De wereld om ons heen is constant aan het veranderen: de globalisering zet door, eco-sociale betrokkenheid groeit, de demografie veranderd, individualisering versneld en technologie is alom aanwezig. Dit heeft een impact op consumenten, werknemers en bedrijven. Zo ook is er een verschuiving waarneembaar op het gebied van ICT dienstverlening; van in huis ICT naar outsourcing, en van outsourcing naar multi-sourcing, eventueel in combinatie met Software as a Service (SaaS) diensten.
In het kort komt multi-sourcing neer op het inzetten van meerdere leveranciers voor het verlenen van diverse diensten voornamelijk op het gebied van IT operations. Hier zijn duidelijk voorbeelden te benoemen en te behalen op het gebied van bijvoorbeeld kosten en kwaliteit voor organisaties. Hier schuilen echter ook gevaren vanwege de grote mate van (nieuwe) complexiteit.
Organisaties staan voor meerdere uitdagingen bij het vinden van de juiste partijen voor het servicen (van delen) van hun IT operations. Dit kunnen bijvoorbeeld het datacenter zijn, het netwerk, applicaties of zakelijke processen. Hiernaast is het aantal partijen ook een belangrijk vraagstuk aangezien dat ook niet te groot mag worden. Anders wordt het behouden van controle over het geheel een onmogelijke opgave. De kern boodschap is coördinatie want multi-sourcing creëert complexiteit voor zowel de eigen organisatie als die van de ICT-dienstverlener. Organisaties met een sterke IT governance cultuur hebben hier een voordeel ten opzichte van andere organisaties. Daar IT governance een potentiële oplossing biedt in het matchen van technologie, kosten, effectiviteit en strategie van de business. Typische vragen die naar boven komen bij multi-sourcing zijn bijvoorbeeld: Hoe kunnen organisaties zorgdragen dat meerdere dienstverleners een naadloos geïntegreerde dienst gaan leveren en daarbij de onderlinge afhankelijkheden erkennen? En wat gebeurt er als men van provider veranderd omdat de performance niet goed is? Hoe zit het met de beveiliging en wie is aansprakelijk?
Bij multi-sourcing in combinatie met SaaS dienstverlening wordt zo mogelijk de complexiteit nog groter. Dit omdat SaaS diensten in veel gevallen aangeboden worden op basis van één specifiek inrichtingsmodel, zodat deze “multi-tennant” is. Dit betekent dat de aanbieder bij het ontwerpen van de dienst goed nagedacht moet hebben over onder andere de verschillende afnemers-groepen (financieel, overheid, gezondheidszorg), hun geografische bereik en relevante wet- en regelgeving in de desbetreffende landen en sectoren. En niet te vergeten aan de algehele beveiliging, integratie en/of instellingsmogelijkheden van de dienst. Aan de andere kant dienen organisaties een goed beeld te hebben van hun beveiligingsbeleid, standaarden en procedures, zodat zij inzichtelijk hebben aan welke eisen een ICT-dienstverlener en de te leveren dienst dient te voldoen. Want alhoewel een organisatie de uitvoering niet meer in eigen hand heeft, draagt zij wel de coördinerende rol en blijft zij eindverantwoordelijk. Voor een goede match tussen de partijen dienen de geïmplementeerde beveiligingsmaatregelen van dienst en ICT-dienstverlener ondersteunend te zijn aan het beleid van de organisatie. Wat zijn de mogelijkheden indien de beveiliging niet voldoet aan het beleid? Wat voor mogelijkheden worden geboden in geval van incidenten? Wat zijn de forensische mogelijkheden? Uit welk land wordt de dienst fysiek geleverd? Waar wordt de data opgeslagen en gearchiveerd? Hoe is de integriteit van data en privacy gegarandeerd?
Bekende voorbeelden van SaaS dienstverlening zijn collaboratie portals, kantoor-applicaties zoals tekst-verwerking, e-mail, communicatie, en online opslag/back-up. Vaak worden deze diensten bij een best-of-breed service provider afgenomen wat resulteert in diensten silo’s geleverd door verschillende service providers ieder met hun eigen rapportage standaard. Om de organisatie een totaalbeeld te geven van haar actuele beveiligingssituatie zou samenwerking tussen de verschillende service providers zijn aan te bevelen daar waar het gaat om het adopteren van een standaard wijze van alerting rondom events, bedreigingen en incidenten, maar ook rondom remediation. Het ontwikkelen van rapportage standaarden zou het ontwikkelen/definiëren en ontsluiten van data ten behoeve van een geïntegreerde rapportage en/of dashboard over alle onderwerpen, diensten en providers sterk vereenvoudigen en organisaties een totaalbeeld aangaande hun beveiligingsituatie geven. Dit zijn slechts enkele van vele vragen waar een antwoord op gegeven dient te worden voordat men de diverse diensten kan gaan afnemen van verschillende leveranciers, functionaliteit kan ontsluiten voor de medewerker en het security management effectief kan uitvoeren waarbij mens, proces en technologie effectief afgestemd zijn op elkaar. Het mag duidelijk zijn; ten aanzien van security vormt multi-sourcing een additionele bron van complexiteit.
Op basis van bovenstaande stelling in combinatie met de toelichting zou ik graag een discussie opstarten over dit onderwerp. Ik ben benieuwd naar uw mening. Is deze situatie herkenbaar voor u? Wat voor mogelijke oplossingen zijn er volgens u?
De aangedragen issues met betrekking tot Multi-sourcing zijn deels relevant, maar gaan echter voorbij aan de oorzaak van Multi-sourcing: Kwaliteit van de “One stop shop ourscourcing”, de contract lock-inn en slecht opdrachtgeverschap. Bij multi-scourcing zie je een veel beter opdrachtgeverschap: bewuste keuzes voor zelf doen of outscourcen, betere leverancier selectie ipv vertrouwen op een grote naam en de eieren worden verspreid over meerdere mandjes.Interessant hierbij is overigens ook de trend naar scheiding van contract verantwoordelijkheden: x partijen doen de verschillende elementen van dienstverlening, 1 partij doet het performance en security management, wat zelfs kan worden uitgebreid tot de contract management verantwoordelijkheid. Hoewel ik dit laatste beter bij de opdrachtgever vind horen, maar dat is afhankelijk van de situatie.
De post heeft niet tot doel nader in te gaan op de oorzaak van Multi-sourcing maar op de gevolgen hiervan voor security management. Vandaar de ponering van de stelling ‘Multi-sourcing vergroot complexiteit security management’. In dit kader is de opmerking ‘Interessant hierbij is overigens ook de trend naar scheiding van contract verantwoordelijkheden: x partijen doen de verschillende elementen van dienstverlening, 1 partij doet het performance en security management, wat zelfs kan worden uitgebreid tot de contract management verantwoordelijkheid. Hoewel ik dit laatste beter bij de opdrachtgever vind horen, maar dat is afhankelijk van de situatie’ herkenbaar. In een situatie waar 1 partij verantwoordelijk is voor het security management is de vraag hoe e.e.a. gecoördineerd en aangestuurd wordt over de verschillende dienstverleners en type dienstverlening en waar men in de praktijk tegen aan loopt?