ISO 27001 stempel op SCC Direct Solutions
31-05-2014

ISO 27001 stempel op SCC Direct Solutions


Vanuit de filosofie van SCC Services dat zij ‘de kracht van diversiteit koesteren’ en hiermee zoveel mogelijk tegemoet willen komen aan de wensen en eisen die een gebruiker vandaag de dag stelt, dwingt je als organisatie om een aantal zaken hard af te kaderen en te borgen. "Want vrijheid van werken, wanneer en waar je maar wilt en op welk device je maar wilt, is een mooi paradigma maar vraagt veel van de hedendaagse ICT specialisten. SCC Services heeft een aantal van haar (cloud)diensten (Direct Solutions) nu volgens de ISO270001 normering gecertificeerd. Een huzarenstukje!", zegt Johan-Willem Hesseling Manager Solution & Engineering Services bij SCC Services.

De ISO normering voor beveiliging en beheersing van risico’s bestaat uit ISO 27001 voor het informatiebeveiligingbeleid en ISO27002 voor de beheersmaatregelenset ‘best practices’. Deze moeten altijd vertaald worden naar de specifieke situatie van de betreffende organisatie en diensten. “ISO 27001 is vrij te interpreteren binnen vastgestelde kaders”, zo vindt Johan-Willem Hesseling. “Het komt vaak voor dat managed service providers (msp’s) beweren dat ze volledig ISO 27001 gecertificeerd zijn, maar als je doorvraagt is dat vaak alleen op een aantal onderdelen zoals organisatie, processen of het datacenter. Onze SCC Direct Solutions zijn als geheel ISO27001 gecertificeerd. Hierdoor zijn onze klanten, zoals ziekenhuizen en overheden, altijd verzekerd van een veilige service waarop een kwaliteitsmerk staat en dat als integraal onderdeel opgenomen kan worden binnen hun eigen informatiebeschermings- en beveiligingssysteem.”

Een voordeel van ISO 27001 is dat organisaties zelf hun scope mogen kiezen voor een security beleid, zo vervolgt Hesseling. “Vaak is die scope, waarbij je kan aangeven hoe ver de invloed van ISO 27001 zich tot diensten uitstrekt, beperkt. Je hebt bijvoorbeeld veel datacenters die ISO 27001 gecertificeerd zijn, maar niet de diensten, processen of mensen. SCC heeft zijn SCC Direct Solutions allemaal ISO 27001 laten certificeren. Dat geldt bijvoorbeeld voor nieuwe beheercontrole die aan specifieke eisen voor een beveiligingsbeleid moet voldoen. Diensten die bij SCC worden uitbesteed hebben altijd een audit ondergaan. SCC Direct ontzorgt de hele security op geordende manier met kwaliteitsmanagement (ISO 9001) er om heen. De diensten worden geleverd en beheert met behulp van geïntegreerde standaarden, ISO 9000, ISO 20000 en ISO 27001, waarin bijvoorbeeld staat voorgeschreven hoe we incident management uitvoeren. SCC Services kan daardoor diensten aantoonbaar gecontroleerd leveren.”

SCC biedt met Direct Solutions een breed scala van ICT-oplossingen op maat, die zorgen voor een kosteneffectieve en efficiënte ICT-infrastructuur, aldus Hesseling. “Het gaat hierbij om WerkplekDirect, BackupDirect, HardwareDirect, PrintDirect, ServerDirect en SoftwareDirect. Deze diensten zijn allemaal ISO 27001 gecertificeerd. Met de ISO 27001 gecertificeerde Direct Solutions krijgen klanten een waarborgmerk op dienstenniveau, te vergelijken met het KEMA-keur, dat een keurmerk is voor de veiligheid van elektrische apparaten. Deze certificering ontzorgt onder andere klanten in financiële instellingen, overheid en gezondheidszorg, die dienen te voldoen aan wet en regelgeving zoals Basel III, SOX of NEN7510. Beslissers uit deze branches vragen altijd naar certificaten voor SCC Direct Solutions. Organisaties sourcen ICT uit naar SCC omdat we onze diensten ISO 27001 gecertificeerd hebben. De dienstverlening is volledig transparant naar onze klanten. We bieden ze het SCC Customer portal met bijvoorbeeld een overzicht van de status van hun infrastructuur aan, zodat ze een volledig inzicht hebben.”

Risico’s
Door de richtlijn van ISO 27001 te volgen begint SCC Services altijd eerst met een risicoanalyse van algemene bedreigingen en de Direct diensten, bijvoorbeeld met de SoftwareDirect dienst voor het versturen van mail. Op basis van deze analyse weten we hoe de maatregelen uit de ISO27002 moeten worden geïmplementeerd per Direct dienst. Hesseling: “We verzekeren onze klanten daarmee bijvoorbeeld, dat we voor continuïteit van onze diensten zorgen. Zo zorgen we dat een Microsoft Exchange omgeving altijd blijft functioneren als een datacenter uitvalt. Dat kunnen we garanderen doordat we gebruik maken van twee datacenters; als er één uitvalt door een calamiteit, dan wordt deze dienst geleverd vanuit het andere datacenter.”

Healthcheck
De ISO 27001 gecertificeerde WerkplekDirect diensten sluiten aan bij de behoeften van onze klanten omdat we vooraf een healthcheck uitvoeren en dus deze behoeften goed in kaart hebben gebracht aldus Hesseling. “Dat komt omdat klanten steeds meer vragen naar databescherming en gebruik van de data, functionaliteit. Hoe moet er bijvoorbeeld worden om gegaan met gebruikersdata? Is het voldoende beschermd? We bieden onze klanten een ‘ICT healthcheck’, waarbij we altijd hun security- en continuïteitsvraagstukken kunnen adresseren en oplossen bijvoorbeeld met patch management. Hierdoor hebben klanten van SCC Services altijd beveiligde data en software die up-to-date is. Het gaat hierbij niet alleen om het leveren en beheren van notebooks, maar om de garantie van veilige virtuele desktopdiensten waarvoor organisaties een maandbedrag betalen. SCC WerkplekDirect biedt encryptie voor het veilig opslaan, versturen of synchroniseren van data, zodat indringers de data niet kunnen lezen. Tevens worden deze devices bij het innemen volledig gewiped. We bieden verder software asset management (sam), waardoor we precies zien welke applicaties en licenties in gebruik zijn, maar ook up-to-date o.a. security patches.”

Disaster Recovery
Data is cruciaal voor het voortbestaan en succes van een organisatie. “Daarom biedt SCC Direct zijn klanten een BackupDirect dienst voor het veilig stellen van data. We maken daarbij gebruik van onder andere CommVault Simpana backupsoftware. Een mooie aanvulling hierop is dat de gebruiker zelf zijn verloren bestanden kan terugzetten, bijvoorbeeld vanuit zijn iPad. Daarnaast leveren we disaster recovery diensten die voldoen aan de ISO 27001 en ISO 22301 (Business Continuity Management) eisen, vervolgt Hesseling. “Klanten hebben high availability omgevingen, maar dat is nog niet gelijk aan een disaster recovery oplossing, waardoor de continuïteit van het bedrijfsproces moet worden gegarandeerd. Als een database uitvalt, moet je uitwijken naar een andere locatie die dezelfde data heeft. We hebben consultants die onze klanten helpen bij het opzetten van een disaster recovery beleid inclusief uitgeschreven instructies en communicatieschema’s.”

Equinix en Eurofiber
SCC Services biedt dankzij het toepassen van ISO 27001 gecertificeerde managed diensten die altijd beschikbaar zijn, besluit Hesseling. “SCC Services heeft veel geïnvesteerd in dubbele datacenters, waarbij we gebruikmaken van Equinix en Eurofiber datacenter die met een glasvezelnetwerk met elkaar zijn verbonden en geografisch vergenoeg uit elkaar liggen om te kunnen dienen als disaster recovery faciliteit. Het platform van de SCC Direct Solutions is gebaseerd op HP en IBM technologieën en flexibele capaciteit. SCC Services is onder andere gecertificeerd IBM Managed Services Partner en HP CloudAgile Partner. Bij IBM maken we gebruik via het moderne datacenter van SoftLayer.”

Door: Witold Kepinski


 

Terug naar nieuws overzicht