Omgaan met het ICT risico Kenniskring ICT risico

Omgaan met het ICT risico Kenniskring ICT risico

Omgaan met het ICT risico

1

Omgaan met het ICT risico Kenniskring ICT risico

Lectoraat ICT governance, Fontys Hogeschool ICT,

27 september 2009.

Deze uitgave is het derde boekje in reeks van publicaties van het Fontys lectoraat ICT governance. Het copyright van deze reeks berust bij het lectoraat ICT governance van Fontys Hogeschool ICT. Elke publicatie is het product van het werk van een kenniskring van het lectoraat. Voor deze kenniskring wordt onderzoek gedaan door de leden van het lectoraat en door studenten van de Fontys Hogeschool ICT. De publicaties worden eenmalig in boekvorm uitgegeven. Als de boekjes op zijn, is de publicatie tegen betaling te bestellen als paperback op www.lulu.com en kan men de publicaties downloaden vanaf www.ict-management.com.

2

Omgaan met het ICT risco

De acht publicaties handelen over de volgende onderwerpen: 1.

De menukaart van ICT: de catalogus

Managen van de verwachtingswaarde en zorgen voor standaards.

Product van de kenniskring producten en diensten, verschenen in december 2008.

2.

De organisatie van ICT

Verhogen van de kwaliteit van ICT door gebruik van methoden als BiSL, ITIL en ASL.

Product van de kenniskring methoden, prognose maart 2010.

3.


Product van de kenniskring ICT risico, verschenen in december 2009.

4.

Het groene rekencentrum van morgen

Product van de kenniskring duurzaamheid bij rekencentra, verschenen juni 2009.

5.

Portfoliomanagement ter ondersteuning van IT governance

Product van de kenniskring portfolio management, prognose juni 2010.

6.

Architectuur bij de vormgeving van ICT

Product van de kenniskring architectuur, prognose december 2010.

7.

Eerst transparant, dan gealigned!

Product van de kenniskring standaardisatie en consolidatie, verschijningsdatum nog onbekend.

8.

Sturing van ICT in organisaties, ketens en communities

Product van de kenniskring poortwachter, verschijningsdatum nog onbekend

De kenniskring ICT risico bestaat uit:

Theo Thiadens Guido Coenders Sander van Laar Jacqueline van den Broek Rien Hamers

lector ICT management Fontys Simac Fontys Fontys Fontys

Het praktisch deel van het onderzoek wordt uitgevoerd door studenten van Fontys hogeschool ICT, te weten: Derksen, R.H.P.; Huyzen, T.A.; Koningstein, H.B.; Martens, N.; Mollen, P.P.J.J.; Nouwens, S.; Ouden, K.J.P.H. den; Verbeeten, J.P.; Vissering, R.; Vos, E.H.W.; Wilbrink, M.J.G..


3

Samenvatting. In dit onderzoek wordt eerst de theorie op het terrein van risicomanagement bij inzet van ICT op een rij gezet. Hierbij komt naar voren, dat de diverse benaderingen van risico management bij inzet van ICT verschillen. Dit verschil kan eruit voorkomen, dat de benadering van risico een andere is. Het kan ook zijn, dat de benadering zich vooral richt op het verminderen van risico in een bepaald deel van de organisatie. Vervolgens wordt de benadering gekozen, die bij het empirisch onderzoek is gehanteerd. De keuze is hierbij gevallen op de benadering van risico bij inzet van ICT van Westerman c.s.. De keuze is hiervoor gemaakt, omdat uit onderzoek blijkt, dat directies van organisaties stellen, dat het te lopen en gelopen risico niet voldoende wordt meegenomen in hun besluitvorming dat er een gebrek aan afstemming is tussen de bedrijfsstrategie en het risico, en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Accenture Global Survey 2009, Westerman (2007)). De gekozen benadering richt zich op het management van organisaties. Aan de gebruikerskant gaat deze benadering methodisch na, hoe de leiding de diverse aspecten van het risico bij inzet van ICT waardeert. Het betreft de aspecten beschikbaarheid van ICT, bescherming van de gegevens, nauwkeurigheid en betrouwbaarheid van de gegevens en wendbaarheid van de ICT. Aan de ICT kant wordt geïnventariseerd, wat inhoudt welke maatregelen organisaties hebben genomen om de kans dat een bepaald risico optreedt zo klein mogelijk te maken. Als risico wordt door Westerman c.s. (2007) gedefinieerd: “de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden.”

Uit het empirisch deel van dit onderzoek komt bij de managers aan gebruikerskant naar voren, dat anno 2009 beschikbaarheid van ICT door hen niet als probleem gezien wordt. Het omgaan met de bescherming van gegevens is vaak een groter punt van zorg. Niet immer zijn profielen ingericht, als men medewerkers toegang geeft tot ICT voorzieningen. Ook laat de logging van werkzaamheden door medewerkers op de ICT voorzieningen in het algemeen te wensen over. Op het terrein van de kwaliteit van de gegevens lijkt er voorts bij een aantal van de onderzochte organisaties qua kwaliteit van management informatie nog het nodige te winnen.

4


Wat betreft agility wordt duidelijk, dat een manager nieuwe ICT pas invoert, als deze ICT goed functioneert. De plaatsvervangend directeur van Fontys Hogeschool voor ICT merkt voorts op, dat iedere organisatie een ander accent kan leggen wat betreft omgaan met het risico, dat men loopt bij inzet van ICT. Fontys eist als hogeschool in eerste instantie beschikbaarheid van haar ICT, maar ziet ook dat een betere kwaliteit van gegevens haar werk ten goed zou komen. Op de wensenlijst van de meeste organisaties heeft duidelijk de wens naar een grotere wendbaarheid van ICT prioriteit.

De leidinggevenden van de ICT werden vervolgens ondervraagd over de maatregelen, die hun organisatie neemt om de risico’s bij inzet van ICT te verkleinen. Hierbij werd duidelijk, dat de onderzochte organisaties in hoge mate streven naar werken onder architectuur en dat hierbij in sterke mate wordt gestandaardiseerd. Helder werd voorts, dat exploitatie van ICT vaak als een facilitaire dienst wordt gezien. Deze dienst wordt beter gewaardeerd dan het leveren van ontwikkelings- en onderhoudsdiensten. Begrip kweken bij de klant voor deze laatste diensten lijkt niet zonder uitdaging. Het hebben van een aparte organisatie voor risicomanagement, welke rapporteert aan de hoogste leiding van een organisatie, werd alleen bij de verzekeraar aangetroffen. Bewustzijn van de bij inzet van ICT gelopen risico’s lijkt bij alle onderzochte organisaties, waar nodig, aanwezig. De slotconclusie van het onderzoek luidt, dat, naarmate ICT belangrijker wordt, de aandacht van de klanten van ICT steeds meer wordt gericht op wendbaarheid van de inzet van ICT. De organisaties nemen maatregelen als grotere standaardisatie van ICT en werken onder architectuur. Zij staan aan het begin wat betreft inrichten van een aparte organisatie voor risicomanagement, die rapporteert aan de hoogste leiding van een organisatie. En zij moeten vaak extra inspanningen leveren om awareness van het risico, dat inzet van ICT met zich meebrengt, levend te houden.


5

Inhoudsopgave. 1.

Risico bij ICT..

2.

De theorie en voorbeelden van toepassing van de theorie.

11

2.1.

Een overzicht van de theorie.

11

De zes benaderingen van risico.

13

2.2.

9

2.2.1. Vooral bescherming (Thiadens(2008), Overbeek c.s.(2008))

13

2.2.2. Inrichten van de organisatie en risico (Starreveld c.s. (2002))

16

2.2.3. Organiseren van het verminderen van risico in een ontwikkelen beheerorganisatie (Meijer, 2007)

18

2.2.4. Omgaan met risico in de exploitatie van ICT (de Wijs, 1995)

20

2.2.5. Omgaan met risico bij projecten (Applegate c.s. (2009))

21

2.2.6. Een totaalaanpak: ICT risico vanuit de gebruiker en de maatregelen

2.3.

binnen en buiten de ICT afdeling (Westerman c.s., 2007)

23

2.2.7. De keuze van de methode, die gekozen is als basis van het praktijkonderzoek .

25

Enige voorbeelden van toepassing van de theorie.

6

25

2.3.1. Standaardisatie met een service catalogus.

26

2.3.2. Rapportage van geleverde ICT diensten.

28

2.3.3. Contracten met externe leveranciers.

29

2.3.4. Architecturen en continuïteitsplannen.

30


3.

Onderzoek van de praktijk op basis van de theorie van Westerman c.s.

33

3.1.

Het onderzoek.

33

Omgaan met het risico van ICT.

33

3.2.1. Beschikbaarheid van ICT.

33

3.2.

3.3.

3.2.2. Bescherming van ICT.

35

3.2.3. Nauwkeurigheid, tijdigheid en betrouwbaarheid van gegevens.

36

3.2.4. Wendbaarheid van de inzet van ICT.

38

Typen van maatregelen.

39

3.3.1. Maatregelen op het terrein van ICT.

39

3.3.2. Organiseren om risico te beperken.

42

3.3.3. Awareness voor te lopen risico’s.

44

Conclusies.

47

Bijlagen

51

Bijlage 1: Organisaties, die meewerkten aan het onderzoek. Bijlage 2: Interviewvragen.

51 52

Geraadpleegde literatuur.

61

4.


7

8


1. Risico bij ICT De global risk management survey van 2009 van Accenture geeft aan dat 85% van de directies van bedrijven denken dat hun organisatie zijn aanpak om met risico om te gaan moet heroverwegen. Deze leden van de directie stellen dat het te lopen en gelopen risico niet voldoende wordt meegenomen in de besluitvorming; dat er een gebrek is aan afstemming tussen de bedrijfsstrategie en het risico, dat realisatie hiervan met zich meebrengt en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Daily stat, Harvard Business Publishing, 16 juli 2009). Denken over risico is in. En zeker over het risico dat organisaties lopen bij hun inzet van ICT. Anno 2009 is inzet van ICT in vele organisaties namelijk niet meer weg te denken. De informatie verwerkt, getransporteerd en opgeslagen met de mogelijkheden die ICT ons biedt maakt een betere sturing van het werk mogelijk, leidt tot nieuwe producten en diensten, laat de organisatie doelmatiger werken en helpt haar dag in dag uit zijn taken effectief te doen. De grote afhankelijkheid van ICT brengt risico’s met zich mee.Dat geldt niet alleen voor operationele werkzaamheden. Het geldt ook voor de projecten , die organisaties realiseren en waarbij gebruik van ICT een conditio sine qua non is. Dit boekje gaat over die risico’s, die organisaties lopen bij de inzet van ICT. Het geeft een overzicht weer van de theorie. Het kiest op basis van deze theorie een aanpak om in de praktijk te toetsen, hoe organisaties met risico omgaan en welke maatregelen zij nemen om de risico’s te verkleinen. Het geeft ook voorbeelden van deze aanpak. En tenslotte wordt de theorie in de praktijk toegepast . Van de negen onderzochte organisaties en de resultaten daarvan, wordt in dit rapport verslag gedaan. Als ICT risico wordt gedefinieerd:

“de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden.”


9

10


2. De theorie en voorbeelden van toepassing van de theorie Beveiligen van de IV en ICT voorzieningen

Inregelen en controleren van de administratieve organisatie

Een holistische benadering: 1. Kijken naar risico 2. Typen maatregelen en hun combinatie

Organiseren om met risico om te gaan in een ICT ontwikkelen onderhoudsorganisatie

Leven met IV en ICT risico’s Omgaan met het risico van IV en ICT projecten.

Omgaan met operationeel risico

Figuur 2.1 : Benaderingen van risico bij inzet van ICT

2.1.

Een overzicht van de theorie

Figuur 2.1 zet een aantal invalshoeken op risico op een rij, zoals deze uit de literatuur naar voren komen. Denkend over het omgaan met risico’s kan men uitgaan van: 1. De noodzaak tot beveiliging van de organisatie. In dit geval bepaalt men tegen welke risico’s een organisatie zich wil indekken; op welke tijdstip men zijn maatregelen neemt en welk type maatregelen dit zijn. De kern van deze invalshoek is de bescherming tegen risico’s op het terrein van de vertrouwelijkheid, betrouwbaarheid en continuïteit van de informatievoorziening en de daarvoor nodige ICT. 2. De zorg voor een optimale administratieve organisatie (Starreveld c.s.,2002). De leer van de administratieve organisatie geeft aan, welke maatregelen een organisatie ex ante kan nemen om ervoor te zorgen, dat de organisatie met betrouwbare informatie werkt, de nodige vertrouwelijkheid


11

in acht neemt en zo min mogelijk te maken heeft met inbreuken op de continuïteit van de informatievoorziening. De leer geeft ook aan, hoe men ex post nagaat, of de regels ten aanzien van bevoegdheden op het terrein van de informatievoorziening en de regels om te zorgen voor betrouwbare informatie zijn nagekomen. 3. De noodzaak om aandacht te vragen voor risico’s bij het ontwikkelen en onderhouden van ICT applicaties. Hierbij wordt ingegaan op de organisatorische maatregelen, die een organisatie neemt. (Meijer , 2007). Dit leidt tot aanbevelingen t.a.v. de wijze waarop de diverse taken op dit terrein in de organisatie dienen te worden belegd en hoe men moet zorgen, dat de gewenste organisatie wordt gerealiseerd. 4. Aandacht voor operationeel risico (de Wijs,1995.) De Wijs (1995) onderzocht hoe organisaties omgaan met de operationele risico’s bij het werken ondersteund door ICT. Op basis hiervan stelde hij regels op, welke leiden tot economisch onderbouwd gedrag om met deze risico’s om te gaan. Hij constateerde dat organisaties sommige risico’s accepteren en in andere gevallen maatregelen nemen om risico’s zoveel mogelijk te minimaliseren. 5. Verkleinen van het risico, dat projecten meer of minder falen (Applegate c.s., 2009.). Applegate c.s. stellen dat het doen van IT projecten risico’s met zich mee brengt. Zij stellen, dat deze risico’s afhangen van de omvang van het project, van de mate waarin de eisen aan het project duidelijk zijn, en het feit, of de organisatie beschikt over de technische kennis nodig om het project te voltooien. Op basis van een classificatie van projecten geven Applegate c.s. aan, welke maatregelen een organisatie kan nemen om een bepaald project tot een optimaal einde te brengen. 6. Een holistische aanpak om om te gaan met risico. Westerman c.s. (2007) kijken naar de wijze van denken van organisaties over risico en inventariseren hierna welke combinatie van maatregelen deze organisaties nemen om het optreden van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT te voorkomen. In het volgende zal op elk van deze zes benaderingen van risico bij inzet van ICT worden ingegaan. Hierna wordt aangegeven om welke methode is gekozen als basis van het praktijkonderzoek en waarom deze methode gekozen is.

12


2.2.

De zes benaderingen van risico

2.2.1. Vooral bescherming (Thiadens (2008), Overbeekc.s.(2008))

Een model dat nadruk legt op bescherming van de informatie- en ICT voorzieningen tegen risico’s is de kubus van Bautz (zie figuur 2.2). De kubus van Bautz geeft drie invalshoeken weer op de beveiliging van de informatie bij inzet van ICT. Deze invalshoeken zijn: de reden van maatregelen, de soort maatregel en het tijdstip waarop men de maatregel treft.

De kubus van Bautz:

Soort maatregel : •Fysiek •Organisatie •Logisch

Tijdstip: detectie preventie repressie (uitwijk) correctie Reden : vertrouwelijkheid, betrouwbaarheid, continuïteit

Figuur 2.2 : De kubus van Bautz op het terrein van IV en ICT beveiliging

Laten we beginnen met de redenen voor maatregelen. In principe neemt een organisatie maat-regelen om de continuïteit en de beschikbaarheid van de inzet van ICT te verzekeren; om de fouten in de in/uitvoer, opslag, verwerking en transport van gegevens tot een minimum te beperken en om de vertrouwelijkheid van het gebruik van gegevens te waarborgen. Deze maatregelen kunnen fysiek, logisch en organisatorisch van aard zijn. Fysieke maatre-gelen zijn bijvoorbeeld het maken van extra voorzieningen bij de koeling van de ICT voorzieningen en het plaatsen van computers in betonnen ruimten. Organisatorische maatregelen zijn ondermeer het opdelen van de rekencentrumruimte in een deel om te kunnen printen, een deel om de ICT voorzieningen te bedienen en een deel waar de ICT apparatuur staat opgesteld.


