Multi-sourcing vergroot complexiteit security management

De wereld om ons heen is constant aan het veranderen: de globalisering zet door, eco-sociale betrokkenheid groeit, de demografie veranderd, individualisering versneld en technologie is alom aanwezig. Dit heeft een impact op consumenten, werknemers en bedrijven. Zo ook is er een verschuiving waarneembaar op het gebied van ICT dienstverlening; van in huis ICT naar outsourcing, en van outsourcing naar multi-sourcing, eventueel in combinatie met Software as a Service (SaaS) diensten.

In het kort komt multi-sourcing neer op het inzetten van meerdere leveranciers voor het verlenen van diverse diensten voornamelijk op het gebied van IT operations. Hier zijn duidelijk voorbeelden te benoemen en te behalen op het gebied van bijvoorbeeld kosten en kwaliteit voor organisaties. Hier schuilen echter ook gevaren vanwege de grote mate van (nieuwe) complexiteit.

Organisaties staan voor meerdere uitdagingen bij het vinden van de juiste partijen voor het servicen (van delen) van hun IT operations. Dit kunnen bijvoorbeeld het datacenter zijn, het netwerk, applicaties of zakelijke processen. Hiernaast is het aantal partijen ook een belangrijk vraagstuk aangezien dat ook niet te groot mag worden. Anders wordt het behouden van controle over het geheel een onmogelijke opgave. De kern boodschap is coördinatie want multi-sourcing creëert complexiteit voor zowel de eigen organisatie als die van de ICT-dienstverlener. Organisaties met een sterke IT governance cultuur hebben hier een voordeel ten opzichte van andere organisaties. Daar IT governance een potentiële oplossing biedt in het matchen van technologie, kosten, effectiviteit en strategie van de business. Typische vragen die naar boven komen bij multi-sourcing zijn bijvoorbeeld: Hoe kunnen organisaties zorgdragen dat meerdere dienstverleners een naadloos geïntegreerde dienst gaan leveren en daarbij de onderlinge afhankelijkheden erkennen? En wat gebeurt er als men van provider veranderd omdat de performance niet goed is? Hoe zit het met de beveiliging en wie is aansprakelijk?

Bij multi-sourcing in combinatie met SaaS dienstverlening wordt zo mogelijk de complexiteit nog groter. Dit omdat SaaS diensten in veel gevallen aangeboden worden op basis van één specifiek inrichtingsmodel, zodat deze “multi-tennant” is. Dit betekent dat de aanbieder bij het ontwerpen van de dienst goed nagedacht moet hebben over onder andere de verschillende afnemers-groepen (financieel, overheid, gezondheidszorg), hun geografische bereik en relevante wet- en regelgeving in de desbetreffende landen en sectoren. En niet te vergeten aan de algehele beveiliging, integratie en/of instellingsmogelijkheden van de dienst. Aan de andere kant dienen organisaties een goed beeld te hebben van hun beveiligingsbeleid, standaarden en procedures, zodat zij inzichtelijk hebben aan welke eisen een ICT-dienstverlener en de te leveren dienst dient te voldoen. Want alhoewel een organisatie de uitvoering niet meer in eigen hand heeft, draagt zij wel de coördinerende rol en blijft zij eindverantwoordelijk. Voor een goede match tussen de partijen dienen de geïmplementeerde beveiligingsmaatregelen van dienst en ICT-dienstverlener ondersteunend te zijn aan het beleid van de organisatie. Wat zijn de mogelijkheden indien de beveiliging niet voldoet aan het beleid? Wat voor mogelijkheden worden geboden in geval van incidenten? Wat zijn de forensische mogelijkheden? Uit welk land wordt de dienst fysiek geleverd? Waar wordt de data opgeslagen en gearchiveerd? Hoe is de integriteit van data en privacy gegarandeerd?

Bekende voorbeelden van SaaS dienstverlening zijn collaboratie portals, kantoor-applicaties zoals tekst-verwerking, e-mail, communicatie, en online opslag/back-up. Vaak worden deze diensten bij een best-of-breed service provider afgenomen wat resulteert in diensten silo’s geleverd door verschillende service providers ieder met hun eigen rapportage standaard. Om de organisatie een totaalbeeld te geven van haar actuele beveiligingssituatie zou samenwerking tussen de verschillende service providers zijn aan te bevelen daar waar het gaat om het adopteren van een standaard wijze van alerting rondom events, bedreigingen en incidenten, maar ook rondom remediation. Het ontwikkelen van rapportage standaarden zou het ontwikkelen/definiëren en ontsluiten van data ten behoeve van een geïntegreerde rapportage en/of dashboard over alle onderwerpen, diensten en providers sterk vereenvoudigen en organisaties een totaalbeeld aangaande hun beveiligingsituatie geven. Dit zijn slechts enkele van vele vragen waar een antwoord op gegeven dient te worden voordat men de diverse diensten kan gaan afnemen van verschillende leveranciers, functionaliteit kan ontsluiten voor de medewerker en het security management effectief kan uitvoeren waarbij mens, proces en technologie effectief afgestemd zijn op elkaar. Het mag duidelijk zijn; ten aanzien van security vormt multi-sourcing een additionele bron van complexiteit.

Op basis van bovenstaande stelling in combinatie met de toelichting zou ik graag een discussie opstarten over dit onderwerp. Ik ben benieuwd naar uw mening. Is deze situatie herkenbaar voor u?  Wat voor mogelijke oplossingen zijn er volgens u?