Omgaan met het ICT risico Kenniskring ICT risico
Omgaan met het ICT risico
1
Omgaan met het ICT risico Kenniskring ICT risico
Lectoraat ICT governance, Fontys Hogeschool ICT,
27 september 2009.
Deze uitgave is het derde boekje in reeks van publicaties van het Fontys lectoraat ICT governance. Het copyright van deze reeks berust bij het lectoraat ICT governance van Fontys Hogeschool ICT. Elke publicatie is het product van het werk van een kenniskring van het lectoraat. Voor deze kenniskring wordt onderzoek gedaan door de leden van het lectoraat en door studenten van de Fontys Hogeschool ICT. De publicaties worden eenmalig in boekvorm uitgegeven. Als de boekjes op zijn, is de publicatie tegen betaling te bestellen als paperback op www.lulu.com en kan men de publicaties downloaden vanaf www.ict-management.com.
2
Omgaan met het ICT risco
De acht publicaties handelen over de volgende onderwerpen: 1.
De menukaart van ICT: de catalogus
Managen van de verwachtingswaarde en zorgen voor standaards.
Product van de kenniskring producten en diensten, verschenen in december 2008.
2.
De organisatie van ICT
Verhogen van de kwaliteit van ICT door gebruik van methoden als BiSL, ITIL en ASL.
Product van de kenniskring methoden, prognose maart 2010.
3.
Omgaan met het ICT risico
Product van de kenniskring ICT risico, verschenen in december 2009.
4.
Het groene rekencentrum van morgen
Product van de kenniskring duurzaamheid bij rekencentra, verschenen juni 2009.
5.
Portfoliomanagement ter ondersteuning van IT governance
Product van de kenniskring portfolio management, prognose juni 2010.
6.
Architectuur bij de vormgeving van ICT
Product van de kenniskring architectuur, prognose december 2010.
7.
Eerst transparant, dan gealigned!
Product van de kenniskring standaardisatie en consolidatie, verschijningsdatum nog onbekend.
8.
Sturing van ICT in organisaties, ketens en communities
Product van de kenniskring poortwachter, verschijningsdatum nog onbekend
De kenniskring ICT risico bestaat uit:
Theo Thiadens Guido Coenders Sander van Laar Jacqueline van den Broek Rien Hamers
lector ICT management Fontys Simac Fontys Fontys Fontys
Het praktisch deel van het onderzoek wordt uitgevoerd door studenten van Fontys hogeschool ICT, te weten: Derksen, R.H.P.; Huyzen, T.A.; Koningstein, H.B.; Martens, N.; Mollen, P.P.J.J.; Nouwens, S.; Ouden, K.J.P.H. den; Verbeeten, J.P.; Vissering, R.; Vos, E.H.W.; Wilbrink, M.J.G..
Omgaan met het ICT risico
3
Samenvatting. In dit onderzoek wordt eerst de theorie op het terrein van risicomanagement bij inzet van ICT op een rij gezet. Hierbij komt naar voren, dat de diverse benaderingen van risico management bij inzet van ICT verschillen. Dit verschil kan eruit voorkomen, dat de benadering van risico een andere is. Het kan ook zijn, dat de benadering zich vooral richt op het verminderen van risico in een bepaald deel van de organisatie. Vervolgens wordt de benadering gekozen, die bij het empirisch onderzoek is gehanteerd. De keuze is hierbij gevallen op de benadering van risico bij inzet van ICT van Westerman c.s.. De keuze is hiervoor gemaakt, omdat uit onderzoek blijkt, dat directies van organisaties stellen, dat het te lopen en gelopen risico niet voldoende wordt meegenomen in hun besluitvorming dat er een gebrek aan afstemming is tussen de bedrijfsstrategie en het risico, en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Accenture Global Survey 2009, Westerman (2007)). De gekozen benadering richt zich op het management van organisaties. Aan de gebruikerskant gaat deze benadering methodisch na, hoe de leiding de diverse aspecten van het risico bij inzet van ICT waardeert. Het betreft de aspecten beschikbaarheid van ICT, bescherming van de gegevens, nauwkeurigheid en betrouwbaarheid van de gegevens en wendbaarheid van de ICT. Aan de ICT kant wordt geïnventariseerd, wat inhoudt welke maatregelen organisaties hebben genomen om de kans dat een bepaald risico optreedt zo klein mogelijk te maken. Als risico wordt door Westerman c.s. (2007) gedefinieerd: “de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden.”
Uit het empirisch deel van dit onderzoek komt bij de managers aan gebruikerskant naar voren, dat anno 2009 beschikbaarheid van ICT door hen niet als probleem gezien wordt. Het omgaan met de bescherming van gegevens is vaak een groter punt van zorg. Niet immer zijn profielen ingericht, als men medewerkers toegang geeft tot ICT voorzieningen. Ook laat de logging van werkzaamheden door medewerkers op de ICT voorzieningen in het algemeen te wensen over. Op het terrein van de kwaliteit van de gegevens lijkt er voorts bij een aantal van de onderzochte organisaties qua kwaliteit van management informatie nog het nodige te winnen.
4
Omgaan met het ICT risco
Wat betreft agility wordt duidelijk, dat een manager nieuwe ICT pas invoert, als deze ICT goed functioneert. De plaatsvervangend directeur van Fontys Hogeschool voor ICT merkt voorts op, dat iedere organisatie een ander accent kan leggen wat betreft omgaan met het risico, dat men loopt bij inzet van ICT. Fontys eist als hogeschool in eerste instantie beschikbaarheid van haar ICT, maar ziet ook dat een betere kwaliteit van gegevens haar werk ten goed zou komen. Op de wensenlijst van de meeste organisaties heeft duidelijk de wens naar een grotere wendbaarheid van ICT prioriteit.
De leidinggevenden van de ICT werden vervolgens ondervraagd over de maatregelen, die hun organisatie neemt om de risico’s bij inzet van ICT te verkleinen. Hierbij werd duidelijk, dat de onderzochte organisaties in hoge mate streven naar werken onder architectuur en dat hierbij in sterke mate wordt gestandaardiseerd. Helder werd voorts, dat exploitatie van ICT vaak als een facilitaire dienst wordt gezien. Deze dienst wordt beter gewaardeerd dan het leveren van ontwikkelings- en onderhoudsdiensten. Begrip kweken bij de klant voor deze laatste diensten lijkt niet zonder uitdaging. Het hebben van een aparte organisatie voor risicomanagement, welke rapporteert aan de hoogste leiding van een organisatie, werd alleen bij de verzekeraar aangetroffen. Bewustzijn van de bij inzet van ICT gelopen risico’s lijkt bij alle onderzochte organisaties, waar nodig, aanwezig. De slotconclusie van het onderzoek luidt, dat, naarmate ICT belangrijker wordt, de aandacht van de klanten van ICT steeds meer wordt gericht op wendbaarheid van de inzet van ICT. De organisaties nemen maatregelen als grotere standaardisatie van ICT en werken onder architectuur. Zij staan aan het begin wat betreft inrichten van een aparte organisatie voor risicomanagement, die rapporteert aan de hoogste leiding van een organisatie. En zij moeten vaak extra inspanningen leveren om awareness van het risico, dat inzet van ICT met zich meebrengt, levend te houden.
Omgaan met het ICT risico
5
Inhoudsopgave. 1.
Risico bij ICT..
2.
De theorie en voorbeelden van toepassing van de theorie.
11
2.1.
Een overzicht van de theorie.
11
De zes benaderingen van risico.
13
2.2.
9
2.2.1. Vooral bescherming (Thiadens(2008), Overbeek c.s.(2008))
13
2.2.2. Inrichten van de organisatie en risico (Starreveld c.s. (2002))
16
2.2.3. Organiseren van het verminderen van risico in een ontwikkel- en beheerorganisatie (Meijer, 2007)
18
2.2.4. Omgaan met risico in de exploitatie van ICT (de Wijs, 1995)
20
2.2.5. Omgaan met risico bij projecten (Applegate c.s. (2009))
21
2.2.6. Een totaalaanpak: ICT risico vanuit de gebruiker en de maatregelen
2.3.
binnen en buiten de ICT afdeling (Westerman c.s., 2007)
23
2.2.7. De keuze van de methode, die gekozen is als basis van het praktijkonderzoek .
25
Enige voorbeelden van toepassing van de theorie.
6
25
2.3.1. Standaardisatie met een service catalogus.
26
2.3.2. Rapportage van geleverde ICT diensten.
28
2.3.3. Contracten met externe leveranciers.
29
2.3.4. Architecturen en continuïteitsplannen.
30
Omgaan met het ICT risco
3.
Onderzoek van de praktijk op basis van de theorie van Westerman c.s.
33
3.1.
Het onderzoek.
33
Omgaan met het risico van ICT.
33
3.2.1. Beschikbaarheid van ICT.
33
3.2.
3.3.
3.2.2. Bescherming van ICT.
35
3.2.3. Nauwkeurigheid, tijdigheid en betrouwbaarheid van gegevens.
36
3.2.4. Wendbaarheid van de inzet van ICT.
38
Typen van maatregelen.
39
3.3.1. Maatregelen op het terrein van ICT.
39
3.3.2. Organiseren om risico te beperken.
42
3.3.3. Awareness voor te lopen risico’s.
44
Conclusies.
47
Bijlagen
51
Bijlage 1: Organisaties, die meewerkten aan het onderzoek. Bijlage 2: Interviewvragen.
51 52
Geraadpleegde literatuur.
61
4.
Omgaan met het ICT risico
7
8
Omgaan met het ICT risco
1. Risico bij ICT De global risk management survey van 2009 van Accenture geeft aan dat 85% van de directies van bedrijven denken dat hun organisatie zijn aanpak om met risico om te gaan moet heroverwegen. Deze leden van de directie stellen dat het te lopen en gelopen risico niet voldoende wordt meegenomen in de besluitvorming; dat er een gebrek is aan afstemming tussen de bedrijfsstrategie en het risico, dat realisatie hiervan met zich meebrengt en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Daily stat, Harvard Business Publishing, 16 juli 2009). Denken over risico is in. En zeker over het risico dat organisaties lopen bij hun inzet van ICT. Anno 2009 is inzet van ICT in vele organisaties namelijk niet meer weg te denken. De informatie verwerkt, getransporteerd en opgeslagen met de mogelijkheden die ICT ons biedt maakt een betere sturing van het werk mogelijk, leidt tot nieuwe producten en diensten, laat de organisatie doelmatiger werken en helpt haar dag in dag uit zijn taken effectief te doen. De grote afhankelijkheid van ICT brengt risico’s met zich mee.Dat geldt niet alleen voor operationele werkzaamheden. Het geldt ook voor de projecten , die organisaties realiseren en waarbij gebruik van ICT een conditio sine qua non is. Dit boekje gaat over die risico’s, die organisaties lopen bij de inzet van ICT. Het geeft een overzicht weer van de theorie. Het kiest op basis van deze theorie een aanpak om in de praktijk te toetsen, hoe organisaties met risico omgaan en welke maatregelen zij nemen om de risico’s te verkleinen. Het geeft ook voorbeelden van deze aanpak. En tenslotte wordt de theorie in de praktijk toegepast . Van de negen onderzochte organisaties en de resultaten daarvan, wordt in dit rapport verslag gedaan. Als ICT risico wordt gedefinieerd:
“de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden.”
Omgaan met het ICT risico
9
10
Omgaan met het ICT risco
2. De theorie en voorbeelden van toepassing van de theorie Beveiligen van de IV en ICT voorzieningen
Inregelen en controleren van de administratieve organisatie
Een holistische benadering: 1. Kijken naar risico 2. Typen maatregelen en hun combinatie
Organiseren om met risico om te gaan in een ICT ontwikkel- en onderhoudsorganisatie
Leven met IV en ICT risico’s Omgaan met het risico van IV en ICT projecten.
Omgaan met operationeel risico
Figuur 2.1 : Benaderingen van risico bij inzet van ICT
2.1.
Een overzicht van de theorie
Figuur 2.1 zet een aantal invalshoeken op risico op een rij, zoals deze uit de literatuur naar voren komen. Denkend over het omgaan met risico’s kan men uitgaan van: 1. De noodzaak tot beveiliging van de organisatie. In dit geval bepaalt men tegen welke risico’s een organisatie zich wil indekken; op welke tijdstip men zijn maatregelen neemt en welk type maatregelen dit zijn. De kern van deze invalshoek is de bescherming tegen risico’s op het terrein van de vertrouwelijkheid, betrouwbaarheid en continuïteit van de informatievoorziening en de daarvoor nodige ICT. 2. De zorg voor een optimale administratieve organisatie (Starreveld c.s.,2002). De leer van de administratieve organisatie geeft aan, welke maatregelen een organisatie ex ante kan nemen om ervoor te zorgen, dat de organisatie met betrouwbare informatie werkt, de nodige vertrouwelijkheid
Omgaan met het ICT risico
11
in acht neemt en zo min mogelijk te maken heeft met inbreuken op de continuïteit van de informatievoorziening. De leer geeft ook aan, hoe men ex post nagaat, of de regels ten aanzien van bevoegdheden op het terrein van de informatievoorziening en de regels om te zorgen voor betrouwbare informatie zijn nagekomen. 3. De noodzaak om aandacht te vragen voor risico’s bij het ontwikkelen en onderhouden van ICT applicaties. Hierbij wordt ingegaan op de organisatorische maatregelen, die een organisatie neemt. (Meijer , 2007). Dit leidt tot aanbevelingen t.a.v. de wijze waarop de diverse taken op dit terrein in de organisatie dienen te worden belegd en hoe men moet zorgen, dat de gewenste organisatie wordt gerealiseerd. 4. Aandacht voor operationeel risico (de Wijs,1995.) De Wijs (1995) onderzocht hoe organisaties omgaan met de operationele risico’s bij het werken ondersteund door ICT. Op basis hiervan stelde hij regels op, welke leiden tot economisch onderbouwd gedrag om met deze risico’s om te gaan. Hij constateerde dat organisaties sommige risico’s accepteren en in andere gevallen maatregelen nemen om risico’s zoveel mogelijk te minimaliseren. 5. Verkleinen van het risico, dat projecten meer of minder falen (Applegate c.s., 2009.). Applegate c.s. stellen dat het doen van IT projecten risico’s met zich mee brengt. Zij stellen, dat deze risico’s afhangen van de omvang van het project, van de mate waarin de eisen aan het project duidelijk zijn, en het feit, of de organisatie beschikt over de technische kennis nodig om het project te voltooien. Op basis van een classificatie van projecten geven Applegate c.s. aan, welke maatregelen een organisatie kan nemen om een bepaald project tot een optimaal einde te brengen. 6. Een holistische aanpak om om te gaan met risico. Westerman c.s. (2007) kijken naar de wijze van denken van organisaties over risico en inventariseren hierna welke combinatie van maatregelen deze organisaties nemen om het optreden van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT te voorkomen. In het volgende zal op elk van deze zes benaderingen van risico bij inzet van ICT worden ingegaan. Hierna wordt aangegeven om welke methode is gekozen als basis van het praktijkonderzoek en waarom deze methode gekozen is.
12
Omgaan met het ICT risco
2.2.
De zes benaderingen van risico
2.2.1. Vooral bescherming (Thiadens (2008), Overbeekc.s.(2008))
Een model dat nadruk legt op bescherming van de informatie- en ICT voorzieningen tegen risico’s is de kubus van Bautz (zie figuur 2.2). De kubus van Bautz geeft drie invalshoeken weer op de beveiliging van de informatie bij inzet van ICT. Deze invalshoeken zijn: de reden van maatregelen, de soort maatregel en het tijdstip waarop men de maatregel treft.
De kubus van Bautz:
Soort maatregel : •Fysiek •Organisatie •Logisch
Tijdstip: detectie preventie repressie (uitwijk) correctie Reden : vertrouwelijkheid, betrouwbaarheid, continuïteit
Figuur 2.2 : De kubus van Bautz op het terrein van IV en ICT beveiliging
Laten we beginnen met de redenen voor maatregelen. In principe neemt een organisatie maat-regelen om de continuïteit en de beschikbaarheid van de inzet van ICT te verzekeren; om de fouten in de in/uitvoer, opslag, verwerking en transport van gegevens tot een minimum te beperken en om de vertrouwelijkheid van het gebruik van gegevens te waarborgen. Deze maatregelen kunnen fysiek, logisch en organisatorisch van aard zijn. Fysieke maatre-gelen zijn bijvoorbeeld het maken van extra voorzieningen bij de koeling van de ICT voorzieningen en het plaatsen van computers in betonnen ruimten. Organisatorische maatregelen zijn ondermeer het opdelen van de rekencentrumruimte in een deel om te kunnen printen, een deel om de ICT voorzieningen te bedienen en een deel waar de ICT apparatuur staat opgesteld.
