Hoe goed bent u in control over de robuustheid van uw ICT-keten?

Vergelijkbare documenten
Outsourcing. in control. kracht geworden. Ad Buckens en Dennis Houtekamer

Master data management

Ernst de Boer en Albert Kleinjan

Efficiënter zakendoen en innoveren met mobiele communicatie

Zeven stappen naar succesvolle offshore uitbesteding

Hoe goed bent u in control over de robuustheid van uw ICT-keten? -----

Privacy en cloud computing

Maatschappelijk verantwoorde

Softwarearcheologie als basis voor strategie

Testen aan de voorkant

STICHTING HET ZELFSTANDIG GYMNASIUM STICHTING HET ZELFSTANDIG GYMNASIUM. Protocol Collegiale Visitaties

haarlemmerolie van de IT? Tobias Kuipers en Per John

Van grijs naar groen. Richtlijnen voor energiebesparingen in het rekencentrum. groene IT MVO. Esther Molenwijk

Een methodische aanpak voor legacy

Evolueren met portfoliomonitoring

Transparantie: van bedreiging tot businessmodel

Multidisciplinair veranderen

Er zijn deeloplossingen voor de verschillende architectuurterreinen beschikbaar, zoals de Unified Modeling Language (UML) voor softwaremodellering

Testgedreven projectvoering

De essenties van drie jaar NK ICT Architectuur

Uw auto in 3 simpele stappen

Cloud computing: waar begin je aan?

Wie is er bang voor zijn pensioen? Pleidooi voor een vraaggerichte aanpak van pensioenvoorlichting

In dít artike] wordt ingegaan op ontwikkelingen in de informatie technologie (IT) en de consequenties die dit heeft voor

De Woordpoort. De besteksverwerker van Het Digitale Huis

Dit document beschrijft de methode voor de waarneming van de Dienstenprijzen; commerciële dienstverlening (Dienstenprijzenindex, DPI).

64% 70% 94% 85% 87% 73% 67% 75% 93% 60% 70% 100% 90% 100% 75% 70% 85% 100% Groen Vrij Internet Partij. Stelling CDA VVD D66 PvdA Groen Links

Een risico- en kostengedreven aanpak voor architectuur

Wat is een training? Het doel van een trainingssessie is om met het team en de spelers vastgestelde doelstellingen te bereiken.

Manu De Backer en Carlos De Backer

case Gelaagde berichtenuitwisseling strafrechtsketen Respect voor verschillen en uiteenlopende bevoegdheden xml/integratie Brian Dommisse

De Droomstroom. Het project/document-beheerprogramma van Het Digitale Huis

Simulatiestudie naar Methodebreuken in het Onderzoek Verplaatsingen in Nederland

Voorkom onzichtbare verspilling: energiebehoefte

Door middel van deze memo informeren wij u over de stand van zaken met betrekking tot het dossier hoogspanningslijnen.

stand van zaken. Guido Bayens

Etagevloeren. Ruimte creëren doe je met Nolte Opslag Systemen.

Rekenen banken te veel voor een hypotheek?

Pda s in de organisatie

Juli Canonpercentages Het vaststellen van canonpercentages bij de herziening van erfpachtcontracten

Informatiebeveiliging. in de mobiele wereld. Risico s van mobiel werken. devices on the go. Willem Kossen

software Architectuur en dynamiek van productsoftware Architectuur productsoftware ontwikkelt evolutionair architectuur

Al het goede van melk Aankoop Manager

Lean IT: hype of volgend niveau?

Regeling Rijksbegrotingsvoorschriften 2012

Correctievoorschrift VWO

GEBRUIKSAANWIJZING. Binnenunit voor lucht-waterwarmtepompsysteem EKHBRD011ABV1 EKHBRD014ABV1 EKHBRD016ABV1 EKHBRD011ABY1 EKHBRD014ABY1 EKHBRD016ABY1

Aandacht voor allochtone studenten in het hoger onderwijs

lsolatieboxen met of zonder sluis?

Gemeente Geertruidenberg

Bestemmingsplan Broek op Langedijk V A S T G E S T E L D

Gebouwautomatisering. Science Park. Drie gebouwen, één systeem, of toch niet?