13

Door dit opdelen van een rekencentrum in verschillende ruimten ontstaat de mogelijkheid om functiescheiding toe te passen. Iedere medewerker krijgt dan alleen toegang tot die ruimten, tot welke hij in het kader van zijn functie toegang toe nodig heeft. Logische maatregelen zijn het verstrekken van passwords (wachtwoorden), het werken met chipcards met wisselende wachtwoorden en de realisatie van identiteitsmanagement. Deze maatregelen kunnen preventief van aard zijn, correctief, detectief en ook kunnen een mogelijke inbreuk mitigeren, in welk geval zij repressief zijn. Van dit laatste is het werken met een dubbel rekencentrum een voorbeeld. Als men de beschikking heeft over een dergelijk centrum kan een organisatie bij falen van het ene rekencentrum ongemerkt overschakelen naar het tweede. De klanten merken niet, dat er een inbreuk plaatsvindt. Om te komen tot een optimaal inregelen van maatregelen kan men gebruik maken van best practices, zoals deze zijn neergelegd in de ISO27000 serie normen. Deze ISO normen ondersteunen managers en werknemers bij het verantwoord opzetten, implementeren en onderhouden van maatregelen op de genoemde drie terreinen. Deze set aan normen is één op één overgenomen door het Nederlands Normalisatie Instituut (NNI). De norm geeft de basisprincipes weer en een raamwerk (inclusief meetmethode). Zij geeft aan, hoe men als management de gestelde eisen moet implementeren en hoe men zijn organisatie hiervoor kan laten certificeren. De normen beogen eraan bij te dragen, dat organisaties een evenwichtig pakket aan preventieve, correctieve, detectieve en repressieve maatregelen implementeren op dit terrein. ISO 27001-2005: 11 aandachtsgebieden : (elk heeft doel, basisset en activiteiten) 1. 2.

doel, na te streven situatie in termen van organisatiebelangen beveiligingsfuncties, taken en verantwoordelijkheden, coördinatie samenhang, richtlijnen, wie maakt afspraken met derden. 3. Classificatie en beheer bedrijfsmiddelen: objecten en hun eigenaar, classificatie van informatie 4. Personeel: training, beveiligingsbewustzijn, gedrag op werkvloer, aannamebeleid en beoordeling, reageren op meldingen incidenten 5. Fysieke beveiliging en omgeving: beveiliging van en in infrastructuur, toegangscontrole bij poort fysieke beveiliging en decentrale computers, clean desk policy, stroomvoorziening, datacommmunicatielijnen, koeling, bescherming diskettes, tapes, docum. 6. Computer- en netwerkbeheer: bedieningsprocedures, beheer technische beveiliging en verantwoordelijkheden, antivirusmaatregelen,incidentafhandeling en rapportage; beveiliging email,EDI,data 7. Toegangsbeveiliging: toegangsbeheersing en autorisatie voor applicaties 8. Ontwikkeling en onderhoud van aandacht voor beveiligingsfunctionaliteit en veilige ontwikkel en onderhoudsmethoden leiden tot veilig (blijvende) applicaties applicaties en infra: 9. Continuïteitsplanning: calamiteitenopvang, rampenplannen, uitwijk 10. Toezicht: naleving van wettelijke en contractuele voorschriften, beveiligingscontrole op ICT systemen,ICT audit, interne controle 11. Informatieveiligheidsmanagement: omgaan met de beveiliging en classificatie van informatie Beveiligingsbeleid: Organisatie beveiliging:

Figuur 2.3 : De elf delen van de ISO 27000 norm

14


In figuur 2.3 staan de elf belangrijkste aandachtgebieden op het terrein van het beschermen van de vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. De eerste vier aandachtsgebieden betreffen: 1. Het zorgen voor een informatie- en ICT beveiligingsbeleid. Hieronder valt het hebben van een document, waarin dit beleid is geformuleerd, en het inrichten van een proces, waardoor dit document periodiek wordt herzien. 2. Het organiseren van de uitvoering van dit beleid. Hieronder vallen onderwerpen als - het zorgen voor commitment van het management; - het duidelijk aanwezig zijn van een coördinatiepunt; - het belegd hebben van de verantwoordelijkheden - het duidelijk hebben, wie bevoegd is tot autorisatie van ICT voorzieningen en wie welke autorisaties krijgt. En zo is ondermeer helder welke persoon tekent bij het in productie nemen van nieuwe versies en releases op het terrein van ICT; - het zorgen voor de aanwezigheid van confidentialiteitsovereenkomsten. In de aanstelling van medewerkers moeten bepalingen opgenomen zijn over het omgaan met bedrijfsgegevens en de auteursrechten van ontwikkelde programmatuur; - het helder hebben wie over welk onderwerp communiceert met het burgerlijk gezag en met special interest groups - de zorg voor een onafhankelijke evaluatie van de beveiliging. 3. Het regelen van de omgang met externe partijen. Hieronder valt de identificatie van risico’s van het werken met externen; van risico’s bij de interactie met de klanten en bij het werken met andere, derde partijen. Voorts valt het treffen van maatregelen om deze risico’s te beperken en het handhaven van deze maatregelen. 4. Het aanwezig zijn van regelingen met de medewerkers. Hierbij geldt dat bij indiensttreding de rol en de verantwoordelijkheden van de medewerkers en zijn arbeidsvoor-waarden helder moeten zijn. Tevens moet aandacht gegeven zijn aan het screenen van de medewerker. Tijdens het dienstverband moeten de verantwoordelijkheden van het management helder zijn. Deze moet zorgen voor awareness, opleiding en training van de medewerker op dit terrein. Het moet voorts duidelijk zijn, dat overtreding van de regels tot disciplinaire maatregelen kan leiden. Bij beëindiging van een dienstverband moet bepaald worden, hoe met het einde van de verantwoordelijkheid van een medewerker wordt omgegaan. Op dit moment worden de in gebruik gegeven goederen ingeleverd en wordt ervoor zorg gedragen dat eventuele toegangsrechten worden verwijderd.


15

2.2.2. Administratieve organisatie (Starreveld c.s. (2003))

Bij het inrichten van een organisatie is het van belang rekening te houden met de risico’s die men loopt ten aanzien van de betrouwbaarheid van de informatie. Starreveld c.s. (2003) merken op, dat een betrouwbare informatievoorziening in organisaties eisen stelt aan de inrichting van de organisatie. Daarnaast stelt Starreveld c.s. dat een organisatie zijn informatievoorziening periodiek moet nagaan op haar inhoudelijke juistheid. Hiermee wordt voorkomen, dat organisaties te laat ontdekken, dat de gewenste informatie niet aanwezig is en/of dat de wel aanwezige informatie inhoudelijk niet optimaal is. Starreveld c.s. (2003) stellen dat (zie figuur 2.4): Ex ante:

Ex post:

Preventieve maatregelen:

Controles:

- functiescheiding - richtlijnen en procedures - fysieke en logische toegangsbeveiliging - backup, recovery en uitwijk.

- op bevoegdheid: binnen bevoegdheden gehandeld? - informatiecontrole: is de informatie betrouwbaar? - bewaringscontrole: zijn de waarden, voorzover niet rechtmatig afgegeven, nog aanwezig

Preventieve maatregelen: - beperking bevoegdheden - bevorderen zelf- en sociale controle - ramingen, begrotingen en normen - kwijting - verbijzonderen interne controle - wisselen van personeel - quasi goederen beweging

Organisatie en zijn interne betrouwbaarheidssysteem

Repressieve maatregelen: - afdwingen naleving voorschriften, richtlijnen en procedures - eisen dat de materiële werkelijkheid (inventarisatie) overeenkomst met de informatie - eisen dat primaire verantwoordingsgegevens: verbandscontrole, toetsing opgaven aan ex ante data de juiste uitkomst geven; - zorgen voor juiste gegevensverwerking

Figuur 2.4: Een overzicht van de ex ante en ex post maatregelen om risico’s met de betrouwbaarheid van informatie te verminderen

16


1. de inrichting van organisaties zodanig moet zijn, dat betrouwbaarheid van informatie ingebakken zit in de wijze van gegevens verzamelen. Organisaties moeten nadenken welke gegevens zij nodig hebben. Vervolgens moeten zij intern verantwoordelijkheden toewijzen voor het verzamelen van deze gegevens rekening houdende met de noodzakelijke functiescheiding. Bepalen, welke gegevens nodig zijn; het bewaren ervan; het uitvoeren van het verzamelen van deze gegevens en het controleren van de verzamelde gegevens moeten bij voorkeur door individuen met tegengestelde belangen worden uitgevoerd. 2. organisaties periodiek de juistheid van de door hen gebruikte informatie controleren. Bij deze controles loopt men na of: • een verstrekker de door hem verstrekte gegevens ook mocht verstrekken. Men checkt of een gebruiker wel bevoegd is over de gegeven te beschikken enz. De betreffende controle wordt een autorisatie controle genoemd. Men kijkt naar de bevoegdheid van de gegevensverzamelaar, van de gegevensgebruiker en van de gegevensverstrekker; • de verstrekte gegevens wel kloppen met de fysieke werkelijkheid. Staat wat er op de pakbon staat ook werkelijk op de computerzaal? • de gegevens wel betrouwbaar zijn. Hierbij vraagt men zich ondermeer af, of de definities van de gegevens overeenkomen? Of de tijdstippen van verzamelen wel de conclusies rechtvaardigen? Of de gelegde relatie tussen de gegevens wel mogelijk is? Of men op tijd over de gegevens kan beschikken en of deze voldoende nauwkeurig zijn? Daarnaast loopt men de het verzamelen en bewerken van gegevens na op meetfouten. In figuur 2.4 is een overzicht van deze maatregelen gegeven. Zij zijn erop gericht om de risico’s om te werken met minder betrouwbare informatie te voorkomen.


17

2.2.3. Organiseren van het verkleinen van risico in een ontwikkelen onderhouds-organisatie (Meijer, 2007)

Meijer (2007) onderzocht welke taken op het terrein van risicomanagement in ICT ontwikkelen onderhoudsorganisaties moeten worden gedaan en hoe organisaties deze taken in hun structuur kunnen inbedden. Hij constateerde dat actief werken aan risicomanagement betekent, dat medewerkers, die zich bezighouden met risico’s: 1. Participeren in de strategische planvorming; 2. Ondersteunen de organisatie bij een risicoanalyse en deze zo nodig uitvoeren; 3. Stellen een risicobeheersplan op; 4. Controleren, toetsen en bijsturen op basis van dit risicobeheersplan; 5. Informeren de medewerkers en de leiding over het onderwerp risicomanagement; 6. Ontwikkelen en onderhouden kennis over mogelijke maatregelen; 7. Ontwikkelen en onderhouden methoden, hulpmiddelen en technieken op dit terrein; 8. Verzorgen opleidingen en trainingen.

Organisatievormen:

Wat doet men?

Risicomanagementtaken:

1. participeren in strategische planvorming

1. afzonderlijke centrale risicomanagementafdeling

Alle taken

2. volledige lijnverantwoordelijkheid van de risicomanagementfunctie

2 t/m 8 1 is niet van toepassing

3. zowel een lijn als een centrale verantwoordelijkheid

Centrale functie doet 1,5,6,7,8; lijn doet 2,3,4.

2. begeleiden en uitvoeren risicoanalyse 3. opstellen van een risicobeheersplan 4. controleren, toetsen en bijsturen naar aanleiding van het risicobeheersplan 5. informeren over risicomanagement 6. ontwikkelen en onderhouden van kennis over mogelijke maatregelen

4. een projectorganisatie

taken afh. doel project.

7. ontwikkelen en onderhouden van methoden, hulpmiddelen en technieken.

5. een multidisciplinair team als onderdeel van een audit.

Belast met taak 2.

8. Verzorgen van opleidingen en trainingen.

Figuur 2.5 : Taken en organisatorische inbedding bij risicomanagement (Meijer, 2007)

18


Vervolgens geeft hij aan, hoe organisaties bij de inrichting van een ICT ontwikkelen onderhoudsorganisatie rekening houden met het risico van ICT de te lopen risico’s in deze organisatie kunnen verkleinen . Hij constateerde, dat hiervoor een aantal mogelijkheden zijn. Hij onderscheidt vervolgens de volgende vormen/manieren om in een ontwikkelen onderhoudsorganisatie ICT risicomanagement te beleggen: 1. Organisaties richten een afzonderlijke, centrale risicomanagement afdeling op. Nu is het hen mogelijk om alle acht taken van figuur 2.5 een plaats te geven. 2. Organisaties leggen het omgaan met risico’s volledig in de lijn neer. Nu is het mogelijk alle taken met uitzondering van het vanuit risicomanagement perspectief kijken naar strategische planvorming een plaats te geven. 3. Onderkennen van risico’s is zowel een lijn- als een centrale verantwoordelijkheid. Hierbij: 3.a. begeleidt de lijn en laat zij risicoanalyses uitvoeren; 3.b. stelt de lijn een risicobeheersplan op; 3.c. controleert, toetst en stuurt de lijn bij naar aanleiding van het risicobeheersplan De overige taken worden centraal gedaan. 4. Men organiseert de risicomanagement functie als een projectorganisatie. In een dergelijke organisatie zijn de taken afhankelijk van het doel van het project . En tenslotte 5. Men richt een multidisciplinair team in als onderdeel van een audit op het te lopen risico. Dit team ondersteunt de organisatie bij het doen van risicoanalyses en voert deze zo nodig uit. Meijer (2007) constateert dat er sprake moet zijn van een centrale functie, die vanuit het perspectief risico naar de huidige en nieuwe ICT projecten van een organisatie kijkt. Hierbij richt deze centrale functie zich op operationele risico’s en op projectrisico’s. We zullen deze twee soorten risico’s in het volgende bespreken. In figuur 2.5 zijn de taken en de daarbij mogelijke belegging van deze taken in een ontwikkelen onderhoudsorganisatie weergegeven.


19

2.2.4. Omgaan met risico in de exploitatie van ICT (de Wijs, 1995)

Een organisatie kent operationele risico’s. Dat is het risico dat de ICT uitvalt tijdens het dagelijks werk. De Wijs (1995) onderzocht dit operationele risico. Hij geeft aan, wanneer het opportuun is om maatregelen te nemen om dit risico te beperken. Zijn methode om met operationeel risico om te gaan, kent de volgende drie stappen. 1. het bepalen van de taken, die een ICT voorziening ondersteunt. Hierbij gaat men na, welke taken worden ondersteund en stelt men vast, of de ondersteuning door ICT sterk geïntegreerd is of dat men gebruik maakt van diverse met elkaar gekoppelde voorzieningen. Op basis van de bevindingen wordt het operationele risico vastgesteld. Hierbij houdt men rekening met - de ernst van de optredende calamiteit; - de mate waarin de gevolgen hiervan direct worden ervaren; - de onomkeerbaarheid van deze gevolgen op de lange termijn; - de beheersbaarheid van de calamiteit gegeven de genomen maatregelen; - de mate,waarin het optreden van de calamiteit door een ieder wordt gevreesd; - de relatieve nieuwswaarde van de calamiteit voor de media; - de bekendheid van de experts met de calamiteit en haar gevolgen - en de bereidheid van gebruikersmanagement om het mogelijk optreden ervan te accepteren. 2. de mogelijkheden die men heeft om het optreden van de calamiteit te voorkomen. Hierbij kan men denken aan extra voorzieningen om beschikbaarheid te verhogen, een uitwijkrekencentrum om bij calamiteiten als brand toch door te kunnen werken en een extra, aparte kabelverbinding om bij het kapot trekken van één kabel toch verbinding te houden. In het algemeen loopt men zijn ICT voorzieningen na om dit risico te bepalen en kijkt men, wat de zwakste schakel is bij deze ICT voorziening. 3. de noodzaak om maatregelen te treffen gegeven de betrouwbaarheid van de voorziening en de specifieke eisen van de situatie. De Wijs (1995) bepaalt zo na grondige analyse de mogelijke voorzieningen. Om ze te realiseren eist hij, dat het risico, dat men loopt door inzet van ICT, kwantificeerbaar is en direct de gestelde prestatie eisen kan beïnvloeden. Hierdoor kunnen de te nemen maatregelen bedrijfseconomisch te rechtvaardigen zijn.

20


2.2.5. Omgaan met risico bij projecten (Applegate c.s. (2009))

Omgaan met risico bij projecten wordt projectrisico benoemd. ICT projecten kennen dit risico zowel aan de kant van de organisatie, die het resultaat van het ICT project gaat gebruiken, als aan de kant van de ICT organisatie. Project risico wordt gedefinieerd (Applegate c.s., 2009) als het risico, dat vernieuwingen van ICT voorzieningen niet op de tevoren afgesproken tijd en binnen het afgesproken budget geïmplementeerd worden. Het is een risico, dat blijft bestaan, ook al gebruikt een organisatie de beste instrumenten en heeft een organisatie alle middelen tot zijn beschikking, die tevoren voor het project werden gebudgetteerd. Het gevolg van het optreden van projectrisico, is, dat: - geplande voordelen niet of niet volledig worden gehaald; - er uitloop is van het project, waardoor het project duurder wordt; - het project functioneel of technisch bezien minder goed uitvalt of - dat een ICT applicatie bij nader inzien toch minder optimaal op of niet met de bestaande ICT infrastructuur werkt. Dit kan blijken uit een matige respons, een gebrekkiger beveiliging of een slechtere beschikbaarheid dan de organisatie vooraf had verwacht. Er zijn 3 redenen om projectrisico te introduceren. De eerste is, dat de omvang van het project relatief groot is ten opzichte van andere projecten in de organisatie. Het project raakt meer afdelingen dan normaal. Er is een groter budget mee gemoeid enz. De tweede reden is, dat de organisatie de gebruikte technologie niet of niet voldoende onder de knie heeft. Men komt voor verrassingen te staan, welke niet verwacht zijn en weet daar niet goed mee om te gaan. De derde reden is, dat men niet exact weet, wat men wil. Men wijzigt gaande het project steeds weer de project scope en de eisen aan het eindresultaat. Het projectteam wordt wat radeloos en raakt steeds meer zijn motivatie kwijt. Men kan het projectrisico bepalen door middel van interviews of door het houden van Delphi meetings. Bij interviews vraagt men op diverse niveaus aan de gebruikersen de ICT kant naar de mening over het verloop van een project en/of programma’s van projecten, naar de inmiddels bereikte resultaten, naar de verwachtingen van het project en naar ideeën over mogelijke maatregelen voor bijsturing. Als het risico te groot wordt geacht , kan men besluiten deze maatregelen te nemen. Hieronder kunnen vallen het versterken van het team, het veranderen van de scope van het project of/en het volgen van een bijgesteld implementatie traject.


21

niet weten je wil Techniek bekend Techniek onbekend

omvang groot

laag risico

weten wat je wil laag risico

omvang klein

zeer laag risico

zeer laag risico

omvang groot

zeer hoog risico

middelgroot risico

omvang klein

hoog risico

middelgroot risico

Figuur 2.6 : Positionering van een project en bepaling van haar risico

In figuur 2.6 is aangegeven hoe men het risico van projecten aan de hand van drie eigenschappen kan bepalen. Ook bij het lopen van een groot risico zullen organisaties, zeker als inzet van ICT van groot belang voor de organisatie is, niet altijd onder het mijden van een risicovolle project uitkomen. Redenen voor een organisatie om projecten door te zetten kunnen liggen in het feit dat men aan de kant van de gebruiker van ICT een reputatie heeft opgebouwd, wat betreft het aantal succesvolle projecten, die de laatste jaren zijn uitgevoerd of dat men goede projectleiders en ervaren gebruikers kan leveren of dat men financieel gezond is. Aan de ICT kant helpen de volgende factoren mee om te besluiten een wat risicovoller project toch door te laten gaan: - de ICT organisatie heeft een goede reputatie wat betreft de exploitatie van ICT voorzieningen; - de ICT organisatie kent een voortdurende kwaliteitsverbetering en innovatie van diensten; - de door de ICT organisatie gegeven planningen komen uit; - de teststraten voor applicaties werken goed; - en de ICT organisatie komt zijn afspraken na. Afhankelijk van het soort risico kan een organisatie maatregelen nemen om het risico in te perken. Als de organisatie te maken heeft met het risico dat men niet exact weet wat men wil, dan zijn maatregelen op het terrein van integratie van belang. Dit betekent dat men zorgt voor een optimaal draagvlak van het project in de organisatie en daartoe maatregelen neemt. Als men te maken heeft men grote projecten, waarbij de techniek minder bekend is, dan zal een goede planning en inzet van ervaren ICT medewerkers aandacht moeten krijgen. In figuur 2.7 is een overzicht gegeven van mogelijke maatregelen. Veelal vormen projecten onderdeel van programma´s van projecten. Ieder project wordt dan resultaat gericht geïmplementeerd en binnen een bepaalde tijd uitgevoerd.

22


externe integratie

interne integratie

gebruiker projectleider maken van stuurgroep gebruikers sturen verandering alle informatie verspreid selectie van gebruikers als teamleden formeel geodkeurinsgproces bij gebruiker gebruiker verantwoordelijk voor opleiding en implementatie, enz.

ervaren ICT man leidt team vele team meetings notulen over sleutlebesluiten verspreid regulier technische status opgenomen veel ervaren teamleden leden nemen deel aan doelstellingsbijeenkomsten enz.

formele planning

formele stuurmethoden

formele planningsmethoden keuze van mijlpalen standaards voor rapporten etc. project geodkeuringsproces evaluaties per fase en van het totaal.

periodiek actual vs. budget formele wijzigingsprocedures reguliere mijlpalen presentaties afwijkingenvan plan gesignaleerd

Figuur 2.7 :

Mogelijk maatregelen om risico bij ICT projecten te verkleinen

2 .2.6. Een totaal aanpak: ICT risico vanuit de gebruiker en de maatregelen binnen en buiten de ICT afdeling (Westerman c.s., 2007)

De laatste benadering, die in dit boekje beschreven wordt, is een holistische. Het is de benadering van ICT risico van Westerman c.s.. Bij deze benadering kijkt men vanuit het management van de gebruiker naar de risico’s die men loopt door inzet van ICT bij de informatievoorziening. Op basis van de wensen van een organisatie wordt vervolgens een combinatie van maatregelen genomen om de met ICT gelopen en te lopen risico’s op een aanvaardbaar niveau te brengen. In de benadering van Westerman c.s. komen veel van de facetten van eerder genoemde benaderingen terug Bij inzet van ICT lopen organisaties volgens Westerman c.s. (2007) risico’s op vier vlakken, de zogenaamde 4A’s. Deze vier vlakken zijn: 1. Availability: het beschikbaar hebben van de nodige ICT en het snel kunnen herstellen van onderbrekingen; 2. Accessibility: het toegang krijgen tot gegevens en applicaties op een zodanige wijze, dat de juiste mensen de applicaties kunnen gebruiken en onbevoegden worden geweigerd; 3. Accuracy: het volledig en op tijd beschikbaar zijn van de verkregen gegevens, zodat aan de eisen van de leiding, de staf, de klanten, de leveranciers en de wetgevers kan worden voldaan; 4. Agility: het bieden van de mogelijkheid om de ICT op beheerste wijze te veranderen. Dit kan gebeuren bij een fusie, bij een nieuw procesontwerp of bij de lancering van een nieuw product.


23

Proces: geeft op organisatieniveau een overzicht van alle risico’s, zodat de leiding voldoende kan investeren in risicomanagement.

Inrichting organisatie

Fundament: de infrastructuren en de toepassingen (inclusief medewerkers en procedures), die duidelijk zijn beschreven, worden duidelijk bestuurd en zijn niet complexer dan nodig.

Cultuur: iedere betrokkene heeft voldoende kennis van de risico’s en er wordt open en niet bedreigend gesproken over risico’s.

Figuur 2.8 : Types maatregelen om risico’s te verkleinen (Westerman c.s., 2007)

Organisaties nemen maatregelen om met de ICT risico’s om te gaan. Deze maatregelen kan men indelen in drie soorten. Uit hun onderzoek bij 180 grote bedrijven komen deze drie soorten maatregelen naar voren. Dit zijn de zorg voor transparantie van ICT voorzieningen, het organiseren van aandacht voor risicomanagement en het zorgen voor een besef van gelopen en te lopen risico’s bij medewerkers. Omgaan met ICT risico betekent dat organisaties kijken naar het totale risico en afwegingen maken ten aanzien van de te nemen maatregelen (zie figuur 2.8). Dit leidt in het algemeen tot: a. een meer transparante inrichting van de ICT voorziening van een organisatie. Dit betekent een transparante architectuur van producten en diensten geleverd door een goed beschreven ICT organisatie. Deze architectuur en deze organisatie zijn niet complexer dan nodig. b. de aanwezigheid van een organisatie voor risicomanagement, dat ervoor zorgt, dat op het niveau van de organisatie een overzicht aanwezig is van risico’s,die de organisatie loopt. Hierdoor is de leiding in staat voldoende tijd en middelen te investeren in risicomanagement. In dit proces worden risico’s geïdentificeerd, van een prioriteit voorzien en gevolgd. c. en een cultuur, die ervoor zorgt, dat iedere betrokkene voldoende kennis heeft van de risico’s en ermee rekening houdt (risk awareness). In deze cultuur wordt open en niet bedreigend gesproken over mogelijk te lopen risico.

24


2.2.7. De keuze van de methode, die gekozen is als basis van het praktijkonderzoek

In dit hoofdstuk kwamen zes benaderingen om om te gaan met het risico van inzet van ICT aan de orde. De eerste vijf benaderingen benadrukken één of meerdere aspecten van risico of wijzen om met het risico bij de informatievoorziening en de daarvoor nodige inzet van ICT om te gaan. Duidelijk wordt dat het bij risico in een organisatie niet alleen gaat om het risico met de huidige ICT, maar ook met het risico, dat komende ICT niet biedt, wat een organisatie ervan verwacht. Onderzoek leert (Westerman, 2007), dat de reden, dat organisaties deze risico’s lopen vaak voorkomt uit een gebrek aan overzicht bij de leiding over de impact van ICT en het ontbreken van echte sturing van die ICT op organisatieniveau. Om IT risico in een organisatie in de praktijk te onderzoeken is daarom gekozen voor een methode, die leidinggevenden aan de gebruikerskant en aan de ICT kant ondervraagt. Bij deze methoden worden risico’s en de maatregelen om risico’s te beperken geformuleerd in managementtermen. De methode maakt een onderscheid tussen het soort gelopen risico en de generieke maatregelen om risico te verkleinen. De leiding, die ICT inzet, wordt ondervraagd over de risico’s ,welke zijn organisatie ten aanzien van de inzet van de informatievoorziening en de daarbij nodige ICT loopt. Aan de orde komt in dit interview, welke risico’s de organi-satie loopt, wat de gevolgen van deze risico’s zijn en welke keuzen men bij het omgaan met de soorten risico maakt. De ICT kant wordt gevraagd om de maatregelen aan te geven, die de organisatie heeft genomen om de mogelijkheid van het optreden van de gevolgen van deze risico’s te beperken.

2.3.

Enige voorbeelden van toepassing van de theorie

Alvorens systematisch in te gaan op de resultaten van het empirisch onderzoek worden eerst een aantal voorbeelden gegeven van mogelijkheden, waarop het risico van ICT door organisaties wordt beperkt. Deze voorbeelden sluiten aan bij de theorie van Westerman (2007). Zij werden door de organisaties aangereikt bij het empirisch onderzoek en bij seminars, die over dit onderwerp zijn gevolgd.


25

De voorbeelden betreffen: - de standaardisatie van ICT voorzieningen door gebruik te maken van een catalogus; - de rapportage van geleverde producten en diensten; - de wijze van contractering van externe producten en diensten; - en een voorbeeld, hoe organisaties, gedwongen door eisen vanuit de keten van organisaties, waar zij deel van uitmaken, maatregelen treffen om het risico, dat zij met inzet van ICT lopen, te verkleinen.

2.3.1. Standaardisatie met een service catalogus

Standaardisatie van ICT voorzieningen komt naar voren, als een wijze om de levering van ICT producten en diensten beter beheersbaar en transparant te maken. (Lectoraat ICT governance, 2008). Standaardisatie van ICT producten en diensten gaat vaak gepaard met het aangeven van deze producten en diensten in een catalogus. De catalogus is als het ware de menukaart van een ICT organisatie.

Plaats van de service catalogus

Figuur 2.9: Ondernemingsarchitectuur van de IB-Groep en de plaats van de technische architectuur

26


Een voorbeeld van een dergelijke catalogus is de service catalogus 2008-2009 van de IB-Groep. In het voorwoord van deze catalogus wordt aangegeven, dat de catalogus helpt bij het maken van afspraken tussen klant en leverancier. De catalogus kwam tot stand in overleg tussen de gebruikers van centrale diensten en de leveranciers van deze diensten. De leveran-ciers zijn de directie ICT en de afdeling Centraal Proces Beheer (CPB). In de catalogus wordt aangegeven (zie figuur 2.9), dat de catalogus is gebaseerd op het onderdeel technische infrastructuur diensten van de IB-Groep ondernemingsarchitectuur. De catalogus legt een groot aantal van afspraken op het terrein van de organisatie en ten aanzien van de diensten van de centrale afdelingen ICT en CPB vast. De catalogus maakt hierbij een onderscheid tussen eindgebruikers- en business-services. De eindgebruikers- services betreffen diensten op het terrein van ICT werkplekken, telefonie en standaard software. De business services betreffen adviesdiensten, het maken en onderhouden van maatwerksoftware, informatievoorzieningsdiensten en diensten ten aanzien van de exploitatie van ICT. In figuur 2.10 is een voorbeeld gegeven van de diensten, die worden geleverd. Infrastructuurdiensten kanalen Web

Telefoon ACD/VRS dienst

Internet security diensten

Web informatiediensten

Web portal diensten

Web applicatie security diensten

Web applicatie diensten

Het bieden van alle functionaliteit voor het via de telefoon communiceren, zowel spraak als data en distribueren van oproepen over vestigingen

Het beveiligen van web diensten

Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep

Het leveren van algemene en klantspecifieke diensten.

Het voorzien in een veilige connectie tussen de Web Portal en de Web applicaties

Alle diensten voor het uitvoeren van de feitelijke webapplicaties

1

2

het bieden van de mogelijkheid van mutaties en aanvragen. 3

4

5

Balie Document scanning diensten

Identificatie en verificatie diensten

Balie informatie diensten

Deze dienst voorziet in het scannen van documenten

Het vaststellen van identiteit en verificatie van identiteit van personen

Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep

7

8

6

Papier Balie transactie diensten Het leveren van algemene en klantspecifieke diensten.

Balie security diensten

Document scanning diensten

Het voorzien in een veilige omgeving en toegang tot applicaties voor baliepersoneel

Deze dienst voorziet in het scannen van documenten

het bieden van de mogelijkheid van mutaties en aanvragen. 9

10

11

12

Figuur 2.10 : Voorbeeld van diensten van de ICT afdeling IB-groep


27

2.3.2. Rapportage van geleverde ICT diensten

Het maken van periodieke rapportages is een wijze om zelf inzicht te krijgen in het eigen reilen en zeilen, doch ook om anderen toegang te geven tot het eigen functioneren. Het geven van goed inzicht in de prestaties op het terrein van het ICT wekt vertrouwen en maakt het mogelijk om op de juiste punten extra inspanning te plegen. Tijdens het onderzoek kwamen twee rapportages over ICT naar voren, welke in één oogopslag aangeven, welke de sterke en de zwakke punten van de leveranciers van ICT zijn. Hierbij is uitgegaan van de afspraken, die men heeft gemaakt met de gebruikers van hun diensten. De eerste rapportage is die van het Kadaster. Deze organisatie gebruikt voor haar maandelijkse rapportage de Balanced Score Card methodiek. Zelf krijgt de ICT exploitatie organisatie in één oogopslag inzicht in haar functioneren en in het gesprek met haar klanten kan men zich snel focussen op de zaken, die van belang zijn. De prestaties zijn met kleur en met een naar beneden wijzende pijl aangegeven. In figuur 2.11 is dit weergegeven. Uit de figuur wordt duidelijk, dat anno april 2009 vooral de financiën de nodige aandacht behoeven. Ook wordt duidelijk, dat in de balanced score card van het Kadaster het onderdeel groei&leer nog niet echt ontwikkeld is.

Figuur 2.11 : De balanced score van de afdeling ICT services van het Kadaster

28


Figuur 2.12 : Rapportage afdeling ICT services Fontys hogeschool.

De tweede rapportage is die van de afdeling ICT services van Fontys hogeschool. In de maandelijkse management rapportage geeft zij met een kleursysteem aan, wat de status is van de prestatie. De geleverde prestatie wordt gerelateerd aan tevoren gestelde kritische prestatie indicatoren. In één oogopslag maakt de rapportage helder, op welke onderwerpen de aandacht zich moet richten. In dit geval heeft de beveiliging en de applicatie-ontwikkeling attentie nodig. In figuur 2.12 is een voorbeeld gegeven van het gebruik van kritische prestatie indicatoren bij de ICT services afdeling van Fontys Hogeschool.

2.3.3. Contracten met externe leveranciers

Ter bescherming van de organisatie worden in contracten met derden vaak nadere voorwaarden gesteld. Deze voorwaarden hebben betrekking op het verhalen van eventuele schade, de intellectuele eigendom bij levering van diensten, het gebruik van hulpmiddelen en de geheimhouding van verkregen informatie.


29

Figuur 2.13 : Voorbeeld van een deel van een bepaling over intellectuele eigendoms-rechten

(IB-groep, 2009)

In figuur 2.13 is een voorbeeld gegeven van een bepaling op dit terrein. Het is een deel van de bepaling over intellectuele eigendom uit de algemene leveringsvoorwaarden bij inkoop van diensten van de IB-groep. Op de website van de IB-Groep (zie geraadpleegde bronnen) vindt men de verwijzing naar deze algemene inkoopvoorwaarden. Een set algemene voorwaarden heeft betrekking op leveringen. Een andere set algemene voorwaarden heeft betrekking op de inkoop van diensten.

2.3.4. Beleidsplannen, architecturen en continuïteitsplannen

Naast het maken van beleidsplannen komt het maken en werken van architecturen op. Een visuele weergave van een beleidsplan wordt gegeven in figuur 2.14. Deze figuur ontleend aan het plan Landscaping the Infrastructure uit 2007-2009 van de afdeling ICT services van Fontys Hogeschool. Uit de figuur wordt duidelijk dat Fontys ICT services een groot aantal standaard diensten levert. Deze standaarddiensten kunnen aangevuld worden met eigen applicaties van de 38 Fontys hogescholen, die aan de voorwaarden voldoen om op deze infrastructuur te kunnen worden geplaatst. Fontys ICT services kent voorts paarse en gele werkplekken. De paarse werkplek bestaat uit een standaard desktop of laptop, welke voldoet aan de minimale eisen om er een Fontys applicatie op aan te kunnen bieden. De gele werkplek is een werkplek met een afwijkende inrichting of een compleet afwijkende hardware. De verwachting is dat de komende jaren het aantal gele werkplekken sterk zal toenemen, nu instituten adviseren aan hun studenten laptops aan te schaffen en deze studenten toegang moeten hebben tot de Fontys infrastructuur.

30


Figuur 2.14 : Het ICT architectuurbeleid 2007-2009 van Fontys ICT services

Eén van de soorten plannen, welke handig zijn bij het beperken van het risico bij inzet van ICT, is het continuïteitsplan. Een van de voorbeelden van een dergelijk plan is het ICT bedrijfscontinuïteitsbeleid van het Kadaster. De nota, die dit beleid beschrijft, bestaat uit drie delen. Deze delen zijn: het doel en de positionering van dit beleid, de taken en verantwoordelijkheden op dit terrein en de uitgangspunten bij het nemen van beslissingen over uitwijkniveaus. In figuur 2.15 is aangegeven, hoe dit beleid past in het algemene risicomanagementbeleid van het Kadaster.

Risicomanagementbeleid (inclusief bedrijfscontinuïteit)

ICT bedrijfscontinuïteitbeleid

Verzekeringsbeleid

Calamiteitenbeheersing

Figuur 2.15. : ICT bedrijfscontinuïteit in relatie tot ander beleid


31

32


3. De praktijk 3.1.

Het onderzoek

De maatregelen, die organisaties nemen om het risico van de inzet van ICT te beperken, werden onderzocht met diepte interviews. Deze diepte interviews werden in het voorjaar van 2009 gehouden met managers en medewerkers, die een leidende rol spelen in hun organisatie. Zij werden afgenomen met behulp van standaardvragenlijsten, die hen tevoren werden toegestuurd. (zie bijlage 2) De vragen voor de interviews werden geformuleerd door de kenniskring van het lectoraat, waarbij de theorie van Westerman (2007) de basis vormde. Per organisatie werd aan de kant van de gebruikers en aan ICT kant een interview afgenomen. In totaal werden 18 interviews afgenomen. De geïnterviewde personen werkten in de volgende organisaties: Fontys Hogeschool, de chipproducent NXP Semiconductors, de Hypotheker, het Amphia ziekenhuis, de verzekeraar Achmea, het Centraal Justitieel Incassobureau (CJIB), de IB-Groep, het Kadaster en de Politie. De proefinterviews voor dit onderzoek werden gedaan bij Fontys Hogeschool ICT en bij de Fontys ICT Services afdeling. Alle onderzochte organisaties hebben meer dan 1400 medewerkers.

3.2.

Omgaan met het risico van ICT

3.2.1. Beschikbaarheid van ICT

Anno 2009 kan men constateren, dat organisaties niet meer zonder ICT kunnen. Alle ondervraagde managers (figuur 3.1) geven zonder uitzondering aan welke processen voor hen vitaal zijn en wat de gevolgen zijn. Duidelijk wordt dat in ziekenhuizen patiënten moeten terugkomen,, in scholen het onderwijs in kwaliteit daalt en bij de verzekeraar direct het calamiteitenplan in actie komt. Iedere manager kan zich voorts ook herinneren, wat de laatste uitval van ICT was en wat daarvan de reden was. In dit onderzoek moet worden geconstateerd, dat van de acht ondervraagde organisaties, de politie het meest laconiek reageert. Deze stelt: “We hebben altijd nog de papieren backup.” Bij de ondervraagde hogeschool was de reactie anders. Hier merkt men op, dat men er eigenlijk vanuit gaat, dat de ICT voorzieningen zonder mankeren werken.


33

Vraag

Wat is het belangrijkste ICTafhankelijke proces?

Wat zijn de gevolgen van ICT-uitval?

Kan men doorwerken na uitval?

Hoe vaak viel de ICT in de laatste twaalf maanden uit?

Is men in staat om de schade te beperken?

Fontys

Onderwijsuitvoering, -voorbereiding en studentenadministratie

Onderwijskwaliteit daalt, student is niet bereikbaar

Bepaalde activiteiten vallen uit, er zijn geen back-ups voor

Anderhalve dag ongeplande downtime van een deelsysteem, verder de reguliere maintenance

We gaan ervan uit dat dat alles werkt, anders gaan we handmatig werken

Amphia

Patiënteninformatie: labuitslagen en foto’s

Patiënt moet terugkomen

Ja, maar sommige taken stoppen

Deelsystemen vielen twee tot drie keer per maand uit

Ja, uitval is gevaarlijk

Achmea

Alle primaire processen: ons product is informatie

Niemand kan werken

Alle verkoop ligt stil

Niet één keer

Het calamiteitenplan gaat direct in

NXP

Klantorderproces, financiële processen en productie

Er treedt geen uitval op, want de fabrieken hebben een beschikbaarheid van 99,9%

Klant wordt geïnformeerd en het 24x7-werken stopt

Uitval verschilt per applicatie en locatie. Bij uitval is een root cause analysis verplicht.

Er is uitwijk en een continuïteitsplan

Hypotheker

Relatiebeheersysteem en de systemen die daarvan afhankelijk zijn

Geen omzet

Ja, maar dat is altijd dubbel werk

Een keer een uur

Er is uitwijk, de downtime is maximaal 24 uur

IB-Groep

Ongeveer 25 grote processen zijn zonder ICT onmogelijk

Wat de gevolgen zijn, is afhankelijk van de tijd van het jaar

Alles is binnen vier uur weer operationeel

Communicatie met scholen viel vorig jaar uit

Er is een uitwijkcentrum

Kadaster

Systemen die de wettelijke taak ondersteunen

Er ontstaat dan een priority one, mogelijk gebruiken we de uitwijk want we hebben alles dubbel

Er kan niet gewerkt worden

Deelsysteem viel één keer uit, het is onmogelijk dat alles down gaat

Er is uitwijk, handmatig werken is namelijk onmogelijk

Politie

Extern is dat intake, intern is dat opsporing

Imagoschade, maar het werk gaat door

Een paar dagen, daarna lastig

Onbeschikbaarheid valt mee, want er is een papieren back-up

Er zijn handmatige procedures en uitwijklocaties, het schaduwrekencentrum

CJIB

Het primaire proces en de verwijzingsindex personen (vip)

Uitval van de vip is gevaarlijk voor agenten

5-10 minuten

Niet één keer

Dit wordt normaal opgevangen via de ITIL-processen, anders is er een businesscontinuïteitsplan

Organisatie

Figuur 1. Hoe organisaties aankijken tegen beschikbaarheid. Vraag

Welke informatie

Wat zijn de

Is er nu een goede

Hebben mede-

organisatie?

misbruik?

en hoe is die geregeld?

tot meer gegevens dan nodig?

is vitaal voor bij bescherming werkers toegang Figuur 3.1:deKijkgevolgen van organisaties op beschikbaarheid

Organisatie

Hoe krijgt men toegang tot de gegevens?

Zijn er procedures voor verwijdering van useraccounts bij contractbeëindiging?

Hoe is de toegang geregeld voor externen en klanten?

Fontys Geknoei met een informatie Centrale diensten Ja, als men weet proces Door inlognaam en Ja, het personeel kan een De meeste Roosters, organisaties, die intensief hebben, zoals deMenHypolesinformatie en cijfers leidt tot zijn goed beveiligd waar het staat, kan wachtwoord voor regelt samen met tijdelijk account registratie van onjuiste gegevens, alles vinden de hele omgeving, de ICT-afdeling de krijgen theker, hetdestudieresultaten Kadaster,de politie en Achmea, men merken voorts ongevraagd op, dat zij de administratieve deze toegang moet toegang organisatie zal dan gesplitst worden beschikken over een uitwijkcentrum. De politie heeft daarnaast haar meest belangniet meer optimaal verlopen rijke systemen dubbel uitge-voerd. De conclusie voor wat betreft Onbekend de noodzaak van Amphia Patiëntgegevens en Imagoschade en Nee, alle systemen Ja, iedereen kan Door inlognaam en Klanten krijgen geen financiële data omzetverlies staan open bijna overal bij wachtwoord online toegang, beschikbaarheid is, dat in de meeste onderzochte organisaties beschikbaarheid een leveranciers krijgen een inlogprofiel duidelijk punt van aandacht is en dat men meestal over de gevolgen van het niet Zij krijgen toegang Achmea Persoonsgebonden Imagoschade en Ja, alles is geënJa, we werken aan Men krijgt toegang, Ja, de ICT-afdeling doet dit indien nodig informatie een slechtere crypt opgeslagen manier om maar het beschikbaar zijn van ICT heeft nagedacht eneen genomen. In sommige sectoconcurrentiepositie dezeactie situatie teheeft verwijderen van beëindigen data is onmogelijk ren van de maatschappij bijvoorbeeld onderwijs, politie en zorg lijken deze maatregeDoor een profiel Ja, maar men Er zijn afspraken NXP Financiële data Dan wordt direct Ja, er is controle op Nee, er zijn aan te vragen via laks in de vastgelegd applicaties actie ondernomen autorisaties profielen en er is len van eenenvoordeander niveau dan in beheer, de industrie of financiële sector.isuitvoering en een onderzoek en monitoring segregatie van de de manager communicatie

Hypotheker

met klanten en leveranciers

gestart

Alle klantdata, ook pensioengegevens

Omzetverlies en het CBP komt langs

Ja, permanent verbetering

Ja, de rechten zijn lastig te scheiden

duty rule set De toegang is online, iedereen heeft officieel een eigen wachtwoord

Ja, er gaat dan direct een mail naar het hoofdkantoor

Zij krijgen geen toegang

IB-Groep

Alle, informatieverwerking is het primaire proces

Interne gevolgen zijn groter dan de externe

Ja, de IT-organisatie regelt dit

Nee, er zijn profielen

Door Mijn IBgroep en door het papieren archief

Ja, via protocollen

Vaste leveranciers krijgen toegang, dit loopt via een contract

Kadaster

Hypothecaire en kadastrale data

Dan worden eigendommen verkeerd toegewezen


Ja, de authorisaties zijn te ruim

Er is nu een manager, men werkt aan profielen

Ja, maar alleen als het echt nodig is

Hangt af van de situatie

Politie

Meldingen en opsporingsinfo

Imagoschade, er komt vertrouwelijke info op straat te liggen

Over het algemeen is de beveiliging goed

Ja, dit is onvermijdelijk

Door profielen

Ja, er zijn afspraken gemaakt

Externen worden gescreend, de rest geweerd

CJIB

Info in de primaire applicaties

Imagoschade

Ja, er is geen wireless internet en de netwerken worden continu gemonitoord

Nee, er moet een need to know zijn

Door Citrix, thuis met wachtwoord en pasje

Ja, alles wordt gedisabled en verwijderd

Externen krijgen alleen toegang via een procedure

Figuur 2. Hoe organisaties aankijken tegen de bescherming van opgeslagen gegevens.

34


(vip)

anders is er een businesscontinuïteitsplan

Figuur 1. Hoe organisaties aankijken tegen beschikbaarheid. Welke informatie is vitaal voor de organisatie?

Wat zijn de gevolgen bij misbruik?

Is er nu een goede bescherming en hoe is die geregeld?

Hebben medewerkers toegang tot meer gegevens dan nodig?

Hoe krijgt men toegang tot de gegevens?

Zijn er procedures voor verwijdering van useraccounts bij contractbeëindiging?

Hoe is de toegang geregeld voor externen en klanten?

Fontys

Roosters, lesinformatie en de registratie van studieresultaten

Geknoei met cijfers leidt tot onjuiste gegevens, de administratieve organisatie zal dan niet meer optimaal verlopen

Centrale diensten zijn goed beveiligd

Ja, als men weet waar het staat, kan men alles vinden

Door inlognaam en wachtwoord voor de hele omgeving, deze toegang moet gesplitst worden

Ja, het personeel regelt samen met de ICT-afdeling de toegang

Men kan een tijdelijk account krijgen

Amphia

Patiëntgegevens en financiële data

Imagoschade en omzetverlies

Nee, alle systemen staan open

Ja, iedereen kan bijna overal bij

Door inlognaam en wachtwoord

Onbekend

Klanten krijgen geen online toegang, leveranciers krijgen een inlogprofiel

Achmea

Persoonsgebonden informatie

Imagoschade en een slechtere concurrentiepositie

Ja, alles is geëncrypt opgeslagen

Ja, we werken aan een manier om deze situatie te beëindigen

Men krijgt toegang, maar het verwijderen van data is onmogelijk

Ja, de ICT-afdeling doet dit

Zij krijgen toegang indien nodig

NXP

Financiële data en de applicaties voor communicatie met klanten en leveranciers

Dan wordt direct actie ondernomen en een onderzoek gestart

Ja, er is controle op beheer, autorisaties en monitoring

Nee, er zijn profielen en er is segregatie van de duty rule set

Door een profiel aan te vragen via de manager

Ja, maar men is laks in de uitvoering

Er zijn afspraken vastgelegd

Hypotheker

Alle klantdata, ook pensioengegevens

Omzetverlies en het CBP komt langs

Ja, permanent verbetering

Ja, de rechten zijn lastig te scheiden

De toegang is online, iedereen heeft officieel een eigen wachtwoord

Ja, er gaat dan direct een mail naar het hoofdkantoor

Zij krijgen geen toegang

IB-Groep

Alle, informatieverwerking is het primaire proces

Interne gevolgen zijn groter dan de externe


Nee, er zijn profielen

Door Mijn IBgroep en door het papieren archief

Ja, via protocollen

Vaste leveranciers krijgen toegang, dit loopt via een contract

Kadaster

Hypothecaire en kadastrale data

Dan worden eigendommen verkeerd toegewezen


Ja, de authorisaties zijn te ruim

Er is nu een manager, men werkt aan profielen

Ja, maar alleen als het echt nodig is

Hangt af van de situatie

Politie

Meldingen en opsporingsinfo

Imagoschade, er komt vertrouwelijke info op straat te liggen

Over het algemeen is de beveiliging goed

Ja, dit is onvermijdelijk

Door profielen

Ja, er zijn afspraken gemaakt

Externen worden gescreend, de rest geweerd

CJIB

Info in de primaire applicaties

Imagoschade

Ja, er is geen wireless internet en de netwerken worden continu gemonitoord

Nee, er moet een need to know zijn

Door Citrix, thuis met wachtwoord en pasje

Ja, alles wordt gedisabled en verwijderd

Externen krijgen alleen toegang via een procedure

Vraag

Organisatie

Figuur 2. Hoe organisaties aankijken tegen de bescherming van opgeslagen gegevens.

Figuur 3.2: Kijk op de bescherming van opgeslagen gegevens

3.2.2. Bescherming van ICT

Een tweede invalshoek op het risico bij inzet van ICT is die van de bescherming van gegevens. Moderne applicaties, mits goed geïnstalleerd, verschaffen organisaties de mogelijkheid te loggen, welke activiteit erop het systeem gebeurt. En dat is handig! Scholen kunnen hierdoor de bron van hate mails traceren. Bij verzekeraars weet men van ieder welke activiteiten iemand op het systeem heeft uitgevoerd. In figuur 3.2 zijn de resultaten van het onderzoek schematisch weergegeven. Uit de figuur komt naar voren dat zij vaak nog processen gebruiken, die foutgevoelig zijn. Voorbeelden hiervan zijn ondermeer het doorgeven van cijfers op schrift en deze gegevens door anderen in de systemen laten invoeren; het open laten staan van pc’s en het hebben van brede autorisatie profielen.


35

Op dit moment lijkt het management voorts in veel organisaties nog te bepalen, wie waarvoor geautoriseerd wordt en wanneer deze autorisatie wordt ingetrokken. Er lijkt echter een wijziging op dit terrein aan te komen. Steeds meer ziet men organisaties profielen onderken-nen. Ieder profiel heeft de daarbij horende bevoegdheden en dus mogelijkheden op een systeem. De conclusie lijkt, dat de mogelijkheden van ICT niet overal optimaal worden ingezet. Een aantal organisaties (oa. IB-Groep, politie, NXP Semiconductors) kennen profielen. Maar vaak staan autorisaties te ruim en wordt aan beschikbaarheid en gebruikersgemak prioriteit gegeven. Soms is men gewoon te laks bij het verwijderen van autorisaties.

3.2.3. Omgaan met het risico: nauwkeurigheid, tijdigheid en betrouwbaarheid van gegevens

Ten aanzien van de aanwezigheid van goede gegevens werden in het onderzoek drie vragen gesteld (zie figuur 3.3) . De eerste betrof het beschikken over goede gegevens; de tweede handelde over de correctheid van gegevens en de derde ging in op de kans op fouten in deze gegevens. Duidelijk wordt uit figuur 3.3, dat anno 2009 er op het terrein van de aanwezigheid van gegevens direct gedacht wordt aan de kwaliteit van besturingsinformatie. Vijf van de negen organisaties gingen direct in op de kwaliteit van workflowgegevens of op die van managementinformatie. Anno 2009 weet het management voorts goed, welke gegevens men mist en wat dat betekent. Op de Hogeschool is er gebrek aan inzicht in de beschikbaarheid van lokalen. Bij de Hypotheker werkt men op basis van een actielijst, maar wordt niet afwerken van de actie niet echt ontdekt. Bij de Politie en het ziekenhuis is er vaak een gebrek aan juiste managementinformatie. In de praktijk leidt het ontbreken van de juiste gegevens tot imagoschade, tot onvoldoende inzicht in welke activteiten wel en welke niet winstgevend zijn, tot het verkeerd terecht komen van facturen, enz. Als er fouten in de gegevens zitten, dan komen zij in het algemeen door het nog aanwezig zijn van handwerk. Steeds meer worden foutieve gegevens ook veroorzaakt door een foutieve aanlevering van data uit de keten. Soms moet een organisatie meermalen dezelfde gegevens opnieuw invoeren; soms zijn de gegevens van derden niet nauwkeurig of actueel genoeg; soms komt het door dat mensen niet echt weten, wat het belang is van het hebben van gegevens is. Ondermeer de CJIB en de Hypotheker hebben maatregelen getroffen om tot een optimale invoer van gegevens te komen.