Omgaan met het ICT risico
13
Door dit opdelen van een rekencentrum in verschillende ruimten ontstaat de mogelijkheid om functiescheiding toe te passen. Iedere medewerker krijgt dan alleen toegang tot die ruimten, tot welke hij in het kader van zijn functie toegang toe nodig heeft. Logische maatregelen zijn het verstrekken van passwords (wachtwoorden), het werken met chipcards met wisselende wachtwoorden en de realisatie van identiteitsmanagement. Deze maatregelen kunnen preventief van aard zijn, correctief, detectief en ook kunnen een mogelijke inbreuk mitigeren, in welk geval zij repressief zijn. Van dit laatste is het werken met een dubbel rekencentrum een voorbeeld. Als men de beschikking heeft over een dergelijk centrum kan een organisatie bij falen van het ene rekencentrum ongemerkt overschakelen naar het tweede. De klanten merken niet, dat er een inbreuk plaatsvindt. Om te komen tot een optimaal inregelen van maatregelen kan men gebruik maken van best practices, zoals deze zijn neergelegd in de ISO27000 serie normen. Deze ISO normen ondersteunen managers en werknemers bij het verantwoord opzetten, implementeren en onderhouden van maatregelen op de genoemde drie terreinen. Deze set aan normen is één op één overgenomen door het Nederlands Normalisatie Instituut (NNI). De norm geeft de basisprincipes weer en een raamwerk (inclusief meetmethode). Zij geeft aan, hoe men als management de gestelde eisen moet implementeren en hoe men zijn organisatie hiervoor kan laten certificeren. De normen beogen eraan bij te dragen, dat organisaties een evenwichtig pakket aan preventieve, correctieve, detectieve en repressieve maatregelen implementeren op dit terrein. ISO 27001-2005: 11 aandachtsgebieden : (elk heeft doel, basisset en activiteiten) 1. 2.
doel, na te streven situatie in termen van organisatiebelangen beveiligingsfuncties, taken en verantwoordelijkheden, coördinatie samenhang, richtlijnen, wie maakt afspraken met derden. 3. Classificatie en beheer bedrijfsmiddelen: objecten en hun eigenaar, classificatie van informatie 4. Personeel: training, beveiligingsbewustzijn, gedrag op werkvloer, aannamebeleid en beoordeling, reageren op meldingen incidenten 5. Fysieke beveiliging en omgeving: beveiliging van en in infrastructuur, toegangscontrole bij poort fysieke beveiliging en decentrale computers, clean desk policy, stroomvoorziening, datacommmunicatielijnen, koeling, bescherming diskettes, tapes, docum. 6. Computer- en netwerkbeheer: bedieningsprocedures, beheer technische beveiliging en verantwoordelijkheden, antivirusmaatregelen,incidentafhandeling en rapportage; beveiliging email,EDI,data 7. Toegangsbeveiliging: toegangsbeheersing en autorisatie voor applicaties 8. Ontwikkeling en onderhoud van aandacht voor beveiligingsfunctionaliteit en veilige ontwikkel en onderhoudsmethoden leiden tot veilig (blijvende) applicaties applicaties en infra: 9. Continuïteitsplanning: calamiteitenopvang, rampenplannen, uitwijk 10. Toezicht: naleving van wettelijke en contractuele voorschriften, beveiligingscontrole op ICT systemen,ICT audit, interne controle 11. Informatieveiligheidsmanagement: omgaan met de beveiliging en classificatie van informatie Beveiligingsbeleid: Organisatie beveiliging:
Figuur 2.3 : De elf delen van de ISO 27000 norm
14
Omgaan met het ICT risco
In figuur 2.3 staan de elf belangrijkste aandachtgebieden op het terrein van het beschermen van de vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. De eerste vier aandachtsgebieden betreffen: 1. Het zorgen voor een informatie- en ICT beveiligingsbeleid. Hieronder valt het hebben van een document, waarin dit beleid is geformuleerd, en het inrichten van een proces, waardoor dit document periodiek wordt herzien. 2. Het organiseren van de uitvoering van dit beleid. Hieronder vallen onderwerpen als - het zorgen voor commitment van het management; - het duidelijk aanwezig zijn van een coördinatiepunt; - het belegd hebben van de verantwoordelijkheden - het duidelijk hebben, wie bevoegd is tot autorisatie van ICT voorzieningen en wie welke autorisaties krijgt. En zo is ondermeer helder welke persoon tekent bij het in productie nemen van nieuwe versies en releases op het terrein van ICT; - het zorgen voor de aanwezigheid van confidentialiteitsovereenkomsten. In de aanstelling van medewerkers moeten bepalingen opgenomen zijn over het omgaan met bedrijfsgegevens en de auteursrechten van ontwikkelde programmatuur; - het helder hebben wie over welk onderwerp communiceert met het burgerlijk gezag en met special interest groups - de zorg voor een onafhankelijke evaluatie van de beveiliging. 3. Het regelen van de omgang met externe partijen. Hieronder valt de identificatie van risico’s van het werken met externen; van risico’s bij de interactie met de klanten en bij het werken met andere, derde partijen. Voorts valt het treffen van maatregelen om deze risico’s te beperken en het handhaven van deze maatregelen. 4. Het aanwezig zijn van regelingen met de medewerkers. Hierbij geldt dat bij indiensttreding de rol en de verantwoordelijkheden van de medewerkers en zijn arbeidsvoor-waarden helder moeten zijn. Tevens moet aandacht gegeven zijn aan het screenen van de medewerker. Tijdens het dienstverband moeten de verantwoordelijkheden van het management helder zijn. Deze moet zorgen voor awareness, opleiding en training van de medewerker op dit terrein. Het moet voorts duidelijk zijn, dat overtreding van de regels tot disciplinaire maatregelen kan leiden. Bij beëindiging van een dienstverband moet bepaald worden, hoe met het einde van de verantwoordelijkheid van een medewerker wordt omgegaan. Op dit moment worden de in gebruik gegeven goederen ingeleverd en wordt ervoor zorg gedragen dat eventuele toegangsrechten worden verwijderd.
Omgaan met het ICT risico
15
2.2.2. Administratieve organisatie (Starreveld c.s. (2003))
Bij het inrichten van een organisatie is het van belang rekening te houden met de risico’s die men loopt ten aanzien van de betrouwbaarheid van de informatie. Starreveld c.s. (2003) merken op, dat een betrouwbare informatievoorziening in organisaties eisen stelt aan de inrichting van de organisatie. Daarnaast stelt Starreveld c.s. dat een organisatie zijn informatievoorziening periodiek moet nagaan op haar inhoudelijke juistheid. Hiermee wordt voorkomen, dat organisaties te laat ontdekken, dat de gewenste informatie niet aanwezig is en/of dat de wel aanwezige informatie inhoudelijk niet optimaal is. Starreveld c.s. (2003) stellen dat (zie figuur 2.4): Ex ante:
Ex post:
Preventieve maatregelen:
Controles:
- functiescheiding - richtlijnen en procedures - fysieke en logische toegangsbeveiliging - backup, recovery en uitwijk.
- op bevoegdheid: binnen bevoegdheden gehandeld? - informatiecontrole: is de informatie betrouwbaar? - bewaringscontrole: zijn de waarden, voorzover niet rechtmatig afgegeven, nog aanwezig
Preventieve maatregelen: - beperking bevoegdheden - bevorderen zelf- en sociale controle - ramingen, begrotingen en normen - kwijting - verbijzonderen interne controle - wisselen van personeel - quasi goederen beweging
Organisatie en zijn interne betrouwbaarheidssysteem
Repressieve maatregelen: - afdwingen naleving voorschriften, richtlijnen en procedures - eisen dat de materiële werkelijkheid (inventarisatie) overeenkomst met de informatie - eisen dat primaire verantwoordingsgegevens: verbandscontrole, toetsing opgaven aan ex ante data de juiste uitkomst geven; - zorgen voor juiste gegevensverwerking
Figuur 2.4: Een overzicht van de ex ante en ex post maatregelen om risico’s met de betrouwbaarheid van informatie te verminderen
16
Omgaan met het ICT risco
1. de inrichting van organisaties zodanig moet zijn, dat betrouwbaarheid van informatie ingebakken zit in de wijze van gegevens verzamelen. Organisaties moeten nadenken welke gegevens zij nodig hebben. Vervolgens moeten zij intern verantwoordelijkheden toewijzen voor het verzamelen van deze gegevens rekening houdende met de noodzakelijke functiescheiding. Bepalen, welke gegevens nodig zijn; het bewaren ervan; het uitvoeren van het verzamelen van deze gegevens en het controleren van de verzamelde gegevens moeten bij voorkeur door individuen met tegengestelde belangen worden uitgevoerd. 2. organisaties periodiek de juistheid van de door hen gebruikte informatie controleren. Bij deze controles loopt men na of: • een verstrekker de door hem verstrekte gegevens ook mocht verstrekken. Men checkt of een gebruiker wel bevoegd is over de gegeven te beschikken enz. De betreffende controle wordt een autorisatie controle genoemd. Men kijkt naar de bevoegdheid van de gegevensverzamelaar, van de gegevensgebruiker en van de gegevensverstrekker; • de verstrekte gegevens wel kloppen met de fysieke werkelijkheid. Staat wat er op de pakbon staat ook werkelijk op de computerzaal? • de gegevens wel betrouwbaar zijn. Hierbij vraagt men zich ondermeer af, of de definities van de gegevens overeenkomen? Of de tijdstippen van verzamelen wel de conclusies rechtvaardigen? Of de gelegde relatie tussen de gegevens wel mogelijk is? Of men op tijd over de gegevens kan beschikken en of deze voldoende nauwkeurig zijn? Daarnaast loopt men de het verzamelen en bewerken van gegevens na op meetfouten. In figuur 2.4 is een overzicht van deze maatregelen gegeven. Zij zijn erop gericht om de risico’s om te werken met minder betrouwbare informatie te voorkomen.
Omgaan met het ICT risico
17
2.2.3. Organiseren van het verkleinen van risico in een ontwikkel- en onderhouds-organisatie (Meijer, 2007)
Meijer (2007) onderzocht welke taken op het terrein van risicomanagement in ICT ontwikkel- en onderhoudsorganisaties moeten worden gedaan en hoe organisaties deze taken in hun structuur kunnen inbedden. Hij constateerde dat actief werken aan risicomanagement betekent, dat medewerkers, die zich bezighouden met risico’s: 1. Participeren in de strategische planvorming; 2. Ondersteunen de organisatie bij een risicoanalyse en deze zo nodig uitvoeren; 3. Stellen een risicobeheersplan op; 4. Controleren, toetsen en bijsturen op basis van dit risicobeheersplan; 5. Informeren de medewerkers en de leiding over het onderwerp risicomanagement; 6. Ontwikkelen en onderhouden kennis over mogelijke maatregelen; 7. Ontwikkelen en onderhouden methoden, hulpmiddelen en technieken op dit terrein; 8. Verzorgen opleidingen en trainingen.
Organisatievormen:
Wat doet men?
Risicomanagementtaken:
1. participeren in strategische planvorming
1. afzonderlijke centrale risicomanagementafdeling
Alle taken
2. volledige lijnverantwoordelijkheid van de risicomanagementfunctie
2 t/m 8 1 is niet van toepassing
3. zowel een lijn als een centrale verantwoordelijkheid
Centrale functie doet 1,5,6,7,8; lijn doet 2,3,4.
2. begeleiden en uitvoeren risicoanalyse 3. opstellen van een risicobeheersplan 4. controleren, toetsen en bijsturen naar aanleiding van het risicobeheersplan 5. informeren over risicomanagement 6. ontwikkelen en onderhouden van kennis over mogelijke maatregelen
4. een projectorganisatie
taken afh. doel project.
7. ontwikkelen en onderhouden van methoden, hulpmiddelen en technieken.
5. een multidisciplinair team als onderdeel van een audit.
Belast met taak 2.
8. Verzorgen van opleidingen en trainingen.
Figuur 2.5 : Taken en organisatorische inbedding bij risicomanagement (Meijer, 2007)
18
Omgaan met het ICT risco
Vervolgens geeft hij aan, hoe organisaties bij de inrichting van een ICT ontwikkel- en onderhoudsorganisatie rekening houden met het risico van ICT de te lopen risico’s in deze organisatie kunnen verkleinen . Hij constateerde, dat hiervoor een aantal mogelijkheden zijn. Hij onderscheidt vervolgens de volgende vormen/manieren om in een ontwikkel- en onderhoudsorganisatie ICT risicomanagement te beleggen: 1. Organisaties richten een afzonderlijke, centrale risicomanagement afdeling op. Nu is het hen mogelijk om alle acht taken van figuur 2.5 een plaats te geven. 2. Organisaties leggen het omgaan met risico’s volledig in de lijn neer. Nu is het mogelijk alle taken met uitzondering van het vanuit risicomanagement perspectief kijken naar strategische planvorming een plaats te geven. 3. Onderkennen van risico’s is zowel een lijn- als een centrale verantwoordelijkheid. Hierbij: 3.a. begeleidt de lijn en laat zij risicoanalyses uitvoeren; 3.b. stelt de lijn een risicobeheersplan op; 3.c. controleert, toetst en stuurt de lijn bij naar aanleiding van het risicobeheersplan De overige taken worden centraal gedaan. 4. Men organiseert de risicomanagement functie als een projectorganisatie. In een dergelijke organisatie zijn de taken afhankelijk van het doel van het project . En tenslotte 5. Men richt een multidisciplinair team in als onderdeel van een audit op het te lopen risico. Dit team ondersteunt de organisatie bij het doen van risicoanalyses en voert deze zo nodig uit. Meijer (2007) constateert dat er sprake moet zijn van een centrale functie, die vanuit het perspectief risico naar de huidige en nieuwe ICT projecten van een organisatie kijkt. Hierbij richt deze centrale functie zich op operationele risico’s en op projectrisico’s. We zullen deze twee soorten risico’s in het volgende bespreken. In figuur 2.5 zijn de taken en de daarbij mogelijke belegging van deze taken in een ontwikkel- en onderhoudsorganisatie weergegeven.
Omgaan met het ICT risico
19
2.2.4. Omgaan met risico in de exploitatie van ICT (de Wijs, 1995)
Een organisatie kent operationele risico’s. Dat is het risico dat de ICT uitvalt tijdens het dagelijks werk. De Wijs (1995) onderzocht dit operationele risico. Hij geeft aan, wanneer het opportuun is om maatregelen te nemen om dit risico te beperken. Zijn methode om met operationeel risico om te gaan, kent de volgende drie stappen. 1. het bepalen van de taken, die een ICT voorziening ondersteunt. Hierbij gaat men na, welke taken worden ondersteund en stelt men vast, of de ondersteuning door ICT sterk geïntegreerd is of dat men gebruik maakt van diverse met elkaar gekoppelde voorzieningen. Op basis van de bevindingen wordt het operationele risico vastgesteld. Hierbij houdt men rekening met - de ernst van de optredende calamiteit; - de mate waarin de gevolgen hiervan direct worden ervaren; - de onomkeerbaarheid van deze gevolgen op de lange termijn; - de beheersbaarheid van de calamiteit gegeven de genomen maatregelen; - de mate,waarin het optreden van de calamiteit door een ieder wordt gevreesd; - de relatieve nieuwswaarde van de calamiteit voor de media; - de bekendheid van de experts met de calamiteit en haar gevolgen - en de bereidheid van gebruikersmanagement om het mogelijk optreden ervan te accepteren. 2. de mogelijkheden die men heeft om het optreden van de calamiteit te voorkomen. Hierbij kan men denken aan extra voorzieningen om beschikbaarheid te verhogen, een uitwijkrekencentrum om bij calamiteiten als brand toch door te kunnen werken en een extra, aparte kabelverbinding om bij het kapot trekken van één kabel toch verbinding te houden. In het algemeen loopt men zijn ICT voorzieningen na om dit risico te bepalen en kijkt men, wat de zwakste schakel is bij deze ICT voorziening. 3. de noodzaak om maatregelen te treffen gegeven de betrouwbaarheid van de voorziening en de specifieke eisen van de situatie. De Wijs (1995) bepaalt zo na grondige analyse de mogelijke voorzieningen. Om ze te realiseren eist hij, dat het risico, dat men loopt door inzet van ICT, kwantificeerbaar is en direct de gestelde prestatie eisen kan beïnvloeden. Hierdoor kunnen de te nemen maatregelen bedrijfseconomisch te rechtvaardigen zijn.
20
Omgaan met het ICT risco
2.2.5. Omgaan met risico bij projecten (Applegate c.s. (2009))
Omgaan met risico bij projecten wordt projectrisico benoemd. ICT projecten kennen dit risico zowel aan de kant van de organisatie, die het resultaat van het ICT project gaat gebruiken, als aan de kant van de ICT organisatie. Project risico wordt gedefinieerd (Applegate c.s., 2009) als het risico, dat vernieuwingen van ICT voorzieningen niet op de tevoren afgesproken tijd en binnen het afgesproken budget geïmplementeerd worden. Het is een risico, dat blijft bestaan, ook al gebruikt een organisatie de beste instrumenten en heeft een organisatie alle middelen tot zijn beschikking, die tevoren voor het project werden gebudgetteerd. Het gevolg van het optreden van projectrisico, is, dat: - geplande voordelen niet of niet volledig worden gehaald; - er uitloop is van het project, waardoor het project duurder wordt; - het project functioneel of technisch bezien minder goed uitvalt of - dat een ICT applicatie bij nader inzien toch minder optimaal op of niet met de bestaande ICT infrastructuur werkt. Dit kan blijken uit een matige respons, een gebrekkiger beveiliging of een slechtere beschikbaarheid dan de organisatie vooraf had verwacht. Er zijn 3 redenen om projectrisico te introduceren. De eerste is, dat de omvang van het project relatief groot is ten opzichte van andere projecten in de organisatie. Het project raakt meer afdelingen dan normaal. Er is een groter budget mee gemoeid enz. De tweede reden is, dat de organisatie de gebruikte technologie niet of niet voldoende onder de knie heeft. Men komt voor verrassingen te staan, welke niet verwacht zijn en weet daar niet goed mee om te gaan. De derde reden is, dat men niet exact weet, wat men wil. Men wijzigt gaande het project steeds weer de project scope en de eisen aan het eindresultaat. Het projectteam wordt wat radeloos en raakt steeds meer zijn motivatie kwijt. Men kan het projectrisico bepalen door middel van interviews of door het houden van Delphi meetings. Bij interviews vraagt men op diverse niveaus aan de gebruikersen de ICT kant naar de mening over het verloop van een project en/of programma’s van projecten, naar de inmiddels bereikte resultaten, naar de verwachtingen van het project en naar ideeën over mogelijke maatregelen voor bijsturing. Als het risico te groot wordt geacht , kan men besluiten deze maatregelen te nemen. Hieronder kunnen vallen het versterken van het team, het veranderen van de scope van het project of/en het volgen van een bijgesteld implementatie traject.
