of 59250 LinkedIn

'Overheid onderschat risico's keteninformatisering'

Verticaal georganiseerde overheidsorganisaties werken steeds meer met horizontale informatieketens. De risico's daarvan zijn niet goed onderkend, stelt NOREA.

Verticaal georganiseerde overheidsorganisaties werken steeds meer met horizontale informatieketens. De risico's daarvan zijn niet goed onderkend, stelt de beroepsvereniging van IT-auditors.

Kwetsbaarder dan gedacht
De overheid is steeds meer georganiseerd langs informatieketens die de afzonderlijke organisaties overstijgen. Die ketens functioneren goed, maar zijn niet zonder risico's, constateert NOREA, de beroepsvereniging van IT-auditors. Informatieketens zijn kwestbaarder dan de organisaties die erin deelnemen beseffen. Incidenten hebben gevolgen voor de gehele keten.

Verticaal/horizontaal
NOREA houdt zich binnen de werkgroep Ketenauditing al geruime tijd bezig met organisatieoverstijgende informatieketens en zegt te merken dat risico- en beveiligingsspecialisten hun management onvoldoende informeren over de risico's van keteninformatisering. En als de bestuurders die risico's wel kennen, lijken ze niet in staat de juiste maatregelen te treffen. De betrokken partijen zouden hun ketens gezamenlijk moeten besturen, met oog voor 'de spanning die bestaat tussen verticale sturing vanuit de eigenaar en de horizontale verbinding tussen de organisaties'.

DigiD-assessments
Dat laatste is wel het kernprobleem, bevestigt Wilfried Olthof, directeur van NOREA. Hele ketens zijn daardoor moeilijk te auditen, stelt hij. "Ik kan als voorbeeld geven de DidiD-assessments die nu aan de gang zijn. Dan proberen we ook te kijken hoe dat in ketens doorwerkt, maar het is vaak een kwestie van vaststellen of we die hele keten wel in zicht hebben."

Verantwoordelijk minister
Ruud Mollema van PBLQ/HEC, een van de auteurs van het stuk, wil vooropstellen dat 'er best mooie dingen worden neergezet', maar dat die allemaal dynamisch groeit. "Rond de DigiNotar-affaire zag je de vraag opkomen 'wie moet nu wat gaan doen?'." De verantwoordelijkheden voor de werking van ketens moeten beter belegd worden, maar hoe nu om te gaan met die organisatiegrenzen? Mollema: "Dan kan best. Veel ketens hebben uiteindelijk gewoon een verantwoordelijk minister."

Zwarte zwanen
De 'Audit Alert' waarin NOREA haar zorgen uit, spreekt over de 'zwarte zwanen' van de digitale overheid - risico's waarvan men zich niet bewust is. Degelijke risico's zijn vooraf lastig te benoemen, stelt Mollema. "Bijvoorbeeld bij een stroomstoring enkele jaren geleden zag je opeens dat niemand zich had gerealiseerd dat als één onderdeel uitvalt, alles kan uitvallen. Dat zie je ook in informatieketens. Diginotar is natuurlijk ook zo'n zaak." En het is volgens Mollema nadrukkelijk níet aan de orde bij bijvoorbeeld de brand bij Vodafone in Rotterdam, omdat brand nu eenmaal een bekend risico is, waartegen je je kunt beschermen.

Standaarden en initiatief
Mollema vindt dat er veel te weinig aandacht is voor de risico's van keteninformatisering. Ketenaudits komen al regelmatig voor - ook bij de Rijks Accountants Dienst - maar volgens hem ongestructureerd en te weinig. "Er is geen standaard voor hoe je in ketens verantwoordelijkheden inricht. Iemand moet daarvoor het initiatief nemen."

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Sheila Ghosh (Architect) op
Het voorbeeld van DigiNotar is een interessante, juist omdat DigiNotar een private partij was die diensten (certificaten) aan de overheid leverde. Als het gaat om zaken als PKI zijn de verantwoordelijkheden juist wel benoemd. Misschien dat het tijd wordt voor draaiboeken en crisismanagement, net zoals in de veiligheidssector het geval is. Dat is m.i. geen risico van keteninformatisering maar eerder van onze maatschappij die steeds afhankelijker wordt van een goede en betrouwbare informatievoorziening. Overigens zijn er naar mijn weten ondanks alle aandacht voor DigiNotar geen echte problemen ontstaan. Vergelijk dat maar eens met de problemen van de verloren usb sticks en dossiers uit het verleden.
Door Hans Kooistra (Managing Partner BSS Holland) op

Het begint niet met het risico maar met de vraag welke probleem /vraagstuk los je met de keten op en voor wie. Wat is er nodig om een "goede" dienst te leveren. Uit welke elementen is de keten of netwerk opgebouwd? Is het keten gebruik adhoc of regelmatig? Wat zijn de eigenaarschaps- juridische verhoudingen/in de keten? Hoe is de financiering van de keten/ het netwerk geregeld? Welke "betrouwbaarheid" is nodig en wat is de risk appetite en wie kan en wil daar verantwoordelijkheid overnemen?

Het begint in de keten/netwerk dus al snel erg complex te worden. De oplossing van dit vraag stuk ligt in eerste instantie niet in de keten of het netwerk maar in de afzonderlijke elementen zelf en hoe robuust zijn die en wat kan je daar van eisen of verwachten.

Om de afhankelijkheden en risico's en mitigatie maatregelen in kaart te brengen en de opvolging te regelen in het geval de keten "omvalt" kan veel geleerd voor uit de aanpak uit de vitale infrastructuur zie:

http://www.rijksoverheid.nl/onderwerpen/crisis-e …

En de aanbeveling uit de organisatie van de olympische spelen van Londen is; risk management is mensen werk dus veel met de mensen en betrokken organisatie de mogelijk scenario's oefen.
Hans Kooistra
Managing Partner BSS Holland
Door Jan van Til (informatiekundig ontwerper) op
Waarom zouden we 'de keten' in het brandpunt van onze belanstelling plaatsen? Er is informatie (te plaatsen in stelselmatig doordachte informatieverzamelingen). Er zijn deelnemers aan maatschappelijk informatieverkeer (burgers, verenigingen, bedrijven, overheden etc.). En iedere deelnemer haalt/brengt zijn/haar informatie - in afzonderlijke informatieverkeersbewegingen - naar eigen behoefte, inzicht, recht, plicht, .... Er wordt goed gepast op de onderscheiden informatieverzamelingen: o.a. wie bracht/haalde wanneer welke informatie en waarom. Een heus informatienetwerk waarin je (als je wilt) allerhande vaste(re) en vluchtige(r) ketens kunt herkennen. Als je wilt. Maar je zou natuurlijk ook 'gewoon' je kaarten kunnen zetten op stelselmatig doordachte informatieverzamelingen.