Beveiligingseisen in de keten

Ja hoor, hier is hij weer: de keten is zo zwak als de zwakste schakel. Hoe vaak hebben we dat inmiddels niet genoemd? Misschien te vaak, maar toch geldt ook voor de eisen de we stellen aan beschikbaarheid, exclusiviteit en integriteit dat we over onze eigen grenzen heen moeten kijken om het goed te regelen.

Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit in de systeemketen (IV-keten) afgestemd?

Allemaal erg leuk en aardig als we ons huis op orde hebben, maar wat als de buren er een zooitje van maken? Hoe ziet de straat er dan uit? Juist. Intern mogen we dan hard werken aan verdere professionalisering van onze bedrijfsprocessen en informatiesystemen, maar deze staan veelal niet los van de systemen die leveranciers of andere interne afdelingen aanbieden. Heeft de leverancier zijn zaakje niet op orde dan ondervinden wij daar last van en als wij daar last van ondervinden dan ondervinden onze klanten daar nog meer last van. De vraag is zomaar wie dat wordt aangerekend? Weet de klant eigenlijk wel dat we dat systeem hebben uitbesteed of schaadt het juist ons imago als het fout gaat?

Meestal is het laatste het geval en voor de klant natuurlijk terecht. Die heeft immers helemaal niets te maken met jouw leveranciers. Nee, hij of zij wil gewoon een dienst geleverd krijgen, daarvoor wordt goed geld betaald en jij moet er maar voor zorgen dat de keten werkt.

Stel je koopt een paar gloednieuwe schoenen bij de schoenwinkel. Je kiest voor kwaliteit en die kwaliteit heeft uiteraard een prijs. Na 2 dagen zit er al een gat in je zool en je gaat terug naar de schoenwinkel. De schoenwinkel kan natuurlijk zeggen dat het aan de fabrikant ligt, maar daar heb jij geen boodschap aan. Nee, de schoenwinkel moet gewoon een nieuw paar leveren en gaat maar lekker zelf in conclaaf met de fabrikant of importeur. Zo ook voor informatiesystemen. Als consument koop ik een dienst, daar betaal ik voor en of je leverancier het nu goed doet of niet, ik wil gewoon gebruik maken van die dienst en daar heb jij voor te zorgen.

Leuk dus dat wij allemaal eisen stellen aan de beschikbaarheid, exclusiviteit en integriteit van de informatie. Maar als de keten inderdaad zo zwak is als de zwakste schakel dan zullen we in overleg moeten met die zwakste schakel. Kan hij voldoen aan onze eisen? Moeten we aanvullende maatregelen nemen? Of moeten we accepteren dat we de eisen naar beneden toe bijstellen?

Leuk dat we een eis stellen van 99,9% beschikbaarheid voor een applicatie, maar als die applicatie gebruik maakt van het internet…welke beschikbaarheid is gegarandeerd door onze internetprovider? Als we voor ons netwerk een garantie afgeven van 95%, kunnen we dan voor afzonderlijke applicaties 99,9% garanderen?

Hier is een waarschuwing op zijn plaats. Er worden hoge percentages geroepen naar de klant toe (en daar betaald de klant grof voor), maar wat houdt dat percentage precies in? Of anders gezegd: wat is de scope? Het kan zijn dat er voor een applicatie bijvoorbeeld 99,9% wordt afgegeven maar dat het netwerk buiten de scope valt. Als je niet oplet betaal je kapitalen terwijl de end-to-end beschikbaarheid eigenlijk niet gegarandeerd kan worden. Leuk dat die applicatie gewoon doordraait (in het rekencentrum) als het internet een storing geeft, maar op afstand kunnen wij ons werk niet doen omdat de applicatie niet benaderbaar is, en daar ging het nu toch juist om?

Nee, ook bij het stellen van eisen aan de beschikbaarheid, exclusiviteit en integriteit moeten we goed kijken dat het geen wassen neus wordt en dat we niet teveel betalen. Als de zwakste schakel “slechts” 90% kan garanderen dan moeten we geen 99,9% aan de klant verkopen…tenminste als we integer willen zijn. Bij het stellen van de eisen moeten we dus een goede analyse loslaten op de keten, willen we de eisen naar boven toe bijstellen dan zal dat doorgevoerd moeten worden in die gehele keten. De dooddoener blijkt maar weer eens waar te zijn: de keten is zo zwak als de zwakste schakel.