Zoeken naar artikelen:

Openklappen

Case: Outsourcing van de uitwijkfunctie en informatiebeveiliging

Inhoudsopgave:

  1. Outsourcen van de uitwijkfunctie en informatiebeveiliging 
  2. Extern vooronderzoek: duidelijk maken wat de eisen zijn om de knelpunten bloot te leggen 
  3. Project uitwijkvoorzieningen: spreiden van organisatorische en procedurele complicaties
     

Outsourcen van de uitwijkfunctie en informatiebeveiliging

Het tempo waarin vanuit de organisatie en de omgeving vernieuwing wordt geëist en veranderingen worden opgelegd is zo hoog, dat het outsourcen van een uitwijkfunctie een logisch gevolg is. In het bijzonder het up-to-date houden van kennis omtrent ICT (hardware, software, beveiliging, back-up, interfaces, etc.) leiden vaak tot forse projecten om een en ander weer op peil te brengen. Iets waar ook outsourcing een rol bij kan spelen. Dat ligt zelfs voor de hand. Zie ook het artikel: Outsourcing ICT wat, waarom, aan wie en hoe.
 

ICT continuïteit heeft weinig aandacht van het management

Het is niet zelden een externe omstandigheid waardoor het onderwerp uitwijken van informatiebeveiliging op de agenda komt. Dat kan een calamiteit elders zijn, bij ‘collega’s’, of een nieuwe wet, of een vriendelijk doch dringend verzoek van de Raad van Commissarissen of een andere toezichthouder.
Als management dat verantwoordelijk is voor de continuïteit van de ICT systemen moet je – en dat is dan een eerste advies - zo’n omstandigheid altijd met beide handen aangrijpen. Die geeft je een handvat om een extra budget los te maken. Bovendien kan een en ander doorwerken in de awareness die je sowieso in de organisatie teweeg wilt brengen.

Bij outsourcing ICT eerst de continuïteit aanpakken

In ons geval was het de toezichthoudende instantie die op basis van eigen onderzoek tot de conclusie was gekomen dat het niveau van informatiebeveiliging (autorisaties, updates, softwareveroudering, ontbreken van koppelingen tussen pakketten, etc.) in de betreffende instelling onvoldoende was èn dat dit een bedreiging vormde voor de continuïteit van de primaire processen in de instelling. Hier kwam bij dat overwogen werd om de ICT functie van de instelling te outsourcen. Ook dat is – en hier volgt een tweede advies - op zichzelf een argument om eerst eens goed naar de informatiebeveiliging te kijken. Niets is zo riskant als het uitbesteden van een ICT functie die men zelf niet goed in de hand heeft.

Extern vooronderzoek: duidelijk maken wat de eisen zijn om de knelpunten bloot te leggen

Als uitwijkvraagstukken eenmaal op de agenda staan, is het aan te bevelen om een extern bureau in te schakelen voor de inventarisatie ervan. Zo´n bureau heeft de modellen en checklists voor zo´n onderzoek. Iets dat je als organisatie doorgaans niet hebt, of althans niet gebruiksklaar. Het bureau kan daarom in betrekkelijk korte tijd een onderzoek doen dat de organisatie zelf veel meer tijd zou kosten.

Bovendien kan men van een extern bureau eisen dat het zonder enige terughoudendheid de tekortkomingen blootlegt. Daarentegen zal een interne onderzoeksgroep, uit eigenbelang maar wellicht ook uit collegialiteit, meer redenen hebben om zaken gunstiger voor te stellen dan ze zijn. Ongeveer dezelfde overwegingen dus, als die gelden voor het aanstellen van een externe, in outsourcing projecten ervaren project manager. Zie het artikel: Outsourcing ICT vraagt professionele projectleiding.

IT uitwijkvoorzieningen en informatiebeveiliging outsourcen vergt expliciete eisen

Het ligt voor de hand dat het onderzoek naar knelpunten pas goed gedaan kan worden als eerst expliciet gemaakt is aan welke eisen de ICT functie moet voldoen. En natuurlijk zijn dat dan eisen die aan de bedrijfsprocessen moeten worden ontleend.
In ons geval kwamen er twee punten naar voren:

  1. De kritische bedrijfsprocessen dienden, na een calamiteit, binnen 72 uur, ofwel drie etmalen, weer in de lucht te zijn, en
  2. Daarbij was een gegevensverlies (mutaties e.d.) van hooguit 24 uur, één etmaal, herstelbaar en dus acceptabel.

Gelukkig konden de onderzoekers vaststellen dat de lijst van bedrijfskritische ICT applicaties voorhanden was, en bovendien up to date. Dit is niettemin iets dat iedereen die in een dergelijke situatie terechtkomt zich moet afvragen.

Knelpunten zijn er niet slechts waar je ze verwacht

Het vooronderzoek wees in ons geval tamelijk genadeloos uit wat er schortte aan de ICT voorzieningen. Om een paar voorbeelden te noemen:

  1. Er bleken alleen uitwijkvoorzieningen te zijn getroffen voor de mainframevoorzieningen; noch voor de pc’s van de werkplekken, noch voor de midrange systemen waarmee deze communiceerden was er enigerlei uitwijkmogelijkheid geregeld.
  2. Kritischer was nog de waarneming dat de back up voorzieningen voor de voornaamste netwerkfaciliteiten op onvoldoende afstand van de primaire faciliteiten waren geïnstalleerd. Weliswaar in een ander gebouw, maar toch… Eén enkele calamiteit kon zowel de primaire faciliteit als de back up platleggen.
  3. Wat niemand had verwacht bleek toch het geval: één enkele faciliteit bleek te moeten worden beschouwd als ‘single point of failure’. Een zogenaamde mail server, die nooit de status van ‘kritische component’ had mogen bereiken, had die toch gekregen. Vanwege deze ene component kon het hele raderwerk stilvallen.
  4. In sommige van de vestigingen bleken de back ups te worden bewaard in hetzelfde gebouw, en in een enkel geval zelfs in dezelfde computerruimte.

Het is niet aardig om dit te zeggen maar wij zijn er van overtuigd zijn dat dit in het merendeel van de organisaties voorkomt en we willen benadrukken dat hiermee onevenredig veel risico wordt gelopen.

Uitwijken en veilig stellen van de ICT continuïteit vergen een plan

Onderdeel van het onderzoek vormde een zogenaamd ‘health check’. Dit is een standaard onderzoek dat de status van de voorzieningen bepaalt en dus in grote lijnen de vertreksituatie aangeeft, van waaruit projecten moeten worden opgestart.
Eén van de belangrijkste bevindingen was dat de organisatie als geheel geen actueel en up to date continuïteitsplan kende. Dus ook niet voor de ICT voorzieningen. Er was een zogeheten Noodplan en dit bevatte inderdaad een ICT paragraaf, maar deze was gedateerd en sloeg nog op een vroegere situatie in de ICT voorzieningen.

Programma in duidelijke projecten onderscheiden

Het totaalbeeld dat uit het vooronderzoek naar voren kwam was er één dat een programma aan activiteiten nodig maakte om de continuïteitsgaranties weer op peil te brengen. Niet alle programmaonderdelen hadden betrekking op ICT en zo hoort het eigenlijk ook. Wat op het vlak van ICT gedaan wordt, hoort te zijn ingebed in een organisatiebreed geheel, facilitair en in termen van personeel.
Consequentie was wel dat degene die als project manager en gedelegeerd opdrachtgever was aangetrokken op ging treden als ‘programma manager’, met onder zich project managers voor de af te zonderen projecten. Waaronder het project dat ten doel had: het ontwikkelen, inrichten, implementeren en bewaken van uitwijkvoorzieningen.

Project uitwijkvoorzieningen: spreiden van organisatorische en procedurele complicaties

Men moet zich voorstellen: een organisatie met een hoofdkantoor en een flink aantal vestigingen waar het feitelijke werk wordt uitgevoerd. In dat geheel moesten uitwijkvoorzieningen worden gerealiseerd. Enerzijds schept dit mogelijkheden omdat bij een calamiteit in de ene vestiging uitgeweken kan worden naar een andere. Maar tegelijkertijd brengt de grote spreiding organisatorisch en procedureel complicaties met zich mee.

Uitwijking kan niet zonder procedures die gecontroleerd moeten worden

Vanaf het eerste begin hebben we onderscheid gemaakt tussen enerzijds technisch infrastructurele maatregelen en anderzijds, minstens zo belangrijk, procedureel organisatorische maatregelen. Het één kan niet zonder het ander. Als medewerkers bij een zich voordoende calamiteit niet weten hoe zij moeten reageren, hebben technische maatregelen weinig zin.

Er is, in dit verband, helemaal niets op tegen om de principes van de Demand Organisatie toe te passen. Deze zijn uitgebreid aan de orde gekomen in het artikel: ICT processen uitbesteden vereist een Demand Organisatie. Het daar gestelde kan zonder enige moeite worden vertaald naar de situatie waarin de uitwijkfunctie wordt uitbesteed.

Kort samengevat kwamen de procedureel organisatorische maatregelen op het volgende neer:

  1. De vorming van ‘uitwijkteams’, onder verantwoordelijkheid van het algemeen management, met omschreven taken en met voor ieder teamlid een aangewezen vervanger; dit in elke vestiging én in het hoofdkantoor.
  2. Het opstellen van ‘uitwijkhandboeken’, met daarin de acties die bij een calamiteit moeten worden genomen. Gebaseerd op een algemene uitwijkstrategie, maar met noodprocedures waarin ook vestigingspecifieke onderwerpen werden aangekaart.
  3. Het ontwikkelen van een overleg- en communicatiestrategie, zodat iedere medewerker niet alleen kan weten hoe hij of zij moet handelen bij een calamiteit, maar het ook wéét.

De relevantie van organisatorische en procedurele maatregelen blijkt het best als men ze los ziet van actuele ICT voorzieningen. Als in de laatste veranderingen optreden, zal dat wijzigingen tot gevolg hebben in de data (adressen, telefoonnummers e.d.) waarmee de procedures werken, maar niet altijd in de procedures zelf.

Continuïteit vergt uitwijk en back-up voorzieningen

De belangrijkste constatering van het vooronderzoek was gelegen in het feit dat back up voorzieningen ontbraken voor ICT voorzieningen die essentieel zijn voor de continuïteit van primaire bedrijfsprocessen en bij de installatie van wel aanwezige back ups een onvoldoende veiligheidsniveau werd bereikt.
De afweging die men in zo’n situatie nog kan maken heeft betrekking op de processen die men als essentieel wil beschouwen. Daar van uitgaand kan worden bepaald in welke mate er voor back up voorzieningen moet worden gezorgd. Voor het overige is er weinig keus: Je hebt er maar voor te zorgen!

Vormen van uitbesteding liggen hier erg voor de hand. In ons geval werd het bijvoorbeeld een contract met de pc leverancier, waarin deze zich verplichtte om bij een calamiteit binnen 24 uur voor vervangende apparaten te zorgen. Met een daarin gespecialiseerde aanbieder werd een overeenkomst aangegaan met betrekking tot het netwerk en de servers daarin. Met KPN werden expliciete overeenkomsten gesloten inzake doorschakeling faciliteiten. Met weer andere leveranciers werd een uitwijkovereenkomst gesloten inzake de midrange computers, een regeling zoals die er voor de mainframe omgeving al was.

ICT uitwijkvoorzieningen vergen testprocedures

Elk ICT-project dat maar enigszins met outsourcing in verband te brengen is vergt nazorg. En zeker geldt dit voor projecten die betrekking hebben op beveiliging. Weliswaar hebben we aan het begin van deze bijdrage vastgesteld dat het begrijpelijk is dat beveiliging achter gaat lopen bij de vele veranderingen die ICT ondergaat. Maar begrijpelijk is iets anders dan acceptabel. Veranderingen zijn nooit een excuus.

In de nazorg  komen de procedureel organisatorische en technisch infrastructurele maatregelen weer bij elkaar. zie ook het artikel: Aanpak: Begeleiding en management van outsourcing trajecten, waarin het aspect van de nazorg uitgebreid wordt besproken. Beide moeten worden onderhouden. Beide moeten met regelmatige tussenpozen worden getest. ‘Werkt het nog zoals afgesproken?’ waar het de techniek betreft. ‘Kent men de procedures nog?’ waar het de organisatie betreft. Waarbij men er van uit mag gaan dat veranderingen in de organisatie (fusies, openen van nieuwe vestigingen dan wel samenvoegen van bestaande, etc.) minstens zo bedreigend zijn voor de informatiebeveiliging als veranderingen in de toegepaste ICT voorzieningen.

Bij vragen of interesse kunt u contact opnemen via het reactieformulier.

Artikel downloaden

Case Outsourcing van de uitwijkfunctie en informatiebeveiliging.pdf
(Case Outsourcing van de uitwijkfunctie en informatiebeveiliging.pdf)

Download artikelen

Alle artikelen, zoals checklists, stappenplannen en visies kunt u gratis laten toezenden. U kunt alle artikelen downloaden. Heeft u vragen, kunt u het reactieformulier gebruiken

Naar download pagina