Het Initiative for Software Compliance (ISC) werd enige tijd geleden opgericht als een non-profit organisatie. Doel was het scheppen van standaarden om grote bedrijven door te lichten op het gebied van de legaliteit van hun software – met ander woorden: zijn alle licentiekosten betaald?!
De ISC-standaard werd toegepast door specialistische auditors, en problemen werden door de juiste systeemhuizen verholpen. Uitgangspunt hierbij was of wettelijk werd voldaan aan softwarelicenties. De zeer actieve Business Software Alliance (BSA), een instelling die is gesticht door de software-industrie, heeft ontdekt dat een aantal vooraanstaande bedrijven veel te weinig licentiekosten betaalde. Het is een algemene misvatting dat ‘diefstal’ van sofware het exclusieve domein is van Aziatische piraten. De problemen binnen ondernemingen ontstaan niet door het opzettelijk kopiëren van software om niet te hoeven betalen, maar door ongecontroleerde verspreiding. Desalniettemin zijn de bestuurders van deze bedrijven verantwoordelijk en kunnen de gevolgen voor hen ernstig zijn. Onwetendheid is geen excuus!
Al snel werd duidelijk dat de softwarelicentie niet de enige wettelijke eis is waaraan moet worden voldaan. Instemming met de Data Protection Act stond hoog op de agenda – een samengesteld probleem als gevolg van de verschillende wetsdetails in diverse landen – maar ook de controle op correcte procedures bij computermisbruik.
Computermisbruik is lange tijd een issue geweest, maar heeft sinds kort aan belang gewonnen door de impact van internet en e-mail. Waar het allereerst de doelstelling van het ISC was om te testen of werd voldaan aan externe wettelijke eisen, bestaat nu de behoefte om elke standaard te testen die een bedrijf – ook aan zijn eigen personeel – wil opleggen.
Omdat de behoefte bestond om de scope van de wettelijke eisen te verbreden, heeft ISC zijn naam (niet zijn initialen) veranderd in Information Security Compliance. ISC biedt een omvangrijk ‘compliance’-programma. Het copyright-gedeelte is nu geïncorporeerd in de Britse standaard voor informatiebeveiliging, BS7799. Er zijn soortgelijke ontwikkelingen in de meeste landen, maar verschillen per land leveren ernstige problemen voor multinationals. Een aantal instellingen probeert een Europese standaard te vestigen, maar dat is een zware opgave.
Een audit volgens de ISC-standaard kan tussen de 40.000 en 160.000 gulden kosten, afhankelijk van de grootte van het bedrijf. Een dergelijke investering heeft zin voor grote bedrijven, gegeven de problemen die illegale praktijken met name de bestuurders kunnen opleveren.
Voldoen aan wettelijke eisen is niet voorbehouden aan grote bedrijven, het is op iedereen van toepassing! Waarschijnlijk bestaat zo’n 50 procent van de software op de thuis-pc’s uit illegale kopieën. Het is praktisch onmogelijk om dit te controleren, behalve door het stellen van enkele individuele voorbeelden. Er zijn echter veel bedrijven die in grootte variëren tussen een eenmansbedrijf en een gigantische onderneming: het midden- en kleinbedrijf. Zij zullen (en kunnen waarschijnlijk) niet de kosten betalen van een volledige audit, maar zij kunnen evengoed bezoek krijgen van de BSA of een dergelijke organisatie. De ISC heeft meerdere pogingen ondernomen om haar programma voor grote ondernemingen uit te breiden met een oplossing voor het mkb, maar die hadden weinig succes. Ze is tot de conclusie gekomen dat een beoordeling door het bedrijf zelf het enige praktische antwoord is. De mogelijkheden van internet kunnen ook helpen om de benodigde softwaretools bij het mkb te krijgen. Zo heeft de ISC een computerprogramma ontwikkeld dat vragen stelt om gegevens over een bedrijf te krijgen, waaruit de wettelijke eisen zijn in te schatten. Ook wordt duidelijk wat het bedrijf werkelijk doet. Uit die gegevens is de (eventuele) behoefte af te leiden om zaken te veranderen. Het computerprogramma maakt het noodzakelijke aanbevelingsrapport, maar doet uiteraard niets om de aanbevelingen in de praktijk uit te voeren! De verantwoordelijkheid om aan de wettelijke eisen te voldoen berust geheel bij het bedrijf.
De grote variëteit in bedrijfsgrootte binnen het mkb blijft een probleem. Sommige bedrijven met een grote omzet hebben wellicht minder behoefte aan it dan kleinere bedrijven. Welke bedrijven genoeg hebben aan het goedkopere zelfhulpsysteem en welke bedrijven specialistische auditors moeten inschakelen, hangt af van specifieke omstandigheden en van de beschikbaarheid van de juiste interne middelen. Op basis van eerdere ervaringen staat de ISC op het standpunt dat de prijs van een audit onderhandelbaar is, maar dat het downloaden van een zelfhulpprogramma van internet tegen een vastgesteld bedrag moet geschieden, onafhankelijk van de grootte van het bedrijf.
Voor algemene informatie kan men terecht bij http://www.isc.org.uk. Voor het mkb is http://www.itlegal.co.uk een interessante site. Laat niemand de problemen negeren!
Martin Healey, pionier ontwikkeling van op Intel gebaseerde computers en c/s-architectuur. Directeur van een aantal it-bedrijven en professor aan de Universiteit van Wales.
