Keurmerken, certificeringen en audits voor datacenters
Wie de websites van datacenters bekijkt, ziet dat kwaliteit en veiligheid prominente plekken hebben. Dit wordt onderstreept door nadrukkelijke vermeldingen van certificeringen en keurmerken. Doel is buitenstaanders geruststellen en misverstanden voorkomen. Datacenters krijgen het er druk mee.
Datacenters bedienen uiteenlopende klanten. Deze zijn globaal in te delen naar gebruik. Er zijn klanten die datacenterdiensten voor eigen gebruik afnemen en er zijn er die de diensten afnemen voor wederverkoop. Bijvoorbeeld een ziekenhuis huurt vierkante meters, stroom en koelingscapaciteit voor de eigen servers waarop uitsluitend eigen toepassingen draaien. Hosters daarentegen huren ruimte voor servers die zij in kleinere eenheden aan eigen klanten doorverhuren in de vorm van virtuele servers en webhosting-pakketten. Het verschil tussen deze twee groepen is groot. Er zijn echter ook overeenkomsten. Een daarvan is dat ze allebei willen weten wat ze precies afnemen. Fysieke servers kunnen bekeken en gedetailleerd worden beschreven. Bij beschikbaarheid of veiligheid is dat eerste lastig, zo niet onmogelijk. Daar moeten procesbeschrijvingen voor worden gebruikt.
Keurmerken versus certificeringen
Het beschrijven van de processen is naast complex vooral belangrijk. Aan de hand van deze beschrijvingen moet namelijk worden vastgesteld wat er wordt beloofd en hoe dat wordt waargemaakt. Om die reden zijn keurmerken en certificeringen in het leven geroepen. De begrippen worden regelmatig door elkaar gehaald, maar staan echt voor iets anders. Nixu beschrijft het verschil als volgt: “Bij een keurmerk vertelt de dienstenleverancier zelf dat wordt voldaan aan de eisen en bij een certificaat wordt dat door een derde partij verteld. Een certificaat is daarmee een sterkere aanduiding van kwaliteit.” Voor certificeringen geldt verder dat niet iedereen ze kan uitgeven of controleren. Ze zijn vaak internationaal geldig of hebben directe equivalenten in andere landen.
Het doorlopen van een certificeringstraject is een echte eye opener voor bijna iedere onderneming die dat voor de eerste keer meemaakt. De audittors weten vaak zaken boven tafel te krijgen die door de bedrijfsblindheid niet meer opvielen. Het resultaat van een succesvolle audit is dat een ondernemer gedurende een vaste periode mag communiceren dat zijn organisatie aan precies omschreven eisen voldoet. Daarbij wordt periodiek gecontroleerd of dat nog wel het geval is.
‘Frequentere audits worden de norm’
De belangrijkste certificeringen voor de datacentersector beschrijven informatiebeveiliging en het managementsysteem voor kwaliteit, respectievelijk ISO 27001 en ISO 9001. Daarnaast zijn er mogelijkheden om bijvoorbeeld de duurzaamheid te laten auditen. Verder zijn er verplichte controles voor zaken als het afwikkelen van financiële transacties. Deze worden ook vaak certificeringstrajecten genoemd.
Kanttekeningen
Wie op zoek is naar een gedegen datacenter, ziet dat de meeste locaties in Nederland claimen hieraan te voldoen. Ze zijn immers naar ISO gecertificeerd. Wie datacenters voor medische processen wil gebruiken, kijkt naar volgens NEN7510 gecertificeerde locaties.
De eerste kanttekening betreft de vraag waar prospects of klanten nu precies maar kijken. Is dat de aanwezigheid van de certificering of controleren zij ook de inhoud? Wat er precies is ge-audit, ‘de scope’, maakt daarbij het verschil. De dienstverlening van twee datacenters die allebei ISO27001 zijn gecertificeerd, kan daardoor uiteenlopen. Natuurlijk is er een aantal gelijke basisvoorwaarden, maar het draait zoals vaker om de verschillen. Dat datacenters die onderlinge verschillen onbenoemd laten, kan hen niet kwalijk worden genomen. Het zijn de afnemers van de diensten die zich vooraf moet verdiepen of de door hen gevraagde kwaliteit tot op detail niveau ook echt wordt geleverd. Het afvinken van checklists is onvoldoende. Toch lijkt dat veel voor te komen en slechts weinigen maken zich daar druk over.
De tweede kanttekening heeft alles te maken met het feit dat certificering niets anders is dan een recente momentopname. Het heeft altijd betrekking op een situatie uit het verleden. ISO27001 is in de optiek van vele deskundigen dan ook niet meer dan een need-to-have ondergrens. Om die reden nemen veeleisende klanten, zoals financials, steeds minder genoegen met dit type bewijzen. Zij kiezen voor ‘continuous auditing’ (CA). Deze term staat, zoals de naam al aangeeft, voor permanente controle en analyse. Dat heeft impact op datacenters, ook als deze zelf geen banken als klant hebben. De eigen klanten kunnen namelijk wel in het ecosysteem van banken zitten. Die krijgen dan te maken met deze vorm van kwaliteitsmetingen en zo sijpelt het alsnog door naar de datacenters. Helemaal nu door het toenemende gebruik van cloudomgevingen een steeds grotere onderlinge afhankelijkheid tussen datacenters en providers ontstaat. De ketens worden steeds complexer en breder. Publicaties van brancheorganisaties en marktpartijen, zoals CSA en CloudQuadrants, wijzen daar al langer op. Ook de Europese Commissie volgt deze beweging nauwlettend. Alles wijst erop dat een ketengerichte kijk op kwaliteit op basis van frequentere audits de ontwikkeling is die Brussel, onderzoekers en delen van de industrie voor ogen hebben.
Drukte voor datacenters
Het kunnen aantonen dat de operatie continu veilig en goed verloopt, lijkt in het voordeel van datacenters te zijn. Dat zou dus voor hen een reden zijn om CA te omarmen. Maar er is echter ook een reden daar minder enthousiast over te zijn. “Ik zie organisaties die twee keer per jaar ge-audit worden nu al auditmoe worden. Dan zijn er ook veel organisaties die naast ISO27001 bijvoorbeeld ook PCI-DSS, TIA-942, SOC, ISAE3402 of HIPPAA hebben. Audittors komen allemaal minstens een keer per jaar langs, wat al disruptive genoeg is. Dus op CA zitten zeker niet alle bedrijven te wachten”, verwoordt CEO maincubes Bedrijf van AC Nielsen Data Centers het vanuit de business. Country Operations Manager DCS Netherlands and Belgium Ben Timmer van Colt Data Center Services ziet ook een toename van het aantal audits. Volgens hem wordt het een uitdaging het gewone werkt te kunnen blijven doen. “Er komen steeds meer taken te liggen bij de datacentermanagers”, stelt Timmer. “De duizendpoot wordt een miljoenpoot.”
Terwijl een groep klanten zich niet voldoende verdiept in de bestaande certificeringsspecificaties, kiest een andere groep voor een wezenlijk andere kijk op het principe certificering. Of iedereen, ook aan klantzijde, doorheeft wat hiervan de impact is, moet een punt van aandacht zijn.
[Dit artikel is eerder gepubliceerd in het Datacenter & Cloud Dossier 2017]