Welkom bij JAVAL ICT Services!
Visie
Deze pagina reflecteert de visie van JAVAL m.b.t. enkele belangrijke IT aandachtsgebieden.
IT Governance; de functie die verantwoordelijk is voor alle ICT activiteiten binnen de contouren van de gehele onderneming op het hoogste bestuurlijk niveau;
Service Management; het vakgebied van het kwalificeren en kwantificeren van de IT dienstverlening en ervoor zorgen dat de afgesproken kwaliteit wordt geleverd.
Infrastructuur Management; het vakgebied van de techniek, het ontwerpen, ontwikkelen en onderhouden van de IT infrastructuur (hardware, netwerk en alle vormen van software);
Gegevensbescherming; een vakgebied dat vele jaren als "costcenter" in de coulissen van de onderneming heeft verkeerd maar door de tijd heen steeds belangrijker is geworden, mede door massale diefstallen en misbruik van persoonlijke gegevens en gijzeling van complete bedrijfssystemen. Daarom is dit aandachtsgebied hier expliciet vermeld;
Service Management en Infrastructuur Management zijn sterk op elkaar aangewezen, van elkaar afhankelijk, en kennen toch soms een moeizame relatie. De oorzaak daarvan leidde ooit tot de ontwikkeling van het ITIL gedachtengoed. Toepassing van deze set van best practices, oorspronkelijk opgesteld door een aantal grote IT bedrijven in het Verenigd Koninkrijk op verzoek van de Engelse overheid, beschreven in procesvorm en gepubliceerd middels een set boeken, zou de kwaliteit van de IT dienstverlening moeten helpen verbeteren. De kern van het oorspronkelijke probleem ligt volgens JAVAL in het verschil in focus van de mensen die moeten samenwerken in meestal complexe situaties waarbij:
-
enerzijds professionals genoodzaakt zijn gebruik te maken van IT diensten bij het uitvoeren van hun vak, zoals het verkopen van auto's of het opnemen van patiënten in een ziekenhuis. Zij spreken bij uitstek het jargon dat bij hun eigen vak hoort en hebben de kennis en de focus die daarvoor noodzakelijk is. Meestal is dat een niet-(IT)technisch vakgebied, bv. commercieel, administratief, onderwijs of gezondheidszorg;
-
anderzijds de professionals die IT diensten leveren en van nature meestal zeer technisch georiënteerd zijn (de T van IT staat niet voor niets voor Technologie). Zij spreken bij uitstek het technische jargon dat daarbij hoort en hebben de kennis en de focus die daarvoor noodzakelijk is.
Beide groepen zijn dus gefocused op hun eigen vakgebied, en op het zo goed mogelijk uitvoeren van hun eigen primaire werkzaamheden. Meestal hebben zij van nature andere interesses, bezigen ander jargon en hebben bovendien verschillende belangen. Het doet een beetje denken aan het spreekwoord "als je enige gereedschap een hamer is lijken alle problemen op een spijker". Dit leidde in het verleden soms tot miscommunicatie, onvoldoende gezamenlijk begrip en IT dienstverlening die niet voldeed aan de afspraken of verwachtingen van de klant. Met behulp van de ITIL best practices kan deze miscommunicatie worden voorkomen door een procesmatige organisatie van de IT services activiteiten. Daardoor wordt o.m. het contact tussen klant en leverancier van IT diensten gestructureerd en geformaliseerd en is het jargon van de klant daarbij leidend.
Eén van de belangrijkste uitingen daarvan is het Service Level Agreement (SLA). Dit is een formele overeenkomst en bevat een volledige beschrijving van alle aspecten van de te leveren IT service(s); in termen die behoren tot het aandachtsgebied, en geformuleerd in het jargon, van de klant (bv "de service heeft een capaciteit van 100 autoverkopen per dag", en niet "de service heeft een opslagcapaciteit van 200 Megabytes"). Een service wordt dus primair afgesproken in klantentaal en vervolgens vertaald naar de inrichting van de IT infrastructuur. En de service voldoet pas aan de afspraak als de afspraak met de klant wordt nagekomen, en niet per definitie als de technische infrastructuur "uitgerold en in-place" is. De afspraken in klantentaal noemt JAVAL "service eigenschappen", de daarvoor noodzakelijke inrichting van de IT infrastructuur is gebaseerd op infrastructuur specificaties die de functionele service eigenschappen volledig waarborgen. Zie de onderliggende hoofdstukken voor een verduidelijking van deze visie.
