Het artikel ‘Tester vergeet risico onversleutelde klantgegevens ‘ was voor Maurice Siteur van Capgemini wel even slikken. Is hij degene die onzorgvuldig is of is het de organisatie waarvoor hij werkt? In dit artikel probeert hij het antwoord te vinden.
Om te beginnen, een vraag: Wie zijn de testers? In veel gevallen zijn dat de dagelijkse gebruikers van productiedata. Het is dus meestal niet bezwaarlijk om in een acceptatie-testomgeving productiedata te hebben. Voor systeemtestomgevingen zouden wel versleutelde gegevens gebruikt kunnen worden, maar dat gebeurt vaak niet. Meestal vanuit financiële overwegingen: een tool kost geld, of je deze nu maakt of koopt. Dus privacy van gegevens kost dan meetbaar geld.
Het artikel ‘Tester vergeet risico onversleutelde klantgegevens ‘ is gebaseerd op een onderzoek van Compuware en het Ponemon Institute. Laat Compuware nou net een van de zeer weinige leveranciers zijn van een tool die testdata kan versleutelen. Dat 42 procent het testen van applicaties uitbesteedt, duidt erop dat de onderzochte duizend ict-bedrijven klanten van Compuware zijn of binnen de doelgroep van Compuware vallen; namelijk de grotere organisaties. Als testen uitbesteed wordt, zou je verwachten dat versleutelen dan ook plaats zal vinden, maar dat is blijkbaar niet waar. In veel gevallen zijn taken als omgevingsbeheer en databasebeheer ook uitbesteed, waardoor de noodzaak tot versleutelen afneemt; de partij waar naar is uitbesteed kan toch wel bij de gegevens. Er worden natuurlijk wel afspraken gemaakt en audits gedaan om naleving van de procedures te borgen.
Extra vragen
Waar ik nu nog benieuwd naar ben, is of de in het artikel genoemde 36 procent die wel versleutelhulpmiddelen gebruikt allemaal banken zijn of een ander soort organisatie. Is hier een trend te zien? En is dat dan dezelfde trend als bij het testen zelf? Bij testen zie je namelijk dat bepaalde organisaties veel meer testen dan andere.
Organisaties die veel testen zitten in sectoren waar de risico’s het hoogst zijn. Denk aan vliegtuigbouw, maar die hoeven hun testdata meestal niet versleutelen in hun meest kritische systemen. Grotere organisatiestesten vaak ook meer, omdat hun afhankelijkheid van de vaak in eigen beheer ontwikkelde software groot is. Meer testen betekent trouwens niet dat die organisaties per definitie gestructureerd testen of aandacht hebben voor aspecten als de beveiliging van gegevens.
Gegevensbeveiliging
Toch ben ik het wel met de resultaten van het onderzoek eens. Organisaties moeten over de privacy gevoeligheid van testdata nadenken alsof het productiedata is. Wat mij betreft ligt de verantwoordelijkheid van de testdata dan ook bij de eigenaar van de data. Dus als er gebruik wordt gemaakt van productiedata, dan is de eigenaar het hoofd van die afdeling of een directielid. Maken we gebruik van versleutelde gegevens of een echte testset, dan is de verantwoordelijk bij een ontwikkelafdeling terecht gekomen, omdat de gevoeligheid van de gegevens dan heel anders ligt.
Maandag 28 januari 2008 sterkte de resultaten van het onderzoek, omdat het CBP (College Bescherming Persoonsgegevens) aangaf strenger op de naleving van de privacy wetgeving te gaan controleren. Het gaat hier weliswaar om gegevens die buiten de organisatie gaan, maar het geeft wel aan dat organisaties alert moeten zijn.
Afsluitende opmerkingen
Dat de verantwoordelijkheid voor de testdata voor de helft van de organisaties eerder een vraag is dan een weet, geeft al genoeg aan. Het leeft niet. De verantwoordelijkheid wordt gedeeld; bedrijven, lijnmanagers, projectmanagers en ook testers moeten zorgvuldig omspringen met gegevens. Ik neem hierin als tester dus wel mijn verantwoordelijkheid.
Maurice Siteur, managing consultant bij Capgemini en op zijn huidige project bezig een aanzet te geven om testdata beter te beheersen
Het onderzoek van Compuware en Ponemon slaat de plank volledig mis, en deze reactie volgt naief hun dwaalspoor. Het probleem is dat er getest wordt met gegevens die vertrouwelijk zijn, wat volgens de privacywetgeving verboden is. Het probleem is NIET dat deze illegaal verkregen testdata vervolgens niet versleuteld wordt. Als je als tester je eigen fictieve testdata gebruikt, heeft geen enkele hacker die die data onderschept, daar wat aan.
Als de opdrachtgever dan toch de opdracht geeft om te testen met vertrouwelijke productiegegevens, kan dat de testers niet verweten worden. Ik heb ooit bij een klant aangegeven dat we illegaal bezig waren, ik kreeg als antwoord “je doet het er maar mee want we testen hier nu eenmaal zo”. Vervolgens werden niet de privacy-gevoelige gegevens afgeschermd voor testers, maar golden voor de testers opeens allerlei stricte regels omdat we bij gevoelige informatie konden.
Goede vraag: wie zijn de testers. Het antwoord komt van Capgemini zelf: