Een hoog beveiligingsrisico en een wildgroei aan systemen en afdelingen. De gemeente Amsterdam kampt met grote ict-problemen. Dat blijkt uit een recent rapport van onderzoeksbureau McKinsey.
De gemeente Amsterdam kampt met grote problemen op ict-gebied. Dat blijkt uit een rapport van McKinsey dat Computable in handen heeft. Het onderzoeksbureau lichtte de ict bij de gemeente door. Daaruit blijkt dat Amsterdam een hoog beveiligingsrisico loopt.
McKinsey: "De Gemeente Amsterdam loopt een risico met de veiligheid en beschikbaarheid van informatie. De systemen en netwerken van de gemeente zijn niet voldoende beveiligd. Sommige systemen hebben geen of onvoldoende uitwijk- en back-upfaciliteiten. Gegeven de serieuze risico's, is het urgent dat de Gemeente deze punten oplost. Oorzaken zijn het gebrek aan standaardisatie van en coördinatie over de IT infrastructuur en onduidelijke verantwoordelijkheden in de organisatie."
Te rooskleurig
Volgens de onderzoekers is de informatiebeveiliging is niet op orde, omdat er geen structurele controle is op de gemeentelijke informatiebeveiligingsnorm (GIBN). Bovendien zijn geen kritieke systemen gedefinieerd en decentraal ingerichte lan's (local area networks) voldoen vaak niet aan de beveiligingsnormen.
Uit het onderzoek komt verder naar voren dat tientallen datacenters van de gemeente niet beschikken over de juiste beveiligingsvoorzieningen. Ook worden in veel gevallen geen back-up gemaakt. Bovendien zijn uitwijksystemen beperkt beschikbaar. De gemeente zou bij zelfevaluaties een veel te rooskleurig beeld geven van de eigen informatiebeveiliging.
Standaardisatie ontbreekt
Naast de beveiligingsproblemen zijn er grote problemen met de ict-infrastructuur van de organisatie. Bij de gemeente is een wildgroei aan systemen en slecht samenwerkende ict-afdelingen ontstaan. Standaardisatie in de infrastructuur ontbreekt.
Slechts driehonderd van de vijftienduizend werkplekken zijn gestandaardiseerd. Er zijn tientallen datacenters in gebruik en de gemeente beschikt over ongeveer vijftig e-mailservers. Daarnaast worden applicaties nauwelijks op meerdere plaatsen ingezet. Naast het gebrek aan interne samenwerking schiet de samenwerking met andere gemeenten tekort.
McKinsey: "Bij ongewijzigde aanpak, gaat de Gemeente Amsterdam een aantal belangrijke ambities die afhankelijk zijn van ICT ondersteuning niet realiseren. Voorbeelden zijn uitwisseling van gegevens voor jeugdzorg en integrale digitale vergunningverlening. Oorzaken hiervoor zijn een gebrekkige vertaling van bestuurlijke en bedrijfsvoerings-ambities naar samenhangende ict-programma's en een onvoldoende sterke uitvoering van de lopende ict-programma's."
Geen verrassende constateringen. Het heeft o.a. te maken met de arrogantie van een grote gemeente. De verschillende afdelingshoofden en verantwoordelijke ict-managers denken allemaal in koor dat de ‘Amsterdams situatie’ zo anders is dat een standaard ict-oplossing per definitie niet kan voldoen. Ter illustratie: maatwerkapplicaties van tientallen miljoenen voor de GBA- en Sociale Dienst-systemen van de gemeente Amsterdam. Daarnaast jaarlijks nog miljoenen aan onderhoudskosten.
Het zal mij niet verbazen als de meeste gemeentelijke applicaties maatwerkapplicaties zijn. Wildgroei aan systemen en gebrek aan standaardisatie, een dure constatering van McKinsey, is dan het logische gevolg.
Vervelende constatering voor betrokkenen. Me dunkt, daar zullen wel een paar noten over gekraakt worden, zeker wanneer ‘veiligheid’ en ‘beveiliging’ van gegevens niet op orde is.
Over ‘veilig’ gesproken: hoe komt het dat een, mag ik aannemen, vertrouwelijk rapport van een gerespecteerd bedrijf als McKinsey bij Computable in handen komt?
Als verantwoordelijke bij de gemeente Amsterdam of McKinsey zou ik, als ik in haar/zijn schoenen stond, ook even aandacht aan dit ‘lek’ schenken…
OMG iedereen weet wat er aan de hand is LOLZ
Als je bijvoorbeeld Getronics in huis heb, kan je ook op dit soort dingen wachten 😉
Oh ja en uiteraard Centric: ‘alles op de Centric-manier’.
Twan heeft gelijk:
Ter illustratie, maatwerkapplicaties van tientallen miljoenen voor de GBA- en Sociale Dienst-systemen van de gemeente Amsterdam. Daarnaast jaarlijks nog miljoenen aan onderhoudskosten.
Amsterdam is net als vele andere gemeentes verkeerd bezig 😉
Reorganisaties / digitaliseringen / Digitale Loketten etc.
Oftewel staat gelijk aan miljoenen over de balk gooien 😉
Ict-Bedrijven zijn blij met dit soort gemeentes 🙂
Maar goed, al die goeie interims / adviseurs die alles wel effe komen fixen 😉 en dus ook alle geld opmaken en die zelf ook nog bijzonder veel per uur kosten 🙂
Hoe bedoel je stress ;-D
Gemeente Amsterdam veel plezier…
Hier kijk ik echt niet van op. Ik heb ooit, tig jaar geleden, bij het GCEI gewerkt, en daar beheerden wij toen centraal de ict-systemen van de gemeente Amsterdam. Maar toen kwam de denderende goederentrein van de deelgemeentes op ons af. Daar is het begonnen. Iedereen was ontevreden over de dienstverlening van het GCEI en dachten het zelf, als autonome deelgemeente, veeeel beter te kunnen doen. Ziedaar het resultaat: wildgroei, geen enkele eenduidigheid in de ict-ondersteuning en slechte dienstverlening naar de klanten toe: want als je toevallig iets voor je schoonmoeder moet doen, die in een andere deelgemeente woont, dan moet je daar minimaal een dag voor uittrekken. Nee, het GCEI als centrale ict-dienstverlener was zo gek nog niet, en zo’n 20/25 jaar geleden hebben wij dit al voorspeld!!
TIJD VOOR EEN REUNIETJE?
Een enthousiaste ex-GCEI-medewerker.
De eerlijkheid gebiedt mij toe te geven dat dit beeld van de gemeente Amsterdam niet op zichzelf staat. Bij vele andere gemeenten zal het niet echt beter zijn. Met mijn ervaringen bij de gemeente Rotterdam op ditzelfde vraagstuk, weet ik uit eerste hand waarover ik praat.
Informatiebeveiliging wordt veelal bij het hogere management als een noodzakelijk kwaad gezien, een taai ongerief. Deze kwalificatie komt hoofdzakelijk voort uit het feit dat het vraagstuk informatiebeveiliging ook complex en onhandelbaar overkomt; overigens geldt dit voor vele andere onderwerpen uit de discipline van ICT-Management of Informatie Management.
Een betere benadering is het vraagstuk informatiebeveiliging niet meer zo te noemen, maar hiervoor een andere vakterm met bijbehorende referentiekader en accenten te benoemen, zoals: Informatiekwaliteitsmanagement (IKM), Information Quality Management (IQM) of Informatiegerief of Informatieveiligheid.
Kortom een term die bij het hogere management directe associaties oproept met wenselijke en vanzelfsprekende situaties. Kijk bv. het ISO 9126 Model waarin notabene alle kwaliteitsattributen van adequate gegevensverwerkende systemen helder en eenduidig wordt benoemd. Welke organisatie hanteert deze vocabulaire als een basisgegeven? Vijwel geen, en dat is jammer, doodzonde zelf. Hiermee wil ik betogen dat vele bestuurders in vnl. grotere organisaties niet echt iets kwalijk valt te nemen. Er zijn in deze moderne tijd zeker verbeteringen voor het vraagstuk informatiebeveiliging voor handen. Start als eerste met de vaktaal weg te laten en het belang van de bestuurders hierin mee te nemen. Dan komt de rest vanzelf, bv. het mandaat en de broodnodige budgetten om aan informatiebeveiliging te gaan werken.
Vele vakspecialisten in de ict-wereld leiden aan beroepsdeformatie omdat de terminologie en denkwijzen die zij aangeboden krijgen niet bij andere stakeholders appelleert. En, deze vakspecialisten leiden daardoor aan navelstaring, met als gevolg: de business praat een andere taal dan de ict en deze 2 werelden drijven eerder uit elkaar dan naar elkaar toe. Vakspecialisten moeten ook eens naar andere vergelijkbare vakwerelden kijken m.b.t. hoe zij hun problemen aanpakken en oplossen. Bv. een ICT Service Manager zou eens naar de SEH (Spoed-Eisende-Hulp, vh. bekend als de EHBO) van een moderne ziekenhuis kunnen kijken hoe deze hun incidenten oplossen met de schaars aanwezige resources. Een Manager Informatiebeveiliging zou eens kunnen gaan neuzen bij een Quality Manager van een top autofabrikant. Kortom, mijn betoog is dat het allemaal veel beter kan, te beginnen met eerst de eigen blik te verruimen en te verleggen anar andere disciplines, vervolgens daar lering uit te trekken en ook een vocabulaire aan te leren die de business eerder aanspreekt. Dan is er echt sprake van Business-IT-Alignment (bITa).
Enfin, ik ben het beu en zat als ik verneem dat het zoveelste externe onderzoeksbureau moet constateren dat het slecht gaat met de informatiebeveiliging in een grote gemeentelijke organisatie. Niemand hoeft mij wijs te maken dat insiders binnen de gemeente Amsterdam dit niet wisten en verbaast staan te kijken met de constateringen van het bureau McKinsey. Ik pleit er dan ook voor dat er een onafhankelijk toezichtsorgaan voor de overheid in het leven wordt geroepen om dergelijke organsiaties bij wet en regelgeving te toetsen op hun bestaansrecht. De Rekenkamers in veel grotere gemeenten zijn hiervoor speciaal in het leven geropen en toch blijft het dweilen met de kraan open. “Wat heb je aan een fiets als de banden telkens lek zijn ondanks de vele reparatiepogingen”.
Ergens deugt er iets niet: voor het bedrijfsleven bedenkt de overheid om diverse wet- en regelgeving aan hen op te leggen (Basel I en II, Tabaksblat, Sarbanes-Oxley, etc.) maar voor de eigen overheidsorganisatie geldt er alleen vrijblijvendheid, lijkt het. Wat zijn de sanctie voor een gemeente als deze zich niet aan de wet houdt? Waarom wordt informatiebeveiliging niet tot wet verheven met de nodige (persoonlijke) sancties voor degene die zich er niet aan houdt.
Kortom, is er niets structureels te bedenken om dergelijke misstanden in dergelijke grote (overheids)organisaties eens en voor altijd een halt toe te roepen? Heeft iemd hier een wijs antwoord op?
Een bezorgde professional.
Armand Jeffrey
(Business Consultant)
JEFFs Consultancy
Paganinihof 123
3208 NB Spijkeni
E: na.jeffrey@jeffsconsultancy.com
W: http://www.jeffsconsultancy.com
Net als bij de meeste gemeentes is het zo dat de directie het beleid bepaalt, maar of het werkelijk ook zo gebeurt is de vraag dan.
de directieleden hebben er zelf geen rete verstand van hoe de vork in de steel zit.
Dure ict ers worden binnengehaald en die lachen zich een bult wat ze tegenkomen’de grootste zooi en verouderd waardoor en waarom?
Eerst een nieuwe aplicatie testen en nogmaals testen en dan implementeren en dan wachte tot er iemand gaat piepen en het wordt per direct terug gedraaid met alle gevolgen van dien.
Men blijft als gemeente altijd achter de feiten aanlopen doordat de besluitvorming enz. maar op zich blijft wachten, door mensen met geen verstand van zaken ed wordt aangedragen daar ze het ergens anders hebben gezien en daar werkt het wel zogenaamd als je een goed verkooppraatje hebt lost de ict het wel op maar over hoeveel jaar en geld praten we dan. HET IS WEL ONS GELD TE VERSTAAN.
Gemeentes ga met de tijd mee en begin goed te beveiligen.
De bezem er door… Tja, als ervaren interim manager jeuken mijn handen. Beste Job. durf jij de uitdaging aan?
Ik heb ’t rapport niet gelezen en werk ook niet bij de gemeente maar ik kan me voorstellen dat het rapport een iets andere insteek heeft. De titel en toon in dit stuk is meer sensatie en stemmingmakerij dan journalistieke verslaggeving.
Ik ben het eens met de stelling in de meeste reacties dat ze ’t bij de gemeente zelf ook wel wisten. Ik kan me dan ook wel voorstellen dat ze een onderzoek hebben laten doen naar de OMVANG van het probleem en het in kaart brengen van de grootste risico’s en knelpunten. De output van dit onderzoek is dan input voor een volgend onderzoek: hoe ruim je die puinhoop op. Ongetwijfeld zal ook hiervoor een duur buro worden ingehuurd.
En dan moet de ‘schoonmaak’ nog beginnen…
Helaas lijkt het alsof er in veel organisaties niet of nauwelijks aan ‘IT Asset Management’ wordt gedaan. Daardoor is het bijna onmogelijk om grip te krijgen op welke assets er ingekocht worden en of de ingekochte assets optimaal benut worden. Hierbij wordt het hergebruiken van IT assets vaak onderbelicht. Dit is in het kader van effectiviteit, efficiency en duurzaamheid niet positief.
Ik denk juist dat de anglicaanse toverwoordenindustrie, waarvan ik hierboven enkele staaltjes mocht bewonderen, een van de factoren bij kostenoverschrijdingen is. Door de vele kleren van de keizer zien de arme bestuurders hun saeck niet meer. Prijzige interims springen graag in op door henzelf aangezwengelde verwarring.