IT Governance
JAVAL hanteert onderstaand IT Governance model als uitgangspunt bij de inrichting en vormgeving van IT dienstverlening. Het geeft een conceptueel beeld van de inhoud van de services (Service-eigenschappen) enerzijds en de verschillende infrastructuurlagen waarop die services gebaseerd zijn anderzijds, alsmede hun onderlinge invloeden en afhankelijkheden. Merk op dat de IT infrastructuur zowel de serverlocatie (al dan niet in de cloud) als de cliëntlocatie omvat. Daadkrachtig en visionair IT Governance is van cruciaal belang voor een onderneming. Afhankelijk van de aard van die onderneming, de mate van afhankelijkheid van IT en de kansen om m.b.v. IT het verschil te maken in de markt waarin het bedrijf opereert, dient IT Governance in de organisatie gepositioneerd te zijn.
Service Management
JAVAL is van mening dat IT services niet zozeer bestaan uit het kunnen gebruiken van computerapparatuur en applicaties op zich, maar vooral uit het daarmee kunnen uitoefenen va het primaire bedrijfsproces, zoals het uitgeven van medicijnen op recept. JAVAL gelooft in een procesmatige benadering van het leveren van IT services. De best practices, beschreven in ITIL, kunnen een uitstekende leidraad vormen bij het inrichten van de service management processen. Deze processen dienen het kwalificeren en kwantificeren van de IT services volledig te ondersteunen. Daardoor ontstaat een complete set van service-eigenschappen die, in onderlinge samenhang en gedetailleerd vastgelegd in de Service Beschrijving, volledig inzicht geven in alle aspecten van een met de klant overeengekomen end-to-end IT service. JAVAL onderkent o.m. de volgende service-eigenschappen (in arbitraire volgorde van belangrijkheid en niet-limitatief, maar wel mijn voorkeursvolgorde):
- Gegevensbescherming
- Functionaliteit
- Beschikbaarheid
- Continuïteit
- Prestaties
- Capaciteit
- Documentatie en training
- Directe ondersteuning
- Kosten
De verschillende service-eigenschappen zijn hieronder nader toegelicht.
Gegevensbescherming
Hieronder wordt verstaan het beschermen van bedrijfs- en cliëntgegevens tegen ongeautoriseerd gebruik teneinde operationele risico's (financiële schade, reputatieschade) te voorkomen. Gegevensbescherming vindt plaats op fysiek niveau (bv. door hardware encryptie, personele toegangscontrole, etc.) en functioneel niveau (organisatie, bevoegdheden van functionarissen). Gegevensbescherming dient als een integraal onderdeel van de IT service te worden beschouwd en moet daarom vanaf het begin in samenhang ontwikkeld worden met de andere componenten. Daardoor maakt ze deel uit van alle fasen van het ontwikkelings- en testtraject en is ze klaar voor gebruik als ook de andere componenten dat zijn. Relevante aspecten zijn o.m.:
- Role Based Access Control; bevoegdheden tot het zien of wijzigen van gegevens zijn gebaseerd op de toegewezen verantwoordelijkheden van een medewerker (diens rol in de onderneming);
- Functiescheiding; het toewijzen van bv. invoer-, wijzigings- en goedkeuringsbevoegdheden aan afzonderlijke personen;
- authorisatieniveaus; naarmate het risico van een transactie groter is dienen meerdere en/of andere functionarissen goedkeuring te verlenen (vier-ogen, escalatie);
- "Chinese Walls"; het scheiden van strategische (voor)kennis en bevoegdheden tussen afdelingen, bv. bij een bank tussen een afdeling Mergers & Aquisitions en een afdeling Beleggingsadvies;
- Onafhankelijke bevoegdheden-administratie functie die gevoed wordt door leidinggevenden die ook het vertrek van geautoriseerde medewerkers doorgeven zodat bevoegdheden geen eigen leven gaan leiden;
- Virus- en inbraakdetectie (hacking);
- Encryptie van gegevens.