Omgaan met het ICT risico
21
niet weten je wil Techniek bekend Techniek onbekend
omvang groot
laag risico
weten wat je wil laag risico
omvang klein
zeer laag risico
zeer laag risico
omvang groot
zeer hoog risico
middelgroot risico
omvang klein
hoog risico
middelgroot risico
Figuur 2.6 : Positionering van een project en bepaling van haar risico
In figuur 2.6 is aangegeven hoe men het risico van projecten aan de hand van drie eigenschappen kan bepalen. Ook bij het lopen van een groot risico zullen organisaties, zeker als inzet van ICT van groot belang voor de organisatie is, niet altijd onder het mijden van een risicovolle project uitkomen. Redenen voor een organisatie om projecten door te zetten kunnen liggen in het feit dat men aan de kant van de gebruiker van ICT een reputatie heeft opgebouwd, wat betreft het aantal succesvolle projecten, die de laatste jaren zijn uitgevoerd of dat men goede projectleiders en ervaren gebruikers kan leveren of dat men financieel gezond is. Aan de ICT kant helpen de volgende factoren mee om te besluiten een wat risicovoller project toch door te laten gaan: - de ICT organisatie heeft een goede reputatie wat betreft de exploitatie van ICT voorzieningen; - de ICT organisatie kent een voortdurende kwaliteitsverbetering en innovatie van diensten; - de door de ICT organisatie gegeven planningen komen uit; - de teststraten voor applicaties werken goed; - en de ICT organisatie komt zijn afspraken na. Afhankelijk van het soort risico kan een organisatie maatregelen nemen om het risico in te perken. Als de organisatie te maken heeft met het risico dat men niet exact weet wat men wil, dan zijn maatregelen op het terrein van integratie van belang. Dit betekent dat men zorgt voor een optimaal draagvlak van het project in de organisatie en daartoe maatregelen neemt. Als men te maken heeft men grote projecten, waarbij de techniek minder bekend is, dan zal een goede planning en inzet van ervaren ICT medewerkers aandacht moeten krijgen. In figuur 2.7 is een overzicht gegeven van mogelijke maatregelen. Veelal vormen projecten onderdeel van programma´s van projecten. Ieder project wordt dan resultaat gericht geïmplementeerd en binnen een bepaalde tijd uitgevoerd.
22
Omgaan met het ICT risco
externe integratie
interne integratie
gebruiker projectleider maken van stuurgroep gebruikers sturen verandering alle informatie verspreid selectie van gebruikers als teamleden formeel geodkeurinsgproces bij gebruiker gebruiker verantwoordelijk voor opleiding en implementatie, enz.
ervaren ICT man leidt team vele team meetings notulen over sleutlebesluiten verspreid regulier technische status opgenomen veel ervaren teamleden leden nemen deel aan doelstellingsbijeenkomsten enz.
formele planning
formele stuurmethoden
formele planningsmethoden keuze van mijlpalen standaards voor rapporten etc. project geodkeuringsproces evaluaties per fase en van het totaal.
periodiek actual vs. budget formele wijzigingsprocedures reguliere mijlpalen presentaties afwijkingenvan plan gesignaleerd
Figuur 2.7 :
Mogelijk maatregelen om risico bij ICT projecten te verkleinen
2 .2.6. Een totaal aanpak: ICT risico vanuit de gebruiker en de maatregelen binnen en buiten de ICT afdeling (Westerman c.s., 2007)
De laatste benadering, die in dit boekje beschreven wordt, is een holistische. Het is de benadering van ICT risico van Westerman c.s.. Bij deze benadering kijkt men vanuit het management van de gebruiker naar de risico’s die men loopt door inzet van ICT bij de informatievoorziening. Op basis van de wensen van een organisatie wordt vervolgens een combinatie van maatregelen genomen om de met ICT gelopen en te lopen risico’s op een aanvaardbaar niveau te brengen. In de benadering van Westerman c.s. komen veel van de facetten van eerder genoemde benaderingen terug Bij inzet van ICT lopen organisaties volgens Westerman c.s. (2007) risico’s op vier vlakken, de zogenaamde 4A’s. Deze vier vlakken zijn: 1. Availability: het beschikbaar hebben van de nodige ICT en het snel kunnen herstellen van onderbrekingen; 2. Accessibility: het toegang krijgen tot gegevens en applicaties op een zodanige wijze, dat de juiste mensen de applicaties kunnen gebruiken en onbevoegden worden geweigerd; 3. Accuracy: het volledig en op tijd beschikbaar zijn van de verkregen gegevens, zodat aan de eisen van de leiding, de staf, de klanten, de leveranciers en de wetgevers kan worden voldaan; 4. Agility: het bieden van de mogelijkheid om de ICT op beheerste wijze te veranderen. Dit kan gebeuren bij een fusie, bij een nieuw procesontwerp of bij de lancering van een nieuw product.
Omgaan met het ICT risico
23
Proces: geeft op organisatieniveau een overzicht van alle risico’s, zodat de leiding voldoende kan investeren in risicomanagement.
Inrichting organisatie
Fundament: de infrastructuren en de toepassingen (inclusief medewerkers en procedures), die duidelijk zijn beschreven, worden duidelijk bestuurd en zijn niet complexer dan nodig.
Cultuur: iedere betrokkene heeft voldoende kennis van de risico’s en er wordt open en niet bedreigend gesproken over risico’s.
Figuur 2.8 : Types maatregelen om risico’s te verkleinen (Westerman c.s., 2007)
Organisaties nemen maatregelen om met de ICT risico’s om te gaan. Deze maatregelen kan men indelen in drie soorten. Uit hun onderzoek bij 180 grote bedrijven komen deze drie soorten maatregelen naar voren. Dit zijn de zorg voor transparantie van ICT voorzieningen, het organiseren van aandacht voor risicomanagement en het zorgen voor een besef van gelopen en te lopen risico’s bij medewerkers. Omgaan met ICT risico betekent dat organisaties kijken naar het totale risico en afwegingen maken ten aanzien van de te nemen maatregelen (zie figuur 2.8). Dit leidt in het algemeen tot: a. een meer transparante inrichting van de ICT voorziening van een organisatie. Dit betekent een transparante architectuur van producten en diensten geleverd door een goed beschreven ICT organisatie. Deze architectuur en deze organisatie zijn niet complexer dan nodig. b. de aanwezigheid van een organisatie voor risicomanagement, dat ervoor zorgt, dat op het niveau van de organisatie een overzicht aanwezig is van risico’s,die de organisatie loopt. Hierdoor is de leiding in staat voldoende tijd en middelen te investeren in risicomanagement. In dit proces worden risico’s geïdentificeerd, van een prioriteit voorzien en gevolgd. c. en een cultuur, die ervoor zorgt, dat iedere betrokkene voldoende kennis heeft van de risico’s en ermee rekening houdt (risk awareness). In deze cultuur wordt open en niet bedreigend gesproken over mogelijk te lopen risico.
24
Omgaan met het ICT risco
2.2.7. De keuze van de methode, die gekozen is als basis van het praktijkonderzoek
In dit hoofdstuk kwamen zes benaderingen om om te gaan met het risico van inzet van ICT aan de orde. De eerste vijf benaderingen benadrukken één of meerdere aspecten van risico of wijzen om met het risico bij de informatievoorziening en de daarvoor nodige inzet van ICT om te gaan. Duidelijk wordt dat het bij risico in een organisatie niet alleen gaat om het risico met de huidige ICT, maar ook met het risico, dat komende ICT niet biedt, wat een organisatie ervan verwacht. Onderzoek leert (Westerman, 2007), dat de reden, dat organisaties deze risico’s lopen vaak voorkomt uit een gebrek aan overzicht bij de leiding over de impact van ICT en het ontbreken van echte sturing van die ICT op organisatieniveau. Om IT risico in een organisatie in de praktijk te onderzoeken is daarom gekozen voor een methode, die leidinggevenden aan de gebruikerskant en aan de ICT kant ondervraagt. Bij deze methoden worden risico’s en de maatregelen om risico’s te beperken geformuleerd in managementtermen. De methode maakt een onderscheid tussen het soort gelopen risico en de generieke maatregelen om risico te verkleinen. De leiding, die ICT inzet, wordt ondervraagd over de risico’s ,welke zijn organisatie ten aanzien van de inzet van de informatievoorziening en de daarbij nodige ICT loopt. Aan de orde komt in dit interview, welke risico’s de organi-satie loopt, wat de gevolgen van deze risico’s zijn en welke keuzen men bij het omgaan met de soorten risico maakt. De ICT kant wordt gevraagd om de maatregelen aan te geven, die de organisatie heeft genomen om de mogelijkheid van het optreden van de gevolgen van deze risico’s te beperken.
2.3.
Enige voorbeelden van toepassing van de theorie
Alvorens systematisch in te gaan op de resultaten van het empirisch onderzoek worden eerst een aantal voorbeelden gegeven van mogelijkheden, waarop het risico van ICT door organisaties wordt beperkt. Deze voorbeelden sluiten aan bij de theorie van Westerman (2007). Zij werden door de organisaties aangereikt bij het empirisch onderzoek en bij seminars, die over dit onderwerp zijn gevolgd.
Omgaan met het ICT risico
25
De voorbeelden betreffen: - de standaardisatie van ICT voorzieningen door gebruik te maken van een catalogus; - de rapportage van geleverde producten en diensten; - de wijze van contractering van externe producten en diensten; - en een voorbeeld, hoe organisaties, gedwongen door eisen vanuit de keten van organisaties, waar zij deel van uitmaken, maatregelen treffen om het risico, dat zij met inzet van ICT lopen, te verkleinen.
2.3.1. Standaardisatie met een service catalogus
Standaardisatie van ICT voorzieningen komt naar voren, als een wijze om de levering van ICT producten en diensten beter beheersbaar en transparant te maken. (Lectoraat ICT governance, 2008). Standaardisatie van ICT producten en diensten gaat vaak gepaard met het aangeven van deze producten en diensten in een catalogus. De catalogus is als het ware de menukaart van een ICT organisatie.
Plaats van de service catalogus
Figuur 2.9: Ondernemingsarchitectuur van de IB-Groep en de plaats van de technische architectuur
26
Omgaan met het ICT risco
Een voorbeeld van een dergelijke catalogus is de service catalogus 2008-2009 van de IB-Groep. In het voorwoord van deze catalogus wordt aangegeven, dat de catalogus helpt bij het maken van afspraken tussen klant en leverancier. De catalogus kwam tot stand in overleg tussen de gebruikers van centrale diensten en de leveranciers van deze diensten. De leveran-ciers zijn de directie ICT en de afdeling Centraal Proces Beheer (CPB). In de catalogus wordt aangegeven (zie figuur 2.9), dat de catalogus is gebaseerd op het onderdeel technische infrastructuur diensten van de IB-Groep ondernemingsarchitectuur. De catalogus legt een groot aantal van afspraken op het terrein van de organisatie en ten aanzien van de diensten van de centrale afdelingen ICT en CPB vast. De catalogus maakt hierbij een onderscheid tussen eindgebruikers- en business-services. De eindgebruikers- services betreffen diensten op het terrein van ICT werkplekken, telefonie en standaard software. De business services betreffen adviesdiensten, het maken en onderhouden van maatwerksoftware, informatievoorzieningsdiensten en diensten ten aanzien van de exploitatie van ICT. In figuur 2.10 is een voorbeeld gegeven van de diensten, die worden geleverd. Infrastructuurdiensten kanalen Web
Telefoon ACD/VRS dienst
Internet security diensten
Web informatiediensten
Web portal diensten
Web applicatie security diensten
Web applicatie diensten
Het bieden van alle functionaliteit voor het via de telefoon communiceren, zowel spraak als data en distribueren van oproepen over vestigingen
Het beveiligen van web diensten
Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep
Het leveren van algemene en klantspecifieke diensten.
Het voorzien in een veilige connectie tussen de Web Portal en de Web applicaties
Alle diensten voor het uitvoeren van de feitelijke webapplicaties
1
2
het bieden van de mogelijkheid van mutaties en aanvragen. 3
4
5
Balie Document scanning diensten
Identificatie en verificatie diensten
Balie informatie diensten
Deze dienst voorziet in het scannen van documenten
Het vaststellen van identiteit en verificatie van identiteit van personen
Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep
7
8
6
Papier Balie transactie diensten Het leveren van algemene en klantspecifieke diensten.
Balie security diensten
Document scanning diensten
Het voorzien in een veilige omgeving en toegang tot applicaties voor baliepersoneel
Deze dienst voorziet in het scannen van documenten
het bieden van de mogelijkheid van mutaties en aanvragen. 9
10
11
12
Figuur 2.10 : Voorbeeld van diensten van de ICT afdeling IB-groep
Omgaan met het ICT risico
27
2.3.2. Rapportage van geleverde ICT diensten
Het maken van periodieke rapportages is een wijze om zelf inzicht te krijgen in het eigen reilen en zeilen, doch ook om anderen toegang te geven tot het eigen functioneren. Het geven van goed inzicht in de prestaties op het terrein van het ICT wekt vertrouwen en maakt het mogelijk om op de juiste punten extra inspanning te plegen. Tijdens het onderzoek kwamen twee rapportages over ICT naar voren, welke in één oogopslag aangeven, welke de sterke en de zwakke punten van de leveranciers van ICT zijn. Hierbij is uitgegaan van de afspraken, die men heeft gemaakt met de gebruikers van hun diensten. De eerste rapportage is die van het Kadaster. Deze organisatie gebruikt voor haar maandelijkse rapportage de Balanced Score Card methodiek. Zelf krijgt de ICT exploitatie organisatie in één oogopslag inzicht in haar functioneren en in het gesprek met haar klanten kan men zich snel focussen op de zaken, die van belang zijn. De prestaties zijn met kleur en met een naar beneden wijzende pijl aangegeven. In figuur 2.11 is dit weergegeven. Uit de figuur wordt duidelijk, dat anno april 2009 vooral de financiën de nodige aandacht behoeven. Ook wordt duidelijk, dat in de balanced score card van het Kadaster het onderdeel groei&leer nog niet echt ontwikkeld is.
Figuur 2.11 : De balanced score van de afdeling ICT services van het Kadaster
28
Omgaan met het ICT risco
Figuur 2.12 : Rapportage afdeling ICT services Fontys hogeschool.
De tweede rapportage is die van de afdeling ICT services van Fontys hogeschool. In de maandelijkse management rapportage geeft zij met een kleursysteem aan, wat de status is van de prestatie. De geleverde prestatie wordt gerelateerd aan tevoren gestelde kritische prestatie indicatoren. In één oogopslag maakt de rapportage helder, op welke onderwerpen de aandacht zich moet richten. In dit geval heeft de beveiliging en de applicatie-ontwikkeling attentie nodig. In figuur 2.12 is een voorbeeld gegeven van het gebruik van kritische prestatie indicatoren bij de ICT services afdeling van Fontys Hogeschool.
2.3.3. Contracten met externe leveranciers
Ter bescherming van de organisatie worden in contracten met derden vaak nadere voorwaarden gesteld. Deze voorwaarden hebben betrekking op het verhalen van eventuele schade, de intellectuele eigendom bij levering van diensten, het gebruik van hulpmiddelen en de geheimhouding van verkregen informatie.
Omgaan met het ICT risico
29
Figuur 2.13 : Voorbeeld van een deel van een bepaling over intellectuele eigendoms-rechten
(IB-groep, 2009)
In figuur 2.13 is een voorbeeld gegeven van een bepaling op dit terrein. Het is een deel van de bepaling over intellectuele eigendom uit de algemene leveringsvoorwaarden bij inkoop van diensten van de IB-groep. Op de website van de IB-Groep (zie geraadpleegde bronnen) vindt men de verwijzing naar deze algemene inkoopvoorwaarden. Een set algemene voorwaarden heeft betrekking op leveringen. Een andere set algemene voorwaarden heeft betrekking op de inkoop van diensten.
2.3.4. Beleidsplannen, architecturen en continuïteitsplannen
Naast het maken van beleidsplannen komt het maken en werken van architecturen op. Een visuele weergave van een beleidsplan wordt gegeven in figuur 2.14. Deze figuur ontleend aan het plan Landscaping the Infrastructure uit 2007-2009 van de afdeling ICT services van Fontys Hogeschool. Uit de figuur wordt duidelijk dat Fontys ICT services een groot aantal standaard diensten levert. Deze standaarddiensten kunnen aangevuld worden met eigen applicaties van de 38 Fontys hogescholen, die aan de voorwaarden voldoen om op deze infrastructuur te kunnen worden geplaatst. Fontys ICT services kent voorts paarse en gele werkplekken. De paarse werkplek bestaat uit een standaard desktop of laptop, welke voldoet aan de minimale eisen om er een Fontys applicatie op aan te kunnen bieden. De gele werkplek is een werkplek met een afwijkende inrichting of een compleet afwijkende hardware. De verwachting is dat de komende jaren het aantal gele werkplekken sterk zal toenemen, nu instituten adviseren aan hun studenten laptops aan te schaffen en deze studenten toegang moeten hebben tot de Fontys infrastructuur.
30
Omgaan met het ICT risco
Figuur 2.14 : Het ICT architectuurbeleid 2007-2009 van Fontys ICT services
Eén van de soorten plannen, welke handig zijn bij het beperken van het risico bij inzet van ICT, is het continuïteitsplan. Een van de voorbeelden van een dergelijk plan is het ICT bedrijfscontinuïteitsbeleid van het Kadaster. De nota, die dit beleid beschrijft, bestaat uit drie delen. Deze delen zijn: het doel en de positionering van dit beleid, de taken en verantwoordelijkheden op dit terrein en de uitgangspunten bij het nemen van beslissingen over uitwijkniveaus. In figuur 2.15 is aangegeven, hoe dit beleid past in het algemene risicomanagementbeleid van het Kadaster.
Risicomanagementbeleid (inclusief bedrijfscontinuïteit)
ICT bedrijfscontinuïteitbeleid
Verzekeringsbeleid
Calamiteitenbeheersing
Figuur 2.15. : ICT bedrijfscontinuïteit in relatie tot ander beleid
Omgaan met het ICT risico
31
32
Omgaan met het ICT risco
3. De praktijk 3.1.
Het onderzoek
De maatregelen, die organisaties nemen om het risico van de inzet van ICT te beperken, werden onderzocht met diepte interviews. Deze diepte interviews werden in het voorjaar van 2009 gehouden met managers en medewerkers, die een leidende rol spelen in hun organisatie. Zij werden afgenomen met behulp van standaardvragenlijsten, die hen tevoren werden toegestuurd. (zie bijlage 2) De vragen voor de interviews werden geformuleerd door de kenniskring van het lectoraat, waarbij de theorie van Westerman (2007) de basis vormde. Per organisatie werd aan de kant van de gebruikers en aan ICT kant een interview afgenomen. In totaal werden 18 interviews afgenomen. De geïnterviewde personen werkten in de volgende organisaties: Fontys Hogeschool, de chipproducent NXP Semiconductors, de Hypotheker, het Amphia ziekenhuis, de verzekeraar Achmea, het Centraal Justitieel Incassobureau (CJIB), de IB-Groep, het Kadaster en de Politie. De proefinterviews voor dit onderzoek werden gedaan bij Fontys Hogeschool ICT en bij de Fontys ICT Services afdeling. Alle onderzochte organisaties hebben meer dan 1400 medewerkers.
3.2.
Omgaan met het risico van ICT
3.2.1. Beschikbaarheid van ICT
Anno 2009 kan men constateren, dat organisaties niet meer zonder ICT kunnen. Alle ondervraagde managers (figuur 3.1) geven zonder uitzondering aan welke processen voor hen vitaal zijn en wat de gevolgen zijn. Duidelijk wordt dat in ziekenhuizen patiënten moeten terugkomen,, in scholen het onderwijs in kwaliteit daalt en bij de verzekeraar direct het calamiteitenplan in actie komt. Iedere manager kan zich voorts ook herinneren, wat de laatste uitval van ICT was en wat daarvan de reden was. In dit onderzoek moet worden geconstateerd, dat van de acht ondervraagde organisaties, de politie het meest laconiek reageert. Deze stelt: “We hebben altijd nog de papieren backup.” Bij de ondervraagde hogeschool was de reactie anders. Hier merkt men op, dat men er eigenlijk vanuit gaat, dat de ICT voorzieningen zonder mankeren werken.
Omgaan met het ICT risico
33
Vraag
Wat is het belangrijkste ICTafhankelijke proces?
Wat zijn de gevolgen van ICT-uitval?
Kan men doorwerken na uitval?
Hoe vaak viel de ICT in de laatste twaalf maanden uit?
Is men in staat om de schade te beperken?
Fontys
Onderwijsuitvoering, -voorbereiding en studentenadministratie
Onderwijskwaliteit daalt, student is niet bereikbaar
Bepaalde activiteiten vallen uit, er zijn geen back-ups voor
Anderhalve dag ongeplande downtime van een deelsysteem, verder de reguliere maintenance
We gaan ervan uit dat dat alles werkt, anders gaan we handmatig werken
Amphia
Patiënteninformatie: labuitslagen en foto’s
Patiënt moet terugkomen
Ja, maar sommige taken stoppen
Deelsystemen vielen twee tot drie keer per maand uit
Ja, uitval is gevaarlijk
Achmea
Alle primaire processen: ons product is informatie
Niemand kan werken
Alle verkoop ligt stil
Niet één keer
Het calamiteitenplan gaat direct in
NXP
Klantorderproces, financiële processen en productie
Er treedt geen uitval op, want de fabrieken hebben een beschikbaarheid van 99,9%
Klant wordt geïnformeerd en het 24x7-werken stopt
Uitval verschilt per applicatie en locatie. Bij uitval is een root cause analysis verplicht.
Er is uitwijk en een continuïteitsplan
Hypotheker
Relatiebeheersysteem en de systemen die daarvan afhankelijk zijn
Geen omzet
Ja, maar dat is altijd dubbel werk
Een keer een uur
Er is uitwijk, de downtime is maximaal 24 uur
IB-Groep
Ongeveer 25 grote processen zijn zonder ICT onmogelijk
Wat de gevolgen zijn, is afhankelijk van de tijd van het jaar
Alles is binnen vier uur weer operationeel
Communicatie met scholen viel vorig jaar uit
Er is een uitwijkcentrum
Kadaster
Systemen die de wettelijke taak ondersteunen
Er ontstaat dan een priority one, mogelijk gebruiken we de uitwijk want we hebben alles dubbel
Er kan niet gewerkt worden
Deelsysteem viel één keer uit, het is onmogelijk dat alles down gaat
Er is uitwijk, handmatig werken is namelijk onmogelijk
Politie
Extern is dat intake, intern is dat opsporing
Imagoschade, maar het werk gaat door
Een paar dagen, daarna lastig
Onbeschikbaarheid valt mee, want er is een papieren back-up
Er zijn handmatige procedures en uitwijklocaties, het schaduwrekencentrum
CJIB
Het primaire proces en de verwijzingsindex personen (vip)
Uitval van de vip is gevaarlijk voor agenten
5-10 minuten
Niet één keer
Dit wordt normaal opgevangen via de ITIL-processen, anders is er een businesscontinuïteitsplan
Organisatie
Figuur 1. Hoe organisaties aankijken tegen beschikbaarheid. Vraag
Welke informatie
Wat zijn de
Is er nu een goede
Hebben mede-
organisatie?
misbruik?
en hoe is die geregeld?
tot meer gegevens dan nodig?
is vitaal voor bij bescherming werkers toegang Figuur 3.1:deKijkgevolgen van organisaties op beschikbaarheid
Organisatie
Hoe krijgt men toegang tot de gegevens?
Zijn er procedures voor verwijdering van useraccounts bij contractbeëindiging?
Hoe is de toegang geregeld voor externen en klanten?
Fontys Geknoei met een informatie Centrale diensten Ja, als men weet proces Door inlognaam en Ja, het personeel kan een De meeste Roosters, organisaties, die intensief hebben, zoals deMenHypolesinformatie en cijfers leidt tot zijn goed beveiligd waar het staat, kan wachtwoord voor regelt samen met tijdelijk account registratie van onjuiste gegevens, alles vinden de hele omgeving, de ICT-afdeling de krijgen theker, hetdestudieresultaten Kadaster,de politie en Achmea, men merken voorts ongevraagd op, dat zij de administratieve deze toegang moet toegang organisatie zal dan gesplitst worden beschikken over een uitwijkcentrum. De politie heeft daarnaast haar meest belangniet meer optimaal verlopen rijke systemen dubbel uitge-voerd. De conclusie voor wat betreft Onbekend de noodzaak van Amphia Patiëntgegevens en Imagoschade en Nee, alle systemen Ja, iedereen kan Door inlognaam en Klanten krijgen geen financiële data omzetverlies staan open bijna overal bij wachtwoord online toegang, beschikbaarheid is, dat in de meeste onderzochte organisaties beschikbaarheid een leveranciers krijgen een inlogprofiel duidelijk punt van aandacht is en dat men meestal over de gevolgen van het niet Zij krijgen toegang Achmea Persoonsgebonden Imagoschade en Ja, alles is geënJa, we werken aan Men krijgt toegang, Ja, de ICT-afdeling doet dit indien nodig informatie een slechtere crypt opgeslagen manier om maar het beschikbaar zijn van ICT heeft nagedacht eneen genomen. In sommige sectoconcurrentiepositie dezeactie situatie teheeft verwijderen van beëindigen data is onmogelijk ren van de maatschappij bijvoorbeeld onderwijs, politie en zorg lijken deze maatregeDoor een profiel Ja, maar men Er zijn afspraken NXP Financiële data Dan wordt direct Ja, er is controle op Nee, er zijn aan te vragen via laks in de vastgelegd applicaties actie ondernomen autorisaties profielen en er is len van eenenvoordeander niveau dan in beheer, de industrie of financiële sector.isuitvoering en een onderzoek en monitoring segregatie van de de manager communicatie
Hypotheker
met klanten en leveranciers
gestart
Alle klantdata, ook pensioengegevens
Omzetverlies en het CBP komt langs
Ja, permanent verbetering
Ja, de rechten zijn lastig te scheiden
duty rule set De toegang is online, iedereen heeft officieel een eigen wachtwoord
Ja, er gaat dan direct een mail naar het hoofdkantoor
Zij krijgen geen toegang
IB-Groep
Alle, informatieverwerking is het primaire proces
Interne gevolgen zijn groter dan de externe
Ja, de IT-organisatie regelt dit
Nee, er zijn profielen
Door Mijn IBgroep en door het papieren archief
Ja, via protocollen
Vaste leveranciers krijgen toegang, dit loopt via een contract
Kadaster
Hypothecaire en kadastrale data
Dan worden eigendommen verkeerd toegewezen
Ja, de IT-organisatie regelt dit
Ja, de authorisaties zijn te ruim
Er is nu een manager, men werkt aan profielen
Ja, maar alleen als het echt nodig is
Hangt af van de situatie
Politie
Meldingen en opsporingsinfo
Imagoschade, er komt vertrouwelijke info op straat te liggen
Over het algemeen is de beveiliging goed
Ja, dit is onvermijdelijk
Door profielen
Ja, er zijn afspraken gemaakt
Externen worden gescreend, de rest geweerd
CJIB
Info in de primaire applicaties
Imagoschade
Ja, er is geen wireless internet en de netwerken worden continu gemonitoord
Nee, er moet een need to know zijn
Door Citrix, thuis met wachtwoord en pasje
Ja, alles wordt gedisabled en verwijderd
Externen krijgen alleen toegang via een procedure
Figuur 2. Hoe organisaties aankijken tegen de bescherming van opgeslagen gegevens.
34
Omgaan met het ICT risco
(vip)
anders is er een businesscontinuïteitsplan
Figuur 1. Hoe organisaties aankijken tegen beschikbaarheid. Welke informatie is vitaal voor de organisatie?
Wat zijn de gevolgen bij misbruik?
Is er nu een goede bescherming en hoe is die geregeld?
Hebben medewerkers toegang tot meer gegevens dan nodig?
Hoe krijgt men toegang tot de gegevens?
Zijn er procedures voor verwijdering van useraccounts bij contractbeëindiging?
Hoe is de toegang geregeld voor externen en klanten?
Fontys
Roosters, lesinformatie en de registratie van studieresultaten
Geknoei met cijfers leidt tot onjuiste gegevens, de administratieve organisatie zal dan niet meer optimaal verlopen
Centrale diensten zijn goed beveiligd
Ja, als men weet waar het staat, kan men alles vinden
Door inlognaam en wachtwoord voor de hele omgeving, deze toegang moet gesplitst worden
Ja, het personeel regelt samen met de ICT-afdeling de toegang
Men kan een tijdelijk account krijgen
Amphia
Patiëntgegevens en financiële data
Imagoschade en omzetverlies
Nee, alle systemen staan open
Ja, iedereen kan bijna overal bij
Door inlognaam en wachtwoord
Onbekend
Klanten krijgen geen online toegang, leveranciers krijgen een inlogprofiel
Achmea
Persoonsgebonden informatie
Imagoschade en een slechtere concurrentiepositie
Ja, alles is geëncrypt opgeslagen
Ja, we werken aan een manier om deze situatie te beëindigen
Men krijgt toegang, maar het verwijderen van data is onmogelijk
Ja, de ICT-afdeling doet dit
Zij krijgen toegang indien nodig
NXP
Financiële data en de applicaties voor communicatie met klanten en leveranciers
Dan wordt direct actie ondernomen en een onderzoek gestart
Ja, er is controle op beheer, autorisaties en monitoring
Nee, er zijn profielen en er is segregatie van de duty rule set
Door een profiel aan te vragen via de manager
Ja, maar men is laks in de uitvoering
Er zijn afspraken vastgelegd
Hypotheker
Alle klantdata, ook pensioengegevens
Omzetverlies en het CBP komt langs
Ja, permanent verbetering
Ja, de rechten zijn lastig te scheiden
De toegang is online, iedereen heeft officieel een eigen wachtwoord
Ja, er gaat dan direct een mail naar het hoofdkantoor
Zij krijgen geen toegang
IB-Groep
Alle, informatieverwerking is het primaire proces
Interne gevolgen zijn groter dan de externe
Ja, de IT-organisatie regelt dit
Nee, er zijn profielen
Door Mijn IBgroep en door het papieren archief
Ja, via protocollen
Vaste leveranciers krijgen toegang, dit loopt via een contract
Kadaster
Hypothecaire en kadastrale data
Dan worden eigendommen verkeerd toegewezen
Ja, de IT-organisatie regelt dit
Ja, de authorisaties zijn te ruim
Er is nu een manager, men werkt aan profielen
Ja, maar alleen als het echt nodig is
Hangt af van de situatie
Politie
Meldingen en opsporingsinfo
Imagoschade, er komt vertrouwelijke info op straat te liggen
Over het algemeen is de beveiliging goed
Ja, dit is onvermijdelijk
Door profielen
Ja, er zijn afspraken gemaakt
Externen worden gescreend, de rest geweerd
CJIB
Info in de primaire applicaties
Imagoschade
Ja, er is geen wireless internet en de netwerken worden continu gemonitoord
Nee, er moet een need to know zijn
Door Citrix, thuis met wachtwoord en pasje
Ja, alles wordt gedisabled en verwijderd
Externen krijgen alleen toegang via een procedure
Vraag
Organisatie
Figuur 2. Hoe organisaties aankijken tegen de bescherming van opgeslagen gegevens.
Figuur 3.2: Kijk op de bescherming van opgeslagen gegevens
3.2.2. Bescherming van ICT
Een tweede invalshoek op het risico bij inzet van ICT is die van de bescherming van gegevens. Moderne applicaties, mits goed geïnstalleerd, verschaffen organisaties de mogelijkheid te loggen, welke activiteit erop het systeem gebeurt. En dat is handig! Scholen kunnen hierdoor de bron van hate mails traceren. Bij verzekeraars weet men van ieder welke activiteiten iemand op het systeem heeft uitgevoerd. In figuur 3.2 zijn de resultaten van het onderzoek schematisch weergegeven. Uit de figuur komt naar voren dat zij vaak nog processen gebruiken, die foutgevoelig zijn. Voorbeelden hiervan zijn ondermeer het doorgeven van cijfers op schrift en deze gegevens door anderen in de systemen laten invoeren; het open laten staan van pc’s en het hebben van brede autorisatie profielen.
Omgaan met het ICT risico
35
Op dit moment lijkt het management voorts in veel organisaties nog te bepalen, wie waarvoor geautoriseerd wordt en wanneer deze autorisatie wordt ingetrokken. Er lijkt echter een wijziging op dit terrein aan te komen. Steeds meer ziet men organisaties profielen onderken-nen. Ieder profiel heeft de daarbij horende bevoegdheden en dus mogelijkheden op een systeem. De conclusie lijkt, dat de mogelijkheden van ICT niet overal optimaal worden ingezet. Een aantal organisaties (oa. IB-Groep, politie, NXP Semiconductors) kennen profielen. Maar vaak staan autorisaties te ruim en wordt aan beschikbaarheid en gebruikersgemak prioriteit gegeven. Soms is men gewoon te laks bij het verwijderen van autorisaties.
3.2.3. Omgaan met het risico: nauwkeurigheid, tijdigheid en betrouwbaarheid van gegevens
Ten aanzien van de aanwezigheid van goede gegevens werden in het onderzoek drie vragen gesteld (zie figuur 3.3) . De eerste betrof het beschikken over goede gegevens; de tweede handelde over de correctheid van gegevens en de derde ging in op de kans op fouten in deze gegevens. Duidelijk wordt uit figuur 3.3, dat anno 2009 er op het terrein van de aanwezigheid van gegevens direct gedacht wordt aan de kwaliteit van besturingsinformatie. Vijf van de negen organisaties gingen direct in op de kwaliteit van workflowgegevens of op die van managementinformatie. Anno 2009 weet het management voorts goed, welke gegevens men mist en wat dat betekent. Op de Hogeschool is er gebrek aan inzicht in de beschikbaarheid van lokalen. Bij de Hypotheker werkt men op basis van een actielijst, maar wordt niet afwerken van de actie niet echt ontdekt. Bij de Politie en het ziekenhuis is er vaak een gebrek aan juiste managementinformatie. In de praktijk leidt het ontbreken van de juiste gegevens tot imagoschade, tot onvoldoende inzicht in welke activteiten wel en welke niet winstgevend zijn, tot het verkeerd terecht komen van facturen, enz. Als er fouten in de gegevens zitten, dan komen zij in het algemeen door het nog aanwezig zijn van handwerk. Steeds meer worden foutieve gegevens ook veroorzaakt door een foutieve aanlevering van data uit de keten. Soms moet een organisatie meermalen dezelfde gegevens opnieuw invoeren; soms zijn de gegevens van derden niet nauwkeurig of actueel genoeg; soms komt het door dat mensen niet echt weten, wat het belang is van het hebben van gegevens is. Ondermeer de CJIB en de Hypotheker hebben maatregelen getroffen om tot een optimale invoer van gegevens te komen.
36
Omgaan met het ICT risco
Vraag
Zijn de belangrijkste gegevens voor het bedrijfsproces altijd beschikbaar?
Zijn de gegevens soms incorrect en wat zijn daarvan de gevolgen?
Kan een niet-ICT-gerelateerde oorzaak ervoor zorgen dat de informatie onbeschikbaar of incorrect is?
Fontys
Ja, maar de beschikbaarheid van lokalen moet beter inzichtelijk worden
Imagoschade, dat kost instroom van nieuwe studenten
Menselijk handelen brengt fouten met zich mee
Amphia
Ja, patiëntgegevens wel, met managementdata zijn er nog problemen
Er is onvoldoende inzicht in winst- en verliesgevende zorg
Patiëntgegevens moeten vaak opnieuw ingevoerd worden, dit geeft fouten
Achmea
Ja, deze zijn online 24 uur per dag beschikbaar, behalve zaterdag van 0.00 tot 8.00
Dan komen veel vorderingen verkeerd terecht
Handmatige invoer is minimaal, maar komt voor
NXP
Ja, de operationele data wel
Financiële data zijn 100% correct. Controle van andere gegevens is afhankelijk van de prioriteit.
ISO/TS 16949 geldt en vele checks zijn in de systemen ingebouwd
Hypotheker
Men werkt op basis van een actielijst, maar als men die niet afwerkt, dan wordt dit niet ontdekt
Gegevens zijn vrijwel nooit incorrect, alles is met verklaringen onderbouwd
Verkeerde spellingen leiden tot lang zoeken, maar de data worden altijd gevonden
IB-Groep
Ja, 98% van de gegevens wel. Uitslagen van schoolexamens moeten op tijd binnen zijn.
Dan worden studiefinanciering, schoolbekostiging enz. verkeerd uitbetaald
De IB-Groep is vrij afhankelijk van derden voor persoonsgegevens van gemeenten, info van scholen enz.
Kadaster
Ja, een workflow management system zorgt dat men de termijnen haalt
Imagoschade en claims, het Kadaster is hiervoor verzekerd
Bijvoorbeeld bij brand, overstroming of stroomuitval, het beheer heeft daarom twee locaties
Politie
Ja, operationele data wel, managementdata niet altijd. De onbeschikbare gegevens zijn meestal met een wachtwoord beveiligd.
Dan komen er verdachten vrij, krijgen verkeerde mensen een boete en lijden we imagoschade. De politie kan nog groeien in managementinformatie.
Foute invoer komt voor, daarnaast treedt er verlies van kennis op
CJIB
Ja, negen systemen met uptime van 98,9%
Dan komt de levensvatbaarheid van de organisatie in gevaar, want dan zijn we een onbetrouwbare partner voor politie en Justitie
Kans op menselijk falen is in kaart gebracht, waar nodig zijn extra controles ingevoerd
Organisatie
Figuur 3. Hoe organisaties aankijken tegen de kwaliteit van de gegevens.
Vraag
Figuur 3.3: Kijken naar de kwaliteit van de gegevens Hoe vaak overschrijden projecten Leveren de projecten de verwachte Wat zijn de gevolgen van het falen voordelen op, hoe vaak en in welke mate? Geef een percentage of indicatie.
of vertragen van een een project?
Welke grote koerswijzigingen verwacht men in de komende tijd en hoe goed zal de ICT deze kunnen ondersteunen?
Organisatie
met een behoorlijke ICT-component de geplande tijd of het geplande budget?
Achmea
Bijna altijd
In 80% van de gevallen halen we
Dan kan er geen verkoop plaats-
Kostenreductie is het doel: lagere
Het CJIB voert zo nodig extra Incontroles in. De Hypotheker stelt dat dit probleem Fontys Naar schatting 50% van de projecten 80% van de gevallen Dan moet men langer wachten en Men werkt aan een betere gaat over de geraamde tijd en het er frustatie op beschikbaarheid van centraal is onderkend enbudget datheen, inerte voeren gegevens vrijweltreedt altijd worden onderbouwd door geraamde opgeslagen administratieve wordt waarschijnlijk onvoldoende gegevens projectmatig verklaringen van gewerkt derden. De werkgever levert een brief aan met de loonsom. De Amphia Bijna altijd, de geschatte tijd wordt In 80% van de gevallen behalen Trend is gestandaardiseerde zorg en gemeente het enz. enz. laag in de organisatie Frustatie en weggegooid geld in 80% trouwboekje van de gevallen overschreden we voordelen, marktwerking bij producten niet altijd vinden kosten per polis de eisen, er is altijd een evaluatie Duidelijk wordt voorts dat goede informatie vitaal is voor de onderzochte organiachteraf saties en dat foute gegevens Omvan claims te dekken vandaar NXP Soms, maar de recent ingevoerde gevolgen In 80-90% van dekunnen gevallen halen hebben. Dat is afhankelijk het project, afGebruik van SaaS-oplossingen projectmanagementmethode helpt we die, maar kostenreducties zijn maar bij warehousing is het echt waar mogelijk dit te monitoren moeilijk te traceren prijzig derden ontstaan foor foutieve vaak gegevens in de door haar bijgehouden registraties Hypotheker Vaak, applicaties worden namelijk Niet altijd, de veranderingen maken Dan duurt het printen lang en moet Vergrote inzichtelijkheid voor de heeft het Kadaster zich verzekerd. Het CJIB stelt dat in dit geval de levensvatbaaralleen geïnstalleerd bij stabiel het proces trager de klant wachten klant functioneren heid van haar organisatie in gevaar komt. Zij moet een betrouwbare partner voor IB-Groep Zeer regelmatig, dit komt door De voordelen zitten soms in Dan vraagt de politiek om IB-Groep en CFI fuseren tot DUO, inschattingsfouten kwaliteit en effectiviteit, soms merkt in verantwoording ook de hun ICT-systemen worden en dan Justitie en politie zijn. NXP Semiconductors op dat zij zich wat kwaliteit efficiency geïntegreerd beschikbaarheid haar informatie sterk richt op norm ISO/TS Delen 16949. Kadaster Best vaak, wevan gebruiken PRINCE2, De meeste verwachte voordelen Falen de gebeurt zelden, meestal van het Kadaster worden
maar altijd delta
worden gehaald
treedt er alleen vertraging op
geoutsourcet
Politie
50-60% verloopt volgens plan
Techniek en kwaliteit, business en efficiëntie kan beter
Complexiteit neemt nu toe, 26 korpsen moeten door één deur kunnen
Van regionaal naar landelijk, van fysiek werk naar virtueel en informatiewerk
CJIB
Soms
In 80-90% van de gevallen
We staan nooit voor verrassingen, projecten worden met methodiek aangevlogen
Vervanging legacysysteem, in de toekomst het uitvoeren van de kilometerheffing
Figuur 4. Hoe organisaties aankijken tegen wendbaarheid van ICT.
Omgaan met het ICT risico
37
3.3.4. Wendbaarheid van de inzet van ICT
Vraagt Vraag menZijnde managers van de ICT Zijn gebruikende organisatie Kan naar de agility van de belangrijkste gegevens voor het de gegevens soms incorrect en wat zijn een niet-ICT-gerelateerde oorzaak bedrijfsproces altijd beschikbaar? daarvan de gevolgen? ervoor zorgen dat de informatie onbeschikbaar hun ICT, dan constateert men dat anno 2009 veel ICT projecten te lang duren en of incorrect is? Organisatie meer kosten dan gepland. (zie figuur 3.4) Wel worden de beoogde voordelen vaak Fontys Ja, maar de beschikbaarheid van lokalen moet Imagoschade, dat kost instroom van nieuwe Menselijk handelen brengt fouten met zich mee beter inzichtelijk worden studenten gehaald. Getallen van in de tachtig tot negentig procent van de ondernomen projecAmphia Ja, patiëntgegevens wel, met managementdata Er is onvoldoende inzicht in winst- en verliesgePatiëntgegevens moeten vaak opnieuw zijn er nog problemen vende zorg of die meer kosten ingevoerd worden, dit geeft fouten ten, die of langer duurden dan voorspeld, dan vooraf afgesproken, Ja, deze zijn onlineduurden, 24 uur per dag beschikbaar, Dan komen veel vorderingen verkeerd terecht Handmatige invoerDe is minimaal, maar komt voor ofAchmea die zowel langer als meer kosten, werden gerapporteerd. techniek behalve zaterdag van 0.00 tot 8.00 enNXPde kwaliteit van de oplossing is vaak goed, kijken we naar de optimale vervulling Ja, de operationele data wel Financiële data zijn 100% correct. Controle van ISO/TS 16949 geldt en vele checks zijn in de gegevens is afhankelijk van de prioriteit. ingebouwd van business eisen en het handig zijnandere van de oplossing in het systemen gebruik, dan blijven Hypotheker Men werkt op basis van een actielijst, maar als Gegevens zijn vrijwel nooit incorrect, alles is met Verkeerde spellingen leiden tot lang zoeken, die nietfalen afwerkt, dan wordtprojecten dit niet ontdekt verklaringen onderbouwd zelden tot nooit maar devoor. data wordenDit altijd gevonden er wensen.men Echt van komt echter lijkt zijn IB-Groep Ja, 98% van de gegevens wel. op Uitslagen van Dan worden voorkomen studiefinanciering, schoolbekostiging Dehanteren IB-Groep is vrij afhankelijk van derden voor oorzaak te hebben in het ruime schaal van het van methoden schoolexamens moeten op tijd binnen zijn. enz. verkeerd uitbetaald persoonsgegevens van gemeenten, info van scholen enz. zoals Prince-2 (Kadaster). Kadaster
Ja, een workflow management system zorgt dat men de termijnen haalt
Imagoschade en claims, het Kadaster is hiervoor verzekerd
Bijvoorbeeld bij brand, overstroming of stroomuitval, het beheer heeft daarom twee locaties
DePolitiereden voor het over tijd en over budget zijn, wordt veroorzaakt door Ja, operationele data wel, managementdata niet Dan komen er verdachten vrij, krijgen simpelweg Foute invoer komt voor, daarnaast treedt er altijd. De onbeschikbare gegevens zijn meestal verkeerde mensen een boete en lijden we verlies van kennis op met eenvan wachtwoord imagoschade. De politie kan nog groeien in het inschatten hetbeveiligd. project (IB-Groep, NXP Semiconductors), dat men eigenlijk managementinformatie. alleen installeert als er sprake is van Dan echt functioneren (Hypotheker) engebracht, dat CJIB Ja, negen systemen met uptime van 98,9% komt destabiel levensvatbaarheid van de organisatie Kans op menselijk falen is in kaart in gevaar, want dan zijn we een onbetrouwbare waar nodig zijn extra controles ingevoerd voor politie(Fontys en Justitie men meer projectmatig zou moeten partner werken Hogeschool voor ICT). Figuur 3. Hoe organisaties aankijken tegen de kwaliteit van de gegevens.
Vraag
Hoe vaak overschrijden projecten met een behoorlijke ICT-component de geplande tijd of het geplande budget?
Leveren de projecten de verwachte voordelen op, hoe vaak en in welke mate? Geef een percentage of indicatie.
Wat zijn de gevolgen van het falen of vertragen van een een project?
Welke grote koerswijzigingen verwacht men in de komende tijd en hoe goed zal de ICT deze kunnen ondersteunen?
Fontys
Naar schatting 50% van de projecten gaat over de geraamde tijd en het geraamde budget heen, er wordt waarschijnlijk onvoldoende projectmatig gewerkt
In 80% van de gevallen
Dan moet men langer wachten en treedt er frustatie op
Men werkt aan een betere beschikbaarheid van centraal opgeslagen administratieve gegevens
Amphia
Bijna altijd, de geschatte tijd wordt in 80% van de gevallen overschreden
In 80% van de gevallen behalen we voordelen, laag in de organisatie niet altijd
Frustatie en weggegooid geld
Trend is gestandaardiseerde zorg en marktwerking bij producten
Achmea
Bijna altijd
In 80% van de gevallen halen we de eisen, er is altijd een evaluatie achteraf
Dan kan er geen verkoop plaatsvinden
Kostenreductie is het doel: lagere kosten per polis
NXP
Soms, maar de recent ingevoerde projectmanagementmethode helpt dit te monitoren
In 80-90% van de gevallen halen we die, maar kostenreducties zijn vaak moeilijk te traceren
Dat is afhankelijk van het project, maar bij warehousing is het echt prijzig
Gebruik van SaaS-oplossingen daar waar mogelijk
Hypotheker
Vaak, applicaties worden namelijk alleen geïnstalleerd bij stabiel functioneren
Niet altijd, de veranderingen maken het proces trager
Dan duurt het printen lang en moet de klant wachten
Vergrote inzichtelijkheid voor de klant
IB-Groep
Zeer regelmatig, dit komt door inschattingsfouten
De voordelen zitten soms in kwaliteit en effectiviteit, soms in efficiency
Dan vraagt de politiek om verantwoording
IB-Groep en CFI fuseren tot DUO, ook hun ICT-systemen worden dan geïntegreerd
Kadaster
Best vaak, we gebruiken PRINCE2, maar altijd delta
De meeste verwachte voordelen worden gehaald
Falen gebeurt zelden, meestal treedt er alleen vertraging op
Delen van het Kadaster worden geoutsourcet
Politie
50-60% verloopt volgens plan
Techniek en kwaliteit, business en efficiëntie kan beter
Complexiteit neemt nu toe, 26 korpsen moeten door één deur kunnen
Van regionaal naar landelijk, van fysiek werk naar virtueel en informatiewerk
CJIB
Soms
In 80-90% van de gevallen
We staan nooit voor verrassingen, projecten worden met methodiek aangevlogen
Vervanging legacysysteem, in de toekomst het uitvoeren van de kilometerheffing
Organisatie
Figuur 4. Hoe organisaties aankijken tegen wendbaarheid van ICT.
Figuur 3.4: Kijk op de wendbaarheid van ICT
38
Omgaan met het ICT risco
Tenslotte merken een aantal organisaties op dat voor hen veranderingen op het vlak van ondersteuning door ICT voor de deur staan. Bij het Kadaster wordt sterk gedacht aan het meer outsourcen van ICT activiteiten, hetgeen een ander risicoprofiel met zich meebrengt. Bij het CJIB ziet men veranderingen door de komst van het rekeningrijden. Bij Achmea ligt de nadruk op het in drie jaar komen tot procesverbetering en applicatiesanering. Bij Fontys wil men komen tot een betere beschikbaarheid van centraal opgeslagen administratieve gegevens. Bij de IB-Groep zal men per 1/1/2010 gefuseerd zijn met het CFI, wat tot integratie zal leiden van een aantal ICT activiteiten. NXP Semiconductors merkt voorts op, dat fusies nog wel eens voorkomen en dat dan vanaf dag één van een fusie het overgenomen bedrijf met de ICT applicaties van NXP Semiconductors moet kunnen werken, De conclusie op dit terrein is, dat vele veranderingen in een organisatie anno 2009 door ICT worden ondersteund; dat deze ondersteuning pas in productie wordt genomen als zij stabiel is en dat dit vaak leidt tot over tijd en over budget in productie nemen van de resultaten van projecten.
3.3.
Typen van maatregelen
3.3.1. Maatregelen op het terrein van ICT
In figuur 3.5 en 3.6 zijn de maatregelen weergegeven, die organisatie nemen op het terrein van ICT om tot een verantwoord niveau qua te lopen IT risico’s te komen. In het algemeen is de richting van deze maatregelen helder: de trend is te komen naar een grotere standaardisatie op het terrein van ICT. Hierbij zijn er gradaties wat betreft niveau, waarop gestandaardiseerd wordt, te onderkennen. Het facilitair bedrijf van Fontys merkt op dat haar infrastructuur zowel technisch als informatisch in hoge mate is gestandaardiseerd, maar dat wat betreft applicaties de instituten binnen de hogeschool soms hun eigen applicaties op deze infrastructuur zetten. Het facilitair bedrijf kan in dezen slechts de voorwaarden stellen, waaraan applicaties moeten voldoen. Andere organisaties stellen, dat zij qua infrastructuur en applicaties wel de weg naar meer standaardisatie zijn ingeslagen, maar dat zij te maken hebben met erfenissen uit het verleden. Dit leidt er bijvoorbeeld toe, dat niet altijd alle ICT voorzieningen meer kunnen worden ondersteund.
Omgaan met het ICT risico
39
Onderwerp
Is het ICT-beleid gestandaardiseerd?
Ondersteunen leveranciers de ICTvoorzieningen?
Is de ICT-infrastructuur minder dan tien jaar geleden vernieuwd?
Doet men aan kostenbeheersing door standaardisatie van delen van het beleid? Zo ja, waarom?
Zijn de ICTvoorzieningen gedetailleerd beschreven? Is deze beschrijving up to date?
Is er permanente aandacht voor het vernieuwen en bijhouden van de ICT?
Geeft het ICTbeleid helder een richting aan?
Zijn er kansen voor vernieuwing?
Gebruikt men best practices?
Fontys
Technische en informatische infrastructuur ja, qua applicaties nee, al zijn er wel voorwaarden
De meeste wel. ICT host de applicaties, het instituut kiest ze uit.