36


Vraag

Zijn de belangrijkste gegevens voor het bedrijfsproces altijd beschikbaar?

Zijn de gegevens soms incorrect en wat zijn daarvan de gevolgen?

Kan een niet-ICT-gerelateerde oorzaak ervoor zorgen dat de informatie onbeschikbaar of incorrect is?

Fontys

Ja, maar de beschikbaarheid van lokalen moet beter inzichtelijk worden

Imagoschade, dat kost instroom van nieuwe studenten

Menselijk handelen brengt fouten met zich mee

Amphia

Ja, patiëntgegevens wel, met managementdata zijn er nog problemen

Er is onvoldoende inzicht in winst- en verliesgevende zorg

Patiëntgegevens moeten vaak opnieuw ingevoerd worden, dit geeft fouten

Achmea

Ja, deze zijn online 24 uur per dag beschikbaar, behalve zaterdag van 0.00 tot 8.00

Dan komen veel vorderingen verkeerd terecht

Handmatige invoer is minimaal, maar komt voor

NXP

Ja, de operationele data wel

Financiële data zijn 100% correct. Controle van andere gegevens is afhankelijk van de prioriteit.

ISO/TS 16949 geldt en vele checks zijn in de systemen ingebouwd

Hypotheker

Men werkt op basis van een actielijst, maar als men die niet afwerkt, dan wordt dit niet ontdekt

Gegevens zijn vrijwel nooit incorrect, alles is met verklaringen onderbouwd

Verkeerde spellingen leiden tot lang zoeken, maar de data worden altijd gevonden

IB-Groep

Ja, 98% van de gegevens wel. Uitslagen van schoolexamens moeten op tijd binnen zijn.

Dan worden studiefinanciering, schoolbekostiging enz. verkeerd uitbetaald

De IB-Groep is vrij afhankelijk van derden voor persoonsgegevens van gemeenten, info van scholen enz.

Kadaster

Ja, een workflow management system zorgt dat men de termijnen haalt

Imagoschade en claims, het Kadaster is hiervoor verzekerd

Bijvoorbeeld bij brand, overstroming of stroomuitval, het beheer heeft daarom twee locaties

Politie

Ja, operationele data wel, managementdata niet altijd. De onbeschikbare gegevens zijn meestal met een wachtwoord beveiligd.

Dan komen er verdachten vrij, krijgen verkeerde mensen een boete en lijden we imagoschade. De politie kan nog groeien in managementinformatie.

Foute invoer komt voor, daarnaast treedt er verlies van kennis op

CJIB

Ja, negen systemen met uptime van 98,9%

Dan komt de levensvatbaarheid van de organisatie in gevaar, want dan zijn we een onbetrouwbare partner voor politie en Justitie

Kans op menselijk falen is in kaart gebracht, waar nodig zijn extra controles ingevoerd

Organisatie

Figuur 3. Hoe organisaties aankijken tegen de kwaliteit van de gegevens.

Vraag

Figuur 3.3: Kijken naar de kwaliteit van de gegevens Hoe vaak overschrijden projecten Leveren de projecten de verwachte Wat zijn de gevolgen van het falen voordelen op, hoe vaak en in welke mate? Geef een percentage of indicatie.

of vertragen van een een project?

Welke grote koerswijzigingen verwacht men in de komende tijd en hoe goed zal de ICT deze kunnen ondersteunen?

Organisatie

met een behoorlijke ICT-component de geplande tijd of het geplande budget?

Achmea

Bijna altijd

In 80% van de gevallen halen we

Dan kan er geen verkoop plaats-

Kostenreductie is het doel: lagere

Het CJIB voert zo nodig extra Incontroles in. De Hypotheker stelt dat dit probleem Fontys Naar schatting 50% van de projecten 80% van de gevallen Dan moet men langer wachten en Men werkt aan een betere gaat over de geraamde tijd en het er frustatie op beschikbaarheid van centraal is onderkend enbudget datheen, inerte voeren gegevens vrijweltreedt altijd worden onderbouwd door geraamde opgeslagen administratieve wordt waarschijnlijk onvoldoende gegevens projectmatig verklaringen van gewerkt derden. De werkgever levert een brief aan met de loonsom. De Amphia Bijna altijd, de geschatte tijd wordt In 80% van de gevallen behalen Trend is gestandaardiseerde zorg en gemeente het enz. enz. laag in de organisatie Frustatie en weggegooid geld in 80% trouwboekje van de gevallen overschreden we voordelen, marktwerking bij producten niet altijd vinden kosten per polis de eisen, er is altijd een evaluatie Duidelijk wordt voorts dat goede informatie vitaal is voor de onderzochte organiachteraf saties en dat foute gegevens Omvan claims te dekken vandaar NXP Soms, maar de recent ingevoerde gevolgen In 80-90% van dekunnen gevallen halen hebben. Dat is afhankelijk het project, afGebruik van SaaS-oplossingen projectmanagementmethode helpt we die, maar kostenreducties zijn maar bij warehousing is het echt waar mogelijk dit te monitoren moeilijk te traceren prijzig derden ontstaan foor foutieve vaak gegevens in de door haar bijgehouden registraties Hypotheker Vaak, applicaties worden namelijk Niet altijd, de veranderingen maken Dan duurt het printen lang en moet Vergrote inzichtelijkheid voor de heeft het Kadaster zich verzekerd. Het CJIB stelt dat in dit geval de levensvatbaaralleen geïnstalleerd bij stabiel het proces trager de klant wachten klant functioneren heid van haar organisatie in gevaar komt. Zij moet een betrouwbare partner voor IB-Groep Zeer regelmatig, dit komt door De voordelen zitten soms in Dan vraagt de politiek om IB-Groep en CFI fuseren tot DUO, inschattingsfouten kwaliteit en effectiviteit, soms merkt in verantwoording ook de hun ICT-systemen worden en dan Justitie en politie zijn. NXP Semiconductors op dat zij zich wat kwaliteit efficiency geïntegreerd beschikbaarheid haar informatie sterk richt op norm ISO/TS Delen 16949. Kadaster Best vaak, wevan gebruiken PRINCE2, De meeste verwachte voordelen Falen de gebeurt zelden, meestal van het Kadaster worden

maar altijd delta

worden gehaald

treedt er alleen vertraging op

geoutsourcet

Politie

50-60% verloopt volgens plan

Techniek en kwaliteit, business en efficiëntie kan beter

Complexiteit neemt nu toe, 26 korpsen moeten door één deur kunnen

Van regionaal naar landelijk, van fysiek werk naar virtueel en informatiewerk

CJIB

Soms

In 80-90% van de gevallen

We staan nooit voor verrassingen, projecten worden met methodiek aangevlogen

Vervanging legacysysteem, in de toekomst het uitvoeren van de kilometerheffing

Figuur 4. Hoe organisaties aankijken tegen wendbaarheid van ICT.


37

3.3.4. Wendbaarheid van de inzet van ICT

Vraagt Vraag menZijnde managers van de ICT Zijn gebruikende organisatie Kan naar de agility van de belangrijkste gegevens voor het de gegevens soms incorrect en wat zijn een niet-ICT-gerelateerde oorzaak bedrijfsproces altijd beschikbaar? daarvan de gevolgen? ervoor zorgen dat de informatie onbeschikbaar hun ICT, dan constateert men dat anno 2009 veel ICT projecten te lang duren en of incorrect is? Organisatie meer kosten dan gepland. (zie figuur 3.4) Wel worden de beoogde voordelen vaak Fontys Ja, maar de beschikbaarheid van lokalen moet Imagoschade, dat kost instroom van nieuwe Menselijk handelen brengt fouten met zich mee beter inzichtelijk worden studenten gehaald. Getallen van in de tachtig tot negentig procent van de ondernomen projecAmphia Ja, patiëntgegevens wel, met managementdata Er is onvoldoende inzicht in winst- en verliesgePatiëntgegevens moeten vaak opnieuw zijn er nog problemen vende zorg of die meer kosten ingevoerd worden, dit geeft fouten ten, die of langer duurden dan voorspeld, dan vooraf afgesproken, Ja, deze zijn onlineduurden, 24 uur per dag beschikbaar, Dan komen veel vorderingen verkeerd terecht Handmatige invoerDe is minimaal, maar komt voor ofAchmea die zowel langer als meer kosten, werden gerapporteerd. techniek behalve zaterdag van 0.00 tot 8.00 enNXPde kwaliteit van de oplossing is vaak goed, kijken we naar de optimale vervulling Ja, de operationele data wel Financiële data zijn 100% correct. Controle van ISO/TS 16949 geldt en vele checks zijn in de gegevens is afhankelijk van de prioriteit. ingebouwd van business eisen en het handig zijnandere van de oplossing in het systemen gebruik, dan blijven Hypotheker Men werkt op basis van een actielijst, maar als Gegevens zijn vrijwel nooit incorrect, alles is met Verkeerde spellingen leiden tot lang zoeken, die nietfalen afwerkt, dan wordtprojecten dit niet ontdekt verklaringen onderbouwd zelden tot nooit maar devoor. data wordenDit altijd gevonden er wensen.men Echt van komt echter lijkt zijn IB-Groep Ja, 98% van de gegevens wel. op Uitslagen van Dan worden voorkomen studiefinanciering, schoolbekostiging Dehanteren IB-Groep is vrij afhankelijk van derden voor oorzaak te hebben in het ruime schaal van het van methoden schoolexamens moeten op tijd binnen zijn. enz. verkeerd uitbetaald persoonsgegevens van gemeenten, info van scholen enz. zoals Prince-2 (Kadaster). Kadaster

Ja, een workflow management system zorgt dat men de termijnen haalt

Imagoschade en claims, het Kadaster is hiervoor verzekerd

Bijvoorbeeld bij brand, overstroming of stroomuitval, het beheer heeft daarom twee locaties

DePolitiereden voor het over tijd en over budget zijn, wordt veroorzaakt door Ja, operationele data wel, managementdata niet Dan komen er verdachten vrij, krijgen simpelweg Foute invoer komt voor, daarnaast treedt er altijd. De onbeschikbare gegevens zijn meestal verkeerde mensen een boete en lijden we verlies van kennis op met eenvan wachtwoord imagoschade. De politie kan nog groeien in het inschatten hetbeveiligd. project (IB-Groep, NXP Semiconductors), dat men eigenlijk managementinformatie. alleen installeert als er sprake is van Dan echt functioneren (Hypotheker) engebracht, dat CJIB Ja, negen systemen met uptime van 98,9% komt destabiel levensvatbaarheid van de organisatie Kans op menselijk falen is in kaart in gevaar, want dan zijn we een onbetrouwbare waar nodig zijn extra controles ingevoerd voor politie(Fontys en Justitie men meer projectmatig zou moeten partner werken Hogeschool voor ICT). Figuur 3. Hoe organisaties aankijken tegen de kwaliteit van de gegevens.

Vraag

Hoe vaak overschrijden projecten met een behoorlijke ICT-component de geplande tijd of het geplande budget?

Leveren de projecten de verwachte voordelen op, hoe vaak en in welke mate? Geef een percentage of indicatie.

Wat zijn de gevolgen van het falen of vertragen van een een project?

Welke grote koerswijzigingen verwacht men in de komende tijd en hoe goed zal de ICT deze kunnen ondersteunen?

Fontys

Naar schatting 50% van de projecten gaat over de geraamde tijd en het geraamde budget heen, er wordt waarschijnlijk onvoldoende projectmatig gewerkt

In 80% van de gevallen

Dan moet men langer wachten en treedt er frustatie op

Men werkt aan een betere beschikbaarheid van centraal opgeslagen administratieve gegevens

Amphia

Bijna altijd, de geschatte tijd wordt in 80% van de gevallen overschreden

In 80% van de gevallen behalen we voordelen, laag in de organisatie niet altijd

Frustatie en weggegooid geld

Trend is gestandaardiseerde zorg en marktwerking bij producten

Achmea

Bijna altijd

In 80% van de gevallen halen we de eisen, er is altijd een evaluatie achteraf

Dan kan er geen verkoop plaatsvinden

Kostenreductie is het doel: lagere kosten per polis

NXP

Soms, maar de recent ingevoerde projectmanagementmethode helpt dit te monitoren

In 80-90% van de gevallen halen we die, maar kostenreducties zijn vaak moeilijk te traceren

Dat is afhankelijk van het project, maar bij warehousing is het echt prijzig

Gebruik van SaaS-oplossingen daar waar mogelijk

Hypotheker

Vaak, applicaties worden namelijk alleen geïnstalleerd bij stabiel functioneren

Niet altijd, de veranderingen maken het proces trager

Dan duurt het printen lang en moet de klant wachten

Vergrote inzichtelijkheid voor de klant

IB-Groep

Zeer regelmatig, dit komt door inschattingsfouten

De voordelen zitten soms in kwaliteit en effectiviteit, soms in efficiency

Dan vraagt de politiek om verantwoording

IB-Groep en CFI fuseren tot DUO, ook hun ICT-systemen worden dan geïntegreerd

Kadaster

Best vaak, we gebruiken PRINCE2, maar altijd delta

De meeste verwachte voordelen worden gehaald

Falen gebeurt zelden, meestal treedt er alleen vertraging op

Delen van het Kadaster worden geoutsourcet

Politie

50-60% verloopt volgens plan

Techniek en kwaliteit, business en efficiëntie kan beter

Complexiteit neemt nu toe, 26 korpsen moeten door één deur kunnen

Van regionaal naar landelijk, van fysiek werk naar virtueel en informatiewerk

CJIB

Soms

In 80-90% van de gevallen

We staan nooit voor verrassingen, projecten worden met methodiek aangevlogen

Vervanging legacysysteem, in de toekomst het uitvoeren van de kilometerheffing

Organisatie

Figuur 4. Hoe organisaties aankijken tegen wendbaarheid van ICT.

Figuur 3.4: Kijk op de wendbaarheid van ICT

38


Tenslotte merken een aantal organisaties op dat voor hen veranderingen op het vlak van ondersteuning door ICT voor de deur staan. Bij het Kadaster wordt sterk gedacht aan het meer outsourcen van ICT activiteiten, hetgeen een ander risicoprofiel met zich meebrengt. Bij het CJIB ziet men veranderingen door de komst van het rekeningrijden. Bij Achmea ligt de nadruk op het in drie jaar komen tot procesverbetering en applicatiesanering. Bij Fontys wil men komen tot een betere beschikbaarheid van centraal opgeslagen administratieve gegevens. Bij de IB-Groep zal men per 1/1/2010 gefuseerd zijn met het CFI, wat tot integratie zal leiden van een aantal ICT activiteiten. NXP Semiconductors merkt voorts op, dat fusies nog wel eens voorkomen en dat dan vanaf dag één van een fusie het overgenomen bedrijf met de ICT applicaties van NXP Semiconductors moet kunnen werken, De conclusie op dit terrein is, dat vele veranderingen in een organisatie anno 2009 door ICT worden ondersteund; dat deze ondersteuning pas in productie wordt genomen als zij stabiel is en dat dit vaak leidt tot over tijd en over budget in productie nemen van de resultaten van projecten.

3.3.

Typen van maatregelen

3.3.1. Maatregelen op het terrein van ICT

In figuur 3.5 en 3.6 zijn de maatregelen weergegeven, die organisatie nemen op het terrein van ICT om tot een verantwoord niveau qua te lopen IT risico’s te komen. In het algemeen is de richting van deze maatregelen helder: de trend is te komen naar een grotere standaardisatie op het terrein van ICT. Hierbij zijn er gradaties wat betreft niveau, waarop gestandaardiseerd wordt, te onderkennen. Het facilitair bedrijf van Fontys merkt op dat haar infrastructuur zowel technisch als informatisch in hoge mate is gestandaardiseerd, maar dat wat betreft applicaties de instituten binnen de hogeschool soms hun eigen applicaties op deze infrastructuur zetten. Het facilitair bedrijf kan in dezen slechts de voorwaarden stellen, waaraan applicaties moeten voldoen. Andere organisaties stellen, dat zij qua infrastructuur en applicaties wel de weg naar meer standaardisatie zijn ingeslagen, maar dat zij te maken hebben met erfenissen uit het verleden. Dit leidt er bijvoorbeeld toe, dat niet altijd alle ICT voorzieningen meer kunnen worden ondersteund.


39

Onderwerp

Is het ICT-beleid gestandaardiseerd?

Ondersteunen leveranciers de ICTvoorzieningen?

Is de ICT-infrastructuur minder dan tien jaar geleden vernieuwd?

Doet men aan kostenbeheersing door standaardisatie van delen van het beleid? Zo ja, waarom?

Zijn de ICTvoorzieningen gedetailleerd beschreven? Is deze beschrijving up to date?

Is er permanente aandacht voor het vernieuwen en bijhouden van de ICT?

Geeft het ICTbeleid helder een richting aan?

Zijn er kansen voor vernieuwing?

Gebruikt men best practices?

Fontys

Technische en informatische infrastructuur ja, qua applicaties nee, al zijn er wel voorwaarden

De meeste wel. ICT host de applicaties, het instituut kiest ze uit.