Functionaliteit
Hieronder wordt verstaan de functionaliteit van de service, het vermogen van de service om specifieke bedrijfsprocessen te ondersteunen. Dit is voornamelijk vastgelegd in de programmacode, maar kan vaak, in zekere mate, via externe instellingen worden beïnvloed (functionele parametrisering). De specifieke bedrijfsfunctionaliteit (bedrijfsapplicatie) is datgene wat de applicatie onderscheidt van de generieke infrastructuur (bv. Operating System) waarop deze draait. De functionaliteit wordt vastgesteld in overleg met de eigenaar/opdrachtgever/gebruiker, vastgelegd in het functioneel ontwerp, ontwikkeld, getest en geaccepteerd (incl. de security-inrichting) voordat ze in productie wordt genomen.
Beschikbaarheid
Hieronder wordt verstaan het direct en volledig zonder belemmering kunnen gebruiken van de service, op de overeengekomen wijze, locatie(s), tijden, en in de overeengekomen verschijningsvormen (beeldscherm, printoutput, microfiches, etc.), door JAVAL graag "gebruikbaarheid" genoemd. Relevante aspecten zijn o.m.:
- ingerichte autorisatieprofielen en bevoegdheden;
- service windows (perioden waarin de service gebruikt kan worden);
- afspraken over service levels (hoe vaak en hoe lang mag in een bepaalde periode ongepland serviceverlies optreden en welke sancties staan daarop, JAVAL heeft een voorkeur voor een 100% beschikbaarheids-afspraak gedurende de afgesproken service-windows en geplande onderbreking in voorafgaand overleg met de eigenaar;
- fallback procedures, om de bedrijfsprocessen te kunnen voortzetten als de IT service ongepland onbeschikbaar is.
Continuïteit
Hieronder wordt verstaan de beschikbaarheid over een langere periode. Relevante aspecten zijn o.m.:
- service life (hoeveel dagen, maanden of jaren, of tot welke datum in de toekomst, dient een service beschikbaar te zijn);
- maatregelen ter voorkoming/beperking van serviceverlies door uitval van energie- en klimaatinstallaties (backupsystemen, gespiegelde datacenters, remote mirroring van data, etc.);
- maatregelen ter voorkoming/beperking van serviceverlies door uitval van computerhardware en -software (high-availability clusters, disk-mirroring, netwerk redundancy, etc.);
- veiligstellen van programmacode (Escrow);
- licenties en onderhoudscontracten voor hardware en software en de uitvoering en monitoring daarvan;
- beschikbaarheid van kundig personeel voor instandhouding van IT infrastructuur;
- expiratie van software-licenties;
- adequate virus detectie en verwijdering;
- backup/recovery van gegevens;
- toepassen van change management procedures.
Prestaties
Hieronder wordt verstaan het vermogen van de service om een bepaalde hoeveelheid aangeboden werk binnen een bepaalde tijd uit te voeren en de resultaten terug te geven (performance, tijdsgebonden). Relevante aspecten zijn o.m.:
- antwoordtijden van beeldscherm-dialogen (enkele opvragingen, massale zoekopdrachten), printtijden, levertijden anderszins (bv. met koeriersdienst);
- batchdoorlooptijden i.r.t. online service-window;
- gemiddeld en maximaal aantal actieve gebruikers.
Capaciteit
Hieronder wordt verstaan de maximale capaciteit die een service kan leveren, ongeacht de prestatie-niveaus. Relevante aspecten zijn o.m.:
- maximum aantal aangemelde en actieve gebruikers (dit kan verband houden met beperkingen in software licenties);
- maximum aantal transacties per tijdseenheid;
- maximum aantal records in database (bv. maximaal aantal klanten);
- maximum aantal user accounts.
Documentatie en training
Documentatie en training zijn van essentieel belang om een service succesvol te laten zijn, zowel bij de start van een nieuwe service als in de gebruiksperiode erna. Er zullen immers steeds nieuwe medewerkers komen die ingewerkt moeten worden. Relevante aspecten zijn o.m.:
- handleiding voor eindgebruikers en leidinggevenden
- goedgekeurde authorisatieprofielen voor alle (gekwalificeerde) gebruikers
- systeemdocumentatie voor alle gebruikte IT infrastructuur (applicaties, operating systemen, netwerken, databases, etc.)
- klassikale trainingsmogelijkheden en/of zelfstudiemogelijkheden voor alle betrokkenen (eindgebruikers, leidinggevenden, beheerders, ontwikkelaars, operationeel IT personeel)
Directe ondersteuning
Hieronder wordt verstaan de mogelijkheid voor de gebruiker van de service om hulp in te roepen bij een partij die die hulp adequaat kan leveren en daartoe is ingericht. Relevante aspecten zijn o.m.:
- service desk (operationele hulp)
- accountmanagement (tactisch overleg)
- escalatieprocedures in geval van storingen
Kosten
Elke service eigenschap brengt kosten met zich mee; voor ontwerp en ontwikkeling, hardware en software, documentatie, beheer, training, ondersteuning en gebruik. Kosten dienen zo nauwkeurig mogelijk te worden aangegeven in het TCO van de betreffende service (Total Cost of Ownership, totale kosten van een service en de onderliggende IT infrastructuur over de gehele looptijd van een service). Dit omvat dus niet alleen de kosten van het tot stand brengen (ontwikkeling) maar ook de kosten van het in stand houden (exploitatie, beheer) die vaak zo'n 80% bedragen van de TCO gedurende de volledige levenscyclus van een service en de onderliggende infrastructuur.
Het kostenaspect dient vanaf het begin van het ontwerpproces te worden meegenomen/mee-ontwikkeld. Daardoor wordt het mogelijk om tijdens de ontwikkeling van een service afwegingen te maken die de TCO gunstig kunnen beïnvloeden. Tegenover de kosten staan de opbrengsten voor de onderneming door het gebruik van de service. Door het zo goed mogelijk opstellen van een Service Beschrijving kan op voorhand een schatting worden gemaakt van de opbrengsten en/of besparingen. Deze Service Beschrijving is een belangrijk onderdeel van het (concept) Service Level Agreement. Op basis daarvan kan een gefundeerd besluit worden genomen door het bestuur van de onderneming of het verantwoord is een nieuwe IT service te (laten) ontwikkelen.
Infrastructuur Management
Dit omvat de zorg voor de IT infrastructuur (de techniek van hardware en software), zowel het tot-stand-brengen (ontwikkelen) als het in-stand-houden (beheren). In dit hoofdstuk gaat JAVAL in op het in stand houden van ontwikkelde IT infrastructuur; de beheerkant van infrastructuur management. JAVAL beschouwt alle automatiseringsmiddelen (computersystemen, netwerken, operating systems en virtualisatie, middleware, DBMS'sen, applicaties, security-inrichting, handleidingen, enz.) als IT infrastructuur. Daarbij kun je eventueel onderscheid maken in bedrijfsspecifieke infrastructuur (bv. zelf ontwikkelde applicaties) en niet-bedrijfsspecifieke infrastructuur (bv. operating systems, "commodities").
Aangeschafte applicatiepakketten die in beginsel niet-bedrijfsspecifiek zijn kunnen dat wel worden door aanpassingen van bedrijfsspecifieke aard, zowel door het aanpassen van programmacode als het aanbrengen van functionele instellingen. Dit gebeurt vaak bij ERP (Enterprise Resource Planning) systemen waarbij steeds afwegingen moeten worden gemaakt tussen het aanpassen van de software om het gewenste bedrijfsmodel daarin te verwezenlijken of juist andersom.