Uitslagen voorspellen

De Knaakbaak. Het begrotingsprogramma van Het Digitale Huis

Eindexamen wiskunde B1 havo 2004-II

Wind en water in de Westerschelde. Behorende bij de Bacheloropdracht HS

Herziening van de WWB-raming voor het Centraal Economisch Plan 2012

Openbaar. Ontwerp-bestemmingsplan Nijmegen Midden 2015

Impressie bijeenkomst provinciaal netwerk d.d

Correctievoorschrift VWO 2015

Horeca Starterskrant

Blok 1 - Vaardigheden

Hogerbeetsstraat 18-B XJ Rotterdam. Vraagprijs: k.k. Woonbron Makelaars. woonoppervlakte 100 m2 3 slaapkamers te koop

2.4 Oppervlaktemethode

Hoofdstuk 2 - Overige verbanden

Een nieuwe model van bekostigen van Shared Services

CONVE NANT KI N DEROPVANG EN ONDERWIJS

Financiële hulpaanvragen, hoe gaat u er mee om? Keuzewaaier: Handleiding voor de diaconie, ZWO- of zendingscommissie

Salarisschaal: LC Werkterrein: Onderwijsproces -> Leraren. Salarisschaal: LB. Werkterrein: Onderwijsproces -> Leraren Activiteiten: Beleids- en

Bijverdiensten of inkomsten als freelancer, alfahulp, artiest of beroepssporter

te r Geachte mevrouw Schultz van Haegen,

Gemeenteraadsvergadering Neerijnen BESLUITENLIJST

Eindexamen wiskunde A1-2 vwo I

Onderzoek naar waarschuwingsniveaus voor de dekkingsgraad op marktwaardebasis

Horeca Starterskrant

Van metadata naar kennis

Leveringsvoorwaarden voor werken van beeldende kunst Beroepsvereniging van Beeldende Kunstenaars BBK Amsterdam

Hoofdstuk 2 - Overige verbanden

Stappenplan. Winning Aardwarmte voor Glastuinbouw. Ammerlaan Grond & Hydrocultuur VOF. Voor een krachtige klimaatneutrale glastuinbouw.

Fibbe Advocaten. Wilhelminastraat VP Haarlem

Bijverdiensten of opbrengsten als freelancer, gastouder, artiest of beroepssporter

OVERZICHT. De Raad Aanvang: 19:00. Vermeerzaal Tijd. Molendijkzaal Raadzaal Het Plein 19:00

ADOBE ACROBAT 9-PRODUCTREEKS

Geen enkel lakproces is gelijk aan andere systemen.

Lans Bovenberg, Roel Mehlkopf en Theo Nijman Techniek achter persoonlijke pensioenrekeningen in de uitkeringsfase. Netspar OCCASIONAL PAPERS

Studiekosten of andere scholingsuitgaven

wiskunde A pilot vwo 2015-I

Overzicht. Inleiding. Classificatie. NP compleetheid. Algoritme van Johnson. Oplossing via TSP. Netwerkalgoritme. Job shop scheduling 1

Integratiepracticum III

Studiekosten en andere scholings uitgaven

Deel 2. Basiskennis wiskunde

digitale signaalverwerking

1: OVER HET JAAR

Noordhoff Uitgevers bv

Correctievoorschrift HAVO 2017

C. von Schwartzenberg 1/11

Bijverdiensten of inkomsten als freelancer, alfahulp, artiest of beroepssporter

Gebruik van condensatoren

Bijverdiensten of inkomsten als freelancer, gastouder, artiest of beroepssporter

Tuinstijlen. Tuinstijlen. Het ontstaan van tuinstijlen. Formele tuinstijl. Informele tuinstijl. Moderne tijd

Transcriptie:

