Omgaan met het ICT risico Kenniskring ICT risico

Transcriptie

1 Omgaan met het ICT risico Kenniskring ICT risico Omgaan met het ICT risico 1

2 Omgaan met het ICT risico Kenniskring ICT risico Lectoraat ICT governance, Fontys Hogeschool ICT, 27 september Deze uitgave is het derde boekje in reeks van publicaties van het Fontys lectoraat ICT governance. Het copyright van deze reeks berust bij het lectoraat ICT governance van Fontys Hogeschool ICT. Elke publicatie is het product van het werk van een kenniskring van het lectoraat. Voor deze kenniskring wordt onderzoek gedaan door de leden van het lectoraat en door studenten van de Fontys Hogeschool ICT. De publicaties worden eenmalig in boekvorm uitgegeven. Als de boekjes op zijn, is de publicatie tegen betaling te bestellen als paperback op en kan men de publicaties downloaden vanaf 2 Omgaan met het ICT risco

3 De acht publicaties handelen over de volgende onderwerpen: 1. De menukaart van ICT: de catalogus Managen van de verwachtingswaarde en zorgen voor standaards. Product van de kenniskring producten en diensten, verschenen in december De organisatie van ICT Verhogen van de kwaliteit van ICT door gebruik van methoden als BiSL, ITIL en ASL. Product van de kenniskring methoden, prognose maart Omgaan met het ICT risico Product van de kenniskring ICT risico, verschenen in december Het groene rekencentrum van morgen Product van de kenniskring duurzaamheid bij rekencentra, verschenen juni Portfoliomanagement ter ondersteuning van IT governance Product van de kenniskring portfolio management, prognose juni Architectuur bij de vormgeving van ICT Product van de kenniskring architectuur, prognose december Eerst transparant, dan gealigned! Product van de kenniskring standaardisatie en consolidatie, verschijningsdatum nog onbekend. 8. Sturing van ICT in organisaties, ketens en communities Product van de kenniskring poortwachter, verschijningsdatum nog onbekend De kenniskring ICT risico bestaat uit: Theo Thiadens Guido Coenders Sander van Laar Jacqueline van den Broek Rien Hamers lector ICT management Fontys Simac Fontys Fontys Fontys Het praktisch deel van het onderzoek wordt uitgevoerd door studenten van Fontys hogeschool ICT, te weten: Derksen, R.H.P.; Huyzen, T.A.; Koningstein, H.B.; Martens, N.; Mollen, P.P.J.J.; Nouwens, S.; Ouden, K.J.P.H. den; Verbeeten, J.P.; Vissering, R.; Vos, E.H.W.; Wilbrink, M.J.G.. Omgaan met het ICT risico 3

4 Samenvatting. In dit onderzoek wordt eerst de theorie op het terrein van risicomanagement bij inzet van ICT op een rij gezet. Hierbij komt naar voren, dat de diverse benaderingen van risico management bij inzet van ICT verschillen. Dit verschil kan eruit voorkomen, dat de benadering van risico een andere is. Het kan ook zijn, dat de benadering zich vooral richt op het verminderen van risico in een bepaald deel van de organisatie. Vervolgens wordt de benadering gekozen, die bij het empirisch onderzoek is gehanteerd. De keuze is hierbij gevallen op de benadering van risico bij inzet van ICT van Westerman c.s.. De keuze is hiervoor gemaakt, omdat uit onderzoek blijkt, dat directies van organisaties stellen, dat het te lopen en gelopen risico niet voldoende wordt meegenomen in hun besluitvorming dat er een gebrek aan afstemming is tussen de bedrijfsstrategie en het risico, en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Accenture Global Survey 2009, Westerman (2007)). De gekozen benadering richt zich op het management van organisaties. Aan de gebruikerskant gaat deze benadering methodisch na, hoe de leiding de diverse aspecten van het risico bij inzet van ICT waardeert. Het betreft de aspecten beschikbaarheid van ICT, bescherming van de gegevens, nauwkeurigheid en betrouwbaarheid van de gegevens en wendbaarheid van de ICT. Aan de ICT kant wordt geïnventariseerd, wat inhoudt welke maatregelen organisaties hebben genomen om de kans dat een bepaald risico optreedt zo klein mogelijk te maken. Als risico wordt door Westerman c.s. (2007) gedefinieerd: de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden. Uit het empirisch deel van dit onderzoek komt bij de managers aan gebruikerskant naar voren, dat anno 2009 beschikbaarheid van ICT door hen niet als probleem gezien wordt. Het omgaan met de bescherming van gegevens is vaak een groter punt van zorg. Niet immer zijn profielen ingericht, als men medewerkers toegang geeft tot ICT voorzieningen. Ook laat de logging van werkzaamheden door medewerkers op de ICT voorzieningen in het algemeen te wensen over. Op het terrein van de kwaliteit van de gegevens lijkt er voorts bij een aantal van de onderzochte organisaties qua kwaliteit van management informatie nog het nodige te winnen. 4 Omgaan met het ICT risco

5 Wat betreft agility wordt duidelijk, dat een manager nieuwe ICT pas invoert, als deze ICT goed functioneert. De plaatsvervangend directeur van Fontys Hogeschool voor ICT merkt voorts op, dat iedere organisatie een ander accent kan leggen wat betreft omgaan met het risico, dat men loopt bij inzet van ICT. Fontys eist als hogeschool in eerste instantie beschikbaarheid van haar ICT, maar ziet ook dat een betere kwaliteit van gegevens haar werk ten goed zou komen. Op de wensenlijst van de meeste organisaties heeft duidelijk de wens naar een grotere wendbaarheid van ICT prioriteit. De leidinggevenden van de ICT werden vervolgens ondervraagd over de maatregelen, die hun organisatie neemt om de risico s bij inzet van ICT te verkleinen. Hierbij werd duidelijk, dat de onderzochte organisaties in hoge mate streven naar werken onder architectuur en dat hierbij in sterke mate wordt gestandaardiseerd. Helder werd voorts, dat exploitatie van ICT vaak als een facilitaire dienst wordt gezien. Deze dienst wordt beter gewaardeerd dan het leveren van ontwikkelings- en onderhoudsdiensten. Begrip kweken bij de klant voor deze laatste diensten lijkt niet zonder uitdaging. Het hebben van een aparte organisatie voor risicomanagement, welke rapporteert aan de hoogste leiding van een organisatie, werd alleen bij de verzekeraar aangetroffen. Bewustzijn van de bij inzet van ICT gelopen risico s lijkt bij alle onderzochte organisaties, waar nodig, aanwezig. De slotconclusie van het onderzoek luidt, dat, naarmate ICT belangrijker wordt, de aandacht van de klanten van ICT steeds meer wordt gericht op wendbaarheid van de inzet van ICT. De organisaties nemen maatregelen als grotere standaardisatie van ICT en werken onder architectuur. Zij staan aan het begin wat betreft inrichten van een aparte organisatie voor risicomanagement, die rapporteert aan de hoogste leiding van een organisatie. En zij moeten vaak extra inspanningen leveren om awareness van het risico, dat inzet van ICT met zich meebrengt, levend te houden. Omgaan met het ICT risico 5

