Is security in een it-project de (gedeelde) verantwoordelijkheid van de leverancier, of moet dit een apart hoofdstuk worden in een aanbesteding?
De afgelopen week heb ik een gezonde en opbouwende discussie meegemaakt over het inbedden van security in – complexe – it-aanbestedingen. De discussie is zeer relevant, omdat er steeds meer security incidenten plaatsvinden (of gemeld worden) die al dan niet gerelateerd zijn aan informatie technologie en organisatie. Denk bijvoorbeeld maar aan het vroegtijdig uitlekken van de miljoenennota, het publiek worden van gebruikersgegevens (Sony) en het gedoe rond Diginotar.
De toeleverende industrie, van data, applicaties, systemen en consultancy, heeft hiervoor een ‘rule of thumb’ beschikbaar: ongeveer 7 tot 12 procent van het beschikbare it-budget zou gereserveerd moeten worden voor security. De afnemers – overheid en bedrijven – hebben echter een ander idee hiervan. Gangbaar is de gedachte dat dit een (mede-) verantwoordelijkheid is van de leveranciers. Zij moeten er immers voor zorgen dat de systemen die worden opgeleverd een minimaal beveiligingsniveau hanteren en de afnemer behoeden voor toekomstige incidenten.
Er wordt, volgens mij, even voorbij gegaan aan de inspanningen die een leverancier zich hiervoor moet getroosten. Immers, zoals bij de postbezorging de meeste kosten in de laatste kilometer zitten, geldt ook hier dat bij een functioneel opgeleverd systeem, er uitgebreide (penetratie, data security, netwerk) testen moeten uitwijzen of het systeem al dan niet de security toets kan doorstaan.
Daarnaast zijn er vaak meerdere leveranciers betrokken bij een project. Dit houdt natuurlijk in dat de afstemming van de security eisen in het project gemanaged moet worden. En daarna moet het systeem gedurende enige tijd worden blootgesteld aan de boze buitenwereld, inclusief hackers. Pas dan kunnen we goed slapen als er een nieuw systeem, of een nieuwe release, in gebruik wordt genomen.
Wordt het nu eens tijd dat meer leveranciers en afnemers hierover in discussie gaan? Goed voorbeeld doet goed volgen.
Het antwoord op de vraag of security deel moet uitmaken van een IT aanbesteding of juist gezien moet worden als een losstaand project hangt af van de betreffende aanbesteding. Er zijn aanbestedingen waarbij security componenten niet los gezien kunnen worden van het ontwerp en daarom deel moeten uitmaken van het geheel. Een voorbeeld daarvan is een nieuwe applicatie voor burgers waarmee zij online hun overheidszaken kunnen regelen. In zo’n geval kan en moet de webapplicatie firewall onderdeel uitmaken van de aanbesteding. Wanneer het echter gaat om strategische projecten zoals het beveiligen en stabiliseren van grote delen van het overheidsnetwerk wordt het een ander verhaal. De focus ligt daarbij op security, waardoor het een opzichzelfstaande aanbesteding wordt.