IT-audi & Hoe goed ben u in conrol over de robuusheid van uw ICT-keen? Mehodiek voor bepalen van mae van beheersing van robuusheid in ICT-keens ICT-keens worden enerzijds seeds complexer en anderzijds van seeds vialer belang voor de maaschappij en voor organisaies. Daarmee neem ook he belang van robuusheid van ICT-keens en de beheersing daarvan oe. De aueurs beschrijven een nieuwe mehodiek waarmee de mae van beheersing van de robuusheid van ICT-keens kan worden vasgeseld. Harrie Basiaansen, Rieks Joosen, Erik Meeuwissen en Frank Roijers De huidige maaschappij kan nie funcioneren zonder haar ICT-diensen en -infrasrucuren. Deze zijn in oenemende mae in keens georganiseerd. He falen van onderdelen in de keen kan leiden o (grooschalige) versoringen van de processen en diensen die hiervan afhankelijk zijn. Zo kan een communicaiesoring bij een vervoersbedrijf leiden o een onregelde diensregeling die veel reizigers ref, kan he falen van he elekronisch bealingsverkeer in he weekend voor kers groo maaschappelijk ongenoegen o gevolg hebben en kan een falend inerne voor bedrijven die he nieuwe werken oepassen resuleren in gemise arbeidsproduciviei. Omda deze diensen seeds belangrijker worden, kom er seeds meer aandach voor de zogeheen robuusheid van de onderseunende processen en ICT-keens. Vanwege he groe belang word hier wereldwijd onderzoek naar verrich, zie bijvoorbeeld iniiaieven in de EU (ENISA, 2009; EU, 2007) en Nederland (ICTRegie, 2010a). In di arikel beschrijven we een mehodiek om enerzijds de mae van beheersing van de robuusheid in ICT-keens vas e sellen en anderzijds de bijbehorende risico s ook keenbreed e beheren. De mehodiek rich zich op: ICT-keens, di in egenselling o de huidige wijze van risicomanagemen (ook voor robuusheid), die veelal gebaseerd is op he beheren van risico s binnen één scope (da wil zeggen de eigen organisaie). de mae van beheersing van (conrol over) robuusheid, nie op de robuusheid van een ICTkeen zelf. Je zou dus kunnen zeggen da he gaa om de kwaliei van de suring op robuusheid en nie om de kwaliei van de echnische implemenaie zelf. We zullen achereenvolgens silsaan bij he oenemende belang van ICT-keens, wa we versaan onder robuusheid, he belang van de beheersing hiervan, en de crieria en mehodiek om de mae van beheersing van robuusheid van ICT-keens vas e sellen en de bijbehorende risico s e beheren. 24