6 Inhoudsopgave. 1. Risico bij ICT De theorie en voorbeelden van toepassing van de theorie Een overzicht van de theorie De zes benaderingen van risico Vooral bescherming (Thiadens(2008), Overbeek c.s.(2008)) Inrichten van de organisatie en risico (Starreveld c.s. (2002)) Organiseren van het verminderen van risico in een ontwikkel- en beheerorganisatie (Meijer, 2007) Omgaan met risico in de exploitatie van ICT (de Wijs, 1995) Omgaan met risico bij projecten (Applegate c.s. (2009)) Een totaalaanpak: ICT risico vanuit de gebruiker en de maatregelen binnen en buiten de ICT afdeling (Westerman c.s., 2007) De keuze van de methode, die gekozen is als basis van het praktijkonderzoek Enige voorbeelden van toepassing van de theorie Standaardisatie met een service catalogus Rapportage van geleverde ICT diensten Contracten met externe leveranciers Architecturen en continuïteitsplannen Omgaan met het ICT risco

7 3. Onderzoek van de praktijk op basis van de theorie van Westerman c.s Het onderzoek Omgaan met het risico van ICT Beschikbaarheid van ICT Bescherming van ICT Nauwkeurigheid, tijdigheid en betrouwbaarheid van gegevens Wendbaarheid van de inzet van ICT Typen van maatregelen Maatregelen op het terrein van ICT Organiseren om risico te beperken Awareness voor te lopen risico s Conclusies. 47 Bijlagen 51 Bijlage 1: Organisaties, die meewerkten aan het onderzoek. 51 Bijlage 2: Interviewvragen. 52 Geraadpleegde literatuur. 61 Omgaan met het ICT risico 7

8 8 Omgaan met het ICT risco

9 1. Risico bij ICT De global risk management survey van 2009 van Accenture geeft aan dat 85% van de directies van bedrijven denken dat hun organisatie zijn aanpak om met risico om te gaan moet heroverwegen. Deze leden van de directie stellen dat het te lopen en gelopen risico niet voldoende wordt meegenomen in de besluitvorming; dat er een gebrek is aan afstemming tussen de bedrijfsstrategie en het risico, dat realisatie hiervan met zich meebrengt en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Daily stat, Harvard Business Publishing, 16 juli 2009). Denken over risico is in. En zeker over het risico dat organisaties lopen bij hun inzet van ICT. Anno 2009 is inzet van ICT in vele organisaties namelijk niet meer weg te denken. De informatie verwerkt, getransporteerd en opgeslagen met de mogelijkheden die ICT ons biedt maakt een betere sturing van het werk mogelijk, leidt tot nieuwe producten en diensten, laat de organisatie doelmatiger werken en helpt haar dag in dag uit zijn taken effectief te doen. De grote afhankelijkheid van ICT brengt risico s met zich mee.dat geldt niet alleen voor operationele werkzaamheden. Het geldt ook voor de projecten, die organisaties realiseren en waarbij gebruik van ICT een conditio sine qua non is. Dit boekje gaat over die risico s, die organisaties lopen bij de inzet van ICT. Het geeft een overzicht weer van de theorie. Het kiest op basis van deze theorie een aanpak om in de praktijk te toetsen, hoe organisaties met risico omgaan en welke maatregelen zij nemen om de risico s te verkleinen. Het geeft ook voorbeelden van deze aanpak. En tenslotte wordt de theorie in de praktijk toegepast. Van de negen onderzochte organisaties en de resultaten daarvan, wordt in dit rapport verslag gedaan. Als ICT risico wordt gedefinieerd: de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden. Omgaan met het ICT risico 9

10 10 Omgaan met het ICT risco

11 2. De theorie en voorbeelden van toepassing van de theorie Beveiligen van de IV en ICT voorzieningen Organiseren om met risico om te gaan in een ICT ontwikkel- en onderhoudsorganisatie Inregelen en controleren van de administratieve organisatie Een holistische benadering: 1. Kijken naar risico 2. Typen maatregelen en hun combinatie Leven met IV en ICT risico s Omgaan met operationeel risico Omgaan met het risico van IV en ICT projecten. Figuur 2.1 : Benaderingen van risico bij inzet van ICT 2.1. Een overzicht van de theorie Figuur 2.1 zet een aantal invalshoeken op risico op een rij, zoals deze uit de literatuur naar voren komen. Denkend over het omgaan met risico s kan men uitgaan van: 1. De noodzaak tot beveiliging van de organisatie. In dit geval bepaalt men tegen welke risico s een organisatie zich wil indekken; op welke tijdstip men zijn maatregelen neemt en welk type maatregelen dit zijn. De kern van deze invalshoek is de bescherming tegen risico s op het terrein van de vertrouwelijkheid, betrouwbaarheid en continuïteit van de informatievoorziening en de daarvoor nodige ICT. 2. De zorg voor een optimale administratieve organisatie (Starreveld c.s.,2002). De leer van de administratieve organisatie geeft aan, welke maatregelen een organisatie ex ante kan nemen om ervoor te zorgen, dat de organisatie met betrouwbare informatie werkt, de nodige vertrouwelijkheid Omgaan met het ICT risico 11

