Managing Risk and Security in Outsourcing IT Services; Onshore, Offschore and the Cloud

22 september 2016
In dit artikel:

Outsourcing blijft een onverminderd belangrijk topic en hierbij wordt de Cloud in een hoog tempo een nieuwe standaard. Dit brengt diverse risico’s op het gebied van onder andere security en privacy met zich mee. Dit boek wil zowel achtergrondinformatie verschaffen als een handvat bieden om de risico’s, voor outsourcing in het algemeen en naar de cloud in het bjizonder, te beheersen.

schermafbeelding-2016-09-21-om-09-24-19Een korte uiteenzetting over de geschiedenis van outsourcing vormt de inleiding van hoofdstuk 1, waarna de diverse servicemodellen als on-, off- en nearshoring worden uitgelegd. Hierbij wordt vooral gebruikgemaakt van de definities die het National Institute of Standards and Technology (NIST) heeft opgesteld. Vervolgens komen de verschillende types outsourcing en verschillende vormen van gehanteerde beheermodellen aan bod. In het voorlaatste gedeelte worden door middel van een classificatie de bekendste oursourcingslanden behandeld. Classificatie is gedaan op basis van de risicofactoren op de gebieden: sociaal, politiek, economie, misdaad, omgeving en infrastructuur. Hoewel deze gebieden per land op heldere wijze worden toegelicht is het niet duidelijk op welke criteria de uiteindelijke scores per gebied zijn gebaseerd.

Hoofdstuk 2 gaat in zijn geheel over outsourcing naar de Cloud. Het begint met een beschrijving van de diverse services die via de Cloud kunnen worden geleverd zoals Infrastructure as a Service (IAAS), Platform as a Service (PAAS) en Software as a Service (SAAS) en de mogelijke verschijningsvormen van de Cloud zoals bijvoorbeeld de Private Cloud. In het vervolg van het hoofdstuk wordt een goede beschrijving gegeven van specifieke, technische kenmerken van de Cloud met de bijbehorende risico’s en aandachtspunten. Aan het einde van het hoofdstuk wordt het security- en privacydilemma behandeld waarbij tevens wordt aangegeven op welke wijze hier assurance over kan worden verkregen. Dit varieert van het verkrijgen van voor ons bekende auditrapporten (SAS-70, SOC 1 en SOC 2) maar ook technische maatregelen via encryptie. Het is een goed hoofdstuk dat een compleet beeld geeft van de Cloud.

Het boek is van 2014, dus redelijk recent. Maar de techniek gaat snel en voor diverse aandachtspunten op het gebied van accounting, logfiles, virtuele netwerken en schaalbaarheid bieden diverse providers inmiddels volwaardige producten aan, die helaas nog niet in deze druk worden behandeld.

Vervolgens wordt in de hoofdstukken 3, 4 en 5 uiteengezet waaraan allemaal moet worden gedacht vanaf de voorbereiding van het besluit tot outsourcing tot en met de eerste dag van de daadwerkelijke outsourcing. Hoofdstuk 4, genaamd ’Ready to outsource’, bevat een lange paragraaf ‘Outsource preparation’, die als een soort baseline zou kunnen worden gehanteerd om te toetsen hoe een organisatie outsourcing heeft georganiseerd. Kwalitatief goede informatie, die echter vooral gericht is op traditionele outsourcing en minder op outsourcing naar de Cloud.

Gelet op de vele praktijkvoorbeelden wordt in hoofdstuk 6, terecht en op goede wijze, besproken wat er allemaal moet gebeuren als veranderende omstandigheden de organisatie doen besluiten om de relatie met een outsourcingspartij te beëindigen.

Het boek sluit af met een kort, leuk hoofdstuk met diverse outsourcingsanekdotes.

Een onderhoudend, gemakkelijk leesbaar boek dat, zeker voor mensen die voor het eerst in aanraking komen met outsourcing, een goed en volledig beeld schetst van het onderwerp. Wel vraagt de beschikbaarheid van nieuwe producten voor sommige beschreven risico’s en aandachtspunten om een follow up. Bijvoorbeeld in de vorm van een herziene druk dan wel een vervolg op dit boek.

Geen categorie

Ing. J.C.L. Kramer RE, NUON

Hans Kramer heeft gedurende 13 jaar de functie van zowel in- als extern IT-Auditor uitgeoefend. Sinds oktober 2012 is Hans Manager Datacentre High Availability Infrastructure & Application Operations met als belangrijkste klant de afdeling Asset Optimisation & Trade van energieleverancier Vattenfall.