Samenvaing De beschreven mehodiek om de mae van beheersing van de robuusheid in ICT-keens vas e sellen heef als serk pun da deze in de ICT-keen, dus over de individuele schakels heen, kan worden gebruik. De mehodiek is schaalbaar en uibreidbaar en geef aan wa de risico s zijn, zowel binnen als ussen de schakels. Hierdoor kan de mehodiek ook dienen als basis voor een keenbreed risicomanagemenproces. Toenemend belang van ICT-keens In oenemende mae word he leveren van diensen onderseund door ICT-keens. Di geld nie alleen voor nieuwe diensen, ook ouderwese diensen worden vervangen door ICT-keens. Zo word he papieren geld vervangen door allerlei chipkaaren, waarmee de afhankelijkheid van ICT-keens oeneem. Behalve da he aanal keens serk oeneem, worden ze ook seeds complexer. Enerzijds kom di doorda de keens meer funcionalieien onderseunen. Me een chipkaar word bijvoorbeeld een bealing verrich, maar daarvoor word ook gecheck of de kaar nie gesolen is en word conac gelegd me de bank om he saldo e conroleren. Anderzijds zijn bij de ICT-keens seeds meer parijen berokken. He uivoeren van alle funcionaliei van een chipkaar lig bijvoorbeeld nie bij één parij, maar bij meerdere (exerne) parijen: diensaanbieder, communicaieprovider, financiële inselling, chipkaarregiser enzovoor. In he dagelijks leven zijn we op deze wijze seeds meer afhankelijk van de ICT-keens. He blijvend goed funcioneren hiervan is daardoor van belang voor zowel de maaschappij als geheel als voor de individuele organisaies (of organisaieonderdelen) die afhankelijk zijn van of deel uimaken van de ICT-keens. De oename van he werken in keens in combinaie me de groeiende complexiei maak de ICT-keens ook in oenemende mae kwesbaar. Daardoor neem he belang van de robuusheid van de keens serk oe. Wa versaan we onder robuusheid? In een omgeving waarin zowel he belang als de kwesbaarheid van ICT-keens seeds groer word, is he de uidaging voor organisaies (overheden en bedrijfsleven) om hun kriieke diensverlening zeker e sellen. Indien de diensverlening daarbij gebaseerd is op he inensief gebruik van ICT-echnologie, bereden we he speelveld van robuuse ICT: De robuusheid van een ICT-keen is de mae waarin aan de verplichingen van haar diensverlening kan worden voldaan, onafhankelijk van de omsandigheden. Me deze definiie omva de scope van robuuse ICT-keens zowel prevenieve als reacieve aspecen. Prevenieve aspecen zijn gerich op he verhogen van de kwaliei (bijvoorbeeld beschikbaarheid) van de kriieke diensverlening, bijvoorbeeld door de kwaliei van de individuele onderliggende sysemen e verhogen. Reacieve aspecen omvaen de mae waarin een ICTkeen in saa is siuaies e compenseren van verminderde kwaliei van deelsysemen waar de keen van afhankelijk is. Globaal gezegd kun je di samenvaen als: he syseem zelf moe robuus zijn (bijvoorbeeld hoge beschikbaarheid), maar he moe ook he falen (of verminderd preseren) van zijn deelsysemen of de sysemen in zijn omgeving kunnen opvangen. Robuusheid heef vaak berekking op wa word aangeduid als de kwalieisaspecen of nie-funcionele aspecen. Robuusheid van ICT is daarbij meeromvaend dan alleen de klassieke beschikbaarheid van individuele sysemen. Figuur 1 geef een overzich van kwalieisaspecen waarop robuusheid van ICT-keens van oepassing kan zijn. De figuur geef de kwalieisaspecen weer volgens he Quin-model (SERC, 1996), da is afgeleid van de ISO 9126-norm Informaion echnology sofware produc evaluaion qualiy characerisics and guidelines for heir use. Robuusheid kan berekking hebben op elk van de kwalieisaspecen zoals benoemd in figuur 1. Bij he beoordelen van robuusheid zal in een vroegijdig sadium derhalve moeen worden vasgelegd welk kwalieisaspec he beref, bijvoorbeeld fouoleranie, veiligheid, verwerkingssnelheid, beheeraspecen zoals onderhoudbaarheid of vervangbaarheid, of de radiionele beschikbaarheid. 25

IT-audi & Belang van beheersing van de robuusheid van ICT-keens Bepalen wa de daadwerkelijke robuusheid van een ICT-keen is, is zeer complex. Hiervoor is geen algemene mehode beschikbaar, in egenselling o bijvoorbeeld communicaienewerken waarvoor wel mehoden bekend zijn (Bell Labs, 2006; Bhaacharyya e.a., 2003). Ten opziche van communicaienewerken hebben IT-sysemen exra aspecen die de robuusheid beïnvloeden, bijvoorbeeld he realime- of bachkaraker van sysemen, de load en capaciei van sysemen en he mechanisme van koppeling (bijvoorbeeld query-response) ussen sysemen. He kwanificeren van de robuusheid van ICT-keens word daardoor een groe uidaging (Lilewood & Srigini, 2000). Daarom focussen we hier op de mae van beheersing van (he in conrol zijn over) robuusheid van een ICT-keen in plaas van op de robuusheid zelf. De raio daaracher is da de kwaliei van de suring op robuusheid een goede indicaor zal zijn voor de mae van robuusheid zelf. He maak namelijk ransparan welke aan robuusheid gerelaeerde risico s in een ICT-keen aanwezig zijn: welke risico s zijn er, welke daarvan worden geaccepeerd en voor welke worden echnische of besuurlijke maaregelen ingevoerd? In he vervolg van di arikel beschouwen we daarom een mehodiek om enerzijds de mae van beheersing van de robuusheid in ICT-keens vas e sellen en om anderzijds de bijbehorende risico s keenbreed e beheren. De mehodiek is gerich op ICT-keens en rich zich op de mae van beheersing van robuusheid, nie op de robuusheid van een ICT-keen zelf. Wanneer ben u in conrol over de robuusheid van een ICT-keen? In een ICT-keen is een keenveranwoordelijke (indien überhaup benoemd) in seeds groere mae afhankelijk van oeleverende parijen waar hij zelf geen volledige conrol over heef, maar die desondanks wel van viaal belang zijn voor he correc funcioneren van zijn keen. He is daarom voor de kwaliei van de keen zeer belangrijk de keen zo goed mogelijk e organiseren, afspraken funcionaliy suiabiliy accuracy ineroperabiliy compliance securiy raceabiliy reliabiliy mauriy faul olerance recoverabiliy availabiliy degradabiliy mainainabiliy analysabiliy changeabiliy sabiliy esabiliy manageabiliy reusabiliy porabiliy adapabiliy insallabiliy conformance replaceabiliy e maken over de (kwaliei van de) diensverlening van andere parijen en daarbij de kwaliei over de gehele keen als leidraad e nemen. Voor bealingen me een chipkaar bijvoorbeeld zal de keenveranwoordelijke onder andere communicaie ussen chipkaarerminals en de acherliggende sysemen moeen inkopen bij een derde parij. Zeer belangrijk is da deze communicaie he alijd doe. In een service level agreemen (SLA) zal he beschikbaarheidsniveau van de communicaie worden vasgelegd. Aangezien he een zeer essenieel onderdeel is van de chipkaardiensverlening, zal de keenveranwoordelijke zeer goed voor ogen moeen hebben of de derde parij zich aan de gemaake afspraken zal houden. Bij falen van de communicaie zal de keenveranwoordelijke er namelijk op worden aangesproken da zijn diens nie goed georganiseerd is. Daarom zal de keenveranwoordelijke behalve de SLA opsellen, zich ook een beeld moeen vormen in hoeverre hij verwach da de derde parij eraan voldoe, hoe essenieel de ingekoche service is voor zijn diens en of hij evenueel compenserende maaregelen moe reffen voor he geval de derde parij de gemaake afspraken nie nakom. Blind verrouwen op de afspraken in de SLA is onvoldoende om in conrol e zijn over de robuusheid van een ICT-keen. Voor he vassellen van de mae van beheersing van de robuusheid van een ICT-keen zijn aanvullende crieria nodig. Deze crieria moeen ook usabiliy undersandabiliy learnabiliy operabiliy expliciness cusomisabiliy araciviy clariy helpfulness user-friendliness efficiency ime behaviour resource behaviour Figuur 1. Kwalieisaspecen volgens he Quin-model 26

