Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Beoordeling en keuze van hostingprovider op basis van security beleid

24-02-2020, 16:10 door Malle Eppie, 12 reacties
Naar aanleiding van de beveiligingsproblemen bij Yourhosting ben ik op zoek naar een andere hostingprovider. Om zeker te zijn van de juiste keuze, wil ik kunnen beoordelen of de eventuele nieuwe provider wel het juiste security beleid heeft en dat dit ook gecontroleerd is, bijvoorbeeld dmv een audit door een externe partij. Kan iemand mij hierin adviseren?
Reacties (12)
24-02-2020, 16:18 door Anoniem
Maar waar ben je dan naar opzoek, een "juist beleid" of "goede security"?
Want dat zijn nogal verschillende dingen.
Een "juist beleid" ("door anderen gecontroleerd") dat wijst alleen op een stapel papier en een hoop blabla, terwijl een
paar goede medewerkers er voor kunnen zorgen dat er goede security is. Met of zonder beleid.
24-02-2020, 17:17 door Anoniem
Door Malle Eppie: Naar aanleiding van de beveiligingsproblemen bij Yourhosting ben ik op zoek naar een andere hostingprovider. Om zeker te zijn van de juiste keuze, wil ik kunnen beoordelen of de eventuele nieuwe provider wel het juiste security beleid heeft en dat dit ook gecontroleerd is, bijvoorbeeld dmv een audit door een externe partij. Kan iemand mij hierin adviseren?

Dan komt je waarschijnlijk in een heel andere prijscategorie terecht dan je zat.

Security an sich kost misschien wat extra geld, maar de audit ervan is duur.
Je kunt zoeken naar 'iso 27001 gecertificeerd' .

Een audit is geen absolute garantie, en bedrijven zonder certificering _kunnen_ ook goed/veilig werken.
Zorgen dat je snel (en onafhankelijk van je hoster) kunt omschakelen naar een andere hoster kan ook een model zijn.
Net als het zorgen voor backups/disaster recovery die los staat van wat je hoster doet (of laat )/
24-02-2020, 17:19 door Anoniem
Door Malle Eppie: Naar aanleiding van de beveiligingsproblemen bij Yourhosting ben ik op zoek naar een andere hostingprovider. Om zeker te zijn van de juiste keuze, wil ik kunnen beoordelen of de eventuele nieuwe provider wel het juiste security beleid heeft en dat dit ook gecontroleerd is, bijvoorbeeld dmv een audit door een externe partij. Kan iemand mij hierin adviseren?
Wat verwacht je precies van een hostingprovider? Tegenwoordig kan elke site gehackt worden wanneer een hacker het erop gemunt heeft. Of wil je een deftig backup systeem zodat jouw website bewaard blijft of dat hackers je website stuk maken? Of bedoel je dataleaks van jouw site, dat betaal je zelf. Er zijn ook hosting providers die wordpress of andere services voor jou voorinstalleerd en deze up to date kan houden. Echter weet ik niet wat jij bedoeld met een security audit van een hosting bedrijf, ik denk dat security.nl zelfs ook nooit een audit gehad en dat het op jouw eigen risico is om hier een account aan te maken.
24-02-2020, 20:55 door Malle Eppie
Dank voor de reacties. Ik denk dat dit inderdaad een zoektocht gaat worden. Met beleid bedoel ik dat veiligheid altijd een onderdeel van de bedrijfsvoering moet zijn en dat er middelen zijn om dat door te voeren. De goede bedoelingen van de medewerker zijn vaak niet genoeg helaas. Zoeken naar ISO 27001 is een goed idee. Had ik ook kunnen bedenken eigenlijk.
25-02-2020, 09:04 door Anoniem
Door Anoniem: Maar waar ben je dan naar opzoek, een "juist beleid" of "goede security"?
Want dat zijn nogal verschillende dingen.
Een "juist beleid" ("door anderen gecontroleerd") dat wijst alleen op een stapel papier en een hoop blabla, terwijl een
paar goede medewerkers er voor kunnen zorgen dat er goede security is. Met of zonder beleid.
En hoe wou je precies checken of er goede medewerkers zitten?

Een goed beleid is iets waar je naar kan kijken en waar je iets van kan vinden. Als je je provider kiest op basis van dat de mensen bottom-up soms goeie dingen doet, snap je er hoegezegd geen ene conjo van.
25-02-2020, 13:09 door Anoniem
PINE was volgens mij ooit een van de oprichters van deze site... mogelijk is dat wel een interessante partij dus.

Verder zou ik kijken welke hosters op internet.nl staan, dan hebben ze de basis op orde.
26-02-2020, 07:49 door Anoniem
Door Malle Eppie: Dank voor de reacties. Ik denk dat dit inderdaad een zoektocht gaat worden. Met beleid bedoel ik dat veiligheid altijd een onderdeel van de bedrijfsvoering moet zijn en dat er middelen zijn om dat door te voeren. De goede bedoelingen van de medewerker zijn vaak niet genoeg helaas. Zoeken naar ISO 27001 is een goed idee. Had ik ook kunnen bedenken eigenlijk.

Bedenk wel dat een bedrijf op onderdelen ISO27001 gecertificeerd kan zijn. Dus alleen de melding 'ISO27001-gecertificeerd' op de website zegt nog niet wát binnen dat bedrijf dan gecertificeerd is. Het is maar de vraag of zulke info wordt gepubliceerd en/of dat u die kunt achterhalen. Vragen om het certificaat bij het bedrijf kan helpen, daar staat als het goed is ook op aangegeven (in globale termen) wat is gecertificeerd.

Los daarvan zegt een certificering inderdaad niet alles. Normaal gesproken is het wel zo dat de certificering in lijn zal zijn met de aard van de (gecertificeerde) bedrijfsactiviteiten. Dus van een bank wordt meer verwacht dan van de bakker op de hoek. Dergelijke audits zitten op zich wel goed in elkaar, maar uiteindelijk is met wat moeite iedere auditor om de tuin te leiden natuurlijk (de vraag is wel wat meer inspanning kost: de auditor om de tuin leiden of gewoon doen wat verwacht wordt bij ISO27001).

U zou ook navraag kunnen doen bij andere klanten van de potentiële nieuwe provider. Wat zijn hun ervaringen?
26-02-2020, 09:41 door Anoniem
Door Anoniem:
Door Malle Eppie: Dank voor de reacties. Ik denk dat dit inderdaad een zoektocht gaat worden. Met beleid bedoel ik dat veiligheid altijd een onderdeel van de bedrijfsvoering moet zijn en dat er middelen zijn om dat door te voeren. De goede bedoelingen van de medewerker zijn vaak niet genoeg helaas. Zoeken naar ISO 27001 is een goed idee. Had ik ook kunnen bedenken eigenlijk.

Bedenk wel dat een bedrijf op onderdelen ISO27001 gecertificeerd kan zijn. Dus alleen de melding 'ISO27001-gecertificeerd' op de website zegt nog niet wát binnen dat bedrijf dan gecertificeerd is. Het is maar de vraag of zulke info wordt gepubliceerd en/of dat u die kunt achterhalen. Vragen om het certificaat bij het bedrijf kan helpen, daar staat als het goed is ook op aangegeven (in globale termen) wat is gecertificeerd.

Los daarvan zegt een certificering inderdaad niet alles. Normaal gesproken is het wel zo dat de certificering in lijn zal zijn met de aard van de (gecertificeerde) bedrijfsactiviteiten. Dus van een bank wordt meer verwacht dan van de bakker op de hoek. Dergelijke audits zitten op zich wel goed in elkaar, maar uiteindelijk is met wat moeite iedere auditor om de tuin te leiden natuurlijk (de vraag is wel wat meer inspanning kost: de auditor om de tuin leiden of gewoon doen wat verwacht wordt bij ISO27001).

U zou ook navraag kunnen doen bij andere klanten van de potentiële nieuwe provider. Wat zijn hun ervaringen?

De scope van het ISO27001 certificaat staat OP het certificaat zelf zover ik weet kun je die ook online ergens vinden
26-02-2020, 12:43 door Anoniem
Door Malle Eppie: Naar aanleiding van de beveiligingsproblemen bij Yourhosting ben ik op zoek naar een andere hostingprovider. Om zeker te zijn van de juiste keuze, wil ik kunnen beoordelen of de eventuele nieuwe provider wel het juiste security beleid heeft en dat dit ook gecontroleerd is, bijvoorbeeld dmv een audit door een externe partij. Kan iemand mij hierin adviseren?
Misschien een vraagje... Welke beveiligingsproblemen exact?

