Quality & security in de cloud: 5 tips van een expert

07 jun Quality & security in de cloud: 5 tips van een expert

Goed beheer van quality & security is essentieel. Zeker nu organisaties steeds vaker gebruikmaken van cloudoplossingen. Waar moet u op letten bij uw eigen veiligheidsmaatregelen én die van uw ketenpartners? In dit blog leest u over de ontwikkelingen op dit vlak aan de hand van 5 bruikbare tips.

Al in de vroege jaren tachtig hield ik me bezig met softwareontwikkeling en kwaliteitsmanagement. In 1991 startte ik mijn eigen adviesbureau IPA Kwaliteitsmanagement dat vandaag de dag 25 jaar actief is. Een ruime 20 daarvan ondersteun ik AllSolutions op dat vlak. Onlangs sprak ik op hun klantendag, de AllUser, die Quality & Security als thema had.

Van kwaliteitsmanagement toen…

Begin jaren negentig was kwaliteitsmanagement de belangrijkste invalshoek voor bedrijven waar Quality & Security hoog op de agenda stond. Het ging daarbij om de vertaling van signalen van klanten naar concrete verbeteringen en het borgen van de interne kwaliteitsstandaarden. De opkomst van de balanced scorecard zorgde ervoor dat behalve finance, ook andere bedrijfsonderdelen bepalend werden voor de strategie. Daarmee werd rapportage over het behalen van de bedrijfsdoelstellingen steeds breder. Met heldere dashboards maakten vooraanstaande bedrijven toen al inzichtelijk waar en waarom problemen zich voordeden.

… naar informatiebeveiliging nu

Met de opkomst van cloudoplossingen verschuift de focus van kwaliteitsmanagement naar informatiebeheer en –beveiliging. Gevallen waarin het misgaat, halen regelmatig het nieuws. Het schenden van privacywetgeving, hackers die inbreken en systemen lamleggen of grote hoeveelheden data die ‘op straat’ komen te liggen. Databeheer is dus een hot item. En voor veel bedrijven gaat dat verder dan alleen de eigen systemen. De complete keten – van grondstofdelving tot verkoop – moet voldoen aan dezelfde standaard. Anders ben je als organisatie met de allernieuwste beveiliging via een omweg nog steeds even kwetsbaar.

Tip #1: let op de API

IT-dienstverleners moeten in het kader van goed beveiligde systemen in de totale keten zorgen voor een degelijke API. Een Aplication Programming Interface is de software die ervoor zorgt dat systemen op elkaar aangesloten kunnen worden. Een goede API is dus cruciaal in een netwerk van samenwerkende partners en hun systemen.

Tip #2: zie het als risicomanagement

Uiteindelijk valt het beheer en de beveiliging van kwaliteit en informatie onder risicomanagement. Het inschatten van risico’s voor in- en extern betrokken partijen: dat is waar het om draait. Niet alleen voor je eigen systeem maar ook voor dat van je partners en de partners van je partners. Dat is een continu proces, een Plan Do Check Act (PDCA-) cyclus waarin je direct bijstuurt als dat nodig is. Binnen de softwareontwikkeling sluit de OTAP-methode hier goed op aan. Die afkorting staat voor Ontwikkeling, Test, Acceptatie en Productie. Bij de ontwikkeling geldt een streng vier-ogen- principe. Alle code wordt gecontroleerd door minimaal twee programmeurs. Voordat nieuwe software in gebruik wordt genomen, is er een uitgebreide test- en acceptatiefase aan vooraf gegaan. Die tests vinden plaats in een lokale omgeving die compleet losstaat van het systeem dat dagelijks gebruikt wordt.

Tip #3: zet het (steeds weer) op de agenda

Soms is dat nog best lastig want een softwareontwikkelaar wil niets liever dan de klant zo snel mogelijk aan een oplossing helpen als die tegen een probleem aanloopt. Een zeer belangrijk onderdeel van risicomanagement is dan ook het bewustmaken van medewerkers. Het is cruciaal om telkens opnieuw te benadrukken wat het belang is van procesafspraken zoals het vier-ogen-principe. Kwaliteit en beveiliging moeten regelmatig op de agenda staan.

Tip #4: zorg voor goed beleid

Houd bij uw keuze voor een degelijke IT-dienstverlener rekening met de visie op risicomanagement van uw aanbieder. Daarmee heeft u al een enorme voorsprong op weg naar goed kwaliteits- en informatiebeheer. Zorg vervolgens ook voor een sterk intern beleid voor kwaliteit en informatie. Want al is uw systeem nog zo goed beveiligd, zonder iets simpels als een wachtwoordenbeleid bent u nog even kwetsbaar.

Tip #5: zorg voor eenvoudige processen

Een wat ouderwetse kijk op kwaliteitsmanagement is dat alles alleen maar draait om regels en procedures. Als mensen horen dat het om ISO-normen gaat, schieten ze direct in de regeltjes-modus. Maar dat is echt achterhaald. Het mooie van bijvoorbeeld de recent vernieuwde ISO 9001-norm is dat er juist veel nadruk ligt op het vermogen van organisaties om flexibel te zijn. Kennisdelen binnen de organisatie, een goede infrastructuur met partners en veel aandacht voor risicomanagement, zónder te verzanden in procedures en regels. Dát is waar toekomstbestendige organisaties aan moeten voldoen.

Deze bijdrage is geschreven door Paul Ankersmid en is eerder verschenen op de website van All Solutions. Paul is werkzaam voor IPA Kwaliteitsmanagement en helpt organisaties met een nuchtere en pragmatische benadering om concrete stappen te zetten op het gebied van risicomanagement, automatiseringsadvies en bedrijfsmanagement.