caegorie beschrijving nog eens (objecief) geoes kunnen worden. We hebben daarom een nieuwe se van crieria voor he vassellen van de mae van beheersing van de robuusheid van een ICT-keen geïdenificeerd. De crieria zijn geclassificeerd in vier caegorieën, zoals weergegeven in figuur 2. besuurbaarheid regie maaregelen berouwbaarheid De mae waarin de ICT-keen is vormgegeven zoda he überhaup mogelijk is om conrol over de robuusheid ui e oefenen. De wijze waarop de regie over de (robuusheid van de) ICT-keen word uigeoefend. Daarbij maken we verder onderscheid in de subcaegorieën Keenregie en Keenafspraken (SLA s). Di omva de maaregelen die zijn geroffen om de (beheersing van de) robuusheid van de ICT-keen e borgen, me een onderscheid in de subcaegorieën Technische maaregelen en Besuurlijke maaregelen. Di beref de berouwbaarheid van de afspraken en maaregelen die genomen zijn, zowel binnen een organisaie als ussen de parijen in de keen. Figuur 2. Caegorieën voor he vassellen van de mae van beheersing van de robuusheid van ICT-keens»He serke pun van de mehodiek is da deze in de ICT-keen, da wil zeggen over de individuele schakels heen, gebruik kan worden«figuur 3 geef een overzich van crieria per caegorie. Voor elk van de crieria is een se van oesen opgeseld die kan worden gebruik om he desbereffende crierium e scoren. Voor de overzichelijkheid zijn deze oesen nie in de figuur opgenomen. Wel is door middel van arcering aangegeven welke crieria (ondanks de bijbehorende oesen) nie volledig objecief zijn e scoren, maar waarvoor een meer subjecieve professionele beoordeling nodig is, gesoeld op ervarings- en vergelijkingsfeien. Voor he vassellen van de mae van beheersing van de robuusheid in ICT-keens is he nodig de crieria ui figuur 3 op een herhaalbare, recursieve wijze oe e kunnen passen. De crieria zijn immers van oepassing voor zowel de sysemen onder inern beheer van de eigen schakel als de exerne schakels in de ICT-keen. Deze exerne schakels zullen bovendien weer hun eigen oeleveranciers hebben. In de volgende paragraaf word daarom een mehodiek beschreven om de crieria voor he vassellen van de mae van beheersing van de robuusheid in ICT-keens keenbreed oe e passen. De mehodiek kan enerzijds worden gebruik voor he keenbreed vassellen van de mae van beheersing en anderzijds voor he operaioneel beheren van de risico s. Mehodiek voor beheersing van robuusheid van ICT-keens Voor he bepalen van de mae van conrol over de robuusheid gebruiken we de mehode van gescoop risicomanagemen (Joosen, 2010). He uigangspun is da we inschaen hoeveel beheersing van de robuusheid er is vanui de scope van de keenveranwoordelijke. Als voorbeeld beschouwen we de keen van een chipkaarexploian waarin winkeliers klan zijn en chipkaarfuncionaliei van die exploian afnemen. De winkeliers verwachen van de exploian onder meer da de chipkaarerminals, de acherliggende sysemen en de communicaie daarussen alijd werken. De exploian heef zich hieroe (conracueel) verplich en zal om aan die verplichingen e voldoen, zelf weer verwachingen koeseren en aanzien van zijn oeleveranciers (voor bijvoorbeeld de communicaie, he gesolen chipkaarregiser en financiële funcies). 27