Er is vernieuwd in 2000 en 2005 vanwege servercentralisatie en de toename van het aantal laptops

Ja

Ja

Ja, op basis van een ontwikkelplan

Nee, er zijn technische kaders

Nee, de basis is goed

Zo mogelijk gaat alles volgens standaarden

Amphia

Technisch en informatisch ja, qua applicaties minder

Ja

De basis is vernieuwd in 20052007, de oude infrastructuur gaat volgens plan weg

Ja, beheersbaarheid en uitwisselbaarheid staan voorop

60 to 80 procent staat beschreven, dit is genoeg

Ja, er zitten architecten op

Ja, inkoop past het toe

Ja, men doet altijd aan innovatie

Mondjesmaat

Achmea

Technisch ja, voor het overige is er een trend naar standaardisatie

Ja, behalve de legacyapplicaties

Nee, dit krijgt nu aandacht

Ja, vanwege mogelijke imagoschade

Ja, dit wordt één keer per jaar nagekeken

Ja

Ja

Ja, alles gaat naar een beperkt aantal doeldomeinen

Ja: BiSL, ASL enzovoort

NXP

Ja, maar in de productieomgeving minder

Ja, er is verder een wereldwijde helpdesk

Ja, wat betreft de datacenters is dit nu aan de gang

Ja, maar ook uit securityoverwegingen

Ja, er is een upto-date CMDB en er is een plan per locatie

Ja, vanwege de kosten

Ja

Ja, er is altijd een trend naar SaaS

Ja: ITIL en CobiT

Hypotheker

Technisch, informatisch en qua applicaties ja

Ja, een deel van de applicaties is zelfgemaakt

Ja, centraal en standaard

Nee, beheersbaarheid staat voorop

Niet helemaal, wel voor een groot deel

Ja

Nee

Nee

Ja: ITIL, TMap, PRINCE2

IB-Groep

Technisch en informatisch ja, qua applicaties deels

Ja, er zijn supportcontracten

Ja, er is geïnvesteerd in applicatieservers

Ja, maar de dienstverlening staat voorop

Ja, er is een aantal CMDB’s voor infrastructuur en applicaties

Ja, maar dit staat niet voorop

Er is een architectuur

Dit is lastig bij gebrek aan middelen

Ja: BiSL, ASL, DYA enzovoort

Kadaster

Ja, er is een uniforme exploitatieomgeving

Ja, als de kostenbatenverhouding gunstig is

Ja, maar er zijn ook extra taken bijgekomen

Ja, door de kredietcrisis is er minder geld

Ja

Ja, men loopt maximaal 1 versie achter

Ja, er is een architectuur

Ja, de focus ligt nu op mobiliteit en 24x7 bereikbaarheid

Ja, audits van KPMG

Grote overheidsdienst

Voor infrastructuur en applicaties ja

Bijna alle, de risico’s worden onderkend

Deels, dit krijgt nu aandacht

Ja, dit krijgt altijd aandacht

Legacyapplicaties zijn minder goed beschreven

Ja, maar het vernieuwen gaat te traag

Ja

Ja, via applicatierationalisatie

Ja: CMMI, ASL en RUP

CJIB

Ja, maar er is nog legacy

Alles, soms via Ministerie van Justitie

Hier is men nu mee bezig

De kosten worden verantwoord

Ja, helemaal

Ja

Dit kan explicieter

Vernieuwingen worden plateausgewijs ingevoerd

Ja, CobiT voor ICT en risicomanagement

Organisatie

Figuur 2. Verminderen van IT-risk door ICT-gerelateerde maatregelen. Onderwerp

Figuur 3.5: Verminderen vanIsICT risk door o.a. grotere standaardisatie, ondersteuning door Welke rollen Zijn er er een Gebruikt men een Gebruikt men Zijn er audits? Zo Welke processen Legt de

Hoe is het risicomanagement georganiseerd?

onderkent men?

risicocategorieën

actueel register

methode voor

commissies en

Zo ja, welke?

beleidsbesluiten voor te bereiden?

ja, hoe vaak?

of producten zijn

organisatie

wetgeving?

op principes en standaarden?

geïdentificeerd? aanwezig? risico-inschatting? taskforces om het hebben van gebonden sterkeetc. nadruk leveranciers, documenteren, regelmatig vernieuwen ICT, ICTaanbeleid

Organisatie Fontys

Er is iemand op Fontysniveau, maar geen risk officer

Er zijn geen aparte rollen

Ja, de algemene risico’s zijn helder

Nee, men start pas als er een probleem optreedt

Ja: PRINCE2 en ITIL

Nee

Vijf jaar geleden was er een ITIL quick scan

Er geldt alleen algemene wetgeving, bijvoorbeeld omtrent privacy

Ja, dit komt overal in terug

Amphia

Dit wordt met raad van bestuur geregeld via de stuurgroep ICT

Onder andere die van risk officer

Ja, via NEN 7510-compliance

Ja

Ja: Spark of Sprint

Ja, privacycommissie en stuurgroep ICT

Eén keer per jaar is er een risicoanalyse

Ja: WGBO, Wbp, eisen voor GBZ, NEN 7510, EPD-wet

Ja, zo veel mogelijk

Achmea

Er is een team met risk officers

Changemanager, risk officer enzovoort

Ja

Slechts in beperkte vorm

Ja: DICE voor projecten

Ja, teams bestaan onder andere externen

Ja, dit loopt via de afdeling voor risk audits

Ja, vele

Ja, dit gebeurt steeds meer vanwege een fusie in de organisatie

NXP

Dit is onderdeel van de ICT-organisatie, verder is er een information security policy board

Er zijn afdelingen voor information security en auditing

Nee, maar men is wel compliant aan de standaard van het Information Security Forum

Het securityplan voor 2009-2012 is in ontwikkeling

Ja: ISF, Firm

Ja

Ja, er zijn projectaudits, interne audits en externe audits voor SOx

Ja: privacywetgeving, SOx, ECC. ICT heeft hiervoor banden met andere afdelingen binnen NXP, zoals Legal en Trade.

Ja, dit maakt beheer eenvoudiger en het is goedkoper

Hypotheker

Dit wordt vooral rond projecten geregeld


Deze zijn bekend

Ja, dit wordt één keer per jaar bekeken

Nee

Ja , er is een stuurgroep

Ja, er zijn externe audits

Ja, de adviezen zijn te reconstrueren uit het archief

Ja

IB-Groep

Dit is in ontwikkeling

De rol van risicomanager is in ontwikkeling

Ja

Er is een register van lijnen projectrisico’s

Ja: sessies, PRINCE2, COSO II

Lokaal beleid via directie

Er zijn interne en externe audits gedaan

Ja, het hele primaire proces is gebaseerd op wetten

Ja, maar de naleving is soms mager

Kadaster

Er is een beveiligingsmanager, geen risicomanager

Er is een standbymanager en een calamiteitenmanager

Ja, P1 tot P5

Nee

Deels, men maakt een walkthrough voor elke nieuwe applicatie

Businesscases gemaakt in teams

Er zijn veel audits, één keer per per drie jaar is er een benchmark

Ja, het hele primaire proces

Ja, maar de impact op de exploitatie is beperkt


Dit wordt per afdeling geregeld

Assessment, audit en securityanalyse

Ja: continuïteit, onderhoudbaarheid, kosten

Ja, maar slechts ten dele

Ja, door het meten en schatten van onder andere functiepunten

Ja, bijvoorbeeld voor kosten

Nee, er zijn scans

Ja, een Wiki beschrijft de relatie tussen applicaties en wetgeving

Ja, dit gebeurt via architectuurstandaarden

CJIB

Auditing geschiedt samen met de afdeling voor risicomanagement

Projectleiders managen het risico

Ja: toegang, changes, kennis, continuïteit enzovoort

Nee

Ja: CRAMM plus de VIB-richtlijnen

Nee, dat doen de adviseurs

Ja, elke vijf jaar is er een audit op de processen, elke paar maanden is er een op de bedrijfsvoering


Dit gebeurt nog te weinig, maar men is op weg naar een startarchitectuur met go-or-no-go momenten

Opvallend is dat vernieuwing van infrastructuur in de laatste jaren een hot topic is. De meeste onderzochte organisaties hebben dit recent gedaan (Amphia), zijn ermee bezig (CJIB, IB-Groep, Achmea) of hebben het op de agenda staan (grote overheidsdienst). Fontys merkt op, dat men al rond 2000 een nieuwe infrastructuur heeft aangelegd, toen men de vele ICT-afdelingen van 38 scholen – elke school had zijn eigen ICT afdeling- bij elkaar voegde. Rond 2005 waren voorts vernieuwingen in deze infrastructuur nodig, toen men meer mobiel ging werken.

Op het terrein van documentatie kan men stellen, dat vaak in voldoende detail de ICT voorzieningen zijn gedocumenteerd. Daar waar dit niet altijd het geval is (Politie) is de mindere documentatie te wijten aan de aanwezigheid van legacy. Uit figuur 3.5 wordt tenslotte duidelijk, dat niet immer een geschreven , overkoepelend ICT beleid aanwezig is. Wel zijn qua ICT voorzieningen de richtlijnen helder en werkt men vaak met een architectuur. Als er wel een beleid aanwezig is , dan past men dit direct toe bij de inkoop van ICT (Amphia ziekenhuis).

Figuur 3. Verminderen van IT-risk door beter te organiseren.

40


Onderwerp

Beschikt men over een back-up and restore policy?

Wat is het verloop van ICT-personeel?

Is er een continuiteitsplan? Hoe vaak doet men een review?

Zijn er gegevens over de beschikbaarheid?

Welke autorisatie is er nodig voor toegang tot informatie?

Moeten externen tekenen voor toegang?

Is er begrip tussen organisatie en ICT en omgekeerd?

Gebruikt de organisatie een producten- of dienstencatalogus?

Zijn de applicaties consistent met de huidige en geplande standaarden?

Fontys

Er is beleid: studenten niet, de rest wel

10 procent, maar er is goede documentatie

Nee, na 2010 zal dit wel aanwezig zijn

Ja, één keer per maand is er een rapport

Username en password, soms extra’s

Ja, dit geldt voor stagiairs en externen

De infrastructuur is een nutsvoorziening

Ja

Applicaties zijn onderling niet consistent

Amphia

Ja, dit is echt uitgekristalliseerd

Enkele procenten

Nee, dit komt nog

Ja, maar deze worden niet verspreid

Dit loopt via de leiding, niet via de systeemeigenaar

Dit is niet geregeld

Het begrip bij operations is goed


Nee, maar er is wel standaardisatie in de uitwisselingen

Achmea

Ja, plus uitwijk

Minder dan 1 procent

Ja, één keer per jaar is er een test

Ja, de uptime is 99,8 procent. Eén keer per week is er een rapport.

Username, password en pasje

Ja, dit is bij wet verplicht

Dit blijft knellen

Ja

Nee, maar wat er nu nieuw bijkomt wel

NXP

Ja, dit is een standaard securityeis in alle contracten

Het laatste jaar was dit 10 tot 15 procent vanwege outsourcing

Ja, één keer per jaar is er een review

Ja, er zijn standaard SLR’s voor providers

Dit is afhankelijk gemaakt van het profiel door de applicatie-eigenaar

Ja, er is non-disclosure agreement

Er is een linking pin

Ja

Ja, er is een strategie en een architectuurafdeling, maar 100 % consistentie is onhaalbaar

Hypotheker

Ja, plus uitwijk

5 tot 7 procent

Ja, elke drie maanden is er een update

Ja, één keer per maand is er een rapport

Logging en autorisatie op personen

Ja, volgens ISO 27000

Deels, er is overleg

Ja

Ja

IB-Groep

Ja, plus uitwijk en een plan om de gevolgen van uitwijk te ondervangen

1 tot 15 procent via interne mediatie

Ja, twee keer per jaar is er een review

Ja, deze is nodig voor de opdrachtgevers

Dit is afhankelijk van het profiel en de rol

Ja, plus controle

Dit is wisselend

Ja

Nee, in fasen migreert men naar een service-oriented architecture

Kadaster

Ja, op twee locaties met een dubbele back-up

Minder dan 5 procent, WAN en exploitatie zijn extern

Ja, zes keer per jaar is er een review, twee keer een test

Ja, deze gaat maandelijks naar de business

Ja, dit loopt via de manager

Ja

Dit is een moeilijk punt

Ja

In grote lijnen ja, bij exploitatie en testen zeker


Ja, met een SLA. Dit werkt uitmuntend!

Minder dan 5 procent

Ja, twincenters

Ja

Dit loopt intern via de manager

Ja, plus screening

Ja

Men migreert het portfolio

CJIB

Er is een tapebackup

Minder dan 3 procent, er is groei

Ja, één keer per jaar is er een review

Ja, de uptime is 98,9 procent

Soms is er een logische toegangsbeveiligingsmatrix, soms is er extra actie nodig

Ja

Ja

Nee, alles wordt off the shelf vanwege de beheersbaarheid

Organisatie

Dit geeft hier veel spanning

Figuur 2, voortgezet.

Onderwerp

Figuur 3.6: Verminderen van ICT risico door o.a. het hebben van een backup’s en een

Ziet men in de organisatie het belang van kennis en intellectueel eigendom?

Is het denken over risico’s een integraal

Is er aandacht voor kwaliteit?

Is de bedrijfstak een mogelijk doelwit voor

Is het oké om over de risico’s te spreken?

Zijn er realistische budgetten en plan-

Delen de managers hun ervaringen met

plan voor verzekeren van de continuïteit, rapportages, beperkt verloop van deel van het dagelijks politiek of regelmatige sociaal ningen? risico’s?

Organisatie

handelen?

activisme?

mensen en zorgvuldige autorisatie.

Fontys

Nee, want er is weinig intellectueel eigendom

Nee, men denkt wel aan beschikbaarheid

Er is geen certificering

Nee

Ja

Ja, plus een tweewekelijks rapport

Onvoldoende

Amphia

Nog niet echt

Nee

Nee, maar dit wisselt per maatschap

Nee, maar dat kan veranderen

Ja, maar falen is onacceptabel

Ja, men gebruikt PRINCE2

Ja

Achmea

Ja, hiervoor zijn richtlijnen

Ja, er zijn standaardtemplates

Ja, er zijn methodes en CMMI

Ja, daarom er is ook zware monitoring

Ja, anders wordt falen een probleem

In 70 procent van de gevallen haalt men dit niet

Ja, informeel

NXP

Ja, men leeft van intellectueel eigendom. Er is een wekelijkse NXP newsletter

Dit is binnen project ingebouwd, anders is er wel awareness

Ja, ISO 9000-9001, CobiT enzovoort

Nee, men heeft meer last van spionage, fraude enzovoort

Ja, maar er is altijd een kosten-batenafweging

Ja, vooral voor sturing op grote projecten

Er is een vrij open cultuur, dit bevordert de communicatie!

Hypotheker

Ja, voor elke applicatie wordt drie man opgeleid

Ja, binnen ICT zeker

Ja, CMM, AO en SAS 70

Nee

Dit gebeurt vooral vanuit ICT

Ja

Ja, er is formeel overleg

IB-Groep

Ja, maar er is geen intellectueel eigendom

Hier wordt aan gewerkt

Ja, vaak ISO-gecertificeerd, COSO 2, CMMI enzovoort

Nee

Ja, dit gebeurt onder andere per twee weken via portfolio’s

Ja, maar niet voor alles

Dit gebeurt binnen het team zeker

Figuur 3.6 geeft vervolgens verdere maatregelen op het terrein van ICT. Duidelijk is dat vrijwel alle onderzochte organisaties hun producten en diensten in een catalogus hebben neergelegd. Duidelijk is ook, dat, hoewel men vaak aangeeft over een architectuur voor ICT te beschikken en werkt volgens deze architectuur, er absoluut geen sprake van is, dat de huidige ICT voorzieningen voor meer dan 90% aan de eisen van deze architectuur voldoen. Dieper ingaand op figuur 3.5 wordt voorts helder, dat kijkend over organisaties heen er duidelijk sprake is van een zekere convergentie. Steeds komen methoden voor de inrichting van een ICT organisatie, zoals BiSL, ASL, ITIL en Cobit naar voren. Ook ten aanzien van backup/restore van gegevens is er sprake van een duidelijke situatie. Figuur 4. Het verminderen van IT-risk door awarenessverhoging. En wat betreft beschikbaarheid houdt men via rapportages de vinger aan de pols. Kadaster

Ja, maar niemand is onmisbaar

Ja, bij exploitatie is men hierop sterk gefocust

Ja, ISO en certificatie

Nee

Dit gebeurt in het wijzigingenoverleg

Ja, voor de exploitatie. Er is zelden te veel geld of tijd beschikbaar.

Dit gebeurt vooral intern


Ja, van intellectueel eigendom en kennisplatforms

Ja, dit is een speerpunt

Ja, onder andere INK, CMMI

Ja

Ja, er zijn rapporten voor diegenen met een need to know

Ja, op budget, niet op tijd

Beperkt

CJIB

Ja absoluut, mensen staan centraal

Ja, maar er is een grens

Ja, maar er is geen certificering

Ja, je hebt altijd het risico van gekken

Ja, maar dit wordt zakelijk benaderd

Budget is er wel, een tijdlijn is er nooit

Ja, informeel

Als men vraagt naar de aanwezigheid van een continuïteitsplan en naar de wijze waarop een organisatie zijn autorisaties toekent, zijn er wel verschillen (figuur 3.6).