12 in acht neemt en zo min mogelijk te maken heeft met inbreuken op de continuïteit van de informatievoorziening. De leer geeft ook aan, hoe men ex post nagaat, of de regels ten aanzien van bevoegdheden op het terrein van de informatievoorziening en de regels om te zorgen voor betrouwbare informatie zijn nagekomen. 3. De noodzaak om aandacht te vragen voor risico s bij het ontwikkelen en onderhouden van ICT applicaties. Hierbij wordt ingegaan op de organisatorische maatregelen, die een organisatie neemt. (Meijer, 2007). Dit leidt tot aanbevelingen t.a.v. de wijze waarop de diverse taken op dit terrein in de organisatie dienen te worden belegd en hoe men moet zorgen, dat de gewenste organisatie wordt gerealiseerd. 4. Aandacht voor operationeel risico (de Wijs,1995.) De Wijs (1995) onderzocht hoe organisaties omgaan met de operationele risico s bij het werken ondersteund door ICT. Op basis hiervan stelde hij regels op, welke leiden tot economisch onderbouwd gedrag om met deze risico s om te gaan. Hij constateerde dat organisaties sommige risico s accepteren en in andere gevallen maatregelen nemen om risico s zoveel mogelijk te minimaliseren. 5. Verkleinen van het risico, dat projecten meer of minder falen (Applegate c.s., 2009.). Applegate c.s. stellen dat het doen van IT projecten risico s met zich mee brengt. Zij stellen, dat deze risico s afhangen van de omvang van het project, van de mate waarin de eisen aan het project duidelijk zijn, en het feit, of de organisatie beschikt over de technische kennis nodig om het project te voltooien. Op basis van een classificatie van projecten geven Applegate c.s. aan, welke maatregelen een organisatie kan nemen om een bepaald project tot een optimaal einde te brengen. 6. Een holistische aanpak om om te gaan met risico. Westerman c.s. (2007) kijken naar de wijze van denken van organisaties over risico en inventariseren hierna welke combinatie van maatregelen deze organisaties nemen om het optreden van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT te voorkomen. In het volgende zal op elk van deze zes benaderingen van risico bij inzet van ICT worden ingegaan. Hierna wordt aangegeven om welke methode is gekozen als basis van het praktijkonderzoek en waarom deze methode gekozen is. 12 Omgaan met het ICT risco

13 2.2. De zes benaderingen van risico Vooral bescherming (Thiadens (2008), Overbeekc.s.(2008)) Een model dat nadruk legt op bescherming van de informatie- en ICT voorzieningen tegen risico s is de kubus van Bautz (zie figuur 2.2). De kubus van Bautz geeft drie invalshoeken weer op de beveiliging van de informatie bij inzet van ICT. Deze invalshoeken zijn: de reden van maatregelen, de soort maatregel en het tijdstip waarop men de maatregel treft. De kubus van Bautz: Soort maatregel : Fysiek Organisatie Logisch Reden : vertrouwelijkheid, betrouwbaarheid, continuïteit Tijdstip: detectie preventie repressie (uitwijk) correctie Figuur 2.2 : De kubus van Bautz op het terrein van IV en ICT beveiliging Laten we beginnen met de redenen voor maatregelen. In principe neemt een organisatie maat-regelen om de continuïteit en de beschikbaarheid van de inzet van ICT te verzekeren; om de fouten in de in/uitvoer, opslag, verwerking en transport van gegevens tot een minimum te beperken en om de vertrouwelijkheid van het gebruik van gegevens te waarborgen. Deze maatregelen kunnen fysiek, logisch en organisatorisch van aard zijn. Fysieke maatre-gelen zijn bijvoorbeeld het maken van extra voorzieningen bij de koeling van de ICT voorzieningen en het plaatsen van computers in betonnen ruimten. Organisatorische maatregelen zijn ondermeer het opdelen van de rekencentrumruimte in een deel om te kunnen printen, een deel om de ICT voorzieningen te bedienen en een deel waar de ICT apparatuur staat opgesteld. Omgaan met het ICT risico 13

14 Door dit opdelen van een rekencentrum in verschillende ruimten ontstaat de mogelijkheid om functiescheiding toe te passen. Iedere medewerker krijgt dan alleen toegang tot die ruimten, tot welke hij in het kader van zijn functie toegang toe nodig heeft. Logische maatregelen zijn het verstrekken van passwords (wachtwoorden), het werken met chipcards met wisselende wachtwoorden en de realisatie van identiteitsmanagement. Deze maatregelen kunnen preventief van aard zijn, correctief, detectief en ook kunnen een mogelijke inbreuk mitigeren, in welk geval zij repressief zijn. Van dit laatste is het werken met een dubbel rekencentrum een voorbeeld. Als men de beschikking heeft over een dergelijk centrum kan een organisatie bij falen van het ene rekencentrum ongemerkt overschakelen naar het tweede. De klanten merken niet, dat er een inbreuk plaatsvindt. Om te komen tot een optimaal inregelen van maatregelen kan men gebruik maken van best practices, zoals deze zijn neergelegd in de ISO27000 serie normen. Deze ISO normen ondersteunen managers en werknemers bij het verantwoord opzetten, implementeren en onderhouden van maatregelen op de genoemde drie terreinen. Deze set aan normen is één op één overgenomen door het Nederlands Normalisatie Instituut (NNI). De norm geeft de basisprincipes weer en een raamwerk (inclusief meetmethode). Zij geeft aan, hoe men als management de gestelde eisen moet implementeren en hoe men zijn organisatie hiervoor kan laten certificeren. De normen beogen eraan bij te dragen, dat organisaties een evenwichtig pakket aan preventieve, correctieve, detectieve en repressieve maatregelen implementeren op dit terrein. ISO : 11 aandachtsgebieden : (elk heeft doel, basisset en activiteiten) 1. Beveiligingsbeleid: doel, na te streven situatie in termen van organisatiebelangen 2. Organisatie beveiliging: beveiligingsfuncties, taken en verantwoordelijkheden, coördinatie samenhang, richtlijnen, wie maakt afspraken met derden. 3. Classificatie en beheer bedrijfsmiddelen: objecten en hun eigenaar, classificatie van informatie 4. Personeel: training, beveiligingsbewustzijn, gedrag op werkvloer, aannamebeleid en beoordeling, reageren op meldingen incidenten 5. Fysieke beveiliging en omgeving: beveiliging van en in infrastructuur, toegangscontrole bij poort fysieke beveiliging en decentrale computers, clean desk policy, stroomvoorziening, datacommmunicatielijnen, koeling, bescherming diskettes, tapes, docum. 6. Computer- en netwerkbeheer: bedieningsprocedures, beheer technische beveiliging en verantwoordelijkheden, antivirusmaatregelen,incidentafhandeling en rapportage; beveiliging ,edi,data 7. Toegangsbeveiliging: toegangsbeheersing en autorisatie voor applicaties 8. Ontwikkeling en onderhoud van applicaties en infra: aandacht voor beveiligingsfunctionaliteit en veilige ontwikkel en onderhoudsmethoden leiden tot veilig (blijvende) applicaties 9. Continuïteitsplanning: calamiteitenopvang, rampenplannen, uitwijk 10. Toezicht: naleving van wettelijke en contractuele voorschriften, beveiligingscontrole op ICT systemen,ict audit, interne controle 11. Informatieveiligheidsmanagement: omgaan met de beveiliging en classificatie van informatie Figuur 2.3 : De elf delen van de ISO norm 14 Omgaan met het ICT risco

15 In figuur 2.3 staan de elf belangrijkste aandachtgebieden op het terrein van het beschermen van de vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. De eerste vier aandachtsgebieden betreffen: 1. Het zorgen voor een informatie- en ICT beveiligingsbeleid. Hieronder valt het hebben van een document, waarin dit beleid is geformuleerd, en het inrichten van een proces, waardoor dit document periodiek wordt herzien. 2. Het organiseren van de uitvoering van dit beleid. Hieronder vallen onderwerpen als - het zorgen voor commitment van het management; - het duidelijk aanwezig zijn van een coördinatiepunt; - het belegd hebben van de verantwoordelijkheden - het duidelijk hebben, wie bevoegd is tot autorisatie van ICT voorzieningen en wie welke autorisaties krijgt. En zo is ondermeer helder welke persoon tekent bij het in productie nemen van nieuwe versies en releases op het terrein van ICT; - het zorgen voor de aanwezigheid van confidentialiteitsovereenkomsten. In de aanstelling van medewerkers moeten bepalingen opgenomen zijn over het omgaan met bedrijfsgegevens en de auteursrechten van ontwikkelde programmatuur; - het helder hebben wie over welk onderwerp communiceert met het burgerlijk gezag en met special interest groups - de zorg voor een onafhankelijke evaluatie van de beveiliging. 3. Het regelen van de omgang met externe partijen. Hieronder valt de identificatie van risico s van het werken met externen; van risico s bij de interactie met de klanten en bij het werken met andere, derde partijen. Voorts valt het treffen van maatregelen om deze risico s te beperken en het handhaven van deze maatregelen. 4. Het aanwezig zijn van regelingen met de medewerkers. Hierbij geldt dat bij indiensttreding de rol en de verantwoordelijkheden van de medewerkers en zijn arbeidsvoor-waarden helder moeten zijn. Tevens moet aandacht gegeven zijn aan het screenen van de medewerker. Tijdens het dienstverband moeten de verantwoordelijkheden van het management helder zijn. Deze moet zorgen voor awareness, opleiding en training van de medewerker op dit terrein. Het moet voorts duidelijk zijn, dat overtreding van de regels tot disciplinaire maatregelen kan leiden. Bij beëindiging van een dienstverband moet bepaald worden, hoe met het einde van de verantwoordelijkheid van een medewerker wordt omgegaan. Op dit moment worden de in gebruik gegeven goederen ingeleverd en wordt ervoor zorg gedragen dat eventuele toegangsrechten worden verwijderd. Omgaan met het ICT risico 15

16 Administratieve organisatie (Starreveld c.s. (2003)) Bij het inrichten van een organisatie is het van belang rekening te houden met de risico s die men loopt ten aanzien van de betrouwbaarheid van de informatie. Starreveld c.s. (2003) merken op, dat een betrouwbare informatievoorziening in organisaties eisen stelt aan de inrichting van de organisatie. Daarnaast stelt Starreveld c.s. dat een organisatie zijn informatievoorziening periodiek moet nagaan op haar inhoudelijke juistheid. Hiermee wordt voorkomen, dat organisaties te laat ontdekken, dat de gewenste informatie niet aanwezig is en/of dat de wel aanwezige informatie inhoudelijk niet optimaal is. Starreveld c.s. (2003) stellen dat (zie figuur 2.4): Ex ante: Ex post: Preventieve maatregelen: - functiescheiding - richtlijnen en procedures - fysieke en logische toegangsbeveiliging - backup, recovery en uitwijk. Preventieve maatregelen: - beperking bevoegdheden - bevorderen zelf- en sociale controle - ramingen, begrotingen en normen - kwijting - verbijzonderen interne controle - wisselen van personeel - quasi goederen beweging Organisatie en zijn interne betrouwbaarheidssysteem Controles: - op bevoegdheid: binnen bevoegdheden gehandeld? - informatiecontrole: is de informatie betrouwbaar? - bewaringscontrole: zijn de waarden, voorzover niet rechtmatig afgegeven, nog aanwezig Repressieve maatregelen: - afdwingen naleving voorschriften, richtlijnen en procedures - eisen dat de materiële werkelijkheid (inventarisatie) overeenkomst met de informatie - eisen dat primaire verantwoordingsgegevens: verbandscontrole, toetsing opgaven aan ex ante data de juiste uitkomst geven; - zorgen voor juiste gegevensverwerking Figuur 2.4: Een overzicht van de ex ante en ex post maatregelen om risico s met de betrouwbaarheid van informatie te verminderen 16 Omgaan met het ICT risco

17 1. de inrichting van organisaties zodanig moet zijn, dat betrouwbaarheid van informatie ingebakken zit in de wijze van gegevens verzamelen. Organisaties moeten nadenken welke gegevens zij nodig hebben. Vervolgens moeten zij intern verantwoordelijkheden toewijzen voor het verzamelen van deze gegevens rekening houdende met de noodzakelijke functiescheiding. Bepalen, welke gegevens nodig zijn; het bewaren ervan; het uitvoeren van het verzamelen van deze gegevens en het controleren van de verzamelde gegevens moeten bij voorkeur door individuen met tegengestelde belangen worden uitgevoerd. 2. organisaties periodiek de juistheid van de door hen gebruikte informatie controleren. Bij deze controles loopt men na of: een verstrekker de door hem verstrekte gegevens ook mocht verstrekken. Men checkt of een gebruiker wel bevoegd is over de gegeven te beschikken enz. De betreffende controle wordt een autorisatie controle genoemd. Men kijkt naar de bevoegdheid van de gegevensverzamelaar, van de gegevensgebruiker en van de gegevensverstrekker; de verstrekte gegevens wel kloppen met de fysieke werkelijkheid. Staat wat er op de pakbon staat ook werkelijk op de computerzaal? de gegevens wel betrouwbaar zijn. Hierbij vraagt men zich ondermeer af, of de definities van de gegevens overeenkomen? Of de tijdstippen van verzamelen wel de conclusies rechtvaardigen? Of de gelegde relatie tussen de gegevens wel mogelijk is? Of men op tijd over de gegevens kan beschikken en of deze voldoende nauwkeurig zijn? Daarnaast loopt men de het verzamelen en bewerken van gegevens na op meetfouten. In figuur 2.4 is een overzicht van deze maatregelen gegeven. Zij zijn erop gericht om de risico s om te werken met minder betrouwbare informatie te voorkomen. Omgaan met het ICT risico 17

18 Organiseren van het verkleinen van risico in een ontwikkel- en onderhouds-organisatie (Meijer, 2007) Meijer (2007) onderzocht welke taken op het terrein van risicomanagement in ICT ontwikkel- en onderhoudsorganisaties moeten worden gedaan en hoe organisaties deze taken in hun structuur kunnen inbedden. Hij constateerde dat actief werken aan risicomanagement betekent, dat medewerkers, die zich bezighouden met risico s: 1. Participeren in de strategische planvorming; 2. Ondersteunen de organisatie bij een risicoanalyse en deze zo nodig uitvoeren; 3. Stellen een risicobeheersplan op; 4. Controleren, toetsen en bijsturen op basis van dit risicobeheersplan; 5. Informeren de medewerkers en de leiding over het onderwerp risicomanagement; 6. Ontwikkelen en onderhouden kennis over mogelijke maatregelen; 7. Ontwikkelen en onderhouden methoden, hulpmiddelen en technieken op dit terrein; 8. Verzorgen opleidingen en trainingen. Organisatievormen: 1. afzonderlijke centrale risicomanagementafdeling 2. volledige lijnverantwoordelijkheid van de risicomanagementfunctie 3. zowel een lijn als een centrale verantwoordelijkheid 4. een projectorganisatie 5. een multidisciplinair team als onderdeel van een audit. Wat doet men? Alle taken 2 t/m 8 1 is niet van toepassing Centrale functie doet 1,5,6,7,8; lijn doet 2,3,4. taken afh. doel project. Belast met taak 2. Risicomanagementtaken: 1. participeren in strategische planvorming 2. begeleiden en uitvoeren risicoanalyse 3. opstellen van een risicobeheersplan 4. controleren, toetsen en bijsturen naar aanleiding van het risicobeheersplan 5. informeren over risicomanagement 6. ontwikkelen en onderhouden van kennis over mogelijke maatregelen 7. ontwikkelen en onderhouden van methoden, hulpmiddelen en technieken. 8. Verzorgen van opleidingen en trainingen. Figuur 2.5 : Taken en organisatorische inbedding bij risicomanagement (Meijer, 2007) 18 Omgaan met het ICT risco

19 Vervolgens geeft hij aan, hoe organisaties bij de inrichting van een ICT ontwikkel- en onderhoudsorganisatie rekening houden met het risico van ICT de te lopen risico s in deze organisatie kunnen verkleinen. Hij constateerde, dat hiervoor een aantal mogelijkheden zijn. Hij onderscheidt vervolgens de volgende vormen/manieren om in een ontwikkel- en onderhoudsorganisatie ICT risicomanagement te beleggen: 1. Organisaties richten een afzonderlijke, centrale risicomanagement afdeling op. Nu is het hen mogelijk om alle acht taken van figuur 2.5 een plaats te geven. 2. Organisaties leggen het omgaan met risico s volledig in de lijn neer. Nu is het mogelijk alle taken met uitzondering van het vanuit risicomanagement perspectief kijken naar strategische planvorming een plaats te geven. 3. Onderkennen van risico s is zowel een lijn- als een centrale verantwoordelijkheid. Hierbij: 3.a. begeleidt de lijn en laat zij risicoanalyses uitvoeren; 3.b. stelt de lijn een risicobeheersplan op; 3.c. controleert, toetst en stuurt de lijn bij naar aanleiding van het risicobeheersplan De overige taken worden centraal gedaan. 4. Men organiseert de risicomanagement functie als een projectorganisatie. In een dergelijke organisatie zijn de taken afhankelijk van het doel van het project. En tenslotte 5. Men richt een multidisciplinair team in als onderdeel van een audit op het te lopen risico. Dit team ondersteunt de organisatie bij het doen van risicoanalyses en voert deze zo nodig uit. Meijer (2007) constateert dat er sprake moet zijn van een centrale functie, die vanuit het perspectief risico naar de huidige en nieuwe ICT projecten van een organisatie kijkt. Hierbij richt deze centrale functie zich op operationele risico s en op projectrisico s. We zullen deze twee soorten risico s in het volgende bespreken. In figuur 2.5 zijn de taken en de daarbij mogelijke belegging van deze taken in een ontwikkel- en onderhoudsorganisatie weergegeven. Omgaan met het ICT risico 19

20 Omgaan met risico in de exploitatie van ICT (de Wijs, 1995) Een organisatie kent operationele risico s. Dat is het risico dat de ICT uitvalt tijdens het dagelijks werk. De Wijs (1995) onderzocht dit operationele risico. Hij geeft aan, wanneer het opportuun is om maatregelen te nemen om dit risico te beperken. Zijn methode om met operationeel risico om te gaan, kent de volgende drie stappen. 1. het bepalen van de taken, die een ICT voorziening ondersteunt. Hierbij gaat men na, welke taken worden ondersteund en stelt men vast, of de ondersteuning door ICT sterk geïntegreerd is of dat men gebruik maakt van diverse met elkaar gekoppelde voorzieningen. Op basis van de bevindingen wordt het operationele risico vastgesteld. Hierbij houdt men rekening met - de ernst van de optredende calamiteit; - de mate waarin de gevolgen hiervan direct worden ervaren; - de onomkeerbaarheid van deze gevolgen op de lange termijn; - de beheersbaarheid van de calamiteit gegeven de genomen maatregelen; - de mate,waarin het optreden van de calamiteit door een ieder wordt gevreesd; - de relatieve nieuwswaarde van de calamiteit voor de media; - de bekendheid van de experts met de calamiteit en haar gevolgen - en de bereidheid van gebruikersmanagement om het mogelijk optreden ervan te accepteren. 2. de mogelijkheden die men heeft om het optreden van de calamiteit te voorkomen. Hierbij kan men denken aan extra voorzieningen om beschikbaarheid te verhogen, een uitwijkrekencentrum om bij calamiteiten als brand toch door te kunnen werken en een extra, aparte kabelverbinding om bij het kapot trekken van één kabel toch verbinding te houden. In het algemeen loopt men zijn ICT voorzieningen na om dit risico te bepalen en kijkt men, wat de zwakste schakel is bij deze ICT voorziening. 3. de noodzaak om maatregelen te treffen gegeven de betrouwbaarheid van de voorziening en de specifieke eisen van de situatie. De Wijs (1995) bepaalt zo na grondige analyse de mogelijke voorzieningen. Om ze te realiseren eist hij, dat het risico, dat men loopt door inzet van ICT, kwantificeerbaar is en direct de gestelde prestatie eisen kan beïnvloeden. Hierdoor kunnen de te nemen maatregelen bedrijfseconomisch te rechtvaardigen zijn. 20 Omgaan met het ICT risco