Er is vernieuwd in 2000 en 2005 vanwege servercentralisatie en de toename van het aantal laptops
Ja
Ja
Ja, op basis van een ontwikkelplan
Nee, er zijn technische kaders
Nee, de basis is goed
Zo mogelijk gaat alles volgens standaarden
Amphia
Technisch en informatisch ja, qua applicaties minder
Ja
De basis is vernieuwd in 20052007, de oude infrastructuur gaat volgens plan weg
Ja, beheersbaarheid en uitwisselbaarheid staan voorop
60 to 80 procent staat beschreven, dit is genoeg
Ja, er zitten architecten op
Ja, inkoop past het toe
Ja, men doet altijd aan innovatie
Mondjesmaat
Achmea
Technisch ja, voor het overige is er een trend naar standaardisatie
Ja, behalve de legacyapplicaties
Nee, dit krijgt nu aandacht
Ja, vanwege mogelijke imagoschade
Ja, dit wordt één keer per jaar nagekeken
Ja
Ja
Ja, alles gaat naar een beperkt aantal doeldomeinen
Ja: BiSL, ASL enzovoort
NXP
Ja, maar in de productieomgeving minder
Ja, er is verder een wereldwijde helpdesk
Ja, wat betreft de datacenters is dit nu aan de gang
Ja, maar ook uit securityoverwegingen
Ja, er is een upto-date CMDB en er is een plan per locatie
Ja, vanwege de kosten
Ja
Ja, er is altijd een trend naar SaaS
Ja: ITIL en CobiT
Hypotheker
Technisch, informatisch en qua applicaties ja
Ja, een deel van de applicaties is zelfgemaakt
Ja, centraal en standaard
Nee, beheersbaarheid staat voorop
Niet helemaal, wel voor een groot deel
Ja
Nee
Nee
Ja: ITIL, TMap, PRINCE2
IB-Groep
Technisch en informatisch ja, qua applicaties deels
Ja, er zijn supportcontracten
Ja, er is geïnvesteerd in applicatieservers
Ja, maar de dienstverlening staat voorop
Ja, er is een aantal CMDB’s voor infrastructuur en applicaties
Ja, maar dit staat niet voorop
Er is een architectuur
Dit is lastig bij gebrek aan middelen
Ja: BiSL, ASL, DYA enzovoort
Kadaster
Ja, er is een uniforme exploitatieomgeving
Ja, als de kostenbatenverhouding gunstig is
Ja, maar er zijn ook extra taken bijgekomen
Ja, door de kredietcrisis is er minder geld
Ja
Ja, men loopt maximaal 1 versie achter
Ja, er is een architectuur
Ja, de focus ligt nu op mobiliteit en 24x7 bereikbaarheid
Ja, audits van KPMG
Grote overheidsdienst
Voor infrastructuur en applicaties ja
Bijna alle, de risico’s worden onderkend
Deels, dit krijgt nu aandacht
Ja, dit krijgt altijd aandacht
Legacyapplicaties zijn minder goed beschreven
Ja, maar het vernieuwen gaat te traag
Ja
Ja, via applicatierationalisatie
Ja: CMMI, ASL en RUP
CJIB
Ja, maar er is nog legacy
Alles, soms via Ministerie van Justitie
Hier is men nu mee bezig
De kosten worden verantwoord
Ja, helemaal
Ja
Dit kan explicieter
Vernieuwingen worden plateausgewijs ingevoerd
Ja, CobiT voor ICT en risicomanagement
Organisatie
Figuur 2. Verminderen van IT-risk door ICT-gerelateerde maatregelen. Onderwerp
Figuur 3.5: Verminderen vanIsICT risk door o.a. grotere standaardisatie, ondersteuning door Welke rollen Zijn er er een Gebruikt men een Gebruikt men Zijn er audits? Zo Welke processen Legt de
Hoe is het risicomanagement georganiseerd?
onderkent men?
risicocategorieën
actueel register
methode voor
commissies en
Zo ja, welke?
beleidsbesluiten voor te bereiden?
ja, hoe vaak?
of producten zijn
organisatie
wetgeving?
op principes en standaarden?
geïdentificeerd? aanwezig? risico-inschatting? taskforces om het hebben van gebonden sterkeetc. nadruk leveranciers, documenteren, regelmatig vernieuwen ICT, ICTaanbeleid
Organisatie Fontys
Er is iemand op Fontysniveau, maar geen risk officer
Er zijn geen aparte rollen
Ja, de algemene risico’s zijn helder
Nee, men start pas als er een probleem optreedt
Ja: PRINCE2 en ITIL
Nee
Vijf jaar geleden was er een ITIL quick scan
Er geldt alleen algemene wetgeving, bijvoorbeeld omtrent privacy
Ja, dit komt overal in terug
Amphia
Dit wordt met raad van bestuur geregeld via de stuurgroep ICT
Onder andere die van risk officer
Ja, via NEN 7510-compliance
Ja
Ja: Spark of Sprint
Ja, privacycommissie en stuurgroep ICT
Eén keer per jaar is er een risicoanalyse
Ja: WGBO, Wbp, eisen voor GBZ, NEN 7510, EPD-wet
Ja, zo veel mogelijk
Achmea
Er is een team met risk officers
Changemanager, risk officer enzovoort
Ja
Slechts in beperkte vorm
Ja: DICE voor projecten
Ja, teams bestaan onder andere externen
Ja, dit loopt via de afdeling voor risk audits
Ja, vele
Ja, dit gebeurt steeds meer vanwege een fusie in de organisatie
NXP
Dit is onderdeel van de ICT-organisatie, verder is er een information security policy board
Er zijn afdelingen voor information security en auditing
Nee, maar men is wel compliant aan de standaard van het Information Security Forum
Het securityplan voor 2009-2012 is in ontwikkeling
Ja: ISF, Firm
Ja
Ja, er zijn projectaudits, interne audits en externe audits voor SOx
Ja: privacywetgeving, SOx, ECC. ICT heeft hiervoor banden met andere afdelingen binnen NXP, zoals Legal en Trade.
Ja, dit maakt beheer eenvoudiger en het is goedkoper
Hypotheker
Dit wordt vooral rond projecten geregeld
Er zijn geen aparte rollen
Deze zijn bekend
Ja, dit wordt één keer per jaar bekeken
Nee
Ja , er is een stuurgroep
Ja, er zijn externe audits
Ja, de adviezen zijn te reconstrueren uit het archief
Ja
IB-Groep
Dit is in ontwikkeling
De rol van risicomanager is in ontwikkeling
Ja
Er is een register van lijn- en projectrisico’s
Ja: sessies, PRINCE2, COSO II
Lokaal beleid via directie
Er zijn interne en externe audits gedaan
Ja, het hele primaire proces is gebaseerd op wetten
Ja, maar de naleving is soms mager
Kadaster
Er is een beveiligingsmanager, geen risicomanager
Er is een standbymanager en een calamiteitenmanager
Ja, P1 tot P5
Nee
Deels, men maakt een walkthrough voor elke nieuwe applicatie
Businesscases gemaakt in teams
Er zijn veel audits, één keer per per drie jaar is er een benchmark
Ja, het hele primaire proces
Ja, maar de impact op de exploitatie is beperkt
Grote overheidsdienst
Dit wordt per afdeling geregeld
Assessment, audit en securityanalyse
Ja: continuïteit, onderhoudbaarheid, kosten
Ja, maar slechts ten dele
Ja, door het meten en schatten van onder andere functiepunten
Ja, bijvoorbeeld voor kosten
Nee, er zijn scans
Ja, een Wiki beschrijft de relatie tussen applicaties en wetgeving
Ja, dit gebeurt via architectuurstandaarden
CJIB
Auditing geschiedt samen met de afdeling voor risicomanagement
Projectleiders managen het risico
Ja: toegang, changes, kennis, continuïteit enzovoort
Nee
Ja: CRAMM plus de VIB-richtlijnen
Nee, dat doen de adviseurs
Ja, elke vijf jaar is er een audit op de processen, elke paar maanden is er een op de bedrijfsvoering
Ja, het hele primaire proces
Dit gebeurt nog te weinig, maar men is op weg naar een startarchitectuur met go-or-no-go momenten
Opvallend is dat vernieuwing van infrastructuur in de laatste jaren een hot topic is. De meeste onderzochte organisaties hebben dit recent gedaan (Amphia), zijn ermee bezig (CJIB, IB-Groep, Achmea) of hebben het op de agenda staan (grote overheidsdienst). Fontys merkt op, dat men al rond 2000 een nieuwe infrastructuur heeft aangelegd, toen men de vele ICT-afdelingen van 38 scholen – elke school had zijn eigen ICT afdeling- bij elkaar voegde. Rond 2005 waren voorts vernieuwingen in deze infrastructuur nodig, toen men meer mobiel ging werken.
Op het terrein van documentatie kan men stellen, dat vaak in voldoende detail de ICT voorzieningen zijn gedocumenteerd. Daar waar dit niet altijd het geval is (Politie) is de mindere documentatie te wijten aan de aanwezigheid van legacy. Uit figuur 3.5 wordt tenslotte duidelijk, dat niet immer een geschreven , overkoepelend ICT beleid aanwezig is. Wel zijn qua ICT voorzieningen de richtlijnen helder en werkt men vaak met een architectuur. Als er wel een beleid aanwezig is , dan past men dit direct toe bij de inkoop van ICT (Amphia ziekenhuis).
Figuur 3. Verminderen van IT-risk door beter te organiseren.
40
Omgaan met het ICT risco
Onderwerp
Beschikt men over een back-up and restore policy?
Wat is het verloop van ICT-personeel?
Is er een continuiteitsplan? Hoe vaak doet men een review?
Zijn er gegevens over de beschikbaarheid?
Welke autorisatie is er nodig voor toegang tot informatie?
Moeten externen tekenen voor toegang?
Is er begrip tussen organisatie en ICT en omgekeerd?
Gebruikt de organisatie een producten- of dienstencatalogus?
Zijn de applicaties consistent met de huidige en geplande standaarden?
Fontys
Er is beleid: studenten niet, de rest wel
10 procent, maar er is goede documentatie
Nee, na 2010 zal dit wel aanwezig zijn
Ja, één keer per maand is er een rapport
Username en password, soms extra’s
Ja, dit geldt voor stagiairs en externen
De infrastructuur is een nutsvoorziening
Ja
Applicaties zijn onderling niet consistent
Amphia
Ja, dit is echt uitgekristalliseerd
Enkele procenten
Nee, dit komt nog
Ja, maar deze worden niet verspreid
Dit loopt via de leiding, niet via de systeemeigenaar
Dit is niet geregeld
Het begrip bij operations is goed
Dit is in ontwikkeling
Nee, maar er is wel standaardisatie in de uitwisselingen
Achmea
Ja, plus uitwijk
Minder dan 1 procent
Ja, één keer per jaar is er een test
Ja, de uptime is 99,8 procent. Eén keer per week is er een rapport.
Username, password en pasje
Ja, dit is bij wet verplicht
Dit blijft knellen
Ja
Nee, maar wat er nu nieuw bijkomt wel
NXP
Ja, dit is een standaard securityeis in alle contracten
Het laatste jaar was dit 10 tot 15 procent vanwege outsourcing
Ja, één keer per jaar is er een review
Ja, er zijn standaard SLR’s voor providers
Dit is afhankelijk gemaakt van het profiel door de applicatie-eigenaar
Ja, er is non-disclosure agreement
Er is een linking pin
Ja
Ja, er is een strategie en een architectuurafdeling, maar 100 % consistentie is onhaalbaar
Hypotheker
Ja, plus uitwijk
5 tot 7 procent
Ja, elke drie maanden is er een update
Ja, één keer per maand is er een rapport
Logging en autorisatie op personen
Ja, volgens ISO 27000
Deels, er is overleg
Ja
Ja
IB-Groep
Ja, plus uitwijk en een plan om de gevolgen van uitwijk te ondervangen
1 tot 15 procent via interne mediatie
Ja, twee keer per jaar is er een review
Ja, deze is nodig voor de opdrachtgevers
Dit is afhankelijk van het profiel en de rol
Ja, plus controle
Dit is wisselend
Ja
Nee, in fasen migreert men naar een service-oriented architecture
Kadaster
Ja, op twee locaties met een dubbele back-up
Minder dan 5 procent, WAN en exploitatie zijn extern
Ja, zes keer per jaar is er een review, twee keer een test
Ja, deze gaat maandelijks naar de business
Ja, dit loopt via de manager
Ja
Dit is een moeilijk punt
Ja
In grote lijnen ja, bij exploitatie en testen zeker
Grote overheidsdienst
Ja, met een SLA. Dit werkt uitmuntend!
Minder dan 5 procent
Ja, twincenters
Ja
Dit loopt intern via de manager
Ja, plus screening
Ja
Men migreert het portfolio
CJIB
Er is een tapebackup
Minder dan 3 procent, er is groei
Ja, één keer per jaar is er een review
Ja, de uptime is 98,9 procent
Soms is er een logische toegangsbeveiligingsmatrix, soms is er extra actie nodig
Ja
Ja
Nee, alles wordt off the shelf vanwege de beheersbaarheid
Organisatie
Dit geeft hier veel spanning
Figuur 2, voortgezet.
Onderwerp
Figuur 3.6: Verminderen van ICT risico door o.a. het hebben van een backup’s en een
Ziet men in de organisatie het belang van kennis en intellectueel eigendom?
Is het denken over risico’s een integraal
Is er aandacht voor kwaliteit?
Is de bedrijfstak een mogelijk doelwit voor
Is het oké om over de risico’s te spreken?
Zijn er realistische budgetten en plan-
Delen de managers hun ervaringen met
plan voor verzekeren van de continuïteit, rapportages, beperkt verloop van deel van het dagelijks politiek of regelmatige sociaal ningen? risico’s?
Organisatie
handelen?
activisme?
mensen en zorgvuldige autorisatie.
Fontys
Nee, want er is weinig intellectueel eigendom
Nee, men denkt wel aan beschikbaarheid
Er is geen certificering
Nee
Ja
Ja, plus een tweewekelijks rapport
Onvoldoende
Amphia
Nog niet echt
Nee
Nee, maar dit wisselt per maatschap
Nee, maar dat kan veranderen
Ja, maar falen is onacceptabel
Ja, men gebruikt PRINCE2
Ja
Achmea
Ja, hiervoor zijn richtlijnen
Ja, er zijn standaardtemplates
Ja, er zijn methodes en CMMI
Ja, daarom er is ook zware monitoring
Ja, anders wordt falen een probleem
In 70 procent van de gevallen haalt men dit niet
Ja, informeel
NXP
Ja, men leeft van intellectueel eigendom. Er is een wekelijkse NXP newsletter
Dit is binnen project ingebouwd, anders is er wel awareness
Ja, ISO 9000-9001, CobiT enzovoort
Nee, men heeft meer last van spionage, fraude enzovoort
Ja, maar er is altijd een kosten-batenafweging
Ja, vooral voor sturing op grote projecten
Er is een vrij open cultuur, dit bevordert de communicatie!
Hypotheker
Ja, voor elke applicatie wordt drie man opgeleid
Ja, binnen ICT zeker
Ja, CMM, AO en SAS 70
Nee
Dit gebeurt vooral vanuit ICT
Ja
Ja, er is formeel overleg
IB-Groep
Ja, maar er is geen intellectueel eigendom
Hier wordt aan gewerkt
Ja, vaak ISO-gecertificeerd, COSO 2, CMMI enzovoort
Nee
Ja, dit gebeurt onder andere per twee weken via portfolio’s
Ja, maar niet voor alles
Dit gebeurt binnen het team zeker
Figuur 3.6 geeft vervolgens verdere maatregelen op het terrein van ICT. Duidelijk is dat vrijwel alle onderzochte organisaties hun producten en diensten in een catalogus hebben neergelegd. Duidelijk is ook, dat, hoewel men vaak aangeeft over een architectuur voor ICT te beschikken en werkt volgens deze architectuur, er absoluut geen sprake van is, dat de huidige ICT voorzieningen voor meer dan 90% aan de eisen van deze architectuur voldoen. Dieper ingaand op figuur 3.5 wordt voorts helder, dat kijkend over organisaties heen er duidelijk sprake is van een zekere convergentie. Steeds komen methoden voor de inrichting van een ICT organisatie, zoals BiSL, ASL, ITIL en Cobit naar voren. Ook ten aanzien van backup/restore van gegevens is er sprake van een duidelijke situatie. Figuur 4. Het verminderen van IT-risk door awarenessverhoging. En wat betreft beschikbaarheid houdt men via rapportages de vinger aan de pols. Kadaster
Ja, maar niemand is onmisbaar
Ja, bij exploitatie is men hierop sterk gefocust
Ja, ISO en certificatie
Nee
Dit gebeurt in het wijzigingenoverleg
Ja, voor de exploitatie. Er is zelden te veel geld of tijd beschikbaar.
Dit gebeurt vooral intern
Grote overheidsdienst
Ja, van intellectueel eigendom en kennisplatforms
Ja, dit is een speerpunt
Ja, onder andere INK, CMMI
Ja
Ja, er zijn rapporten voor diegenen met een need to know
Ja, op budget, niet op tijd
Beperkt
CJIB
Ja absoluut, mensen staan centraal
Ja, maar er is een grens
Ja, maar er is geen certificering
Ja, je hebt altijd het risico van gekken
Ja, maar dit wordt zakelijk benaderd
Budget is er wel, een tijdlijn is er nooit
Ja, informeel
Als men vraagt naar de aanwezigheid van een continuïteitsplan en naar de wijze waarop een organisatie zijn autorisaties toekent, zijn er wel verschillen (figuur 3.6).
Omgaan met het ICT risico
41
Bij de hogeschool en bij het ziekenhuis staat het maken van continuiteitsplannen op de agenda voor 2010 of later.Als er sprake is van organisaties die wel beschikken over een dergelijk plan, dan springen het Kadaster en de Hypotheker eruit. Deze organisaties testen en reviewen hun continuïteitsplan meerdere malen per jaar. Bij het Kadaster gebeurt dit zelfs eens per twee maanden. Ten aanzien van autorisaties werken niet alle organisaties met rollen en daarbij horende profielen. Dit is wel het geval bij het CJIB en NXP Semiconductors. Soms wordt voorts elke handeling, die men op het systeem doet, vastgelegd. Sprekend over het gebruik van ICT door derden, zoals ingehuurde externen of leveranciers, wordt vrijwel overal opgemerkt, dat deze tevoren hiervoor een bepaalde verklaring moeten ondertekenen. Tenslotte één in het oog springend punt: naarmate inzet van ICT steeds meer als een nutsvoorziening wordt gezien, zoals bij Fontys en het Amphia ziekenhuis, merkt men op, dat er een onderscheid te maken is tussen het waarderen van de exploitatie van ICT én het waarderen van het onderhouden en ontwikkelen van ICT. Het begrip van de klant voor de exploitatie van ICT is groter, dan voor het werk op het terrein van ontwikkeling en onderhoud. In het algemeen blijkt verder dat het vragen naar het hebben voor begrip voor het werk van ICT, een vraag is, waarop de klantorganisatie niet immer stelt, dat bij hen dit begrip aanwezig is.
3.3.2. Organiseren om risico te beperken
Anno 2009 ziet men, dat organisaties behalve een afdeling voor compliance ook afdelingen en organisatieverbanden inrichten om daardoor onafhankelijk en permanent ICT-risico’s te monitoren en beoordelen. Op basis van hun werk adviseert een dergelijke voorziening aan het management over te nemen maatregelen. Uit figuur 3.7 komt naar voren, dat het hebben van een aparte afdeling voor risicomanagement, die aan de hoogste leiding rapporteert, alleen bij Achmea bestaat. Onderwerpen op dit terrein worden anders in de afdeling ICT behandeld (NXP Semiconductors), komen aan de orde in de stuurgroep automatisering (Amphia), zijn een bijtaak van een functionaris op college van bestuur niveau (Fontys) of komen in een project aan de orde (Hypotheker). Vaak wordt denken over IT risico beschouwd als onderdeel van het werk van een beveiligingsfunctionaris (Kadaster).
42
Omgaan met het ICT risco
legacy
Ministerie van Justitie
mee bezig
verantwoord
worden plateausgewijs ingevoerd
en risicomanagement
Figuur 2. Verminderen van IT-risk door ICT-gerelateerde maatregelen. Onderwerp
Hoe is het risicomanagement georganiseerd?
Welke rollen onderkent men?
Zijn er risicocategorieën geïdentificeerd?
Is er een actueel register aanwezig?
Gebruikt men een methode voor risico-inschatting? Zo ja, welke?
Gebruikt men commissies en taskforces om beleidsbesluiten voor te bereiden?
Zijn er audits? Zo ja, hoe vaak?
Welke processen of producten zijn gebonden aan wetgeving?
Legt de organisatie sterke nadruk op principes en standaarden?
Fontys
Er is iemand op Fontysniveau, maar geen risk officer
Er zijn geen aparte rollen
Ja, de algemene risico’s zijn helder
Nee, men start pas als er een probleem optreedt
Ja: PRINCE2 en ITIL
Nee
Vijf jaar geleden was er een ITIL quick scan
Er geldt alleen algemene wetgeving, bijvoorbeeld omtrent privacy
Ja, dit komt overal in terug
Amphia
Dit wordt met raad van bestuur geregeld via de stuurgroep ICT
Onder andere die van risk officer
Ja, via NEN 7510-compliance
Ja
Ja: Spark of Sprint
Ja, privacycommissie en stuurgroep ICT
Eén keer per jaar is er een risicoanalyse
Ja: WGBO, Wbp, eisen voor GBZ, NEN 7510, EPD-wet
Ja, zo veel mogelijk
Achmea
Er is een team met risk officers
Changemanager, risk officer enzovoort
Ja
Slechts in beperkte vorm
Ja: DICE voor projecten
Ja, teams bestaan onder andere externen
Ja, dit loopt via de afdeling voor risk audits
Ja, vele
Ja, dit gebeurt steeds meer vanwege een fusie in de organisatie
NXP
Dit is onderdeel van de ICT-organisatie, verder is er een information security policy board
Er zijn afdelingen voor information security en auditing
Nee, maar men is wel compliant aan de standaard van het Information Security Forum
Het securityplan voor 2009-2012 is in ontwikkeling
Ja: ISF, Firm
Ja
Ja, er zijn projectaudits, interne audits en externe audits voor SOx
Ja: privacywetgeving, SOx, ECC. ICT heeft hiervoor banden met andere afdelingen binnen NXP, zoals Legal en Trade.
Ja, dit maakt beheer eenvoudiger en het is goedkoper
Hypotheker
Dit wordt vooral rond projecten geregeld
Er zijn geen aparte rollen
Deze zijn bekend
Ja, dit wordt één keer per jaar bekeken
Nee
Ja , er is een stuurgroep
Ja, er zijn externe audits
Ja, de adviezen zijn te reconstrueren uit het archief
Ja
IB-Groep
Dit is in ontwikkeling
De rol van risicomanager is in ontwikkeling
Ja
Er is een register van lijn- en projectrisico’s
Ja: sessies, PRINCE2, COSO II
Lokaal beleid via directie
Er zijn interne en externe audits gedaan
Ja, het hele primaire proces is gebaseerd op wetten
Ja, maar de naleving is soms mager
Kadaster
Er is een beveiligingsmanager, geen risicomanager
Er is een standbymanager en een calamiteitenmanager
Ja, P1 tot P5
Nee
Deels, men maakt een walkthrough voor elke nieuwe applicatie
Businesscases gemaakt in teams
Er zijn veel audits, één keer per per drie jaar is er een benchmark
Ja, het hele primaire proces
Ja, maar de impact op de exploitatie is beperkt
Grote overheidsdienst
Dit wordt per afdeling geregeld
Assessment, audit en securityanalyse
Ja: continuïteit, onderhoudbaarheid, kosten
Ja, maar slechts ten dele
Ja, door het meten en schatten van onder andere functiepunten
Ja, bijvoorbeeld voor kosten
Nee, er zijn scans
Ja, een Wiki beschrijft de relatie tussen applicaties en wetgeving
Ja, dit gebeurt via architectuurstandaarden
CJIB
Auditing geschiedt samen met de afdeling voor risicomanagement
Projectleiders managen het risico
Ja: toegang, changes, kennis, continuïteit enzovoort
Nee
Ja: CRAMM plus de VIB-richtlijnen
Nee, dat doen de adviseurs
Ja, elke vijf jaar is er een audit op de processen, elke paar maanden is er een op de bedrijfsvoering
Ja, het hele primaire proces
Dit gebeurt nog te weinig, maar men is op weg naar een startarchitectuur met go-or-no-go momenten
Organisatie
Figuur 3. Verminderen van IT-risk door beter te organiseren.
Figuur 3.7.: Verminderen van ICT risk door het nemen van organisatorische maatregelen, als vormgeven van een risicomanagementorganisatie, het benoemen van rollen en categorieën van risico’s, en het registreren van risico’s.
Kijkt men naar de rollen en functionarissen, die worden genoemd, dan wordt gesteld: • dat voor risicomanagement geen aparte organisatie eenheid met duidelijke functies ingericht is; • dat men een risk officer heeft; dat men rollen heeft op het terrein van security management and auditing; • dat men beschikt over een calamiteiten manager en een standby manager etc. etc.
Omgaan met het ICT risico
43
Deze antwoorden geven aan , dat het volledig gescheiden denken en adviseren over IT-Risico, een terrein is dat in organisaties in ontwikkeling is. Dit merkt de IB-Groep dan ook expliciet op. Organisaties hebben wel immer hun risico’s goed voor ogen. Het Amphia ziekenhuis stelt dat de Amphia organisatie voldoet aan de eisen als gesteld in de norm NEN7510. De chip producent NXP Semiconductors merkt op dat zij in het kader van het uitvoeren van risk assessments werkt volgens de standaarden van het Information Security Forum. Alle onderzochte organisaties hadden sterk te maken met wetgeving. Sommigen merkten op dat hun bestaansrecht te danken is aan wetgeving (CJIB, Kadaster, IBGroep, grote overheidsdienst). Een andere merkt op, dat hieraan in de afgelopen jaren zowel de juridische afdeling als andere afdelingen meer aandacht geven. (NXP Semiconductors). Kijkt men voorts naar de aanwezigheid van een register met daarin de door de organisatie gelopen risico’s, dan merkt 50% van de onderzochte organisaties op, dat men over een dergelijk register niet beschikt. Uit figuur 3.7 blijkt voorts dat de organisatie bij de analyse van ICT risico’s niet eenduidig een bepaalde methode hanteren. Ofwel wordt door de onderzochte organisaties geen methode gebruikt, ofwel wordt door elke organisatie een andere methode genoemd, waaronder die van “Jan boerenfluitjes”.
3.3.3. Awareness om risico’s te beperken
Figuur 3.8 geeft de resultaten weer ten aanzien van het bewustzijn van de onderzochte organisaties. Duidelijk is, dat in de hogeschool en het ziekenhuis dit onderwerp niet bepaald aandacht krijgt. In de overige organisaties staat het op de agenda en krijgt dit de nodige aandacht bij het dagelijks werk. Kijkt men naar het auditen ten aanzien van risico, dan valt op, dat men het onderwerp IT risico ervaart als een onderwerp, dat deel uitmaakt van een audit door de auditafdeling van de organisatie. Zeker 70% van de onderzochte organisaties heeft regulier te maken heeft met audits. Niet gevraagd is of de audits van de genoemde auditafdelingen niet meer een focus hebben op het lopen van risico op vooral financieel terrein.
44
Omgaan met het ICT risco
review
beveiligingsmatrix, soms is er extra actie nodig
wege de beheersbaarheid
Figuur 2, voortgezet.
Onderwerp
Ziet men in de organisatie het belang van kennis en intellectueel eigendom?
Is het denken over risico’s een integraal deel van het dagelijks handelen?
Is er aandacht voor kwaliteit?
Is de bedrijfstak een mogelijk doelwit voor politiek of sociaal activisme?
Is het oké om over de risico’s te spreken?
Zijn er realistische budgetten en planningen?
Delen de managers hun ervaringen met risico’s?
Fontys
Nee, want er is weinig intellectueel eigendom
Nee, men denkt wel aan beschikbaarheid
Er is geen certificering
Nee
Ja
Ja, plus een tweewekelijks rapport
Onvoldoende
Amphia
Nog niet echt
Nee
Nee, maar dit wisselt per maatschap
Nee, maar dat kan veranderen
Ja, maar falen is onacceptabel
Ja, men gebruikt PRINCE2
Ja
Achmea
Ja, hiervoor zijn richtlijnen
Ja, er zijn standaardtemplates
Ja, er zijn methodes en CMMI
Ja, daarom er is ook zware monitoring
Ja, anders wordt falen een probleem
In 70 procent van de gevallen haalt men dit niet
Ja, informeel
NXP
Ja, men leeft van intellectueel eigendom. Er is een wekelijkse NXP newsletter
Dit is binnen project ingebouwd, anders is er wel awareness
Ja, ISO 9000-9001, CobiT enzovoort
Nee, men heeft meer last van spionage, fraude enzovoort
Ja, maar er is altijd een kosten-batenafweging
Ja, vooral voor sturing op grote projecten
Er is een vrij open cultuur, dit bevordert de communicatie!
Hypotheker
Ja, voor elke applicatie wordt drie man opgeleid
Ja, binnen ICT zeker
Ja, CMM, AO en SAS 70
Nee
Dit gebeurt vooral vanuit ICT
Ja
Ja, er is formeel overleg
IB-Groep
Ja, maar er is geen intellectueel eigendom
Hier wordt aan gewerkt
Ja, vaak ISO-gecertificeerd, COSO 2, CMMI enzovoort
Nee
Ja, dit gebeurt onder andere per twee weken via portfolio’s
Ja, maar niet voor alles
Dit gebeurt binnen het team zeker
Kadaster
Ja, maar niemand is onmisbaar
Ja, bij exploitatie is men hierop sterk gefocust
Ja, ISO en certificatie
Nee
Dit gebeurt in het wijzigingenoverleg
Ja, voor de exploitatie. Er is zelden te veel geld of tijd beschikbaar.
Dit gebeurt vooral intern
Grote overheidsdienst
Ja, van intellectueel eigendom en kennisplatforms
Ja, dit is een speerpunt
Ja, onder andere INK, CMMI
Ja
Ja, er zijn rapporten voor diegenen met een need to know
Ja, op budget, niet op tijd
Beperkt
CJIB
Ja absoluut, mensen staan centraal
Ja, maar er is een grens
Ja, maar er is geen certificering
Ja, je hebt altijd het risico van gekken
Ja, maar dit wordt zakelijk benaderd
Budget is er wel, een tijdlijn is er nooit
Ja, informeel
Organisatie
Figuur 4. Het verminderen van IT-risk door awarenessverhoging.
Figuur 3.8: Awareness, o.a. besef aanwezig? deel dadelijks handelen? aandacht voor kwaliteit? open communicatie over risico mogelijk? uitwisselen ervaring? enz.
Kwaliteit van proces en product is wel een onderwerp dat vrijwel overal de aandacht krijgt. Hierbij kan men constateren, dat het organisatieniveau wisselt waarop deze aandacht gegeven wordt. Bij het ziekenhuis wisselt dit zelfs per maatschap. Bij de IBGroep varieert het per organisatieonderdeel. In de overige onderzochte organisaties is er organisatiebreed hetzelfde beleid. Soms probeert men ook tot certificatie van processen te komen (IB-Groep). Soms is men, mede omdat dat de klanten dit eisen, gecertificeerd voor bepaalde processen (NXP Semiconductors). In alle organisaties is er een open cultuur wat betreft te lopen risico’s. Toch wordt het delen van ervaringen op dit terrein als matig gekenschetst (grote overheidsdienst, Kadaster, Fontys). Het delen van ervaringen op een formele wijze komt volgens de interviews alleen bij de Hypotheker voor. De ervaring blijkt voorts niet te zijn, dat krappe budgetten organisaties nopen tot het nemen van te hoge risico’s.
Omgaan met het ICT risico
45
46
Omgaan met het ICT risco
4. Conclusies In het voorgaande zijn zes benaderingen op een rij gezet die allemaal gaan over hoe met ICT-Risico’s om te gaan. De behandelde benaderingen verschillen. Soms is er een verschil qua invalshoek en soms is er een verschil qua gebied waar de benadering zich op richt. Gekozen is om omgaan met ICT risico te onderzoeken op managementniveau. Westerman (2007) stelt, dat de reden waarom organisaties risico’s lopen bij inzet van ICT, vaak voortkomt uit een gebrek aan overzicht bij de leiding over de impact van ICT en het ontbreken van echte sturing van die ICT op organisatieniveau. Dit sluit aan bij de resultaten van de global risk management survey van 2009 van Accenture. Dit survey geeft aan dat directies van organisaties stellen: • dat het te lopen en gelopen risico niet voldoende wordt meegenomen in de besluitvorming; • dat er een gebrek is aan afstemming tussen de bedrijfsstrategie en het risico dat realisatie hiervan met zich meebrengt; • dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. In dit onderzoek zijn dan ook leidinggevenden aan de gebruikerskant en aan de ICT kant ondervraagd. Dit is gebeurd door het afnemen van diepte interviews. Als ICT risico wordt in dit onderzoek gedefinieerd: “de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden.” Uit het onderzoek komt bij de managers aan gebruikerskant naar voren, dat anno 2009 beschikbaarheid van ICT niet als probleem gezien wordt. Het omgaan met de bescherming van gegevens is een groter punt van zorg. Niet immer zijn profielen ingericht, als men medewerkers toegang geeft tot ICT voorzieningen. Ook laat de logging van werkzaamheden door medewerkers op de ICT voorzieningen in het algemeen te wensen over. Op het terrein van de kwaliteit van de gegevens lijkt er voorts bij een aantal van de onderzochte organisaties qua kwaliteit van managementinformatie nog het nodige te winnen. Wat betreft agility wordt duidelijk, dat geen manager nieuwe ICT invoert indien deze ICT niet goed functioneert. Dit is vaak de reden voor budget- en tijdoverschrijdingen bij invoering van nieuwe ICT.
Omgaan met het ICT risico
47
De manager van Fontys Hogeschool merkt voorts op (zie figuur 3.9) , dat iedere organisatie een ander accent kan leggen wat betreft ICT risico. Fontys eist als hogeschool in eerste instantie beschikbaarheid van haar ICT, maar ziet ook dat een betere kwaliteit van gegevens haar werk ten goed zou komen. Op de wensenlijst van de meeste organisaties staat echter duidelijk de wens naar een grotere wendbaarheid van ICT als eerste prioriteit. De leidinggevenden binnen ICT werden vervolgens ondervraagd over de maatregelen, die hun organisatie neemt om de risico’s bij inzet van ICT te verkleinen. Hierbij werd duidelijk, dat de onderzochte organisaties in hoge mate streven naar werken onder architectuur en dat hierbij in sterke mate wordt gestandaardiseerd. Helder werd voorts, dat exploitatie van ICT vaak als een facilitaire dienst wordt gezien. Deze dienst wordt beter gewaardeerd dan het leveren van ontwikkelings- en onderhoudsdiensten. Begrip kweken bij de klant voor deze laatste diensten lijkt niet zonder uitdaging. Het hebben van een aparte organisatie voor risicomanagement die aan de hoogste leiding rapporteert, werd alleen bij de verzekeraar aangetroffen. Bewustzijn van de bij inzet van ICT gelopen risico’s lijkt intern in organisaties aanwezig.
Vraag
Heeft de organisatie meer baat bij betere beschikbaarheid, bescherming, kwaliteit of wendbaarheid van ICT?
Hoe was u betrokken bij de keuzes omtrent de beveiliging en risicobeheersing van informatie en ICT?
Welk risicoaspect is in het voorgaande nog onderbelicht gebleven?