IT-audi & besuurbaarheid Figuur 4 laa zien da de verwaching van de ene parij (en aanzien van een andere parij) verplichingen worden voor die andere parij (en aanzien van de ene parij). De chipkaarexploian (keenveranwoordelijke) is veranwoordelijk voor he maken van afspraken me oeleverende parijen (communicaieprovider en financiële inselling) voor de benodigde funcionaliei en he regisseren van alle inerne en exerne afspraken die maken da hij zijn eigen funcionalieien kan leveren en zijn verplichingen kan nakomen. Om in conrol e blijven over de robuusheid van de keen zal de chipkaarexploian moeen bepalen: hoe belangrijk elk van de oegeleverde funcionalieien is voor de gehele diens, dus wa de impac is bij uival, en in welke mae hij erop verrouw da de oeleverende parij haar afspraken nakom, me andere woorden, wa de russcore is voor de oeleverende parij. De gedache hieracher is da als een oeleverende parij in gebreke blijf, he gevolg hiervan zou kunnen zijn da ook de keenveranwoordelijke zelf nie langer in saa is zijn verplichingen na e komen, erwijl zijn klanen geen genoegen zullen nemen me een verwijzing naar de subleverancier. Een winkelier die geen gebruik kan maken van de chipkaar, is immers nie geholpen als de chipkaarexploian de veranwoordelijkheid voor een versoring neerleg bij de communicaieprovider. Indien de funcionaliei zeer belangrijk is of er onvoldoende verrouwen is in de oeleverancier, dan zal de keenveranwoordelijke zelf coningeniemaaregelen moeen nemen, zoals he afnemen van communicaiediensen bij een weede provider of he plaasen van mobiele chipkaarerminals als back-up. Zoals gezegd, om inzich e krijgen in de mae van conrol over de robuusheid van een ICT-keen kan de mehode van gescoop risicomanagemen (Joosen, 2010) worden gebruik. Hierbij worden de crieria ui figuur 3 beschouwd als verwachingen voor he robuusheidsgovernanceproces van de keenveranwoordelijke. Als de keenveranwoordelijke zijn eigen robuusheidsgovernanceproces regie doelselling vasgelegd de doelselling van robuusheid is eenduidig en op businessniveau vasgelegd afgebakend in omvang de (inerne) scope is behapbaar in omvang gemodulariseerd de robuusheid van de (inerne) scope is onder conrol keenregie veranwoordelijkheden rollen en veranwoordelijkheden voor he oegewezen realiseren van robuusheidsdoelsellingen zijn gedefinieerd en oegewezen (RACI) middelen beschikbaar de middelen en mogelijkheden om e suren op geseld robuusheid moeen aanwezig zijn uivoering vormgegeven de eisen aan de robuusheid van he proces zijn op SMART en consisene wijze doorveraald naar de eigen inerne omgeving en naar de subprocessen (subscopes) veranwoording afgelegd de veranwoordelijken leggen op reguliere basis veranwoording af over de realisaie van robuusheid keenafspraken (SLA s) robuusheidseisen in de (relevane) SLA s zijn zowel SMART opgenomen kwaniaieve robuusheidseisen als de bijbehorende conrolemaaregelen vasgelegd veranwoordelijkheden veranwoordelijkheden voor he realiseren van benoemd robuusheidsdoelsellingen bij oeleveranciers (subprocessen/subscopes) worden benoemd in de SLA s veranwoording afgelegd de veranwoordelijken leggen op reguliere basis veranwoording af over de realisaie van de robuusheid maaregelen echnisch risicoprofielen opgeseld he is bekend welke dreigingen er zijn voor de robuusheid van he proces maaregelen geroffen voor de relevane robuusheidsdreigingen is (op businessniveau) over maaregelen besloen en deze zijn op oereikendheid geoes besuurlijk keenbreed risicoanalyses over de gehele keen van he proces dienen de uigevoerd groose dreigingen, hun impac en maaregelen bekend e zijn en e worden afgesemd keenbreed risicomanagemenproces adequaa proces voor he regulier managen over de gehele keen van he proces dien een ingerich van risico s e zijn ingerich berouwbaarheid verrouwen er is verrouwen da de oeleveranciers de SMART gedefinieerde robuusheidsafspraken daadwerkelijk conform SLA realiseren oesing de SMART gedefinieerde robuusheidsafspraken me de oeleveranciers (subprocessen/ subscopes) kunnen objecief worden gemoniord en geoes Figuur 3. Crieria per caegorie 28

winkelier...chipkaar alijd werk...communicaie beschikbaar is...financiële ransacies snel en kordaa worden afgehandeld chipkaarexploian communicaieprovider financiële inselling Figuur 4. Verwachingen en verplichingen voor een chipkaarexploian beheer, zijn di dus verwachingen voor hemzelf (en daarmee dus ook verplichingen voor hemzelf). Prakisch gezien beeken di da de keenveranwoordelijke een risicomarix (zie Joosen, 2010) invul, zoals weergegeven in figuur 5. Deze marix beva een overzich van de verplichingen (kolom Verpliching[i]) en verwachingen (rij Verwaching[j]), gegroepeerd volgens de parijen egenover wie deze verplichingen en verwachingen gelden. Per verpliching O word de impac van he nie nakomen van deze verpliching weergegeven me de scores L, M en H in de kolom Impac[i]. In een cel geef de afhankelijkheidscoëfficiën aan in welke mae de verwaching (kolom) van belang is voor he waarmaken van de verpliching (rij). Verder geef de keenveranwoordelijke per verwaching E aan in hoeverre hij erop verrouw da de oeleverancier deze verwaching (die voor de oeleverancier een verpliching is) gaa nakomen. De figuur laa da zien door middel van de russcores L, M en H onder elke verwaching in de rij Trusscore[j]. Per verpliching word op basis van de afhankelijkheidscoëfficiënen en russcores de kans op he nie nakomen van deze verpliching berekend in ermen van de scores L, M en H, zie kolom Kans[i]. Nu kan per verpliching he risico worden berekend op basis van kans en impac. De figuur oon di me de scores L, M en H in de kolom Risico[i]. Indien een risico hoog uikom, heef de keenveranwoordelijke e weinig conrole en zal hij coningeniemaaregelen moeen nemen, bijvoorbeeld overgaan naar een berouwbaardere oeleverancier. Op deze manier kan dus nie alleen de mae waarin een keenveranwoordelijke conrole heef over de robuusheid van die keen worden vasgeseld, maar heef die keenveranwoordelijke meeen een insrumen in handen waarmee hij de (onaccepabel groe) risico s die hierui voorvloeien kan beheren en miigeren. jezelf een ander verpliching[i] O1 O2 impac[i] kans[i] H H M L risico[i] H L risico accepabel? E1 E2 E3 H M L ++ + +++ +++ verwaching[j] russcore[j] O3 L H M ++ +++ Figuur 5. Risicomarix vanui één scope 29