21 Omgaan met risico bij projecten (Applegate c.s. (2009)) Omgaan met risico bij projecten wordt projectrisico benoemd. ICT projecten kennen dit risico zowel aan de kant van de organisatie, die het resultaat van het ICT project gaat gebruiken, als aan de kant van de ICT organisatie. Project risico wordt gedefinieerd (Applegate c.s., 2009) als het risico, dat vernieuwingen van ICT voorzieningen niet op de tevoren afgesproken tijd en binnen het afgesproken budget geïmplementeerd worden. Het is een risico, dat blijft bestaan, ook al gebruikt een organisatie de beste instrumenten en heeft een organisatie alle middelen tot zijn beschikking, die tevoren voor het project werden gebudgetteerd. Het gevolg van het optreden van projectrisico, is, dat: - geplande voordelen niet of niet volledig worden gehaald; - er uitloop is van het project, waardoor het project duurder wordt; - het project functioneel of technisch bezien minder goed uitvalt of - dat een ICT applicatie bij nader inzien toch minder optimaal op of niet met de bestaande ICT infrastructuur werkt. Dit kan blijken uit een matige respons, een gebrekkiger beveiliging of een slechtere beschikbaarheid dan de organisatie vooraf had verwacht. Er zijn 3 redenen om projectrisico te introduceren. De eerste is, dat de omvang van het project relatief groot is ten opzichte van andere projecten in de organisatie. Het project raakt meer afdelingen dan normaal. Er is een groter budget mee gemoeid enz. De tweede reden is, dat de organisatie de gebruikte technologie niet of niet voldoende onder de knie heeft. Men komt voor verrassingen te staan, welke niet verwacht zijn en weet daar niet goed mee om te gaan. De derde reden is, dat men niet exact weet, wat men wil. Men wijzigt gaande het project steeds weer de project scope en de eisen aan het eindresultaat. Het projectteam wordt wat radeloos en raakt steeds meer zijn motivatie kwijt. Men kan het projectrisico bepalen door middel van interviews of door het houden van Delphi meetings. Bij interviews vraagt men op diverse niveaus aan de gebruikersen de ICT kant naar de mening over het verloop van een project en/of programma s van projecten, naar de inmiddels bereikte resultaten, naar de verwachtingen van het project en naar ideeën over mogelijke maatregelen voor bijsturing. Als het risico te groot wordt geacht, kan men besluiten deze maatregelen te nemen. Hieronder kunnen vallen het versterken van het team, het veranderen van de scope van het project of/en het volgen van een bijgesteld implementatie traject. Omgaan met het ICT risico 21

22 niet weten je wil weten wat je wil Techniek bekend Techniek onbekend omvang groot laag risico laag risico omvang klein zeer laag risico zeer laag risico omvang groot zeer hoog risico middelgroot risico omvang klein hoog risico middelgroot risico Figuur 2.6 : Positionering van een project en bepaling van haar risico In figuur 2.6 is aangegeven hoe men het risico van projecten aan de hand van drie eigenschappen kan bepalen. Ook bij het lopen van een groot risico zullen organisaties, zeker als inzet van ICT van groot belang voor de organisatie is, niet altijd onder het mijden van een risicovolle project uitkomen. Redenen voor een organisatie om projecten door te zetten kunnen liggen in het feit dat men aan de kant van de gebruiker van ICT een reputatie heeft opgebouwd, wat betreft het aantal succesvolle projecten, die de laatste jaren zijn uitgevoerd of dat men goede projectleiders en ervaren gebruikers kan leveren of dat men financieel gezond is. Aan de ICT kant helpen de volgende factoren mee om te besluiten een wat risicovoller project toch door te laten gaan: - de ICT organisatie heeft een goede reputatie wat betreft de exploitatie van ICT voorzieningen; - de ICT organisatie kent een voortdurende kwaliteitsverbetering en innovatie van diensten; - de door de ICT organisatie gegeven planningen komen uit; - de teststraten voor applicaties werken goed; - en de ICT organisatie komt zijn afspraken na. Afhankelijk van het soort risico kan een organisatie maatregelen nemen om het risico in te perken. Als de organisatie te maken heeft met het risico dat men niet exact weet wat men wil, dan zijn maatregelen op het terrein van integratie van belang. Dit betekent dat men zorgt voor een optimaal draagvlak van het project in de organisatie en daartoe maatregelen neemt. Als men te maken heeft men grote projecten, waarbij de techniek minder bekend is, dan zal een goede planning en inzet van ervaren ICT medewerkers aandacht moeten krijgen. In figuur 2.7 is een overzicht gegeven van mogelijke maatregelen. Veelal vormen projecten onderdeel van programma s van projecten. Ieder project wordt dan resultaat gericht geïmplementeerd en binnen een bepaalde tijd uitgevoerd. 22 Omgaan met het ICT risco

23 externe integratie interne integratie gebruiker projectleider ervaren ICT man leidt team maken van stuurgroep vele team meetings gebruikers sturen verandering notulen over sleutlebesluiten verspreid alle informatie verspreid regulier technische status opgenomen selectie van gebruikers als teamleden veel ervaren teamleden formeel geodkeurinsgproces bij gebruiker leden nemen deel aan doelstellingsbijeengebruiker verantwoordelijk voor opleiding en komsten enz. implementatie, enz. formele planning formele stuurmethoden formele planningsmethoden periodiek actual vs. budget keuze van mijlpalen formele wijzigingsprocedures standaards voor rapporten etc. reguliere mijlpalen presentaties project geodkeuringsproces afwijkingenvan plan gesignaleerd evaluaties per fase en van het totaal. Figuur 2.7 : Mogelijk maatregelen om risico bij ICT projecten te verkleinen Een totaal aanpak: ICT risico vanuit de gebruiker en de maatregelen binnen en buiten de ICT afdeling (Westerman c.s., 2007) De laatste benadering, die in dit boekje beschreven wordt, is een holistische. Het is de benadering van ICT risico van Westerman c.s.. Bij deze benadering kijkt men vanuit het management van de gebruiker naar de risico s die men loopt door inzet van ICT bij de informatievoorziening. Op basis van de wensen van een organisatie wordt vervolgens een combinatie van maatregelen genomen om de met ICT gelopen en te lopen risico s op een aanvaardbaar niveau te brengen. In de benadering van Westerman c.s. komen veel van de facetten van eerder genoemde benaderingen terug Bij inzet van ICT lopen organisaties volgens Westerman c.s. (2007) risico s op vier vlakken, de zogenaamde 4A s. Deze vier vlakken zijn: 1. Availability: het beschikbaar hebben van de nodige ICT en het snel kunnen herstellen van onderbrekingen; 2. Accessibility: het toegang krijgen tot gegevens en applicaties op een zodanige wijze, dat de juiste mensen de applicaties kunnen gebruiken en onbevoegden worden geweigerd; 3. Accuracy: het volledig en op tijd beschikbaar zijn van de verkregen gegevens, zodat aan de eisen van de leiding, de staf, de klanten, de leveranciers en de wetgevers kan worden voldaan; 4. Agility: het bieden van de mogelijkheid om de ICT op beheerste wijze te veranderen. Dit kan gebeuren bij een fusie, bij een nieuw procesontwerp of bij de lancering van een nieuw product. Omgaan met het ICT risico 23

