Quick scan Herkennen bedrijfskritische software

Een software escrowregeling is een maatregel die een goede waarborg biedt voor de continu´teit van het gebruik van bedrijfskritische software. De noodzaak van de regeling hangt dus met name af van de vraag in hoeverre de software bedrijfskritisch is. Dit document biedt u bij de beantwoording van die vraag handvatten.

Het begrip ôsoftwareö dekt een heel diverse lading. Bedrijfssoftware is een deel van deze lading. Dit is alle software die in bedrijven en organisaties wordt gebruikt voor de uitvoering of de ondersteuning van de interne bedrijfsprocessen. Van al deze software is dan weer een deel bedrijfskritisch. Bedrijfskritische software is software die essentieel is voor de continu´teit van de bedrijfsprocessen van een bedrijf of organisatie. Deze continu´teit komt dus in gevaar wanneer de software niet meer kan worden gebruikt of kan worden onderhouden. Aan de hand van welke omstandigheden en factoren kan men bedrijfskritische software herkennen?
1) Horizontale software en verticale software
Onder horizontale software verstaan we de software die in alle mogelijke soorten bedrijven en organisaties kan worden gebruikt. Voorbeelden zijn tekstverwerkingssoftware, applicaties voor het opmaken van spreadsheets en internetbrowsers. Doorgaans is het niet zo moeilijk en kostbaar om deze software te vervangen. Er zijn namelijk voldoende alternatieven beschikbaar. Horizontale software is daarom meestal niet bedrijfskritisch. Als het gebruik van horizontale software voor u geen risico's met zich meebrengt, ook niet van de hierna beschreven soort, dan heeft u voor deze software geen broncode-escrowregeling nodig.
Verticale software is software die speciaal is ontwikkeld voor een specifieke organisatie, of voor bedrijven of organisaties binnen een specifieke branche. Verticale software kent een functionaliteit die op de bedrijfsprocessen van een organisatie is afgestemd. Omdat met behulp van verticale software de kernactiviteiten van een organisatie worden uitgevoerd of worden ondersteund, is deze software in de meeste gevallen bedrijfskritisch.
2.1) Rechtspositie
Als u een licentie heeft op software, dan heeft u een gebruiksrecht op de digitale vorm daarvan. Dit is slechts een verzameling nullen en enen welke is vastgelegd op een digitale drager. U heeft geen recht op al het broncodemateriaal dat is ontstaan in het ontwikkelingsproces. Dat is bijvoorbeeld het werk van systeemanalisten en programmeurs en de bijbehorende documentatie. Dit broncodemateriaal is nodig voor het onderhoud en de doorontwikkeling van de software.
Wanneer men een vergelijking maakt tussen een software licentie en een lease-auto, dan komt het er op neer, dat een softwarelicentie lijkt op het leasen van een auto zonder motor. Men is namelijk a. geen eigenaar van het product; en men heeft b. niet de toegang tot de onderdelen van het product die voor onderhoud en doorontwikkeling nodig zijn.

2.2) Code voor informatiebeveiliging

De mate waarin informatie continu beschikbaar moet zijn, is een van de drie hoofdcriteria die moet worden gehanteerd bij de beoordeling van de wijze waarop die informatie beveiligd moet worden. De geautomatiseerde verwerking van gegevens binnen een bedrijf of organisatie vindt plaats met behulp van software. De continue beschikbaarheid van die software is daarom voor de continu´teit van de gegevensverwerking ľ en dus voor informatiebeveiliging - essentieel.

Software is bedrijfskritisch wanneer hiermee gegevens worden verwerkt die een hoge mate van continu´teit moeten kennen. Aan de hand van onderstaand schema kan worden vastgesteld, wat het belang van de software is, die in uw organisatie wordt gebruikt. Dit schema is overgenomen uit de NEN/ISO Code voor Informatiebeveiliging. Hoe scoort uw software?

Schema 1

Laag Risico A

Gemiddeld Risico B

Hoog Risico C

Continu´teit: juiste tijd en plaats?

Applicatie mag niet meer dan 4 dagen niet beschikbaar zijn

1

Applicatie mag tussen 1 ľ 4 dagen niet beschikbaar zijn

1

Applicatie mag minder dan 1 dag niet beschikbaar zijn

1

Integriteit:

volledig en juist?

Foutieve informatie heeft nauwelijks invloed op de correcte uitvoering van het bedrijfsproces

2

Foutieve informatie is hinderlijk, maar een goede uitvoering van het proces is mogelijk

2

Foutieve informatie maakt een goede uitvoering van het proces onmogelijk

2

Exclusiviteit:

Voor wie alleen bedoeld?

Gegevens zijn intern en extern niet vertrouwelijk

3

Gegevens zijn op afdelingsniveau vertrouwelijk

3

Gegevens zijn voor de beheerder ervan vertrouwelijk

3

De criteria continu´teit, integriteit en exclusiviteit zijn genomen uit de Code voor Informatiebeveiliging (NEN/ISO 17799)
2.3) Wet- en regelgeving
Zoals gezegd is de beschikbaarheid van software van eminent belang voor de beschikbaarheid van de gegevens die met die software worden verwerkt. Op basis van verschillende wet- en regelgeving moet op een bepaalde manier worden omgegaan met gegevens die geautomatiseerd worden verwerkt. Daarmee zegt die regelgeving ook iets over de software waarmee die verwerking wordt uitgevoerd. Een belangrijk voorbeeld hiervan is de fiscale bewaarplicht. De fiscus eist niet alleen dat u uw digitale financiŰle gegevens (net als uw papieren administratie) minimaal zeven jaar bewaart, maar ook dat u de data gedurende deze periode toegankelijk houdt en inzichtelijk kan maken. Daarvoor heeft u de software waarmee deze handelingen kunnen worden verricht nodig.

Van belang zijn ook de bepalingen Wet Bescherming Persoonsgegevens. Als binnen uw bedrijf of organisatie met behulp van software persoonsgegevens worden verwerkt, dan bent u onder andere verplicht om deze gegevens goed te beveiligen. Hierboven (onder punt 2) is reeds aangetoond dat de continue beschikbaarheid van de gegevens een belangrijk aspect van die beveiliging is.

Wanneer kortom uw bedrijf of organisatie niet meer kan voldoen aan wet- en regelgeving op het moment dat bepaalde software niet beschikbaar is, dan is deze software bedrijfskritisch.
2.4) Reputatieschade
Wanneer door de niet-beschikbaarheid van software bepaalde bedrijfsprocessen niet meer op de juiste wijze verlopen, bestaat het risico dat u uw clientŔle niet meer goed kunt bedienen. Hierdoor ontstaat het risico dat afbreuk wordt gedaan aan de reputatie die u heeft opgebouwd.
2.5) Concurrentie
Als u in een branche actief bent waarin u veel concurrenten heeft, dan zijn er meestal ook concurrerende aanbieders van software die deze branche bedienen. Uw concurrenten kunnen dus gebruik maken van andere softwarepakketten. Op het moment dat uw software niet (vlekkeloos) meer werkt, kunnen deze concurrenten hun activiteiten gewoon voortzetten. Wanneer uw concurrentiepositie in de markt bedreigd wordt, op het moment dat bepaalde software niet meer kan worden gebruikt, dan moet deze software als bedrijfskritisch worden aangemerkt.
2.6) Schade

Hieronder treft u een lijstje met de mogelijke gevolgen van het uitvallen van software:
  1. Aanschaf nieuw/ander softwarepakket;
  2. Implementatiekosten (testen, opleiden, organisatieaanpassingen);
  3. Conversiekosten oude gegevens (indien conversie mogelijk is);
  4. Informatiebreuk. Geen aansluiting oude statistieken/overzichten met nieuwe ;
  5. Maatwerk software sluit meestal niet aan op nieuwe software;
  6. Productieverlies
  7. Niet naleven contracten
  8. Boeteclausules
  9. Mmislopen vervolgorders.
Op het moment dat software geheel of gedeeltelijk uitvalt en daardoor het ontstaan van dergelijke schade reŰel is, moet deze software als bedrijfskritisch worden beschouwd.
3) ASP / SAAS systemen
Ook hierbij houdt de broncode van de software hetzelfde grote belang voor de goede werking van het systeem als bij de informatiesystemen in eigen huis. Gek genoeg is de verantwoordelijkheid van gebruikers van dit soort systemen nog groter geworden. Zo blijft de gebruiker verantwoordelijk voor de gegevensverwerking, waar die ook plaatsvindt. Dat kan vergaande consequenties hebben, zeker wanneer wordt gekeken naar de hierboven beschreven verplichtingen die een softwaregebruiker op grond van de Wet Bescherming Persoonsgegevens en de fiscale bewaarplicht heeft.
4) Technische software
In productiemachines (embedded software) en productieprocessen komt veel software voor. Dit is vaak software voor PLC's en FPGA's. De gegevens uit apparaten en processen worden vaak doorgegeven aan administratieve systemen. Denkt u bij technische software ook aan navigatiesystemen, en logistieke processen. En dan zijn er nog de systemen met RFID chips.
Als ten gevolge van het uitvallen van (onderdelen van) een informatiesysteem de continu´teit van het productie en/of administratiesysteem in gevaar komt, is er sprake van bedrijfskritische software.
5) Kosten
In de meeste gevallen bedragen de kosten voor een solide broncode-escrowregeling bij de IT-notaris voor licentienemers niet meer dan 1 Ó 2% van de licentiewaarde van de software. De software is slechts een klein deel van uw investering in het complete informatiesysteem. Toch is de software het meest bepalende onderdeel voor de goede werking. Zo zijn software en gegevens een Siamese tweeling. Geen software, geen gegevens.