Want je bent opzoek naar een andere hosting provider... Maar waar zoek je exact naar? En wat voor in wat voor een budget zoek je precies?
Want zelfs met ISO certificering kan het fout gaan.

Ben je niet gewoon opzoek naar een managed VPS?
26-02-2020, 17:39 door Anoniem
Door Malle Eppie: Naar aanleiding van de beveiligingsproblemen bij Yourhosting ben ik op zoek naar een andere hostingprovider. Om zeker te zijn van de juiste keuze, wil ik kunnen beoordelen of de eventuele nieuwe provider wel het juiste security beleid heeft en dat dit ook gecontroleerd is, bijvoorbeeld dmv een audit door een externe partij. Kan iemand mij hierin adviseren?

Wat is je vraag of wat wil je zeggen precies?
26-02-2020, 20:52 door Erik van Straten - Bijgewerkt: 26-02-2020, 20:59
Door Anoniem: De scope van het ISO27001 certificaat staat OP het certificaat zelf
Maar vaak nogal beknopt. Bij een ISO 27001 certificaat hoort een SoA (Statement of Applicability) oftewel Toepasselijkheidsverklaring of VVT (Verklaring van Toepasselijkheid). Daarop hoort te zijn vermeld welke van de "controls" uit de Annex van ISO27001 (met meer details uitgeschreven in ISO27002), eventueel aangevuld met eigen controls, van toepassing zijn geacht. Vaak hebben organisaties ook een uitgebreider scope-statement (separaat document), maar dat kan zakelijk-vertrouwelijke informatie bevatten (partners, toeleveranciers, specifieke klanten etc.) en krijg je daarom niet altijd.

In theorie kun je ISO 27001 gecertificeerd worden als je netjes hebt aangegeven dat je niets aan beveiliging doet. De betere auditors gaan daar niet mee akkoord, maar brievenbusfirma's mogelijk wel. Desgewenst kan ik wat meer vertellen over de voor- en nadelen van ISO27001.

Als een hoster een recent (!) ISO 27001 certificaat + SoA (met veel "van toepassing", zo mogelijk met korte uitleg hoe geïmplementeerd en/of waarom niet van toepassing), voorbeeld SLA's en een verwerkersverklaring op de plank heeft liggen (i.p.v. je schaapachtig aankijken en/of geïrriteerd reageren als je daarom vraagt), heb je al een redelijke indicatie dat zij hun zaakjes voor elkaar hebben.

Begin vorig jaar heb ik zelf naar hosting-providers gekeken en kwam bij True.nl uit (ik ben nog geen klant en heb niks met ze te maken). Zij hosten ook Tweakers en hun website maakt een professionele indruk. Ze zijn echter ongetwijfeld niet de goedkoopste. Voor het ISO27001 certificaat en VVT zie https://www.true.nl/iso-9001-en-27001-hosting/. Maar nogmaals, ik heb zelf geen ervaring met hen.

Ik ben overigens ook benieuwd naar ervaringen van anderen met deze en andere security-gecertificeerde hosters!
28-02-2020, 09:22 door Anoniem
Door Anoniem: Maar waar ben je dan naar opzoek, een "juist beleid" of "goede security"?
Want dat zijn nogal verschillende dingen.
Een "juist beleid" ("door anderen gecontroleerd") dat wijst alleen op een stapel papier en een hoop blabla, terwijl een
paar goede medewerkers er voor kunnen zorgen dat er goede security is. Met of zonder beleid.

Ik denk dat een goed beleid wel degelijk onderdeel is van een goede beveiliging, maar er is inderdaad meer nodig. Een certificering als de ISO27001 is echter maar een moment opname en is voornamelijk gericht op het beschrijven van je beveiligingsrichtlijnen en het aantoonbaar hebben hiervan (al is dit laatste niet altijd vereist). Maar er zijn ook audit frameworks beschikbaar die continue naar bewijs kunnen vragen en meer naar de uitvoering kijken. Persoonlijk ken ik hiervan de SOC2 type II rapporten van, maar er zijn er vast nog meer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.