Onder invloed van klimaatverandering, tekorten aan (drinkbaar) water, de stijgende zeespiegel, veranderende ecosystemen en verminderde biodiversiteit vormt duurzaamheid meer en meer een bron van wereldwijde zorg. De Europese Unie (EU) gaat hierin voorop bij het bevorderen van beleid om milieukundige, sociale en economische uitdagingen aan te pakken, onder andere in de vorm van de Green Deal.

Je leest het verder hier op de website van Europe Office.

Data is hot. Iedereen wil datagedreven werken en AI werkt alleen op grote hoeveelheden data. Kortom, data is het nieuwe goud! Maar wat is data precies?  In de vorige blog heb ik aangegeven dat er verschillende categorieën data zijn en die ging specifiek over de omgang met stamdata en transactiedata. In deze blog sta ik stil bij metadata en de noodzaak om dat te onderscheiden van de data zelf en gescheiden te verwerken. Anders ontstaat een spaghetti in het systeemlandschap en wordt zoeken naar specifieke data de spreekwoordelijke speld in de hooiberg.

Wat is Metadata?

Metadata is informatie over de data of de verwerking daarvan. Is het onderwerp waarover de data gaat zelf data, een datadrager (document, media etc) of een informatie-verwerkend proces? Dan is die data daarover de metadata of metagegevens.

Van een document zijn dat bijvoorbeeld de opsteller, het aantal woorden, creatiedatum, opslaglocatie, bestandsformaat etc. Maar het kan nog veel meer zijn en is afhankelijk van de metagegevens die je wil vastleggen. Zo zijn bijvoorbeeld de gegevens over een wijziging in een registratie ook metadata; wanneer de wijziging is doorgevoerd en door wie (logging). Maar ook het aantal fouten in een bestand of het aantal objecten in een verzameling. Of de tijdsduur om een formulier in te vullen.

Tenslotte zijn datamodellen ook een vorm van metadata. Semantische modellen, een ontologie, begrippen etc.

Een Meta-informatiesysteem

Informatiekundig beschouwen we gegevens als een afbeelding van iets in de werkelijkheid (een gebeurtenis, transactie of situatie). Dan is metadata dus een afbeelding van die informatie (-verwerking). Zo bezien is sprake van een informatiesysteem dat (een deel van) de werkelijkheid (of handelingen in de werkelijkheid) kan vastleggen en kun je spreken van een meta-informatiesysteem als dat de verwerkingen door het informatiesysteem vast legt.

Waarnemingen van het meta-informatiesysteem zijn bijvoorbeeld geconstateerde fouten, meten van gebruik, aantal transacties etc. En op basis hiervan kunnen dan weer handelingen in de werkelijkheid worden uitgevoerd zoals correcties.

Waarom scheiden?

Metadata heeft een geheel eigen begrippenkader , eigen kwaliteitseisen en vaak een andere dynamiek dan het informatiesysteem zelf. Dan is het verstandig om de metadata onafhankelijk van de data in het informatiesysteem te onderhouden (ontwerpen, vastleggen en verwerken en wijzigen).

Daarnaast leidt het bijhouden van data en meta-data in één opslag tot verwevenheid en onzichtbare koppelingen. Daardoor neemt de onderhoudbaarheid van het gehele systeem sterk af (zie  constructieprincipe 2 over ontkoppelen ).

Tenslotte is metadata van groot belang voor indexeren en zoeken van data. Het vormt de inhoudsopgave van de dataverzameling en over verzamelingen heen.

De scheiding manifesteert zich voor de informatiekundige op meerdere niveaus. Op planningsniveau kunnen de verschillende systemen worden geïdentificeerd die zorgen voor de verwerking enerzijds en  besturing van de verwerking anderzijds. Op systeemniveau kan onderscheid worden gemaakt tussen verschillende opslaglocaties en verwerkingsprogrammatuur. Op objectniveau ontstaat een duidelijk verschil tussen de inhoud van de informatie (bijvoorbeeld de brief of het bestand) en de metadata daarover (de informatie over de brief, het bestand)

In de praktijk

In de praktijk wordt de regel van scheiden soms wel en soms niet consequent toegepast. Het is algemeen bekend dat het verstandig is om logbestanden van een verwerkend systeem apart op te slaan, al was het maar om de mogelijke gevoeligheid van de informatie. Maar ook omdat de onderhouds- en release cycle van de loggingsfunctionaliteit een andere is dan die van het systeem dat wordt gelogd.

