Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Security als onderdeel van aanbestedingen

18 oktober 2011 - 11:15OpinieSecurity & Awareness
Jan van der Sluis
Jan van der Sluis

Is security in een it-project de (gedeelde) verantwoordelijkheid van de leverancier, of moet dit een apart hoofdstuk worden in een aanbesteding?

De afgelopen week heb ik een gezonde en opbouwende discussie meegemaakt over het inbedden van security in – complexe – it-aanbestedingen. De discussie is zeer relevant, omdat er steeds meer security incidenten plaatsvinden (of gemeld worden) die al dan niet gerelateerd zijn aan informatie technologie en organisatie. Denk bijvoorbeeld maar aan het vroegtijdig uitlekken van de miljoenennota, het publiek worden van gebruikersgegevens (Sony) en het gedoe rond Diginotar.

De toeleverende industrie, van data, applicaties, systemen en consultancy, heeft hiervoor een ‘rule of thumb’ beschikbaar: ongeveer 7 tot 12 procent van het beschikbare it-budget zou gereserveerd moeten worden voor security. De afnemers – overheid en bedrijven – hebben echter een ander idee hiervan. Gangbaar is de gedachte dat dit een (mede-) verantwoordelijkheid is van de leveranciers. Zij moeten er immers voor zorgen dat de systemen die worden opgeleverd een minimaal beveiligingsniveau hanteren en de afnemer behoeden voor toekomstige incidenten.

Er wordt, volgens mij, even voorbij gegaan aan de inspanningen die een leverancier zich hiervoor moet getroosten. Immers, zoals bij de postbezorging de meeste kosten in de laatste kilometer zitten, geldt ook hier dat bij een functioneel opgeleverd systeem, er uitgebreide (penetratie, data security, netwerk) testen moeten uitwijzen of het systeem al dan niet de security toets kan doorstaan.

Daarnaast zijn er vaak meerdere leveranciers betrokken bij een project. Dit houdt natuurlijk in dat de afstemming van de security eisen in het project gemanaged moet worden. En daarna moet het systeem gedurende enige tijd worden blootgesteld aan de boze buitenwereld, inclusief hackers. Pas dan kunnen we goed slapen als er een nieuw systeem, of een nieuwe release, in gebruik wordt genomen.

Wordt het nu eens tijd dat meer leveranciers en afnemers hierover in discussie gaan? Goed voorbeeld doet goed volgen.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Computable.nl
    ActueelSecurity & Awareness

    Wereld geeft 25,7 miljard euro uit aan security

    Eén reactie op “Security als onderdeel van aanbestedingen”

    1. troelofs schreef:
      25 november 2011 om 13:30

      Het antwoord op de vraag of security deel moet uitmaken van een IT aanbesteding of juist gezien moet worden als een losstaand project hangt af van de betreffende aanbesteding. Er zijn aanbestedingen waarbij security componenten niet los gezien kunnen worden van het ontwerp en daarom deel moeten uitmaken van het geheel. Een voorbeeld daarvan is een nieuwe applicatie voor burgers waarmee zij online hun overheidszaken kunnen regelen. In zo’n geval kan en moet de webapplicatie firewall onderdeel uitmaken van de aanbesteding. Wanneer het echter gaat om strategische projecten zoals het beveiligen en stabiliseren van grote delen van het overheidsnetwerk wordt het een ander verhaal. De focus ligt daarbij op security, waardoor het een opzichzelfstaande aanbesteding wordt.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs