Service Level Agreements (SLA’s) zijn formele overeenkomsten tussen een serviceprovider en een klant die onder andere de verwachtingen, verantwoordelijkheden en prestatieniveaus vastleggen met betrekking tot de geleverde diensten. Denk bijvoorbeeld aan een externe IT-beheerder die de IT-infrastructuur dagelijks bijhoudt voor een organisatie. Deze SLA’s fungeren als richtlijnen die de kwaliteit en beschikbaarheid van de services definiëren en bevatten meetbare doelstellingen en zijn ontworpen om de basis te leggen voor een transparante en verantwoordelijke zakelijke relatie. In dit artikel kijken we hoe cybersecurity onderdeel kan zijn binnen SLA’s
SLA’s worden vaak afgesloten wanneer organisaties afhankelijk zijn van externe dienstverleners voor belangrijke bedrijfsprocessen. Denk bijvoorbeeld aan IT-diensten, cloudopslag, of andere services. Deze overeenkomsten zijn vooral relevant wanneer de betrouwbaarheid, beschikbaarheid en prestaties van de geleverde diensten van vitaal belang zijn voor de dagelijkse bedrijfsvoering. Door SLA’s af te sluiten, kunnen organisaties een formele basis leggen voor de verwachtingen met betrekking tot de geleverde diensten, wat bijdraagt aan een gestroomlijnde samenwerking tussen de klant en de serviceprovider.
Cybersecurity als belangrijk onderdeel van SLA’s
Tegenwoordig is – gelukkig – cybersecurity een integraal onderdeel geworden van SLA’s. Het opnemen van cybersecurity in deze overeenkomsten is enorm belangrijk om de bescherming van gevoelige informatie, bedrijfsgegevens en digitale infrastructuren te waarborgen. Organisaties moeten er idealiter voor zorgen dat hun serviceproviders niet alleen voldoen aan prestatie-indicatoren, maar ook aan strikte beveiligingsstandaarden, welke worden opgelegd door de klanten zelf of door gebruik te maken van internationale standaarden zoals ISO 27001. Het implementeren van cybersecurity-gerelateerde bepalingen in SLA’s biedt een proactieve benadering om potentiële bedreigingen het hoofd te bieden en de impact van beveiligingsincidenten te minimaliseren.
De onderstaande punten dienen ter inspiratie voor het integereren van cybersecurity binnen SLA’s. Belangrijk: na het opstellen van SLA’s houdt het monitoren van uw leveranciers niet op. Dit artikel van CW Greenport gaat dieper in op het beoordelen van uw externe IT-beheerders (en kan ook gebruikt worden op andere leveranciers).
- Duidelijke definities en scope
Voordat de pen wordt gezet op een SLA, is het cruciaal om de scope nauwkeurig te definiëren. Welke systemen, processen en gegevens vallen binnen de dienstverlening? En wie is verantwoordelijk voor wat? Een helder begrip van deze onderdelen legt de basis voor een waterdichte overeenkomst en voorkomt discussies en vertraging in het geval van security incidenten; - Meetbare doelstellingen
Om prestaties objectief te evalueren, is het implementeren van meetbare doelstellingen van essentieel belang. Denk hierbij aan indicatoren zoals responstijd bij incidenten en de tijd die nodig is voor herstel na een inbreuk. Denk bijvoorbeeld aan:- De gemiddelde responstijd bij incidenten: ‘De serviceprovider moet in minder dan 2 uur reageren na ontvangst van een melding van een beveiligingsincident‘,
- Hersteltijd na een hack: ‘Binnen 24 uur na bevestiging van een hack is het volledige systeem hersteld en operationeel‘,
- Nalevingspercentage voor beveiligingsupdates: ‘100% van alle systemen in scope is binnen 7 dagen voorzien van een patch na de publicatie hiervan‘,
- Configuraties van systemen (technische baselines): ‘100% van alle systemen in scope zijn geconfigureerd op basis van CIS level 1′
- Rapportage
Stem met de serviceprovider af met welke frequentie zij rapporteren, inclusief de inhoud van de rapportages. Zo kan de serviceprovider gevraagd worden om elk kwartaal op de volgende punten te rapporteren:- Updates en algemene status: Ooerzicht van uitgebrachte updates per server, inclusief de huidige status (geïnstalleerd of niet),
- Incidenten en classificatie: registratie van het aantal incidenten met bijbehorende classificaties,
- Efficiëntie van resourcebenutting: gemiddelde gebruik van resources over alle servers,
- Beschikbaarheid per server: rapportage van de gerealiseerde beschikbaarheid op serverniveau,
- Compliance en hardening: compliance percentage gebaseerd op hardening-standaarden, inclusief een overzicht van niet toegepaste regels,
- Afhandeling van tickets: aantal tickets dat zowel binnen als buiten de overeengekomen tijd valt.
- Respons- en hersteltijd
Niet alle incidenten zijn gelijk. Door onderscheid te maken tussen kritieke en minder kritieke incidenten, kunnen organisaties gerichte respons- en hersteltijden vaststellen die passen bij de ernst van het voorval. Dit punt valt grotendeels samen met de meetbare doelstellingen hierboven en gaan voornamelijk in op de verschillende definities; - Incidentrapportage
Een gestructureerd rapportageprotocol voor beveiligingsincidenten is een noodzakelijke onderdeel binnen SLA’s. Wat moet er gerapporteerd worden? Wanneer moet dit gebeuren? Wie zijn de betrokken partijen? Een helder antwoord op deze vragen is cruciaal en maakt dat zowel de klant als serviceprovider tijdig en accuraat kunnen reageren op incidenten; - Toegangscontrole en gegevensbescherming
Richtlijnen voor toegangscontrole en gegevensbescherming moeten niet vaag zijn, maar juist heel helder en concreet. Specifieer daarom welke maatregelen worden genomen om ongeoorloofde toegang te voorkomen en gevoelige gegevens te beschermen. Denk aan maatregelen waarbij de serviceprovider maandelijks doorgeeft welke medewerkers toegang hebben tot welke systemen van de klant en het tijdig doorgeeft wanneer een medewerker de organisatie van de serviceprovider heeft verlaten. Dit artikel van CW Greenport gaat dieper in op digitale toegangscontroles; - Up-to-date beveiligingsmaatregelen
De digitale dreigingsomgeving is dynamisch, en beveiligingsmaatregelen moeten daarin mee-evolueren. Eis van serviceproviders dat ze beveiligingsmaatregelen implementeren die aansluiten bij de zogeheten industry best practices en definieer het protocol voor regelmatige updates; - Training en bewustzijn
Het is niet alleen een kwestie van technologie; het personeel moet ook een schakel zijn in de cybersecurityketen. Vereis regelmatige training en bewustmakingsprogramma’s voor het personeel van de serviceprovider.
Het is wel belangrijk dat organisaties en hun serviceproviders een SLA afstemmen waar zij allebei invulling aan kunnen geven. Om een goed beeld te krijgen van de volwassenheid van een serviceprovider, wordt vaak een security vragenlijst uitgestuurd. CW Greenport schreef daar eerder over, inclusief een template die gebruikt kan worden.