Beheer in de IT betekent in feite het handhaven van de service-eigenschappen zoals vastgelegd in de Service Beschrijving. Dit gebeurt door het handhaven van de gedocumenteerde specificaties, en daarmee het gedrag, van de IT infrastructuur. Maar ook het volgen van aanpassingen in de SLA wegens veranderende gebruiksomstandigheden; denk aan meer of minder gebruik van de service, gebruikers, netwerkbandbreedte, nieuwe locaties, etc. En het vergroten of verkleinen van het service-window en applicatieve wijzigingen waardoor de onderneming nieuwe wetgeving kan volgen of nieuwe markten kan aanboren. In grote ondernemingen is meestal veel IT infrastructuur operationeel en worden honderden applicaties gebruikt. Daarbij zijn honderden tot duizenden medewerkers betrokken, alsmede leveranciers, met elk hun eigen belang, rol en expertise. Uitgangspunt is dat elke betrokkene een verantwoordelijkheid heeft t.a.v. de te leveren IT services en dat die verantwoordelijkheid geconcretiseerd wordt door een bepaalde invloed op de IT infrastructuur (en niet andersom!).
Hoe organiseer je het nu zo dat elke medewerker precies weet voor welke aspecten van welke services hij of zij verantwoordelijk is? Laten we de verschillende expertises eens onderverdelen in ontwikkelaars, beheerders en operators (jawel, deze zijn er ook nog, denk maar aan grote rekencentra van banken, en de mensen die printers en enveloppeerstraten bedienen die voorwaardelijk zijn voor het invullen van een SLA). Elke expertise heeft een bepaalde invloed op een service, door het beïnvloeden van de erbij behorende service-eigenschappen middels het beïnvloeden van de daarvoor voorwaardelijke IT infrastructuur. Bijvoorbeeld de service-eigenschap functionaliteit wordt sterk beïnvloed door de ontwikkelaar. En de service-eigenschap beschikbaarheid wordt sterk beïnvloed door de operator die de service operationeel moet maken en houden. En de service-eigenschap continuïteit wordt sterk beïnvloed door de beheerder die ervoor dient te zorgen dat er bv. voldoende schijfruimte aanwezig is en de software-licenties op tijd worden verlengd.
Meestal hebben alle disciplines invloed op meerdere infrastructuurcomponenten en daarmee op de service-eigenschappen. Je zou kunnen stellen dat elk infrastructuurcomponent één of meer van onderstaande kenmerken heeft:
Intrinsieke kenmerken (inrichting)
Deze liggen vast in de infrastructuur en kunnen alleen worden gewijzigd door wijziging van de constructie van het betreffende component. Functionaliteit heeft sterke intrinsieke kenmerken, als je die wilt wijzigen dien je bv. de programmacode aan te passen. Intrinsieke kenmerken worden voornamelijk gecreëerd door de ontwikkelaar.
Operationele kenmerken (instellingen)
Deze kunnen worden aangepast zonder een component te "openen", denk aan een maximale waarde voor het aantal gelijktijdig aangesloten gebruikers, de maximale hoeveelheid beschikbare opslagcapaciteit (diskquota), een datum-instelling in een applicatieve stuurtabel, of de geldigheidsduur van de licentie van een softwarepakket. Operationele kenmerken worden voornamelijk bepaald door de beheerder, maar ook de eindgebruiker kan hierin een rol spelen als het gaat om specifieke bedrijfsgerelateerde gegevens (bv. een kortingspercentage).
Actuele kenmerken (status)
Deze reflecteren de actuele status van een service, bv. als de service niet beschikbaar is omdat verzuimd is een onderliggend systeem of netwerkcomponent op de overeengekomen tijd op te starten. Ook een operationele storing, bv. een netwerkrouter die uitvalt, is een actueel kenmerk. Actuele kenmerken behoren tot het verantwoordelijkheidsgebied van de systeem-operator. De verantwoordelijkheid voor de operationele én actuele kenmerken wordt in veel organisaties gecombineerd in de verantwoordelijkheid van de beheerder.
Op deze wijze kom je tot een matrix van kenmerken en disciplines die kan worden gebruikt als leidraad bij het toekennen van verantwoordelijkheden aan medewerkers en afdelingen. En vervolgens kun je met medewerkers resultaatgerichte afspraken maken over hun functioneren. Die afspraken luiden dus niet "de server is 100% van het afgesproken service window beschikbaar" maar bv. "de operationele en actuele kenmerken van de bij een service horende IT infrastructuur zijn gedurende de afgesproken perioden volledig in overeenstemming met de afgesproken service-eigenschappen". Hierdoor is een prestatie-afspraak volledig dekkend voor de service zonder opsomming van allerlei technische details, percentages, tijden, etc.