41

Bij de hogeschool en bij het ziekenhuis staat het maken van continuiteitsplannen op de agenda voor 2010 of later.Als er sprake is van organisaties die wel beschikken over een dergelijk plan, dan springen het Kadaster en de Hypotheker eruit. Deze organisaties testen en reviewen hun continuïteitsplan meerdere malen per jaar. Bij het Kadaster gebeurt dit zelfs eens per twee maanden. Ten aanzien van autorisaties werken niet alle organisaties met rollen en daarbij horende profielen. Dit is wel het geval bij het CJIB en NXP Semiconductors. Soms wordt voorts elke handeling, die men op het systeem doet, vastgelegd. Sprekend over het gebruik van ICT door derden, zoals ingehuurde externen of leveranciers, wordt vrijwel overal opgemerkt, dat deze tevoren hiervoor een bepaalde verklaring moeten ondertekenen. Tenslotte één in het oog springend punt: naarmate inzet van ICT steeds meer als een nutsvoorziening wordt gezien, zoals bij Fontys en het Amphia ziekenhuis, merkt men op, dat er een onderscheid te maken is tussen het waarderen van de exploitatie van ICT én het waarderen van het onderhouden en ontwikkelen van ICT. Het begrip van de klant voor de exploitatie van ICT is groter, dan voor het werk op het terrein van ontwikkeling en onderhoud. In het algemeen blijkt verder dat het vragen naar het hebben voor begrip voor het werk van ICT, een vraag is, waarop de klantorganisatie niet immer stelt, dat bij hen dit begrip aanwezig is.

3.3.2. Organiseren om risico te beperken

Anno 2009 ziet men, dat organisaties behalve een afdeling voor compliance ook afdelingen en organisatieverbanden inrichten om daardoor onafhankelijk en permanent ICT-risico’s te monitoren en beoordelen. Op basis van hun werk adviseert een dergelijke voorziening aan het management over te nemen maatregelen. Uit figuur 3.7 komt naar voren, dat het hebben van een aparte afdeling voor risicomanagement, die aan de hoogste leiding rapporteert, alleen bij Achmea bestaat. Onderwerpen op dit terrein worden anders in de afdeling ICT behandeld (NXP Semiconductors), komen aan de orde in de stuurgroep automatisering (Amphia), zijn een bijtaak van een functionaris op college van bestuur niveau (Fontys) of komen in een project aan de orde (Hypotheker). Vaak wordt denken over IT risico beschouwd als onderdeel van het werk van een beveiligingsfunctionaris (Kadaster).

42


legacy

Ministerie van Justitie

mee bezig

verantwoord

worden plateausgewijs ingevoerd

en risicomanagement

Figuur 2. Verminderen van IT-risk door ICT-gerelateerde maatregelen. Onderwerp

Hoe is het risicomanagement georganiseerd?

Welke rollen onderkent men?

Zijn er risicocategorieën geïdentificeerd?

Is er een actueel register aanwezig?

Gebruikt men een methode voor risico-inschatting? Zo ja, welke?

Gebruikt men commissies en taskforces om beleidsbesluiten voor te bereiden?

Zijn er audits? Zo ja, hoe vaak?

Welke processen of producten zijn gebonden aan wetgeving?

Legt de organisatie sterke nadruk op principes en standaarden?

Fontys

Er is iemand op Fontysniveau, maar geen risk officer


Ja, de algemene risico’s zijn helder

Nee, men start pas als er een probleem optreedt

Ja: PRINCE2 en ITIL

Nee

Vijf jaar geleden was er een ITIL quick scan

Er geldt alleen algemene wetgeving, bijvoorbeeld omtrent privacy

Ja, dit komt overal in terug

Amphia

Dit wordt met raad van bestuur geregeld via de stuurgroep ICT

Onder andere die van risk officer

Ja, via NEN 7510-compliance

Ja

Ja: Spark of Sprint

Ja, privacycommissie en stuurgroep ICT

Eén keer per jaar is er een risicoanalyse

Ja: WGBO, Wbp, eisen voor GBZ, NEN 7510, EPD-wet

Ja, zo veel mogelijk

Achmea

Er is een team met risk officers

Changemanager, risk officer enzovoort

Ja

Slechts in beperkte vorm

Ja: DICE voor projecten

Ja, teams bestaan onder andere externen

Ja, dit loopt via de afdeling voor risk audits

Ja, vele

Ja, dit gebeurt steeds meer vanwege een fusie in de organisatie

NXP

Dit is onderdeel van de ICT-organisatie, verder is er een information security policy board

Er zijn afdelingen voor information security en auditing

Nee, maar men is wel compliant aan de standaard van het Information Security Forum

Het securityplan voor 2009-2012 is in ontwikkeling

Ja: ISF, Firm

Ja

Ja, er zijn projectaudits, interne audits en externe audits voor SOx

Ja: privacywetgeving, SOx, ECC. ICT heeft hiervoor banden met andere afdelingen binnen NXP, zoals Legal en Trade.

Ja, dit maakt beheer eenvoudiger en het is goedkoper

Hypotheker

Dit wordt vooral rond projecten geregeld


Deze zijn bekend

Ja, dit wordt één keer per jaar bekeken

Nee

Ja , er is een stuurgroep

Ja, er zijn externe audits

Ja, de adviezen zijn te reconstrueren uit het archief

Ja

IB-Groep


De rol van risicomanager is in ontwikkeling

Ja

Er is een register van lijnen projectrisico’s

Ja: sessies, PRINCE2, COSO II

Lokaal beleid via directie

Er zijn interne en externe audits gedaan

Ja, het hele primaire proces is gebaseerd op wetten

Ja, maar de naleving is soms mager

Kadaster

Er is een beveiligingsmanager, geen risicomanager

Er is een standbymanager en een calamiteitenmanager

Ja, P1 tot P5

Nee

Deels, men maakt een walkthrough voor elke nieuwe applicatie

Businesscases gemaakt in teams

Er zijn veel audits, één keer per per drie jaar is er een benchmark


Ja, maar de impact op de exploitatie is beperkt


Dit wordt per afdeling geregeld

Assessment, audit en securityanalyse

Ja: continuïteit, onderhoudbaarheid, kosten

Ja, maar slechts ten dele

Ja, door het meten en schatten van onder andere functiepunten

Ja, bijvoorbeeld voor kosten

Nee, er zijn scans

Ja, een Wiki beschrijft de relatie tussen applicaties en wetgeving

Ja, dit gebeurt via architectuurstandaarden

CJIB

Auditing geschiedt samen met de afdeling voor risicomanagement

Projectleiders managen het risico

Ja: toegang, changes, kennis, continuïteit enzovoort

Nee

Ja: CRAMM plus de VIB-richtlijnen

Nee, dat doen de adviseurs

Ja, elke vijf jaar is er een audit op de processen, elke paar maanden is er een op de bedrijfsvoering


Dit gebeurt nog te weinig, maar men is op weg naar een startarchitectuur met go-or-no-go momenten

Organisatie

Figuur 3. Verminderen van IT-risk door beter te organiseren.

Figuur 3.7.: Verminderen van ICT risk door het nemen van organisatorische maatregelen, als vormgeven van een risicomanagementorganisatie, het benoemen van rollen en categorieën van risico’s, en het registreren van risico’s.

Kijkt men naar de rollen en functionarissen, die worden genoemd, dan wordt gesteld: • dat voor risicomanagement geen aparte organisatie eenheid met duidelijke functies ingericht is; • dat men een risk officer heeft; dat men rollen heeft op het terrein van security management and auditing; • dat men beschikt over een calamiteiten manager en een standby manager etc. etc.


43

Deze antwoorden geven aan , dat het volledig gescheiden denken en adviseren over IT-Risico, een terrein is dat in organisaties in ontwikkeling is. Dit merkt de IB-Groep dan ook expliciet op. Organisaties hebben wel immer hun risico’s goed voor ogen. Het Amphia ziekenhuis stelt dat de Amphia organisatie voldoet aan de eisen als gesteld in de norm NEN7510. De chip producent NXP Semiconductors merkt op dat zij in het kader van het uitvoeren van risk assessments werkt volgens de standaarden van het Information Security Forum. Alle onderzochte organisaties hadden sterk te maken met wetgeving. Sommigen merkten op dat hun bestaansrecht te danken is aan wetgeving (CJIB, Kadaster, IBGroep, grote overheidsdienst). Een andere merkt op, dat hieraan in de afgelopen jaren zowel de juridische afdeling als andere afdelingen meer aandacht geven. (NXP Semiconductors). Kijkt men voorts naar de aanwezigheid van een register met daarin de door de organisatie gelopen risico’s, dan merkt 50% van de onderzochte organisaties op, dat men over een dergelijk register niet beschikt. Uit figuur 3.7 blijkt voorts dat de organisatie bij de analyse van ICT risico’s niet eenduidig een bepaalde methode hanteren. Ofwel wordt door de onderzochte organisaties geen methode gebruikt, ofwel wordt door elke organisatie een andere methode genoemd, waaronder die van “Jan boerenfluitjes”.

3.3.3. Awareness om risico’s te beperken

Figuur 3.8 geeft de resultaten weer ten aanzien van het bewustzijn van de onderzochte organisaties. Duidelijk is, dat in de hogeschool en het ziekenhuis dit onderwerp niet bepaald aandacht krijgt. In de overige organisaties staat het op de agenda en krijgt dit de nodige aandacht bij het dagelijks werk. Kijkt men naar het auditen ten aanzien van risico, dan valt op, dat men het onderwerp IT risico ervaart als een onderwerp, dat deel uitmaakt van een audit door de auditafdeling van de organisatie. Zeker 70% van de onderzochte organisaties heeft regulier te maken heeft met audits. Niet gevraagd is of de audits van de genoemde auditafdelingen niet meer een focus hebben op het lopen van risico op vooral financieel terrein.

44


review

beveiligingsmatrix, soms is er extra actie nodig

wege de beheersbaarheid

Figuur 2, voortgezet.

Onderwerp

Ziet men in de organisatie het belang van kennis en intellectueel eigendom?

Is het denken over risico’s een integraal deel van het dagelijks handelen?

Is er aandacht voor kwaliteit?

Is de bedrijfstak een mogelijk doelwit voor politiek of sociaal activisme?

Is het oké om over de risico’s te spreken?

Zijn er realistische budgetten en planningen?

Delen de managers hun ervaringen met risico’s?

Fontys

Nee, want er is weinig intellectueel eigendom

Nee, men denkt wel aan beschikbaarheid

Er is geen certificering

Nee

Ja

Ja, plus een tweewekelijks rapport

Onvoldoende

Amphia

Nog niet echt

Nee

Nee, maar dit wisselt per maatschap

Nee, maar dat kan veranderen

Ja, maar falen is onacceptabel

Ja, men gebruikt PRINCE2

Ja

Achmea

Ja, hiervoor zijn richtlijnen

Ja, er zijn standaardtemplates

Ja, er zijn methodes en CMMI

Ja, daarom er is ook zware monitoring

Ja, anders wordt falen een probleem

In 70 procent van de gevallen haalt men dit niet

Ja, informeel

NXP

Ja, men leeft van intellectueel eigendom. Er is een wekelijkse NXP newsletter

Dit is binnen project ingebouwd, anders is er wel awareness

Ja, ISO 9000-9001, CobiT enzovoort

Nee, men heeft meer last van spionage, fraude enzovoort

Ja, maar er is altijd een kosten-batenafweging

Ja, vooral voor sturing op grote projecten

Er is een vrij open cultuur, dit bevordert de communicatie!

Hypotheker

Ja, voor elke applicatie wordt drie man opgeleid

Ja, binnen ICT zeker

Ja, CMM, AO en SAS 70

Nee

Dit gebeurt vooral vanuit ICT

Ja

Ja, er is formeel overleg

IB-Groep

Ja, maar er is geen intellectueel eigendom

Hier wordt aan gewerkt

Ja, vaak ISO-gecertificeerd, COSO 2, CMMI enzovoort

Nee

Ja, dit gebeurt onder andere per twee weken via portfolio’s

Ja, maar niet voor alles

Dit gebeurt binnen het team zeker

Kadaster

Ja, maar niemand is onmisbaar

Ja, bij exploitatie is men hierop sterk gefocust

Ja, ISO en certificatie

Nee

Dit gebeurt in het wijzigingenoverleg

Ja, voor de exploitatie. Er is zelden te veel geld of tijd beschikbaar.

Dit gebeurt vooral intern


Ja, van intellectueel eigendom en kennisplatforms

Ja, dit is een speerpunt

Ja, onder andere INK, CMMI

Ja

Ja, er zijn rapporten voor diegenen met een need to know

Ja, op budget, niet op tijd

Beperkt

CJIB

Ja absoluut, mensen staan centraal

Ja, maar er is een grens

Ja, maar er is geen certificering

Ja, je hebt altijd het risico van gekken

Ja, maar dit wordt zakelijk benaderd

Budget is er wel, een tijdlijn is er nooit

Ja, informeel

Organisatie

Figuur 4. Het verminderen van IT-risk door awarenessverhoging.

Figuur 3.8: Awareness, o.a. besef aanwezig? deel dadelijks handelen? aandacht voor kwaliteit? open communicatie over risico mogelijk? uitwisselen ervaring? enz.

Kwaliteit van proces en product is wel een onderwerp dat vrijwel overal de aandacht krijgt. Hierbij kan men constateren, dat het organisatieniveau wisselt waarop deze aandacht gegeven wordt. Bij het ziekenhuis wisselt dit zelfs per maatschap. Bij de IBGroep varieert het per organisatieonderdeel. In de overige onderzochte organisaties is er organisatiebreed hetzelfde beleid. Soms probeert men ook tot certificatie van processen te komen (IB-Groep). Soms is men, mede omdat dat de klanten dit eisen, gecertificeerd voor bepaalde processen (NXP Semiconductors). In alle organisaties is er een open cultuur wat betreft te lopen risico’s. Toch wordt het delen van ervaringen op dit terrein als matig gekenschetst (grote overheidsdienst, Kadaster, Fontys). Het delen van ervaringen op een formele wijze komt volgens de interviews alleen bij de Hypotheker voor. De ervaring blijkt voorts niet te zijn, dat krappe budgetten organisaties nopen tot het nemen van te hoge risico’s.


45

46


4. Conclusies In het voorgaande zijn zes benaderingen op een rij gezet die allemaal gaan over hoe met ICT-Risico’s om te gaan. De behandelde benaderingen verschillen. Soms is er een verschil qua invalshoek en soms is er een verschil qua gebied waar de benadering zich op richt. Gekozen is om omgaan met ICT risico te onderzoeken op managementniveau. Westerman (2007) stelt, dat de reden waarom organisaties risico’s lopen bij inzet van ICT, vaak voortkomt uit een gebrek aan overzicht bij de leiding over de impact van ICT en het ontbreken van echte sturing van die ICT op organisatieniveau. Dit sluit aan bij de resultaten van de global risk management survey van 2009 van Accenture. Dit survey geeft aan dat directies van organisaties stellen: • dat het te lopen en gelopen risico niet voldoende wordt meegenomen in de besluitvorming; • dat er een gebrek is aan afstemming tussen de bedrijfsstrategie en het risico dat realisatie hiervan met zich meebrengt; • dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. In dit onderzoek zijn dan ook leidinggevenden aan de gebruikerskant en aan de ICT kant ondervraagd. Dit is gebeurd door het afnemen van diepte interviews. Als ICT risico wordt in dit onderzoek gedefinieerd: “de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden.” Uit het onderzoek komt bij de managers aan gebruikerskant naar voren, dat anno 2009 beschikbaarheid van ICT niet als probleem gezien wordt. Het omgaan met de bescherming van gegevens is een groter punt van zorg. Niet immer zijn profielen ingericht, als men medewerkers toegang geeft tot ICT voorzieningen. Ook laat de logging van werkzaamheden door medewerkers op de ICT voorzieningen in het algemeen te wensen over. Op het terrein van de kwaliteit van de gegevens lijkt er voorts bij een aantal van de onderzochte organisaties qua kwaliteit van managementinformatie nog het nodige te winnen. Wat betreft agility wordt duidelijk, dat geen manager nieuwe ICT invoert indien deze ICT niet goed functioneert. Dit is vaak de reden voor budget- en tijdoverschrijdingen bij invoering van nieuwe ICT.


47

De manager van Fontys Hogeschool merkt voorts op (zie figuur 3.9) , dat iedere organisatie een ander accent kan leggen wat betreft ICT risico. Fontys eist als hogeschool in eerste instantie beschikbaarheid van haar ICT, maar ziet ook dat een betere kwaliteit van gegevens haar werk ten goed zou komen. Op de wensenlijst van de meeste organisaties staat echter duidelijk de wens naar een grotere wendbaarheid van ICT als eerste prioriteit. De leidinggevenden binnen ICT werden vervolgens ondervraagd over de maatregelen, die hun organisatie neemt om de risico’s bij inzet van ICT te verkleinen. Hierbij werd duidelijk, dat de onderzochte organisaties in hoge mate streven naar werken onder architectuur en dat hierbij in sterke mate wordt gestandaardiseerd. Helder werd voorts, dat exploitatie van ICT vaak als een facilitaire dienst wordt gezien. Deze dienst wordt beter gewaardeerd dan het leveren van ontwikkelings- en onderhoudsdiensten. Begrip kweken bij de klant voor deze laatste diensten lijkt niet zonder uitdaging. Het hebben van een aparte organisatie voor risicomanagement die aan de hoogste leiding rapporteert, werd alleen bij de verzekeraar aangetroffen. Bewustzijn van de bij inzet van ICT gelopen risico’s lijkt intern in organisaties aanwezig.

Vraag

Heeft de organisatie meer baat bij betere beschikbaarheid, bescherming, kwaliteit of wendbaarheid van ICT?

Hoe was u betrokken bij de keuzes omtrent de beveiliging en risicobeheersing van informatie en ICT?

Welk risicoaspect is in het voorgaande nog onderbelicht gebleven?

Welke ontwikkelingen vragen extra aandacht voor de ICT-risico’s?

Fontys

Enerzijds kwaliteit van data, anderzijds beschikbaarheid van ICT

Nauwelijks, maar Fontys ICT Services regelt dit perfect

Dat per organisatie verschilt welk risico het belangrijkst is

Fontys krijgt een eigen domein voor ICT

Amphia

Kwaliteit, patiënten hebben geen zorgen over de bescherming

Ik maak deel uit van de stuurgroep ICT

Het risico dat gebruikersgemak soms veroorzaakt

Er komen meer businessunits, dus meer scheiding

Achmea

Wendbaarheid, elke wijziging is nu lastig

Binnen de SAP-omgeving was ik betrokken als deskundige

Cultuur

Bezuinigingen

NXP

Beschikbaarheid van gegevens

Ik weet wat beveiligd moet worden, ICT voert het uit en beheert het

De vier A’s, waar men bij elke wijziging aan moet denken

Op ICT-gebied proberen we mee te lopen, nooit voorop

Hypotheker

Wendbaarheid, want er komen vele veranderingen aan

Helemaal niet, dit is een zaak voor het hoofdkantoor

Geen

Inloggen met een pasje, irisscan of fingerprint

IB-Groep

Wendbaarheid, bescherming is gewoon al goed geregeld

Bij het directeurenoverleg kwam dit aan de orde

Awareness

Fusie met CFI

Kadaster

Wendbaarheid, maar ook kwaliteit

De beveiliging wordt bepaald aan de hand van het beveiligingsboek

Awareness

Integriteit van de mensen

Politie

Vooral wendbaarheid, maar ook kwaliteit van de gegevens

Veel regels liggen landelijk vast, maar de CIO is wel betrokken bij de besluitvorming

Regie op uitbesteding moet beter

Er is een betere sturing op ICT nodig en men moet de vraag beter in beeld brengen

CJIB

Kwaliteit van gegevens en wendbaarheid

Ik was projectverantwoordelijke

Cultuur

Huidige ICT-middelen vaak niet ingericht op werken volgens Jericho

Organisatie

Figuur5. De prioriteiten aangaande IT-risk en de betrokkenheid.

Figuur 3.9 : De managers aan de gebruikerskant: betrokkenheid, belang, juiste balans onderzoek en de uitdagingen op dit terrein.

48


De slotconclusie van het onderzoek luidt, dat, naarmate ICT belangrijker wordt, de aandacht van de klanten van ICT wordt gericht op wendbaarheid van de inzet van ICT. De organisaties nemen maatregelen zoals grotere standaardisatie van ICT en werken onder architectuur. Zij staan aan het begin, als het gaat om het inrichten van een aparte organisatie, voor risicomanagement en ze moeten extra inspanning leveren om awareness van ICT-Risico’s levend te houden. Tot slot werd gevraagd naar onderbelicht gebleven aspecten. Alle managers gebruikerszijde maakten opmerkingen op het terrein van het besef van risico bij de medewerkers van de organisatie. Dit werd mede veroorzaakt, doordat de vragen over cultuur en besef aan de kant van de maatregelen aan de orde kwam en niet bij de interviews met de managers aan gebruikerszijde. Deze managers stonden vaak voor uitdagingen, welke risico’s bij de inzet van IT met zich brengen. (zie figuur 3.9).


49

50


Bijlagen Bijlage 1: Organisaties, die meewerkten aan het onderzoek

1. Achmea 2. Amphia Ziekenhuis 3. CJIB 4. Fontys hogeschool 5. de Hypotheker 6. IB-groep 7. Kadaster 8. NXP Semiconductors 9. de Politie. De kenniskring en de onderzoekers danken de geïnterviewde organisaties, te weten Achmea, Amphia Ziekenhuis, het CJIB, Fontys hogescholen, de Hypotheker, de IB-Groep, het Kadaster, de Politie, de chip producent NXP Semiconductors en Simac voor hun medewerking aan het onderzoek; de artikelen, die naar aanleiding van het onderzoek gepubliceerd zijn en dit boekje.


51

Bijlage 2: Interviewvragen a.

Omgaan met ICT risico: vragen aan een manager bij de gebruikers van ICT

1.

Beschikbaarheid van ICT

1. Welke belangrijke processen van uw organisatie zijn het meest afhankelijk van de inzet van ICT? 2. Wat zijn de gevolgen voor u als het systeem dat dit belangrijke proces ondersteunt, uitvalt? 3. Hoe lang kan worden doorgewerkt als dit belangrijke systeem niet werkt? 4. Hoe vaak is dit belangrijke systeem in de laatste 12 maanden uitgevallen en weet hoe waardoor? 5. Bent u met uw organisatie in staat de schade hiervan (zie vraag 4) te beperken?

2.

Bescherming van ICT

6. Welke informatie is vitaal voor uw organisatie? 7. Wat zijn de gevolgen als deze gegevens misbruikt worden? 8. Denkt u dat uw belangrijkste gegevens goed beschermd zijn en zo ja, waardoor denkt u dat? 9. Kunnen uw medewerkers bij meer gegevens dan strikt noodzakelijk is voor hun werk? 10. Op welke wijze hebben uw medewerkers toegang tot de gegevens die ze nodig hebben voor het uitvoeren van hun werkzaamheden? Antwoordindicatie: bijvoorbeeld het verwijderen van een autorisatie als mensen het bedrijf verlaten, profielen per functionele rol, aanmelding procedures, het hebben van autorisatie profielen

11. Zijn er procedures in werking om direct toegang tot gegevens te verwijderen, als er sprake is van beëindiging van een dienstverband, een contract etc.? 12. Hoe regelt u toegang tot gegevens voor uw organisatie: A: Voor externe krachten die werkzaam zijn in uw organisatie? B: Voor uw klanten en leveranciers die toegang moeten hebben tot uw gegevens?

52


3.

Kwaliteit van gegevens

13. Kunt u altijd op tijd beschikken over de juiste gegevens van uw belangrijkste bedrijfsproces? Antwoordindicatie: Bv. hebben we de voorraad de hele dag actueel of geeft om allerlei redenen de computer alleen om 0.00 uur ’s nachts de juiste informatie weer? Bv. is de informatie om te kunnen besluiten zo volledig dat men per klant over een compleet overzicht van alle door hem afgenomen producten en diensten kan beschikken, zodat men tot additionele verkopen zo nodig kan overgaan? Bv. is de informatie zo tijdig aanwezig, dat men tot extra inzet van middelen kan komen, omdat ofwel de distributie sneller verloopt of om dat klanten uitvallen?

14. Wat zou er gebeuren als die gegevens niet correct blijken te zijn? 15. Is er kans op non-beschikbaarheid van uw informatie of fouten in uw informatie door niet ICT gerelateerde oorzaken? Kunt u daar voorbeelden van noemen? Antwoordindicatie: fouten bij het doen van handmatige invoer - beperkt verificatie van de invoer van gegevens – verloren gaan van kennis over de uit te voeren werkzaamheden

4.

Wendbaarheid van de ICT

16. Hoe vaak overschrijden projecten met een behoorlijke ICT component de geplande tijd of het geplande budget? 17. Op welke wijze leveren deze projecten de verwachte voordelen op en hoe vaak? Geef een percentage als indicatie. 18. Wat zijn de gevolgen van het falen of het vertragen van een project? 19. Welke belangrijke koerswijzigingen van de organisatie worden de komende periode verwacht en hoe goed zou ICT deze kunnen ondersteunen?


53

5.

Algemeen

20. Waar heeft uw organisatie het meeste baat bij als u zou kunnen kiezen uit: A: Betere beschikbaarheid van uw gegevens B: Verbeterde autorisatie tot uw gegevens C: Verbeterde kwaliteit van uw gegevens D: Wendbaarheid van uw ICT systemen en applicaties 21. Op welke wijze bent u betrokken geweest bij de keuze van de beveiliging en risico beheersing van uw informatie en informatie systemen?

6.

Afsluiting

In dit onderzoek wordt geprobeerd een indruk te krijgen van de maatregelen, die een organisatie neemt om het risico in het omgaan met ICT terug te brengen. We hebben gekeken naar processen, infrastructuur en cultuur. Onze vraag: 1. Wat zou u willen aanvullingen ten aanzien van deze onderwerpen? 2. Zijn er in uw organisatie ontwikkelingen op deze onderwerpen gaand die in de komende tijd extra maatregelen vragen en zo ja welke ontwikkelingen zijn dit en aan welke maatregelen denkt u dan?

54


b.

Verkleinen van het risico van ICT: vragen aan de manager IT

1.

De ICT voorzieningen

1.1.

Algemeen

1. Is er in uw organisatie een standaardisatie beleid ten aanzien van uw infrastructuur en applicaties? 2. Worden alle ICT voorzieningen ondersteund door de betrokken leveranciers? 3. Heeft uw organisatie minder dan tien jaar geleden zijn ICT-infrastructuur en applicaties herontworpen en stap voor stap totaal vernieuwd? Zo ja, waarom? 4. Is het beheersen van de kosten door standaardisatie een voornaam onderdeel van het beleid van uw organisatie? 5. Zijn de ICT voorzieningen gedetailleerd vastgelegd en is er sprake van een up to date documentatie van de infrastructuur en de applicaties? 6. Wordt er permanent aandacht gegeven aan het vernieuwen en bijhouden van de geïnstalleerde ICT? 7. Is er een helder ICT Beleid welke een richtlijn is bij alle beslissingen aangaande de aanschaf en de ontwikkeling van ICT voorzieningen? 8. Zijn er kansen om de basis te vernieuwen, omdat uw organisatie plannen of strategieën heeft, welke het nodig maken dat de gebruikte ICT voorzieningen sterk veranderen? 9. Maakt uw organisatie gebruik van best practices in de sector, wat betreft de configuratie van haar ICT voorzieningen, de inrichting van de ICT organisatie en de standaards om interne controle bij ICT te doen? Zo ja, wat zijn deze standaards? 10. Beschikt uw organisatie over een backup en restore policy? 11. Hoe groot is het verloop van het ICT personeel in percentages en ziet u hier een risico in? 12. Is er een continuïteitsplan en hoe vaak wordt deze gereviewd? 13. Zijn er gegevens over de beschikbaarheid van het netwerk en van uw applicaties? 14. Hoe zijn de autorisaties voor toegang tot informatie geregeld? 15. Moeten externe partijen een overeenkomst tekenen ten behoeve van de privacy en beveiliging van uw informatie en informatiesystemen? 16. Hoe ziet de business zijn ICT-organisatie en andersom; begrijpt de ICT organisatie de behoeftes van de gebruikersorganisatie?


55

1.2.

Versimpelen van de ICT ondersteuning

17. Maakt uw organisatie gebruik van een product/diensten catalogus? 18. Zijn uw applicaties consistent met de huidige en geplande ICT standaards, zoals vermeld in de architectuur? Zo nee, waar niet?

2.

De organisatorische inbedding

22. Hoe is IT-risicomanagement georganiseerd? Antwoordindicatie: - is er een risicoraad, waarin het beleid ten aanzien van het risico met ICT en ICT projecten wordt bepaald; gereviewed; waar prioriteiten worden gesteld ten aanzien van de te lopen risico’s; waar budgetten beschikbaar worden gesteld om risico’s te verminderen en waar toestemming wordt gegeven, als toch een hoger risico moet worden gelopen? - is er een implementatieraad, welke zorgt voor implementatie van het beleid van de risicoraad? - is er een risicomanagementteam, dat rapporteert aan de risk officer en zorgt voor de tools en templates om met risico om te gaan en ondersteunt bij het gebruik van de tools? - Is er een aparte afdeling risicomanagement?

23. Welke rollen worden onderkend in het proces om te gaan met risico’s? Antwoordindicatie: - Is er in de leiding een functionaris, die vanuit risicoperspectief naar de operatie met ICT en ICT projecten kijkt; - is er een risk officer? Deze is uiteindelijk verantwoordelijk voor het proces, waarmee de organisatie met risico omgaat? - zijn er locale managers en experts, die omgaan met de specifieke risico’s van hun deel van de organisatie?

Inrichten organisatie: IT risk officer = liaison Sponsor in de directie

Visie

Risicobesef zit in cultuur

prioriteit

beleid/ prioriteiten

Implementatie raad

standaards/ excepties

Organisatie en technische standaards

IT risico mngmnt team

reviews mng. Process

proces, monitoring etc.

Local

identificeer en manage risico’s

reductie risk feedback

beleidsgroep risico

(zie figuur 1.)

56


Figuur 1: Inbedding van het omgaan met IT risk.

24. Zijn er door uw organisatie categorieën van IT-risico’s geïdentificeerd? Zo, ja welke zijn dit? 25. Is er sprake van een register, waarin alle gelopen, lopende en te lopen risico’s staan vermeld? Worden de lopende en te lopen risico’s gevolgd? En zo ja hoe? 26. Worden methoden gebruikt voor het inschatten van IT-risico’s en zo ja welke? 27. Gebruikt uw organisatie gewoonlijk commissies en task forces om beleidsbesluiten voor te bereiden? 28. Gebruikt men audits om onze processen te valideren en zo ja, hoe vaak? 29. Zijn er processen en/of producten en diensten gebonden aan wetgeving? 30. Legt uw organisatie sterk de nadruk op het gebruik van organisatiebrede standaards en principes?

3.

Awareness

1. Is er binnen uw organisatie een besef, dat intellectueel eigendom en de eigen kennis vitaal is voor het werken van de organisatie? 2. Is denken over risico een integraal onderdeel van uw dagelijks handelen en is het een criterium, als men middelen toekent aan een project? 3. Hebt u als organisatie aandacht voor de kwaliteit van uw processen? Is uw organisatie ISO9000 gecertificeerd? Of gebruikt u bepaalde modellen ter besturing van bedrijfsprocessen? Antwoordindicatie: bijvoorbeeld balanced score card, het model Six Sigma.

4. Is uw industrie een target voor politieke of sociale activisten of misdadigers? 5. Is het binnen uw organisatie oké om over het risico dat ICT-inzet en ICTprojecten met zich meebrengen te spreken? Kan men ze daarna nemen? En wordt daarna falen ook geaccepteerd? 6. Wordt er bij ICT gewerkt met realistische budgetten en tijdslijnen? Wordt de status van projecten bijgehouden? 7. Delen managers hun ervaringen ten aanzien van IT-risico en beheersing van deze risico’s? Hoe?


57

4.

De toekomst en uw eigen indruk

In dit onderzoek wordt geprobeerd een indruk te krijgen van de maatregelen, die een organisatie neemt om het risico in het omgaan met ICT terug te brengen. We hebben gekeken naar processen, infrastructuur en cultuur. Onze vraag: 1. Wat zou u willen aanvullingen ten aanzien van deze onderwerpen? 2. Zijn er in uw organisatie ontwikkelingen op deze onderwerpen gaand die in de komende tijd extra maatregelen vragen en zo ja welke ontwikkelingen zijn dit en aan welke maatregelen denkt u dan?

58



59

60


Geraadpleegde literatuur • Applegate, L.M. et al.: Corporate information strategy and management, text and cases, Irwin/McGrawhill, 8th edition, New York, 2008. • Concernstaf Informatiebeleid en projecten: ICT Bedrijfscontunïteitsbeleid, Kadaster, Apeldoorn, 2007. • Directie ICT en afdeling CPB: Service catalogus 2008-2009, IB-groep, Groningen, 2008. • IB-Groep: Inkoopvoorwaarden, IB-groep, Groningen, 2009, zie http://www.ib-groep.nl/overibgroep/inkoop/inkoop.asp • ICT services: BSC, Kadaster, Apeldoorn, 2009. • ICT services: Landscaping the Infrastructure 2007-2009, Fontys Hogeschool, Eindhoven, 2006. • ICT services: Management rapportage, Fontys Hogeschool, Eindhoven, 2009. • ISO: the 27000 series of norms, http://www.27000.org/index.htm, 2008. • Lectoraat ICT governance: De menukaart van de ICT afdeling: de catalogus, Fontys hogeschool ICT, Eindhoven, 2008. (dit boekje is te downloaden van http://www.ict-management.com/nl/beheer/Lectoraat%20Fontys.htm ) • Meijer, J. : Risicomanagement binnen een ontwikkelen beheerafdeling, scriptie Open Universiteit, Heerlen, 2007. • Overbeek, P, de Roos Lindgren, E.R. en Spruit, M: Informatiebeveiliging onder controle, Prentice Hall/Pearson education, Amsterdam, vierde druk, 2008 • Starreveld, van Leeuwen en van Nimwegen: Bestuurlijke Informatieverzorging, deel 1: Algemene grondslagen, 5e druk, Stenfert/ Kroese, Groningen, 2003. • Thiadens, Th.J.G. : Sturing en organisatie van ICT voorzieningen, Van Haren publishing, 2e druk, Zaltbommel, 2008 (ook te downloaden in het Engels zonder cases van de site www.ict-management.com) • Westerman, G. en Hunter, R. : IT risk, turning business threats into competitive advantage, Harvard school press, Boston, 2007. • Wijs, C.de : Information systems management in complex organizations, De Wijs, Voorburg,1995.


61

62



63

64


Omgaan met het ICT risico Kenniskring ICT risico

Recommend Documents