24 Proces: geeft op organisatieniveau een overzicht van alle risico s, zodat de leiding voldoende kan investeren in risicomanagement. Fundament: de infrastructuren en de toepassingen (inclusief medewerkers en procedures), die duidelijk zijn beschreven, worden duidelijk bestuurd en zijn niet complexer dan nodig. Inrichting organisatie Cultuur: iedere betrokkene heeft voldoende kennis van de risico s en er wordt open en niet bedreigend gesproken over risico s. Figuur 2.8 : Types maatregelen om risico s te verkleinen (Westerman c.s., 2007) Organisaties nemen maatregelen om met de ICT risico s om te gaan. Deze maatregelen kan men indelen in drie soorten. Uit hun onderzoek bij 180 grote bedrijven komen deze drie soorten maatregelen naar voren. Dit zijn de zorg voor transparantie van ICT voorzieningen, het organiseren van aandacht voor risicomanagement en het zorgen voor een besef van gelopen en te lopen risico s bij medewerkers. Omgaan met ICT risico betekent dat organisaties kijken naar het totale risico en afwegingen maken ten aanzien van de te nemen maatregelen (zie figuur 2.8). Dit leidt in het algemeen tot: a. een meer transparante inrichting van de ICT voorziening van een organisatie. Dit betekent een transparante architectuur van producten en diensten geleverd door een goed beschreven ICT organisatie. Deze architectuur en deze organisatie zijn niet complexer dan nodig. b. de aanwezigheid van een organisatie voor risicomanagement, dat ervoor zorgt, dat op het niveau van de organisatie een overzicht aanwezig is van risico s,die de organisatie loopt. Hierdoor is de leiding in staat voldoende tijd en middelen te investeren in risicomanagement. In dit proces worden risico s geïdentificeerd, van een prioriteit voorzien en gevolgd. c. en een cultuur, die ervoor zorgt, dat iedere betrokkene voldoende kennis heeft van de risico s en ermee rekening houdt (risk awareness). In deze cultuur wordt open en niet bedreigend gesproken over mogelijk te lopen risico. 24 Omgaan met het ICT risco

25 De keuze van de methode, die gekozen is als basis van het praktijkonderzoek In dit hoofdstuk kwamen zes benaderingen om om te gaan met het risico van inzet van ICT aan de orde. De eerste vijf benaderingen benadrukken één of meerdere aspecten van risico of wijzen om met het risico bij de informatievoorziening en de daarvoor nodige inzet van ICT om te gaan. Duidelijk wordt dat het bij risico in een organisatie niet alleen gaat om het risico met de huidige ICT, maar ook met het risico, dat komende ICT niet biedt, wat een organisatie ervan verwacht. Onderzoek leert (Westerman, 2007), dat de reden, dat organisaties deze risico s lopen vaak voorkomt uit een gebrek aan overzicht bij de leiding over de impact van ICT en het ontbreken van echte sturing van die ICT op organisatieniveau. Om IT risico in een organisatie in de praktijk te onderzoeken is daarom gekozen voor een methode, die leidinggevenden aan de gebruikerskant en aan de ICT kant ondervraagt. Bij deze methoden worden risico s en de maatregelen om risico s te beperken geformuleerd in managementtermen. De methode maakt een onderscheid tussen het soort gelopen risico en de generieke maatregelen om risico te verkleinen. De leiding, die ICT inzet, wordt ondervraagd over de risico s,welke zijn organisatie ten aanzien van de inzet van de informatievoorziening en de daarbij nodige ICT loopt. Aan de orde komt in dit interview, welke risico s de organi-satie loopt, wat de gevolgen van deze risico s zijn en welke keuzen men bij het omgaan met de soorten risico maakt. De ICT kant wordt gevraagd om de maatregelen aan te geven, die de organisatie heeft genomen om de mogelijkheid van het optreden van de gevolgen van deze risico s te beperken Enige voorbeelden van toepassing van de theorie Alvorens systematisch in te gaan op de resultaten van het empirisch onderzoek worden eerst een aantal voorbeelden gegeven van mogelijkheden, waarop het risico van ICT door organisaties wordt beperkt. Deze voorbeelden sluiten aan bij de theorie van Westerman (2007). Zij werden door de organisaties aangereikt bij het empirisch onderzoek en bij seminars, die over dit onderwerp zijn gevolgd. Omgaan met het ICT risico 25

26 De voorbeelden betreffen: - de standaardisatie van ICT voorzieningen door gebruik te maken van een catalogus; - de rapportage van geleverde producten en diensten; - de wijze van contractering van externe producten en diensten; - en een voorbeeld, hoe organisaties, gedwongen door eisen vanuit de keten van organisaties, waar zij deel van uitmaken, maatregelen treffen om het risico, dat zij met inzet van ICT lopen, te verkleinen Standaardisatie met een service catalogus Standaardisatie van ICT voorzieningen komt naar voren, als een wijze om de levering van ICT producten en diensten beter beheersbaar en transparant te maken. (Lectoraat ICT governance, 2008). Standaardisatie van ICT producten en diensten gaat vaak gepaard met het aangeven van deze producten en diensten in een catalogus. De catalogus is als het ware de menukaart van een ICT organisatie. Plaats van de service catalogus Figuur 2.9: Ondernemingsarchitectuur van de IB-Groep en de plaats van de technische architectuur 26 Omgaan met het ICT risco

27 Een voorbeeld van een dergelijke catalogus is de service catalogus van de IB-Groep. In het voorwoord van deze catalogus wordt aangegeven, dat de catalogus helpt bij het maken van afspraken tussen klant en leverancier. De catalogus kwam tot stand in overleg tussen de gebruikers van centrale diensten en de leveranciers van deze diensten. De leveran-ciers zijn de directie ICT en de afdeling Centraal Proces Beheer (CPB). In de catalogus wordt aangegeven (zie figuur 2.9), dat de catalogus is gebaseerd op het onderdeel technische infrastructuur diensten van de IB-Groep ondernemingsarchitectuur. De catalogus legt een groot aantal van afspraken op het terrein van de organisatie en ten aanzien van de diensten van de centrale afdelingen ICT en CPB vast. De catalogus maakt hierbij een onderscheid tussen eindgebruikers- en business-services. De eindgebruikers- services betreffen diensten op het terrein van ICT werkplekken, telefonie en standaard software. De business services betreffen adviesdiensten, het maken en onderhouden van maatwerksoftware, informatievoorzieningsdiensten en diensten ten aanzien van de exploitatie van ICT. In figuur 2.10 is een voorbeeld gegeven van de diensten, die worden geleverd. Infrastructuurdiensten kanalen Telefoon Web ACD/VRS dienst Het bieden van alle functionaliteit voor het via de telefoon communiceren, zowel spraak als data en distribueren van oproepen over vestigingen Internet security diensten Het beveiligen van web diensten Web informatiediensten Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep Web portal diensten Het leveren van algemene en klantspecifieke diensten. het bieden van de mogelijkheid van mutaties en aanvragen. Web applicatie security diensten Het voorzien in een veilige connectie tussen de Web Portal en de Web applicaties Web applicatie diensten Alle diensten voor het uitvoeren van de feitelijke webapplicaties Balie Papier Document scanning diensten Identificatie en verificatie diensten Balie informatie diensten Balie transactie diensten Balie security diensten Document scanning diensten Deze dienst voorziet in het scannen van documenten Het vaststellen van identiteit en verificatie van identiteit van personen Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep Het leveren van algemene en klantspecifieke diensten. het bieden van de mogelijkheid van mutaties en aanvragen. Het voorzien in een veilige omgeving en toegang tot applicaties voor baliepersoneel Deze dienst voorziet in het scannen van documenten Figuur 2.10 : Voorbeeld van diensten van de ICT afdeling IB-groep Omgaan met het ICT risico 27

28 Rapportage van geleverde ICT diensten Het maken van periodieke rapportages is een wijze om zelf inzicht te krijgen in het eigen reilen en zeilen, doch ook om anderen toegang te geven tot het eigen functioneren. Het geven van goed inzicht in de prestaties op het terrein van het ICT wekt vertrouwen en maakt het mogelijk om op de juiste punten extra inspanning te plegen. Tijdens het onderzoek kwamen twee rapportages over ICT naar voren, welke in één oogopslag aangeven, welke de sterke en de zwakke punten van de leveranciers van ICT zijn. Hierbij is uitgegaan van de afspraken, die men heeft gemaakt met de gebruikers van hun diensten. De eerste rapportage is die van het Kadaster. Deze organisatie gebruikt voor haar maandelijkse rapportage de Balanced Score Card methodiek. Zelf krijgt de ICT exploitatie organisatie in één oogopslag inzicht in haar functioneren en in het gesprek met haar klanten kan men zich snel focussen op de zaken, die van belang zijn. De prestaties zijn met kleur en met een naar beneden wijzende pijl aangegeven. In figuur 2.11 is dit weergegeven. Uit de figuur wordt duidelijk, dat anno april 2009 vooral de financiën de nodige aandacht behoeven. Ook wordt duidelijk, dat in de balanced score card van het Kadaster het onderdeel groei&leer nog niet echt ontwikkeld is. Figuur 2.11 : De balanced score van de afdeling ICT services van het Kadaster 28 Omgaan met het ICT risco

29 Figuur 2.12 : Rapportage afdeling ICT services Fontys hogeschool. De tweede rapportage is die van de afdeling ICT services van Fontys hogeschool. In de maandelijkse management rapportage geeft zij met een kleursysteem aan, wat de status is van de prestatie. De geleverde prestatie wordt gerelateerd aan tevoren gestelde kritische prestatie indicatoren. In één oogopslag maakt de rapportage helder, op welke onderwerpen de aandacht zich moet richten. In dit geval heeft de beveiliging en de applicatie-ontwikkeling attentie nodig. In figuur 2.12 is een voorbeeld gegeven van het gebruik van kritische prestatie indicatoren bij de ICT services afdeling van Fontys Hogeschool Contracten met externe leveranciers Ter bescherming van de organisatie worden in contracten met derden vaak nadere voorwaarden gesteld. Deze voorwaarden hebben betrekking op het verhalen van eventuele schade, de intellectuele eigendom bij levering van diensten, het gebruik van hulpmiddelen en de geheimhouding van verkregen informatie. Omgaan met het ICT risico 29

30 Figuur 2.13 : Voorbeeld van een deel van een bepaling over intellectuele eigendoms-rechten (IB-groep, 2009) In figuur 2.13 is een voorbeeld gegeven van een bepaling op dit terrein. Het is een deel van de bepaling over intellectuele eigendom uit de algemene leveringsvoorwaarden bij inkoop van diensten van de IB-groep. Op de website van de IB-Groep (zie geraadpleegde bronnen) vindt men de verwijzing naar deze algemene inkoopvoorwaarden. Een set algemene voorwaarden heeft betrekking op leveringen. Een andere set algemene voorwaarden heeft betrekking op de inkoop van diensten Beleidsplannen, architecturen en continuïteitsplannen Naast het maken van beleidsplannen komt het maken en werken van architecturen op. Een visuele weergave van een beleidsplan wordt gegeven in figuur Deze figuur ontleend aan het plan Landscaping the Infrastructure uit van de afdeling ICT services van Fontys Hogeschool. Uit de figuur wordt duidelijk dat Fontys ICT services een groot aantal standaard diensten levert. Deze standaarddiensten kunnen aangevuld worden met eigen applicaties van de 38 Fontys hogescholen, die aan de voorwaarden voldoen om op deze infrastructuur te kunnen worden geplaatst. Fontys ICT services kent voorts paarse en gele werkplekken. De paarse werkplek bestaat uit een standaard desktop of laptop, welke voldoet aan de minimale eisen om er een Fontys applicatie op aan te kunnen bieden. De gele werkplek is een werkplek met een afwijkende inrichting of een compleet afwijkende hardware. De verwachting is dat de komende jaren het aantal gele werkplekken sterk zal toenemen, nu instituten adviseren aan hun studenten laptops aan te schaffen en deze studenten toegang moeten hebben tot de Fontys infrastructuur. 30 Omgaan met het ICT risco