Welke ontwikkelingen vragen extra aandacht voor de ICT-risico’s?
Fontys
Enerzijds kwaliteit van data, anderzijds beschikbaarheid van ICT
Nauwelijks, maar Fontys ICT Services regelt dit perfect
Dat per organisatie verschilt welk risico het belangrijkst is
Fontys krijgt een eigen domein voor ICT
Amphia
Kwaliteit, patiënten hebben geen zorgen over de bescherming
Ik maak deel uit van de stuurgroep ICT
Het risico dat gebruikersgemak soms veroorzaakt
Er komen meer businessunits, dus meer scheiding
Achmea
Wendbaarheid, elke wijziging is nu lastig
Binnen de SAP-omgeving was ik betrokken als deskundige
Cultuur
Bezuinigingen
NXP
Beschikbaarheid van gegevens
Ik weet wat beveiligd moet worden, ICT voert het uit en beheert het
De vier A’s, waar men bij elke wijziging aan moet denken
Op ICT-gebied proberen we mee te lopen, nooit voorop
Hypotheker
Wendbaarheid, want er komen vele veranderingen aan
Helemaal niet, dit is een zaak voor het hoofdkantoor
Geen
Inloggen met een pasje, irisscan of fingerprint
IB-Groep
Wendbaarheid, bescherming is gewoon al goed geregeld
Bij het directeurenoverleg kwam dit aan de orde
Awareness
Fusie met CFI
Kadaster
Wendbaarheid, maar ook kwaliteit
De beveiliging wordt bepaald aan de hand van het beveiligingsboek
Awareness
Integriteit van de mensen
Politie
Vooral wendbaarheid, maar ook kwaliteit van de gegevens
Veel regels liggen landelijk vast, maar de CIO is wel betrokken bij de besluitvorming
Regie op uitbesteding moet beter
Er is een betere sturing op ICT nodig en men moet de vraag beter in beeld brengen
CJIB
Kwaliteit van gegevens en wendbaarheid
Ik was projectverantwoordelijke
Cultuur
Huidige ICT-middelen vaak niet ingericht op werken volgens Jericho
Organisatie
Figuur5. De prioriteiten aangaande IT-risk en de betrokkenheid.
Figuur 3.9 : De managers aan de gebruikerskant: betrokkenheid, belang, juiste balans onderzoek en de uitdagingen op dit terrein.
48
Omgaan met het ICT risco
De slotconclusie van het onderzoek luidt, dat, naarmate ICT belangrijker wordt, de aandacht van de klanten van ICT wordt gericht op wendbaarheid van de inzet van ICT. De organisaties nemen maatregelen zoals grotere standaardisatie van ICT en werken onder architectuur. Zij staan aan het begin, als het gaat om het inrichten van een aparte organisatie, voor risicomanagement en ze moeten extra inspanning leveren om awareness van ICT-Risico’s levend te houden. Tot slot werd gevraagd naar onderbelicht gebleven aspecten. Alle managers gebruikerszijde maakten opmerkingen op het terrein van het besef van risico bij de medewerkers van de organisatie. Dit werd mede veroorzaakt, doordat de vragen over cultuur en besef aan de kant van de maatregelen aan de orde kwam en niet bij de interviews met de managers aan gebruikerszijde. Deze managers stonden vaak voor uitdagingen, welke risico’s bij de inzet van IT met zich brengen. (zie figuur 3.9).
Omgaan met het ICT risico
49
50
Omgaan met het ICT risco
Bijlagen Bijlage 1: Organisaties, die meewerkten aan het onderzoek
1. Achmea 2. Amphia Ziekenhuis 3. CJIB 4. Fontys hogeschool 5. de Hypotheker 6. IB-groep 7. Kadaster 8. NXP Semiconductors 9. de Politie. De kenniskring en de onderzoekers danken de geïnterviewde organisaties, te weten Achmea, Amphia Ziekenhuis, het CJIB, Fontys hogescholen, de Hypotheker, de IB-Groep, het Kadaster, de Politie, de chip producent NXP Semiconductors en Simac voor hun medewerking aan het onderzoek; de artikelen, die naar aanleiding van het onderzoek gepubliceerd zijn en dit boekje.
Omgaan met het ICT risico
51
Bijlage 2: Interviewvragen a.
Omgaan met ICT risico: vragen aan een manager bij de gebruikers van ICT
1.
Beschikbaarheid van ICT
1. Welke belangrijke processen van uw organisatie zijn het meest afhankelijk van de inzet van ICT? 2. Wat zijn de gevolgen voor u als het systeem dat dit belangrijke proces ondersteunt, uitvalt? 3. Hoe lang kan worden doorgewerkt als dit belangrijke systeem niet werkt? 4. Hoe vaak is dit belangrijke systeem in de laatste 12 maanden uitgevallen en weet hoe waardoor? 5. Bent u met uw organisatie in staat de schade hiervan (zie vraag 4) te beperken?
2.
Bescherming van ICT
6. Welke informatie is vitaal voor uw organisatie? 7. Wat zijn de gevolgen als deze gegevens misbruikt worden? 8. Denkt u dat uw belangrijkste gegevens goed beschermd zijn en zo ja, waardoor denkt u dat? 9. Kunnen uw medewerkers bij meer gegevens dan strikt noodzakelijk is voor hun werk? 10. Op welke wijze hebben uw medewerkers toegang tot de gegevens die ze nodig hebben voor het uitvoeren van hun werkzaamheden? Antwoordindicatie: bijvoorbeeld het verwijderen van een autorisatie als mensen het bedrijf verlaten, profielen per functionele rol, aanmelding procedures, het hebben van autorisatie profielen
11. Zijn er procedures in werking om direct toegang tot gegevens te verwijderen, als er sprake is van beëindiging van een dienstverband, een contract etc.? 12. Hoe regelt u toegang tot gegevens voor uw organisatie: A: Voor externe krachten die werkzaam zijn in uw organisatie? B: Voor uw klanten en leveranciers die toegang moeten hebben tot uw gegevens?
52
Omgaan met het ICT risco
3.
Kwaliteit van gegevens
13. Kunt u altijd op tijd beschikken over de juiste gegevens van uw belangrijkste bedrijfsproces? Antwoordindicatie: Bv. hebben we de voorraad de hele dag actueel of geeft om allerlei redenen de computer alleen om 0.00 uur ’s nachts de juiste informatie weer? Bv. is de informatie om te kunnen besluiten zo volledig dat men per klant over een compleet overzicht van alle door hem afgenomen producten en diensten kan beschikken, zodat men tot additionele verkopen zo nodig kan overgaan? Bv. is de informatie zo tijdig aanwezig, dat men tot extra inzet van middelen kan komen, omdat ofwel de distributie sneller verloopt of om dat klanten uitvallen?
14. Wat zou er gebeuren als die gegevens niet correct blijken te zijn? 15. Is er kans op non-beschikbaarheid van uw informatie of fouten in uw informatie door niet ICT gerelateerde oorzaken? Kunt u daar voorbeelden van noemen? Antwoordindicatie: fouten bij het doen van handmatige invoer - beperkt verificatie van de invoer van gegevens – verloren gaan van kennis over de uit te voeren werkzaamheden
4.
Wendbaarheid van de ICT
16. Hoe vaak overschrijden projecten met een behoorlijke ICT component de geplande tijd of het geplande budget? 17. Op welke wijze leveren deze projecten de verwachte voordelen op en hoe vaak? Geef een percentage als indicatie. 18. Wat zijn de gevolgen van het falen of het vertragen van een project? 19. Welke belangrijke koerswijzigingen van de organisatie worden de komende periode verwacht en hoe goed zou ICT deze kunnen ondersteunen?
Omgaan met het ICT risico
53
5.
Algemeen
20. Waar heeft uw organisatie het meeste baat bij als u zou kunnen kiezen uit: A: Betere beschikbaarheid van uw gegevens B: Verbeterde autorisatie tot uw gegevens C: Verbeterde kwaliteit van uw gegevens D: Wendbaarheid van uw ICT systemen en applicaties 21. Op welke wijze bent u betrokken geweest bij de keuze van de beveiliging en risico beheersing van uw informatie en informatie systemen?
6.
Afsluiting
In dit onderzoek wordt geprobeerd een indruk te krijgen van de maatregelen, die een organisatie neemt om het risico in het omgaan met ICT terug te brengen. We hebben gekeken naar processen, infrastructuur en cultuur. Onze vraag: 1. Wat zou u willen aanvullingen ten aanzien van deze onderwerpen? 2. Zijn er in uw organisatie ontwikkelingen op deze onderwerpen gaand die in de komende tijd extra maatregelen vragen en zo ja welke ontwikkelingen zijn dit en aan welke maatregelen denkt u dan?
54
Omgaan met het ICT risco
b.
Verkleinen van het risico van ICT: vragen aan de manager IT
1.
De ICT voorzieningen
1.1.
Algemeen
1. Is er in uw organisatie een standaardisatie beleid ten aanzien van uw infrastructuur en applicaties? 2. Worden alle ICT voorzieningen ondersteund door de betrokken leveranciers? 3. Heeft uw organisatie minder dan tien jaar geleden zijn ICT-infrastructuur en applicaties herontworpen en stap voor stap totaal vernieuwd? Zo ja, waarom? 4. Is het beheersen van de kosten door standaardisatie een voornaam onderdeel van het beleid van uw organisatie? 5. Zijn de ICT voorzieningen gedetailleerd vastgelegd en is er sprake van een up to date documentatie van de infrastructuur en de applicaties? 6. Wordt er permanent aandacht gegeven aan het vernieuwen en bijhouden van de geïnstalleerde ICT? 7. Is er een helder ICT Beleid welke een richtlijn is bij alle beslissingen aangaande de aanschaf en de ontwikkeling van ICT voorzieningen? 8. Zijn er kansen om de basis te vernieuwen, omdat uw organisatie plannen of strategieën heeft, welke het nodig maken dat de gebruikte ICT voorzieningen sterk veranderen? 9. Maakt uw organisatie gebruik van best practices in de sector, wat betreft de configuratie van haar ICT voorzieningen, de inrichting van de ICT organisatie en de standaards om interne controle bij ICT te doen? Zo ja, wat zijn deze standaards? 10. Beschikt uw organisatie over een backup en restore policy? 11. Hoe groot is het verloop van het ICT personeel in percentages en ziet u hier een risico in? 12. Is er een continuïteitsplan en hoe vaak wordt deze gereviewd? 13. Zijn er gegevens over de beschikbaarheid van het netwerk en van uw applicaties? 14. Hoe zijn de autorisaties voor toegang tot informatie geregeld? 15. Moeten externe partijen een overeenkomst tekenen ten behoeve van de privacy en beveiliging van uw informatie en informatiesystemen? 16. Hoe ziet de business zijn ICT-organisatie en andersom; begrijpt de ICT organisatie de behoeftes van de gebruikersorganisatie?
Omgaan met het ICT risico
55
1.2.
Versimpelen van de ICT ondersteuning
17. Maakt uw organisatie gebruik van een product/diensten catalogus? 18. Zijn uw applicaties consistent met de huidige en geplande ICT standaards, zoals vermeld in de architectuur? Zo nee, waar niet?
2.
De organisatorische inbedding
22. Hoe is IT-risicomanagement georganiseerd? Antwoordindicatie: - is er een risicoraad, waarin het beleid ten aanzien van het risico met ICT en ICT projecten wordt bepaald; gereviewed; waar prioriteiten worden gesteld ten aanzien van de te lopen risico’s; waar budgetten beschikbaar worden gesteld om risico’s te verminderen en waar toestemming wordt gegeven, als toch een hoger risico moet worden gelopen? - is er een implementatieraad, welke zorgt voor implementatie van het beleid van de risicoraad? - is er een risicomanagementteam, dat rapporteert aan de risk officer en zorgt voor de tools en templates om met risico om te gaan en ondersteunt bij het gebruik van de tools? - Is er een aparte afdeling risicomanagement?
23. Welke rollen worden onderkend in het proces om te gaan met risico’s? Antwoordindicatie: - Is er in de leiding een functionaris, die vanuit risicoperspectief naar de operatie met ICT en ICT projecten kijkt; - is er een risk officer? Deze is uiteindelijk verantwoordelijk voor het proces, waarmee de organisatie met risico omgaat? - zijn er locale managers en experts, die omgaan met de specifieke risico’s van hun deel van de organisatie?
Inrichten organisatie: IT risk officer = liaison Sponsor in de directie
Visie
Risicobesef zit in cultuur
prioriteit
beleid/ prioriteiten
Implementatie raad
standaards/ excepties
Organisatie en technische standaards
IT risico mngmnt team
reviews mng. Process
proces, monitoring etc.
Local
identificeer en manage risico’s
reductie risk feedback
beleidsgroep risico
(zie figuur 1.)
56
Omgaan met het ICT risco
Figuur 1: Inbedding van het omgaan met IT risk.
24. Zijn er door uw organisatie categorieën van IT-risico’s geïdentificeerd? Zo, ja welke zijn dit? 25. Is er sprake van een register, waarin alle gelopen, lopende en te lopen risico’s staan vermeld? Worden de lopende en te lopen risico’s gevolgd? En zo ja hoe? 26. Worden methoden gebruikt voor het inschatten van IT-risico’s en zo ja welke? 27. Gebruikt uw organisatie gewoonlijk commissies en task forces om beleidsbesluiten voor te bereiden? 28. Gebruikt men audits om onze processen te valideren en zo ja, hoe vaak? 29. Zijn er processen en/of producten en diensten gebonden aan wetgeving? 30. Legt uw organisatie sterk de nadruk op het gebruik van organisatiebrede standaards en principes?
3.
Awareness
1. Is er binnen uw organisatie een besef, dat intellectueel eigendom en de eigen kennis vitaal is voor het werken van de organisatie? 2. Is denken over risico een integraal onderdeel van uw dagelijks handelen en is het een criterium, als men middelen toekent aan een project? 3. Hebt u als organisatie aandacht voor de kwaliteit van uw processen? Is uw organisatie ISO9000 gecertificeerd? Of gebruikt u bepaalde modellen ter besturing van bedrijfsprocessen? Antwoordindicatie: bijvoorbeeld balanced score card, het model Six Sigma.
4. Is uw industrie een target voor politieke of sociale activisten of misdadigers? 5. Is het binnen uw organisatie oké om over het risico dat ICT-inzet en ICTprojecten met zich meebrengen te spreken? Kan men ze daarna nemen? En wordt daarna falen ook geaccepteerd? 6. Wordt er bij ICT gewerkt met realistische budgetten en tijdslijnen? Wordt de status van projecten bijgehouden? 7. Delen managers hun ervaringen ten aanzien van IT-risico en beheersing van deze risico’s? Hoe?
Omgaan met het ICT risico
57
4.
De toekomst en uw eigen indruk
In dit onderzoek wordt geprobeerd een indruk te krijgen van de maatregelen, die een organisatie neemt om het risico in het omgaan met ICT terug te brengen. We hebben gekeken naar processen, infrastructuur en cultuur. Onze vraag: 1. Wat zou u willen aanvullingen ten aanzien van deze onderwerpen? 2. Zijn er in uw organisatie ontwikkelingen op deze onderwerpen gaand die in de komende tijd extra maatregelen vragen en zo ja welke ontwikkelingen zijn dit en aan welke maatregelen denkt u dan?
58
Omgaan met het ICT risco
Omgaan met het ICT risico
59
60
Omgaan met het ICT risco
Geraadpleegde literatuur • Applegate, L.M. et al.: Corporate information strategy and management, text and cases, Irwin/McGrawhill, 8th edition, New York, 2008. • Concernstaf Informatiebeleid en projecten: ICT Bedrijfscontunïteitsbeleid, Kadaster, Apeldoorn, 2007. • Directie ICT en afdeling CPB: Service catalogus 2008-2009, IB-groep, Groningen, 2008. • IB-Groep: Inkoopvoorwaarden, IB-groep, Groningen, 2009, zie http://www.ib-groep.nl/overibgroep/inkoop/inkoop.asp • ICT services: BSC, Kadaster, Apeldoorn, 2009. • ICT services: Landscaping the Infrastructure 2007-2009, Fontys Hogeschool, Eindhoven, 2006. • ICT services: Management rapportage, Fontys Hogeschool, Eindhoven, 2009. • ISO: the 27000 series of norms, http://www.27000.org/index.htm, 2008. • Lectoraat ICT governance: De menukaart van de ICT afdeling: de catalogus, Fontys hogeschool ICT, Eindhoven, 2008. (dit boekje is te downloaden van http://www.ict-management.com/nl/beheer/Lectoraat%20Fontys.htm ) • Meijer, J. : Risicomanagement binnen een ontwikkel- en beheerafdeling, scriptie Open Universiteit, Heerlen, 2007. • Overbeek, P, de Roos Lindgren, E.R. en Spruit, M: Informatiebeveiliging onder controle, Prentice Hall/Pearson education, Amsterdam, vierde druk, 2008 • Starreveld, van Leeuwen en van Nimwegen: Bestuurlijke Informatieverzorging, deel 1: Algemene grondslagen, 5e druk, Stenfert/ Kroese, Groningen, 2003. • Thiadens, Th.J.G. : Sturing en organisatie van ICT voorzieningen, Van Haren publishing, 2e druk, Zaltbommel, 2008 (ook te downloaden in het Engels zonder cases van de site www.ict-management.com) • Westerman, G. en Hunter, R. : IT risk, turning business threats into competitive advantage, Harvard school press, Boston, 2007. • Wijs, C.de : Information systems management in complex organizations, De Wijs, Voorburg,1995.
Omgaan met het ICT risico
61
62
Omgaan met het ICT risco
Omgaan met het ICT risico
63
64
Omgaan met het ICT risco