Skip to main content

Redactioneel

Het voorliggende nummer van Compact verschijnt later dan gepland. De politiek heeft een spaak in het wiel gestoken. Dat vraagt om een toelichting.

Voorzien was het derde nummer van 2000 geheel te wijden aan de Wet bescherming persoonsgegevens. Echter, behandeling in de Eerste Kamer heeft voor het zomerreces niet tot resultaat gehad dat goedkeuring aan het ontwerp van de wet werd gegeven. De verwachte ingangsdatum van 1 juli jl. is daardoor niet gehaald. De redactie betreurt het dat niet op tijd een ander – derde – nummer kon worden opgeleverd.

Dit nummer van Compact is geheel gewijd aan enkele aspecten die betrekking hebben op het management van informatie- en communicatietechnologie. En in het bijzonder enkele controlaspecten, dat wil zeggen beheersaspecten ervan.

Als eerste constateren de auteurs De Boer en Van Sommeren in het artikel ‘Corporate Governance: de relatie naar ICT’ dat er een grote belangstelling is voor Corporate Governance, maar dat de besturing en beheersing van ICT daarvan nog geen deel uitmaakt. Dat dit op zijn minst opmerkelijk is, behoeft binnen de lezerskring van Compact nauwelijks betoog. Het besturen en beheersen van een organisatie kan niet meer los worden gezien van het besturen en beheersen van ICT. ICT is allang niet meer volgend of ondersteunend, maar beïnvloedt in vele gevallen rechtstreeks de strategie van een organisatie en daarmee de besturing en beheersing. De Boer en Van Sommeren ontleden in hun bijdrage de relatie tussen Corporate en ICT Governance en geven inzicht in het meten van de besturing en beheersing van ICT. Dit artikel breekt een lans voor verdere integratie en kan worden beschouwd al een belangrijke aanzet om zover te komen.

De auteur Spaans heeft in een zeer uitgebreid artikel onder de kop ‘Testen gezien vanuit Information Risk Management-perspectief’ een belangrijke bijdrage geleverd om testen weer eens uitdrukkelijk op de agenda van ICT-management te plaatsen. Hij gaat daarbij diepgaand in op de mogelijkheden en onmogelijkheden van testen, de verschillende soorten tests, de rollen van alle betrokkenen en de rapportages die daarover dienen plaats te vinden. Vanzelfsprekend wordt de rol van de IRM-consultant daarbij niet uit het oog verloren.

Het behoeft geen toelichting dat één van de belangrijkste maatregelen in het kader van een adequate beheersing van change en problem management het testen betreft. Immers, de verantwoordelijke eindgebruiker dient een cruciale rol te spelen in alle testinspanningen, opdat deze uiteindelijk zeker zal weten dat de door hem aangeboden te bouwen functionaliteit ook daadwerkelijk in de nieuwe dan wel gewijzigde systemen is geïmplementeerd. Deze eindgebruiker zal overigens veelal afhankelijk zijn van meerdere algemene maatregelen getroffen in de ICT-organisatie om ervan zeker te kunnen zijn dat de door hem geaccepteerde programmatuur daadwerkelijk operationeel is geworden en ongewijzigd operationeel is gebleven.

Ook het artikel van de auteurs Daanen en Koning behandelt een voor het beheersen van de ICT-activiteiten belangwekkend onderwerp. Onder de titel ‘Uitbesteden vraagt om volwassen partijen’ gaan zij in op stappen die dienen te worden gezet wanneer organisaties overwegen de gehele ICT-inspanning dan wel delen daarvan uit te besteden. En zoals de auteurs aangeven kan dit slechts geschieden door volwassen partijen. Met het uitbesteden van (delen van) de ICT-activiteiten raakt de organisatie haar eindverantwoordelijkheid niet kwijt. Zij blijft dus verantwoordelijk voor het geheel, waarbij het niet uitmaakt of delen daarvan in een andere organisatie worden uitgevoerd.

Waar leveranciers van standaardpakketten er reeds jaren naar streven hun pakket te laten voorzien van een oordeel van een extern deskundige, in casu de IRM-specialist/ICT-auditor, is er in de afgelopen jaren een tendens waarneembaar waarbij ook leveranciers van computerdiensten, ASP’s en anderen zo’n certificaat willen bemachtigen om daarmee aan gebruikers en potentiële gebruikers te kunnen tonen dat door hen een adequaat stelsel van algemene maatregelen van interne controle en beveiliging is getroffen. De auteurs Hoogendoorn en Van Gogh borduren op deze problematiek verder door in hun artikel onder de titel ‘Beveiliging en service level agreements’ aan te geven dat afspraken ter zake van de uitbesteding niet slechts dienen te worden gemaakt, maar ook goed dienen te worden vastgelegd en uiteraard voorzien van een controlemechanisme. Het is tenslotte van belang dat de afnemer van de uitbestede diensten bij voortduring kan vaststellen dat de leverancier aan zijn verplichtingen blijft voldoen. En niet slechts blijft voldoen doch ook proactieve acties onderneemt om beschikbaarheid, integriteit en betrouwbaarheid van de dienstverlening in continuïteit te kunnen waarborgen. Het stiefkind bij uitbesteding is veelal de beveiliging. Vandaar dat de auteurs nadrukkelijk aandacht besteden aan de beveiligingsaspecten die een rol spelen bij uitbesteding. Hun zorg is – terecht – dat aan deze aspecten te weinig dan wel in het geheel geen aandacht wordt geschonken. En waar dat wel gebeurt in een te laat stadium.

Nu de zomervakanties 2000 weer ten einde zijn, de vakantiepost is opgeruimd en de dagelijkse zorgen het management nog niet volledig opslokken, biedt dit nummer van Compact de lezer genoeg inspiratie om zaken wellicht eens anders te benaderen of aan te pakken.

Prof. A.W. Neisingh RE RA