat het kwaliteitsmanagementsysteem gericht op het voldoen aan de vereisten van klanten en het verbeteren van de klanttevredenheid.

Deliverable: scope ISO 9001

Fase 2

In de tweede fase dient de organisatie een algemeen kwaliteitsmanagementbeleid op te stellen. In het algemene deel staat minimaal beschreven wat de kenmerken van de organisatie zijn, wat de kenmerken van de dienstverlening en/of producten van de organisatie zijn en de inputs en de verwachte outputs alsmede benodigde middelen voor processen – verantwoordelijkheden en bevoegdheden.

Ten aanzien van het beleid is opgenomen:

  1. Een beschrijving van het risicoraamwerk Hierbij kan gekozen worden uit verschillende risicoraamwerken zoals COSO 2013 of ISO 31000. Het risicoraamwerk dient beschreven te worden vanuit de beheersing van kwaliteit.
  2. Hoe omgegaan wordt met eventuele wet- en regelgeving, eisen en richtlijnen die vanuit de organisatie zelf worden gesteld aan kwaliteit.
  3. Het beleid dient aantoonbaar aan te sluiten met het huidige risk management raamwerk dat is ingericht (aansluiting met COSO 2013). Tevens dient hierbij opgenomen te worden hoe de organisatie omgaat met de implementatie en beheersing van het kwaliteitsbeheerssysteem en de methodes en beheersing nodig om vast te stellen dat procedures doeltreffend worden uitgevoerd.
  4. Welke processen bepaald zijn voor evaluatie en verbetering van het kwaliteitsmanagementsysteem.
  5. Directie of management van de organisatie dient het beleid goed te keuren.

Deliverable: beleidsdocument

Fase 3

In Fase drie wordt een risico analyse op het gebied van kwaliteitsmanagement uitgevoerd. Naar aanleiding van de in Fase drie geconstateerde risico’s worden de processen en procedures beschreven. Hierop volgend worden de procedures en processen geïmplementeerd in de organisatie en afsluitend wordt het kwaliteitsmanagement handboek opgesteld en beschikbaar gesteld aan alle werknemers van de organisatie.

Deliverable: Risicoanalyse & kwaliteitsmanagement handboek

Fase 4

Na de beschrijving van het handboek wordt er in de vierde fase een pre-audit of walkthrough uitgevoerd waarbij alle beheersmaatregelen en ISO 9001 procedures getest worden en mogelijke probleemgebieden geïdentificeerd worden voor de uiteindelijke audit.

Fase 5

In de vijfde fase worden naar aanleiding van de pre-audit verbeteringen in beheersmaatregelen en het kwaliteitsmanagementsysteem doorgevoerd en worden oplossingen gerealiseerd voor de geïdentificeerde probleemgebieden.

Fase 6

In de zesde en laatste fase wordt de ISO 9001 audit verricht door een certificerende instelling en het ISO 9001 certificaat verkregen.