Gegevensbescherming
Afhankelijk van de aard van het bedrijf en de waarde en betekenis van de bedrijfsgegevens kan het belangrijk zijn deze gegevens te beschermen tegen ongewenst gebruik cq. misbruik. De gegevens kunnen opgeslagen zijn op analoge media (papier, microfiches, etc.) en digitale media (CD's, USB sticks, harddisks, tapes, enz.). Toegang tot analoge media beperkt zich tot fysieke, visuele toegang tot het medium, eventueel met gebruik van mechanische of optische hulpmiddelen (het behandelen van fysieke waardepapieren als effecten vindt vaak plaats onder het oog van bewakingscamera’s). Toegang tot digitale gegevens verloopt altijd via software. Deze visie beperkt zich tot die laatste categorie, zonder afbreuk te doen aan het belang van bescherming van de eerste categorie gegevens. Het beschermen van gegevens noodzaakt daardoor onder meer tot het beheersen van de bevoegdheden voor het gebruik van software die toegang geeft tot die gegevens.
Software categorieën
Er is een categorie software (hardware-utilities, systeemsoftware) die gegevens kan tonen, wijzigen, toevoegen en verwijderen zonder de bedrijfsmatige betekenis/context ervan aan te geven (hoewel deze meestal wél door technisch specialisten kan worden achterhaald). En er is een categorie software (bedrijfsapplicaties) die de gegevens kan toevoegen, selecteren, relateren, tonen, verzenden, ontvangen, wijzigen en verwijderen terwijl steeds de juiste en volledige betekenis ervan wordt getoond binnen de context van de bedrijfsvoering. Omdat beide categorieën risico's voor het bedrijf kunnen vormen als ze in niet geautoriseerde handen vallen dienen ze beide onderworpen te zijn aan het gegevensbeschermingsbeleid.
Gestructureerde en ongestructureerde gegevens
Gegevens betreffende bedrijfstransacties en bedrijfsvoering zijn meestal gestructureerd in tabellen, relaties, velden, attributen, etc. met een vaste layout. Denk aan een orderdatabase of een grootboek. De betekenis van deze gegevens wordt pas duidelijk als ze worden getoond in de context van het bedrijf en het betreffende bedrijfsproces. Dan wordt een getal bv. een klantnummer of de prijs van een auto. Toegang tot (delen van) die gegevens wordt geregeld middels gebruikersprofielen en bevoegdheden.
Ongestructureerde gegevens daarentegen kennen geen vaste indeling en zijn meestal integraal vastgelegd met de bijbehorende context. Denk aan een Word document, een Excel grafiek of een grafische afbeelding. Ze zijn bij voorkeur volledig zelfverklarend en alle relevante gegevens staan erin. De applicatie die het document toont hoeft in principe niet te selecteren, relateren, context tonen, etc. maar dient alleen het document te tonen en eventuele wijzigingen aan te brengen.
Het beveiligen van gestructureerde gegevens vergt meer inspanning maar geeft ook meer zekerheid; het vindt in het algemeen plaats op applicatie/database niveau. Het beschermen van ongestructureerde gegevens is een stuk moeilijker; bijna iedereen in het bedrijf gebruikt wel Word voor het dagelijks werk terwijl niet iedereen bepaalde Word documenten mag zien. Beveiliging van ongestructureerde documenten zal daarom vaak op documentniveau plaatsvinden, door er een password aan te koppelen of het in een specifieke folder te plaatsen en alleen geautoriseerde personen toegang te geven tot die folder.
Gegevens en informatie
Digitaal vastgelegde, gestructureerde, gegevens zeggen de lezer in het algemeen niets tenzij ze in de juiste context worden geplaatst en de betekenis van de gegevens wordt toegevoegd. Pas dan zijn gegevens informatief voor de lezer, dragen ze bij aan diens kennis en inzicht en kunnen diens handelen beïnvloeden. Gegevens vormen de "fysieke" basis van de informatie die zich vormt door de waarneming van de lezer. Gegevens kunnen de ene lezer informeren en de andere niet. Daarom dient beveiliging op beide niveaus te worden toegepast: gegevensbeveiliging (bv. door versleuteling van gegevens die zijn opgeslagen en over netwerken worden verstuurd) en informatiebeveiliging, bv. door het toepassen van een bevoegdhedenstructuur.
Bevoegdheden
Een bevoegdheid is de toestemming van de eigenaar van de gegevens, gegeven aan een persoon, tot het uitvoeren van een enkele specifieke applicatiefunctie die een bepaalde vorm van toegang geeft tot specifieke gegevens. Bevoegdheden worden bij voorkeur op een zo laag mogelijk individueel toewijsbaar niveau gedefinieerd. Uitgangspunten voor gegevensbeveiliging (voorbeelden, niet limitatief):
- elk gegeven heeft één eigenaar;
- gegevens zijn eigendom van de functie die die gegevens primair gebruikt voor het uitoefenen van de toegewezen operationele verantwoordelijkheid. Bv. het hoofd van de afdeling orderverwerking is eigenaar van de gegevens in de orderdatabase en het hoofd van de afdeling relatiebeheer is eigenaar van de gegevens in de relaties-database. De eigenaar is ook meestal degene die de kosten van het gebruik van de bijbehorende applicatie betaalt, wijzigingen accepteert, en de revenuen ervan incasseert;
- de eigenaar bepaalt welke afdelingen en personen zijn gegevens, én dus de daarvoor noodzakelijke applicaties, mag gebruiken (eigen medewerkers zijn primaire gebruikers, anderen zijn gastgebruikers);
- de direct hiërarchisch leidinggevende van een medewerker is persoonlijk verantwoordelijk voor de bevoegdheden van diens medewerkers, dwz. als de eigenaar van bepaalde gegevens een bevoegdheid geeft aan de medewerker van een andere afdeling tot het gebruik van de gegevens zal de hiërarchisch leidinggevende van die andere afdeling verantwoordelijk zijn voor het juist gebruik van die bevoegdheid door zijn medewerker;
- het functioneel toewijzen/wijzigen/verwijderen van de bevoegdheden van medewerkers kan door de direct leidinggevende worden gedelegeerd, de verantwoordelijkheid ervoor niet;
- het daadwerkelijk wijzigen van bevoegdheden kan door de direct leidinggevende worden gedaan indien dit geen specifieke technische kennis vereist (meest efficiënt), beter is om dit te delegeren aan een onafhankelijke security administrator middels een geautoriseerde wijzigingsopdracht;
- gegevensbeveiliging is een onderdeel van een specifieke ICT service (bv. "boekhouding" of "orderverwerking") en bij voorkeur geen service op zich (het toekennen van bevoegdheden aan personen kan op verschillende manieren invloed hebben op de SLA in termen van kosten, licenties, capaciteit, etc.).
De scope en diepgang, en dus de kosten, van het gegevensbeschermingsbeleid moeten in verhouding staan tot de operationele risico's van financiële en/of reputatieschade die kunnen voortvloeien uit misbruik van gegevens. Eerst dient dus een analyse te worden gemaakt van de aanwezige gegevens en de risico's die daaraan kleven. Vervolgens kunnen maatregelen worden genomen om die risico's te beheersen. Die maatregelen kunnen worden gerangschikt naar organisatorisch (logisch/functioneel) en infrastructureel (meer fysiek).
Gegevensbeveiligings Beleid
Organisatorisch Gegevensbeveiligings Beleid (voorbeelden, niet limitatief):
- bewustmaken van medewerkers m.b.t. gegevensbeveiliging;
- gebruik maken van Two-Factor Authenticatie (2FA, "kennis en bezit");
- gebruik maken van Single-Sign-On (éénmaal inloggen om alle geautoriseerde applicaties te kunnen gebruiken);
- toepassen van functiescheiding;
- afdwingen van een strong password;
- afdwingen van een periodieke password wijziging door de houder;
- weigeren van toegang na bv. 3 mislukte inlogpogingen, eventueel gevolgd door lockout van de user-id voor een bepaalde periode;
- uitvoeren van periodieke vergelijkingen tussen actuele bevoegdheden en bv. de gegevens van personeelszaken (reconciliatie, passen de bevoegdheden nog bij de persoon?);
- toepassen van een initieel password bij password reset direct gevolgd door gedwongen password wijziging door houder;
- toepassen van Role Based Access, toegang op basis van de rol die iemand in de organisatie vervult, daarbij worden eerst alle rollen gedefinieerd en daaraan bevoegdheden toegekend en vervolgens worden er medewerkers aan een rol gekoppeld;
- toepassen van "Chinese Walls";
- toepassen van dual control bij uitvoering van security administratie;
- toepassen van meerdere autorisatieniveaus op transactieniveau (applicatieve informatiebeveiliging) afhankelijk van het risico van een transactie;
- niemand mag eigen bevoegdheden wijzigen;
- registreren van alle mutaties in bevoegdheden (wie, voor wie, wanneer, etc.) en periodieke review;
- rapporteren van incidenten en formuleren van verbeteracties.
Infrastructureel Gegevensbeveiligings Beleid (voorbeelden, niet limitatief):
- toepassen van encryptie bij transport en/of opslag van gegevens;
- toepassen van useraccount en password encryptie;
- toepassen van een toegangscontrolesysteem voor terreinen, gebouwen en ruimtes (fysieke schillen);
- virusbestrijding en bescherming tegen binnendringen van systemen (phishing, brute force attacks, etc).
Referenties
JAVAL heeft aan onderstaande bedrijven diensten verleend in vast of tijdelijk dienstverband:
- Eerste Nederlandsche Verzekeringsmaatschappij (operator, programmeur)
- Nederlandse Standard Electric Maatschappij NSEM (programmeur)
- Wegener’s Couranten Concern (programmeur, systeemprogrammeur)
- Louwman & Parqui (systeemprogrammeur)
- CapGemini (IT consultant)
- IBM (systeemprogrammeur)
- Kasbank (systeemprogrammeur)
- Zwitserleven (IT consultant)
- Fuji Photo Film (manager administratieve IT)
- ITSMF (bestuurslid, penningmeester)
- ABN AMRO (systeemprogrammeur, groepsleider ISO9002 kwaliteitszorg m.b.t. mainframebeheer, IT manager Securities Operations, Management consultant)
- Branchebelang Thuiszorg Nederland BTN (architect/projectleider)
- Stichting Keurmerk Zelfstandig Ondernemend Zorgverlener STIZOZ (bestuurder)
Over professionele relaties
Tijdens een managementtraining, midden jaren ‘90 van alweer de vorige eeuw, kreeg ik een stuk tekst in handen over het omgaan met professionele relaties. Het is geschreven door \"T.G.\", de echte naam heb ik nooit kunnen achterhalen. Maar de tekst spreekt mij zozeer aan dat ik die zelf graag toepas en met u wil delen.
My creed for good relations
"You and I have a relationship which I value greatly and would like to keep. Nevertheless, we are different people, with individual needs which we have the right to satisfy. If you have difficulty in fulfilling your needs, I shall listen to you and make a sincere effort to understand them; my interest will help you to find your own solutions but you will not be depending on me to find them. I shall also try to respect your right to your own set of beliefs and values, even though they may be different than my own.
However, if your behaviour should make it difficult to me to satisfy my own needs, I will tell you frankly that your actions bother me, trusting that you have enough respect for my needs and feelings to modify them. And if, in turn, you do not like some of the things I do, I hope you will be candid with me, so that I might try to change my attitude. Sometimes, if we find that neither of us can give enough to accomodate the other's wishes, we should recognize our conflict and try to resolve it between ourselves without resorting to power or authority to gain the upper hand at the other's expense.
I respect your needs, but I must also respect my own. We must therefore always endeavour to find a solution acceptable to both of us. Your needs will be satisfied and mine as well - no one will lose; we shall both win. In this way, we can both continue to find satisfaction. Ours can be a healthy relationship, in which we can both realize our greatest potentials. And we can keep a solid relationship, based on mutual respect, love and serenity".
Mooi gedachtengoed, nietwaar? En soms moet je nog duidelijker zijn: "Either lead, follow or get out of the way".