IT-audi & Conclusies We hebben een mehodiek voorgeseld om de kwaliei van he besuringsproces op robuusheid van specifieke ICT-keens e kunnen vassellen. He serke pun van deze mehodiek is da deze in de ICT-keen, da wil zeggen over de individuele schakels heen, gebruik kan worden. De mehodiek is schaalbaar en uibreidbaar. Ze geef de aspecen weer waar kwalieisrisico s gelopen worden, zowel inern binnen de individuele schakels als ussen de schakels (dus in de keen). Als zodanig kan de mehodiek evens als basis dienen voor een keenbreed risicomanagemenproces. Een groe meerwaarde van de mehodiek is daarbij da deze een acueel beeld geef van he werk da nog moe worden gedaan (en wie da moe doen) om de grip op de robuusheid van ICT-keens e verhogen, en he versrekken van acuele overzichen van deze werklas aan he managemen, zoda zij erop kunnen suren da di werk (uieindelijk) ook gebeur. Hoewel wij ervan overuigd zijn da deze mehodiek veel poenie heef, moe da nog wel in de prakijk worden beproefd. Daarom komen wij graag in conac me organisaies die samen me ons deze mehodiek voor hun (bedrijfs-) of keensiuaie verder willen beproeven en onwikkelen. Lierauur Bhaacharyya, S. e.a. (2003). Service Availabiliy in IP Neworks. Sprin ATL Research Repor RR03-ATL-071888. Bell Labs (2006). Bell Labs Technical Journal. Volume 11, Number 3. Special Issue: Reliabiliy. ENISA (2009). Nework Resilience and Securiy: Challenges and Measures. www.enisa.europa.eu/ac/res/providers-measures/files/vwg-challenges-and-measures. EU Direcorae General Informaion Sociey and Media (2007). Availabiliy and Robusness of Elecronic Communicaions Infrasrucures. DRAFT Final Repor January 2007. Joosen, R. (2010). Gescoop risico managemen. Informaiebeveiliging, okober 2010, pp. 12-17. ICTRegie (2010a). Towards Trusworhy ICT Service Chains (kruisbesuiving ussen IIP s SaaS en Viale ICT). Zie www. ic2030.nl/iip-cooperaion-challenge.hml. ICTRegie (2010b). Viale ICT (IIP). Zie www.ic2030.nl/ viale_ic.hml. Lilewood, B. & L. Srigini (2000). Sofware Reliabiliy and Dependabiliy: a Roadmap. ICSE 00 Proceedings of he Conference on The Fuure of Sofware Engineering, pp. 177-188. SERC (1996). Kwaliei van sofwareproduken: prakijkervaringen me een kwalieismodel. Den Haag: Sdu. Dr. ir. Harrie J.M. Basiaansen is consulan bij TNO op he gebied van enerprisearchiecuur en IT-besuring. E-mail: harrie.basiaansen@no.nl. Rieks Joosen is onderzoeker bij TNO en doe onderzoek naar mehoden voor governance, risicomanagemen en procesinriching, me een bijzondere focus op de geauomaiseerde onderseuning daarvoor. E-mail: rieks.joosen@no.nl. Dr. ir. Erik Meeuwissen is consulan bij TNO op he gebied van he beheersen van de performance van ICT-plaformen en de kwaliei van de diensen die hierover worden geleverd. E-mail: erik. meeuwissen@no.nl. Dr. Frank Roijers is consulan bij TNO op he gebied van performancemodellering en opimalisaie van ICT-sysemen. E-mail: frank. roijers@no.nl. 30

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback