Risicoclassificatie voor software
Er bestaan allerlei soorten risico’s. Als het gaat over objecten (huis, auto etc.), dan worden de risico’s gedekt door de vele soorten verzekeringen. Risico’s zijn bij objecten gemakkelijk te identificeren, omdat objecten zichtbaar en tastbaar zijn. Bij abstracte en complexe producten zoals software (niet zichtbaar) ligt dat veel moeilijker. Toch zijn er wel aanknopingspunten om na te denken over de risico’s van software. Zo heb je de drie basisaspecten van informatiebeveiliging te weten beschikbaarheid (continuïteit), integriteit en vertrouwelijkheid (exclusiviteit). Deze basisaspecten omvatten drie heel verschillende onderwerpen, met ieder hun eigen risico’s en sterk uiteenlopende groepen betrokkenen die hun eigen belangen willen bewaken. De theorie luidt dat er beleidsmaatregelen voor die verschillende onderwerpen moeten worden ontwikkeld. Maar wat betekent dat in de praktijk voor de risico’s van software en wat kosten praktische en effectieve maatregelen in dat kader? De softwarebranche kan zelf voor de integriteit (testen) en vertrouwelijkheid (hacken) de benodigde maatregelen treffen, maar niet voor wat betreft de beschikbaarheid. Daar zijn TTP’s (Trusted Third Party’s) voor nodig, zoals de IT-notaris.
Voor software moet eerst een risicoclassificatie komen uit diepgaande kennis van het product en opgebouwde ervaring. Software Borg Stichting (de centrale organisatie voor IT-notarissen) heeft een norm ontwikkeld die de benodigde risicoclassificatie voor software op systematische wijze kan bepalen. Die norm kent de volgende kwaliteitskenmerken:
1 Rechtszekerheid
2 Zekerheid informatietechnologie
3 Bijdrage aan informatiebeveiliging
4 Kwaliteit uitvoerders
5 Nazorg
Deze norm is belangrijk met het oog op een gedegen beoordeling voor beschikbaarheidsregelingen.
Voorts is kennis en ervaring met de levensloop van software van groot belang. Dit moet vooral gezien worden in samenhang met het auteursrecht dat op software rust. Het gebruik en de toepassing van het auteursrecht kent risico’s. Een zwaar onderschatte factor in de risicoclassificatie is de factor tijd. De uitval van informatiesystemen kan al op zeer korte termijn (soms binnen een dag) tot ernstige en onherstelbare (reputatie)schade leiden. Waarom kunnen informatiesystemen en de daarin opgenomen software uitvallen? Vroeger werd vooral het faillissement van de softwareleverancier genoemd. Op grond van opgebouwde kennis en ervaring weten we tegenwoordig dat informatiesystemen ook al onbruikbaar kunnen worden doordat noodzakelijke aanpassingen in de informatiesystemen (bijvoorbeeld vanwege wijzigingen in wet- en regelgeving) niet zijn doorgevoerd.
Het is in het kader van deze column niet goed mogelijk om alle bekende risicofactoren van een risicoclassificatie uitgebreid te bespreken. Enkele belangrijke aanwijzingen kunnen wel gegeven worden:
• Is er sprake van standaard software?
• Of is de software in dit informatiesysteem maatwerk?
• Is er afhankelijkheid voor de bedrijfsvoering van deze software?
• Is er een groot verschil in de omvang van ondernemingen van de softwareleverancier/-ontwikkelaar en de softwaregebruiker?
• Is de software goed gedocumenteerd?
• Is de documentatie van de software beschikbaar?
• Wordt de software geleverd als Software-as-a-Service (SaaS)?
Tenslotte is een belangrijke vraag wat de te nemen maatregelen aan kosten met zich mee brengen. Voor het afdekken van de risico’s van beschikbaarheid van de software valt dat in vergelijking met de risico’s van vertrouwelijkheid erg mee. Dat komt onder meer doordat, zeker bij standaard software, er meerdere en soms zelfs veel belanghebbenden zijn bij goede beschikbaarheidsmaatregelen, die op alle bovengenoemde vijf kwaliteitskenmerken zijn gebaseerd. Er is dus een collectief belang van de softwaregebruikers/licentienemers en daardoor kunnen de kosten worden omgeslagen over alle belanghebbenden. Dat is een groot verschil met maatregelen op het gebied van vertrouwelijkheid.
Een ander belangrijk punt is natuurlijk wat een maatregel moet bereiken. Wil je iets echt verzekeren, dus ook het financiële risico afgedekt hebben, of wil je vooral zorgen dat de uitval van het informatiesysteem tot het uiterste beperkt blijft. Dit laatste is natuurlijk een veel aantrekkelijkere optie. Je bespaart hiermee namelijk kosten doordat er geen onbenut vermogen wordt opgebouwd waar niets mee gebeurt. En ook bijkomende schade van uitval voor het informatiesysteem blijft zo beperkt.
Een goede voorbereiding op een mogelijke uitval van je informatiesysteem bereik je enkel met de juiste maatregelen. Hierdoor beperk je onnodige (financiële én beschikbaarheids-) risico’s en zorg je voor een herstelvermogen in je organisatie. Met herstelvermogen wordt bedoeld dat je organisatie in staat is om de functionaliteit van haar informatiesysteem weer beschikbaar te maken en te houden.
Samenvattend stel ik dat het relatief weinig kost om de beschikbaarheid van je informatiesysteem onder alle omstandigheden veilig te stellen. Zeker als daar standaard software in zit. In dat geval kan een omslagstelsel worden toegepast dat de kosten minimaliseert. Het draait vooral om de vraag of je het herstelvermogen van je informatiesysteem op orde hebt. De beschikbaarheid van de broncode is daar de eerste voorwaarde voor. Met een goede regeling daarvoor doe je als softwaregebruiker/licentienemer ook nog eens een hele belangrijke bijvangst, zie de kwaliteitskenmerken hierboven. Bovendien lever je een stevige bijdrage aan compliance; een voorwaarde om te voldoen aan wet- en regelgeving.
Henri Hensen