'Overheid onderschat risico's keteninformatisering'
Verticaal georganiseerde overheidsorganisaties werken steeds meer met horizontale informatieketens. De risico's daarvan zijn niet goed onderkend, stelt NOREA.
Verticaal georganiseerde overheidsorganisaties werken steeds meer met horizontale informatieketens. De risico's daarvan zijn niet goed onderkend, stelt de beroepsvereniging van IT-auditors.
Kwetsbaarder dan gedacht
De overheid is steeds meer georganiseerd langs informatieketens die de afzonderlijke organisaties overstijgen. Die ketens functioneren goed, maar zijn niet zonder risico's, constateert NOREA, de beroepsvereniging van IT-auditors. Informatieketens zijn kwestbaarder dan de organisaties die erin deelnemen beseffen. Incidenten hebben gevolgen voor de gehele keten.
Verticaal/horizontaal
NOREA houdt zich binnen de werkgroep Ketenauditing al geruime tijd bezig met organisatieoverstijgende informatieketens en zegt te merken dat risico- en beveiligingsspecialisten hun management onvoldoende informeren over de risico's van keteninformatisering. En als de bestuurders die risico's wel kennen, lijken ze niet in staat de juiste maatregelen te treffen. De betrokken partijen zouden hun ketens gezamenlijk moeten besturen, met oog voor 'de spanning die bestaat tussen verticale sturing vanuit de eigenaar en de horizontale verbinding tussen de organisaties'.
DigiD-assessments
Dat laatste is wel het kernprobleem, bevestigt Wilfried Olthof, directeur van NOREA. Hele ketens zijn daardoor moeilijk te auditen, stelt hij. "Ik kan als voorbeeld geven de DidiD-assessments die nu aan de gang zijn. Dan proberen we ook te kijken hoe dat in ketens doorwerkt, maar het is vaak een kwestie van vaststellen of we die hele keten wel in zicht hebben."
Verantwoordelijk minister
Ruud Mollema van PBLQ/HEC, een van de auteurs van het stuk, wil vooropstellen dat 'er best mooie dingen worden neergezet', maar dat die allemaal dynamisch groeit. "Rond de DigiNotar-affaire zag je de vraag opkomen 'wie moet nu wat gaan doen?'." De verantwoordelijkheden voor de werking van ketens moeten beter belegd worden, maar hoe nu om te gaan met die organisatiegrenzen? Mollema: "Dan kan best. Veel ketens hebben uiteindelijk gewoon een verantwoordelijk minister."
Zwarte zwanen
De 'Audit Alert' waarin NOREA haar zorgen uit, spreekt over de 'zwarte zwanen' van de digitale overheid - risico's waarvan men zich niet bewust is. Degelijke risico's zijn vooraf lastig te benoemen, stelt Mollema. "Bijvoorbeeld bij een stroomstoring enkele jaren geleden zag je opeens dat niemand zich had gerealiseerd dat als één onderdeel uitvalt, alles kan uitvallen. Dat zie je ook in informatieketens. Diginotar is natuurlijk ook zo'n zaak." En het is volgens Mollema nadrukkelijk níet aan de orde bij bijvoorbeeld de brand bij Vodafone in Rotterdam, omdat brand nu eenmaal een bekend risico is, waartegen je je kunt beschermen.
Standaarden en initiatief
Mollema vindt dat er veel te weinig aandacht is voor de risico's van keteninformatisering. Ketenaudits komen al regelmatig voor - ook bij de Rijks Accountants Dienst - maar volgens hem ongestructureerd en te weinig. "Er is geen standaard voor hoe je in ketens verantwoordelijkheden inricht. Iemand moet daarvoor het initiatief nemen."
Reacties: 3
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Het begint niet met het risico maar met de vraag welke probleem /vraagstuk los je met de keten op en voor wie. Wat is er nodig om een "goede" dienst te leveren. Uit welke elementen is de keten of netwerk opgebouwd? Is het keten gebruik adhoc of regelmatig? Wat zijn de eigenaarschaps- juridische verhoudingen/in de keten? Hoe is de financiering van de keten/ het netwerk geregeld? Welke "betrouwbaarheid" is nodig en wat is de risk appetite en wie kan en wil daar verantwoordelijkheid overnemen?
Het begint in de keten/netwerk dus al snel erg complex te worden. De oplossing van dit vraag stuk ligt in eerste instantie niet in de keten of het netwerk maar in de afzonderlijke elementen zelf en hoe robuust zijn die en wat kan je daar van eisen of verwachten.
Om de afhankelijkheden en risico's en mitigatie maatregelen in kaart te brengen en de opvolging te regelen in het geval de keten "omvalt" kan veel geleerd voor uit de aanpak uit de vitale infrastructuur zie:
http://www.rijksoverheid.nl/onderwerpen/crisis-e …
En de aanbeveling uit de organisatie van de olympische spelen van Londen is; risk management is mensen werk dus veel met de mensen en betrokken organisatie de mogelijk scenario's oefen.
Hans Kooistra
Managing Partner BSS Holland