Berenschot biedt gemeenten APK voor ICT

Adviesbureau gebruikt recherchekennis van Hoffmann in gezamenlijke keuring

Dit artikel delen:

Het Utrechtse adviesbureau Berenschot en be­drijfs­re­cher­che­bu­reau Hoffmann uit Almere bieden gemeenten een keuring aan om te bepalen welke ict-risico's zij lopen. Tijdens deze zogeheten ict-apk kijken de twee partijen naar de beschikbaarheid, juistheid en beveiliging van informatie op de gebieden mens, organisatie en techniek. De gemeente Almere is de eerste klant die zo'n algemene periodieke keuring (apk) heeft doorlopen.

De ict-apk is een gestandaardiseerd, symptomatisch onderzoek van circa twee weken. De apk beantwoordt vier hoofdvragen: zijn gegevens voldoende beschermd, is de gemeente bestand tegen ict-verstoringen, zijn de gegevens correct, en worden ict-faciliteiten misbruikt voor strafbare feiten? De gemeente Almere heeft inmiddels zo'n apk doorlopen. Daaruit bleek dat het beveiligingsbewustzijn bij medewerkers hoog was en er goede maatregelen getroffen waren om het bewust of onbewust lekken van informatie te voorkomen.

De bureaus stellen vast dat het voor gemeenten door de toenemende digitale dienstverlening steeds belangrijker wordt om te weten of zij voldoende controle hebben over hun informatievoorziening en ict. Beveiligingsincidenten, die de laatste jaren veel aan het licht komen, kunnen bijvoorbeeld zorgen voor financiële problemen en imagoschade. Maar ook het verstrekken van verouderde of verkeerde informatie aan burgers of raadsleden moet voorkomen worden.

Volgens Berenschot en Hoffmann ligt de kracht en de zwakte van een betrouwbare informatievoorziening in de combinatie van technische, organisatorische en menselijke aspecten. De zwakste schakel van deze mix bepaalt de mate robuustheid van de informatievoorziening. Door samen de ict-keuring aan te bieden kunnen alle aspecten worden getoetst, stellen beide partijen: mens (cultuur en gedrag), organisatie (beleid, procedures, gebouwbeveiliging) en techniek (firewalls, encryptie, beveiligingscertificaten).

Slager keurt eigen vlees

De Total Specific Solutions (TSS)-onderdelen Pinkroccade Local Government en KZA bieden sinds kort gemeenten ook al zo'n beveiligingsscan aan. Pinkroccade is een belangrijke ict-leverancier op de gemeentelijke ict-markt is. Het aanbieden van een beveiligingsscan heeft daardoor iets weg van de slager die zijn eigen vlees keurt, vindt Linda van Rens, senior adviseur van Berenschot. Zij noemt het daarom een goede zaak dat ook andere partijen zich met zo'n keuringsdienst op de markt begeven. Berenschot werkt als adviesbureau al zo'n 75 jaar voor landelijke en lokale overheden. Hoffmann is inmiddels vijftig jaar actief als fraudeonderzoeker en (informatie-)beveiliger.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Heel slim. Je zou bijna denken dat de huidige I(C)T-dienstenleveranciers dat al zouden doen.

Is iedereen nu Diginotar debacle vergeten? Diginotar was door een soortgelijk adviesbureau (PWC) gecontroleerd. Dat bureau had nagegaan of alle procedures beschreven en aanwezig waren op papier, hadden wat mensen geïnterviewd en een rapport geschreven - zoals dit soort adviesbureau's in regel werken. De daadwerkelijk software, de code, laat staan of de procedures uitgevoerd worden was niet gecontroleerd.

APK wordt in regel uitgevoerd door een goed opgeleide automonteur die daarnaast dagelijks auto's repareert. Om de metafoor van Beerenschot te gebruiken: als ik mijn auto bij garage Beerenschot laat controleren, wordt mij gevraagd hoe vaak ik olie ververs, of ik netjes rijdt en of ik weet wat bandenspanning is. Een rapportje wordt geschreven en mijn auto is weer APK goedgekeurd.

APK zou ook nog inhouden dat de activiteiten een bepaald, toetsbaar kwaliteitsniveau zou moeten hebben. Daar is hier geen sprake van. het komt meer over als BA'tje (Betaalde Aquistitie).

@Gerbrand
Als mede-bedenker van de ICT-APK wil ik graag nog iets toevoegen aan wat je schrijft. Je hebt gelijk dat wij ons oordeel deels baseren op verklaringen uit interviews. Mensen kunnen daarin een te positief beeld neerzetten van de werkelijkheid. Daarom is ons onderzoek niet alleen gebaseerd op een enkel interview, zoals dat wellicht bij de keuring van je auto wel gebeurt.
Wat we doen is:
1. We interviewen meerdere personen, zowel afkomstig uit de IT-kolom als uit de gebruikerskolom. Dat tezamen levert een zo compleet mogelijk beeld op. We vragen daarbij niet alleen naar goede intenties. We vragen ook door naar zaken waar die goede intenties uit blijken.
2. Het mooie van de ICT-APK is dat het een combinatie is van interviews en technische tests. Samen met onze partner Hoffmann nemen we na de interviews de proef op de som. We kijken wat we zoal aantreffen op de infrastructuur van de gemeente. Daarbij wordt er onder meer gezocht naar sporen van hacking of virussen, en naar zwakke plekken in de beveiliging. En natuurlijk wordt er ook geprobeerd hoe goed de beveiling daadwerkelijk is en kijken de cybercrimespecialisten of ze erin slagen om de beveiliging te breken.

Het zou te ver voeren om alle regels code van de gemeentelijke systemen te bekijken. In plaats daarvan kijken we dus naar de robuustheid van deze systemen en het samenspel van de systemen in de praktijk.

@itk
1. hoort bij het navragen ook de evaluatie van een global en detailed design en
2. de beheerprocedures en
3. de toegangscontrole, fysiek en logisch tot de infrastructuur.

wat dan betreft zijn documenten een meer stabiele basis dan personen, mits dit goed geborgd is en vooral blijft in de bedrijfsprocessen.

Zo ja dan klinkt dat veel beter dan de apk, want een apk zegt nauwelijks iets over de echte veiligheid (van een auto in een apk situatie)

ik ben benieuwd!

@Maarten
1: We gaan na in hoeverre informatiebeveiligingsoverwegingen een rol spelen bij het ontwikkelen of aankopen van software. We evalueren niet de ontwerpdocumenten van de software.
2: ja
3: ja

@Linda
Voor mijn interesse, gaan jullie ook in op de onderliggende communicatietoepassingen en de gebruikte communicatie-infrastructuur met de kwetsbaarheden die daar in zitten? De meeste zaken die fout gaan worden namelijk veroorzaakt doordat een netwerk of een communicatietoepassing een IT-systeem ongewenst toegankelijk maakt.

Het idee vind ik geweldig, maar de uitvoering ben ik zeer ongerust over.
Vooral deze zin "We vragen daarbij niet alleen naar goede intenties. We vragen ook door naar zaken waar die goede intenties uit blijken." Weer terug naar hoe een monteur bij een APK te werk gaat. Hij kijkt niet naar wat er goed is, hij zoekt alleen maar naar wat er fout is. Diginotar is daar een goed voorbeeld van, maar zo zijn er legio mislukte projecten. Een door de overheid aangestelde projectmanager, is bij voorbaat al verdacht. Projecten worden vaak tegen beter weten in overeind gehouden, door ontstane belangen en belangenverstrengeling en de projectmanager wil zijn project dus zijn baan niet kwijt. In de taxibranche speelt thans een mooi voorbeeld, daar is men al 8 jaar bezig een Boord Computer Taxi in te voeren, een zeer verouderd systeem. En de Minister en andere verantwoordelijken weigeren te kijken naar zeer moderne ict-oplossingen die de branche in de afgelopen jaren zelf heeft ontwikkeld. De ambtenaar weet het immer altijd beter. Maar in samenwerking met Hoffmann geloof ik wel dat Berenschot een goede APK zou kunnen uitvoeren.

Algemene Periodieke Keuring, ofwel APK word nu als naam voor een dienst gebruikt omdat iedereen de term kent en omdat het lekker "bekt". Toch vind ik het een beetje misleidend om een dienst een APK-keuring te noemen omdat de vergelijking mank gaat.

APK is een verplichte periodieke keuring, de essentie is dat als een object niet goedgekeurd wordt, dat het object NIET meer gebruikt mag worden en een sanctie.

Wat zijn de gevolgen als een klant niet door de APK keuring komt?

Het idee is niet nieuw om iets APK te noemen, maar ik vind er ook wel een ruw randje aanzitten om de term te gebruiken voor een dienst.

Aanvulling: Sanctie is uiteraard alleen als je niet door de APK komt en het object toch gebruikt op de openbare weg.

Aanvulling2: Is bij het blijken van ernstige gebreken ook sprake van gedeeltelijke aansprakelijkheid bij de personen die de controles hebben uitgevoerd?

APK is idd misleidend. Je kan het zelfs geen keuring noemen. Controle zou wel een juiste benaming zijn.
En zelfs al na een controle is gebleken dat er goed over veiligheid is nagedacht en daar ook naar gehandeld wordt is een gebruikersfout of software update al mogelijk aanleiding voor een datalek. Dus in die zin is het relatief naïef om te denken dat deze controle je vrijwaart van wat dan ook.

De vergelijking met de APK gaat idd zoals Henri zei al mank. Een auditor wil graag bewijzen op tafel zien die daadwerkelijk laten zien (omdat het als zodanig is vastgelegd in het verleden) hoe er met een regel/middel/instelling/ etc. is omgesprongen.
De APK is een voorbereiding op wat komen gaat voor de gemeente: de (wettelijk) vereiste beoordeling van de beveiliging door een register IT-auditor die een adequate scope hanteert. Daaronder vallen zowel beleids- als technische zaken, min of meer conform bovengenoemd door itk_12754 en Linda. Ik neem aan dat Berenschot en Hoffmann conform de Logius' normen hebben gehandeld?

De scope is erg belangrijk, zo blijkt ook uit de Diginotar-situatie. Zonder op de hoogte van details van dat specifieke geval wordt er in de Big5 auditpraktijk meestal vrij oppervlakkig gekeken op verzoek van de opdrachtgever (!) naar procedures en beleidszaken, zodat de opdrachtgever er goede sier mee kan maken. Een diepgaandere beoordeling lukt de Big5 wel, maar is veelal zo kostbaar dat de opdrachtgever afhaakt, omdat er (volgens de opdrachtgever) toch geen klant is die er naar vraagt. Hier ligt een taak voor klanten, die uiteraard ook niet gek zijn en zich realiseren dat het voor hen daardoor duurder wordt.

Hiermee een korte schets van het krachtenveld. Dat leidt tot organisatie-politieke standpunten die afhankelijk zijn van de persoon, het (afdelings)doel en het moment. En om dan te zeggen dat overheidsfunctionarissen bij voorbaat al verdacht zijn, getuigt van een complexere situatie dan alleen op grond van de vraagstelling kan worden vermoed.

Zet alle ict-mislukkingen eens op een rij en zoek de oorzaken van al deze mislukkingen. Open een aantal doofpotten en constateer de realiteit. Op elk ict-project of implementatie daarvan zit een projectmanager van de overheid, of door overheid aangesteld, het is wel hun project en dat gaan ze zelf niet afbranden. Dus luister vaker naar mensen die kritiek hebben, alle mensen die alleen maar hoera roepen, hebben vaak dubbele petten op, of kunnen niet meer terug. En of Berenschot/Hoffmann het nu wel of niet een APK mogen noemen doet niet ter zake, er moet iemand zijn die een einde maakt aan alle mislukkingen en dit lijkt mij een goed begin, mits goed uitgevoerd.

@ Linda van Rens: De TSS bedrijven KZA en Pinkroccade keuren niet de hun eigen vlees. Wat zij wel doen is in de keuken van het restaurant kijken of de maaltijd veilig bereid wordt. Waarbij de maaltijd niet alleen het vlees van de leverancier PinkRoccade is maar ook de aardappelen en de groente die bij de groenteboer gekocht zijn.

Samen met de klant bekijken we hoe ze hun producten veilig kunnen implementeren en gebruiken. We beoordelen in onze scan het gebruik van zowel onze eigen producten als die van andere dienstverleners. Daarnaast controleren we of de gebruikte systemen voldoen aan de wet- en regelgeving op het gebied van infomatiebeveiliging. We testen dan ook niet of de leverancier van de frontoffice, midoffice of backoffice veilige producten levert, maar of het gebruik op locatie bij de klant veilig en solide geïmplementeerd is.

Denk hierbij aan zaken als patchmanagement, releasemanagement, certificatenbeheer, accountbeheer. Deze (en andere) aspecten worden bij onze beveiligingsscan onderzocht. De uitkomsten van onze scan geven gemeenten aanknopingspunten om hun processen en beveiligingsprocedures waar nodig aan te scherpen en vergroten het beveiligingsbewustzijn van het management en beheerders.

Het keuren van ons eigen vlees (onze eigen softwareproducten)laten we uiteraard periodiek door andere (onafhankelijke) partijen uitvoeren.

Het geschetste beeld van de uitkomst herken ik niet. Wellicht zijn de afgenomen interviews niet representatief voor de organisatie.

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2012-05-03T09:39:00.000Z Rik Sanders
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.