Veel organisaties scheiden de data in transactiesystemen (de registratie) van de data voor business-intelligence verwerking. BI verwerkt data en meta-data die weer leidt tot nieuwe data (analysedata, zie de vorige blog). Die scheiding helpt om de systemen te ontkoppelen en onderhoudbaar te houden en ook om ze afzonderlijk te kunnen vernieuwen.

Een ander voorbeeld zien we bij document management systemen. DMS’en brengen een scheiding aan in de opslag van de documenten en de opslag en verwerking van de metadata daarvan. Ook hier is onderhoudbaarheid en doorzoekbaarheid een belangrijke reden zoals het feit dat een nieuw DMS vaak kan worden gekoppeld met een bestaande  documentopslag. De verzameling meta-data vormt dan een index die met een sleutel verwijst naar de inhoudelijke data.

Bij de huidige inrichting van de BasisRegistratie Personen (BRP) lopen data en metadata nog wel eens door elkaar. In de BRP zelf wordt bijvoorbeeld ook bijgehouden wanneer een wijziging is opgetreden en zelfs transacties (huwelijk, scheiding, adreswijziging, kiesrecht) worden in dezelfde opslag verwerkt als de stamdata van een persoon. Het is op zich niet ongebruikelijk om bij de data zelf ook op te slaan wie het record heeft aangemaakt en wanneer het voor het laatste is gewijzigd maar daarmee is de BRP een lastig onderhoudbaar en zeker lastig vernieuwbaar systeem geworden! De wijzigingshistorie is een apart (meta)gegeven en door dat apart in een index bij te houden pas je het scheidingsprincipe zuiver toe en kun je veel vragen over dat gegeven los van het opgeslagen gegeven zelf beantwoorden. De registratie van het basisgegeven komt dan los te staan van de registratie van het proces om dat gegeven te bevragen , te wijzigen en te onderhouden.

Dit zijn allemaal nog vrij conventionele toepassingen maar hoe zit het met het Data lake en AI-toepassingen? Ook daar blijkt dat zonder metadata het lastig zoeken wordt naar de toepasselijke data! AI maakt gebruik van vele indexen (metadata) die verwijzen naar de bronnen waar de data zelf is opgeslagen. En om een waarde toe te kennen aan die data moet ook bekend zijn hoe actueel die is, hoe vaak gebruikt, door wie geplaatst en in welke taal etc. Allemaal metadata die het zoeken veel sneller maakt.

Als die metadata verweven met de bronnen zelf zou zijn opgeslagen was CHATGPT nog sciencefiction…… want dat moet je zoeken in de hele hooiberg in plaats van in de indexen ervan. Bij Data lake analyse is er altijd het werk van de data-analist om in het data lake structuur aan te brengen (achteraf).

De informatiekundige moet bij het ontwerp van een registratie rekening houden met het scheiden van data en meta-data. Wat zijn de stamgegevens, wat zijn de transactiegegevens en wat zijn de metagegevens? Welke analyses wil men op de registratie uitvoeren? Welke indexering is gewenst en welke zoekvragen? Met metadata wordt de eigenlijke data onderhoudbaar, vindbaar, toegankelijk en interoperabel[1].

[1] Ook wel de FAIR principes (https://www.go-fair.org/fair-principles/). Het voert te ver om hier in deze blog op in te gaan.

Andere blogs uit deze serie:

De 1ste blog, over betekenisloze identiteitsaanduiding, lees je hier.
De 2de blog gaat over het principe van ontkoppelpunten in het ontwerp en lees je hier.
De 3de blog gaat over eenduidige en consistente taal: link.
De 4de blog gaat over verantwoordelijkheidsverdeling en functiescheiding: link.
De 5de blog gaat over dat de verantwoordelijkheid voor besluiten zo laag mogelijk in de organisatie moet liggen: link.
De 6de blog gaat over aantonen “wie je bent” loskoppelen van “wat je mag”: link.
De 7de blog gaat over aantonen enkelvoudige registratie van stamgegevens: link.

Bestuurders bij gemeenten hebben te maken met een groot aantal veranderingen die impact hebben op de informatievoorziening! Denk dan aan: de Wet Open Overheid, aanscherpingen in de informatiebeveiligingsstandaarden (BIO, NIS2), om nog maar te zwijgen over de invulling van de maatschappelijke opgaven waar we voor staan. Common Ground is daarbij geen nieuw onderwerp, maar de ontwikkelingen staan ondertussen op een kantelpunt van implementatie en ontwikkeling. Op het thema van de Common Ground verwacht VKA de komende tijd een stroomversnelling, daarom adviseren we om de Common Ground niet te laten ondersneeuwen binnen de bestuursagenda.

Als adviseurs van VKA komen wij bij diverse gemeenten over de vloer, groot en klein. Vaak staat Common Ground al een aantal jaren op de IV-agenda, maar is er concreet nog niet veel zichtbaar veranderd in het informatielandschap. Dat is verklaarbaar, aangezien Common Ground een ontwikkeling is die zich voor velen ver van hun eigen bed afspeelt. Daar komt verandering in en wij verwachten dat dit onderwerp de komende tijd steeds duidelijker en nadrukkelijker aan bod zal komen, zeker omdat een groeiend aantal “Common Ground compliant” oplossingen beschikbaar komen.

In deze blog(reeks) nemen wij, Dennis Peperkamp en Daan Smits, je mee in de wereld van Common Ground en pogen wij Common Ground van het papier tot leven te laten komen. In deze eerste blog staan wij stil bij wat Common Ground is en waar we nu staan.

Wat is Common Ground?

Common Ground is begonnen als informatiekundige visie waarmee gemeenten de informatievoorziening eenvoudiger, flexibeler en slimmer inrichten. De basisgedachte van Common Ground is dat organisaties hun data loskoppelen van werkprocessen en applicaties (zie figuur 1 hieronder). Oplossingen vragen data op bij de bron en organisaties kopiëren niet langer data tussen verschillende systemen die de gegevens nodig hebben. Het idee is dat er één unieke, vastgestelde plaats is waar data is opgeslagen (Single-source-of-Truth). Wanneer een proces dan specifieke gegevens nodig heeft, is bekend waar deze gegevens zijn opgeslagen binnen het IV-landschap en kunnen gebruikers deze efficiënt, via een communicatie-laag, raadplegen.

Tot nu toe zien we dat applicaties zowel het proces ondersteunen, als de gegevens opslaan en verwerken. Hierdoor ontstaat de situatie dat gegevens worden gekopieerd, opgeslagen en gesynchroniseerd in verschillende systemen, wat veel kosten, risico’s en fouten met zich meebrengt. Common Ground helpt gemeenten om deze kosten en fouten te verminderen (of zelfs te voorkomen) én biedt kansen om diensten te vernieuwen en te verbeteren. Ook vraagt het een flinke verandering van (functioneel) beheerders en data eigenaren om conform Common Ground met gegevens en applicaties om te gaan.

Figuur 1 – Stroomlijnen data opslag volgens Common Ground (Bron: VNG https://vng.nl/artikelen/common-ground-bouwen-op-dezelfde-basis

Waar staan we nu?

Het onderwerp Common Ground is zeker niet nieuw. Het is al enige tijd een (vooral) theoretische oefening waar informatiespecialisten mee bezig zijn. Zoals eerder benoemd staan we op een kantelpunt. Common Ground is nog volop in ontwikkeling, maar er zijn al flinke stappen gezet richting realisatie. Er zijn verschillende projecten gestart die de principes van Common Ground toepassen in de praktijk, zoals: Haal Centraal, NLX en Signalen. Ook het Common Ground netwerk, waarin afgevaardigden van gemeenten kennis en ervaringen delen en samenwerken aan de verdere ontwikkeling van Common Ground krijgt meer tractie. In de komende paar jaar gaan we zien dat Common Ground meer vorm en inhoud krijgt.

(Voorlopige) Conclusie

Het is tijd dat dit onderwerp op de agenda van de gemeente en haar bestuur staat. De ontwikkeling en uitrol van Common Ground heeft gevolgen voor de manier waarop de gemeente haar dienstverlening organiseert en de rol als informatiebeheerder vervult (hier staan wij in een volgend blog uitvoeriger bij stil). Deze verandering vraagt om een nieuwe mindset, een andere cultuur en een andere manier van samenwerken binnen en buiten de gemeente.

Heeft u vragen of wilt u graag meer informatie, neem dan contact op met Daan Smits via daan.smits@vka.nl of met Dennis Peperkamp via dennis.peperkamp@vka.nl. We gaan graag met u in gesprek.

Een digitale businessstrategie (DBS) vormt een belangrijk onderdeel van of aanvulling op de businessstrategie van een organisatie. De DBS biedt een stip op de horizon en een aanpak om met de juiste digitale middelen de producten en diensten van uw organisatie te leveren. Kent uw organisatie een digitale businessstrategie? Wanneer was de laatste keer dat u deze heeft herijkt? Hoever kijkt u vooruit? De ontwikkelingen in de informatievoorziening gaan snel: technisch, maatschappelijk, juridisch. Als alles snel verandert, is het opstellen van een meerjaren DBS dan wel zinvol?  Ik vind van wel en ga uitleggen waarom.

Eerder dit jaar las ik het boek ‘Einde van Strategie!?’ van A.P. de Man c.s. In het boek behandelen de auteurs het nut, de noodzaak en de aanpak van het opstellen van een meerjaren (business)strategie in tijden waarin verandering de enige constante is. Een mooie vraag waarbij de auteurs een afgewogen oordeel vellen en ik een drietal noties uithaal: in veranderlijke tijden is het nodig om ver vooruit te kijken om onderliggende trends in de maatschappij te begrijpen en deze onderdeel te maken van het doel (de zingeving) en de strategische thema’s van de organisatie. De businessstrategie zelf zal het karakter van een roadmap op hoofdlijnen krijgen anders dan een omvangrijk stuk proza. De auteurs adviseren om regelmatiger dan voorheen de businessstrategie bij te werken om recente ontwikkelingen en inzichten te verwerken. Met deze samenvatting in mijn eigen woorden ben ik niet compleet maar voor mij is dit wel de essentie.

De auteurs geven in het boek duidelijk aan dat de businessstrategie (over de markt waarin de organisatie actief is) een andere is dan de corporate strategie (in welke markt zou de organisatie actief moeten zijn) of een functionele strategie (die ingaat op een deel of bepaald facet van de organisatie). Toch maakt het me nieuwsgierig of een voorzichtige vertaling van de bovengenoemde drie inzichten naar een meerjaren digitale businessstrategie mogelijk is (een functionele strategie).

1. IT Trends als onderdeel van zingeving

De ontwikkelingen in de IT-industrie gaan snel en zijn veelvormig. Cloud (technologie, businessmodellen en aan-/besturing), data en AI, quantum computing, blockchain, …de lijst is nog veel langer te maken. Industrieanalisten als Gartner doen hun best om met hype cycles en magic quadrants de ontwikkeling van de technologie en de toepassing ervan in de echte wereld in te schatten en aannemelijk te maken binnen een bepaalde tijdshorizon. Het scheiden van de hype en de praktische toepasbaarheid op grote schaal is altijd lastig, evenals het tempo inschatten waarmee een nieuwe technologie verspreidt.

Of technologische ontwikkelingen op dezelfde manier als maatschappelijke ontwikkelingen onderdeel zijn te maken van het doel van de organisatie lijkt mij minder voor de hand liggend. Uiteraard zal de leverancier de technologie de markt in pushen. Ook zullen er altijd innovators/ early adaptors zijn die de technologie snel omarmen en eveneens pushen en wellicht als doel op zich maken. Voor grootschalig gebruik en toepasbaarheid zal de benadering van veel organisaties toch vooral zijn gebaseerd op het uitgangspunt van ‘proven technology’, zoals bij de overheid.

Als gevolg hiervan zal IT-technologie minder vaak onderdeel uitmaken van het doel, de zingeving van een organisatie. Als strategisch thema is het echter zeer belangrijk gezien de grote impact van IT-technologie op de producten, diensten en bedrijfsprocessen van een organisatie en diens klanten, leveranciers en ketenpartners. Een actieve radar op technologische ontwikkelingen aan de horizon en bijvoorbeeld de inzet van innovatiepilots als onderdeel van de digitale businessstrategie is m.i. een must.

2. Een roadmap op hoofdlijnen

In het verleden heb ik vaker mijn gedachten laten gaan over de IT-strategie of digitale businessstrategie. Daarin belichtte ik bijvoorbeeld het aansluiten van de DBS op de behoefte van ‘de business’ en de rol van de DBS als aanjager voor digitale transformatie en innovatie op basis van technologische ontwikkelingen. Om een DBS uitvoerbaar, begrijpelijk en communicabel maken vraagt het om een ‘light’ product zonder al te veel vaktaal. Principes, richtinggevende uitspraken (streefplaat) en een roadmap op hoofdlijnen vormen de basis die antwoord geeft op de vraag ‘wat we gaan doen?’ (of juist laten). De principes en richtinggevende uitspraken zijn bij uitstek geschikt voor het leggen van de relatie met het doel dat de organisatie voor ogen heeft met de inzet van IT-technologie en de verandering die het meebrengt voor medewerkers, klanten, leveranciers en samenwerkingspartners. Het portfolio van programma’s, projecten en activiteiten vormt uitvoering van en verdieping op de digitale businessstrategie. Deze werkwijze sluit aan op de observaties en conclusies uit het boek.

3. Regelmatig bijwerken

De afgelopen jaren is de manier waarop informatiesystemen worden ontwikkeld en geïmplementeerd ingrijpend veranderd. CASE tools voor het generen van software, geautomatiseerd testen en het deliverymodel via de cloud stellen softwareleveranciers in staat vrijwel continu nieuwe functies beschikbaar te stellen. De wijze waarop dat gebeurt is iteratief, met veel input van klanten en doorlopend anticiperend op wijzigende behoefte dan wel wijzigende technologische mogelijkheden.

De agile manier van werken dringt in het IT-domein verder door dan alleen de uitvoering in agile teams. Met frameworks als SAFe raakt het iteratief werken ook aan definiëren van strategische thema’s, portfoliomanagement en het (lean) toekennen van budget. Hierbij geldt wellicht een omgekeerde redenering: veel organisaties zijn (bijna) volledig afhankelijk van IT. Dat geldt ook voor hun klanten, leveranciers en ketenpartners. De iteratieve werkwijze in het IT-domein voor het maken van plannen en het stellen van prioriteiten zal daardoor medebepalend zijn voor de werkwijze van het maken van plannen en stellen van prioriteiten in de business. Regelmatig bijwerken, bijvoorbeeld tweemaal per jaar, is dus zeker van toepassing op de digitale businessstrategie en mogelijk een drijvende kracht om dat ook voor de businessstrategie te doen.

Tenslotte

Ik begon deze blog met de vraagstelling Als alles snel verandert, is het opstellen van een meerjaren DBS dan wel zinvol? Wat mij betreft wel. Door ver vooruit te kijken en de trends te doorgronden. Deze geven in principes en richtinggevende uitspraken een stabiele vorm aan de stip op de horizon (streefplaat). Door uitvoering te geven aan de koers met een concrete roadmap van programma’s, projecten en activiteiten. Neem de DBS regelmatig onder de loep en werk deze bij op basis van de nieuwe inzichten.

Is uw organisatie toe aan een nieuwe of vernieuwde digitale businessstrategie en wilt u onze aanpak bespreken? Neem dan contact met mij op via ruud.boot@vka.nl of met Joost van Lier via joost.vanlier@vka.nl. We gaan graag met u in gesprek.

In deze serie van blogs sta ik stil bij de nog steeds geldige informatiekundige constructieprincipes die garant staan voor betere “informatiebouwwerken”. Ze zijn soms, in de vaart van de voortschrijdende technologie, een beetje vergeten. Met als gevolg soms wankele of slecht onderhoudbare en uitbreidbare “informatiebouwwerken”. Deze keer over de noodzaak van het enkelvoudig vastleggen van stamgegevens en de uitdagingen die dit oplevert ten aanzien van gebruik. Is kopiëren een probleem?

Verschillende soorten gegevens

Gegevens zijn er in verschillende soorten als je ze beziet vanuit de informatiehuishouding van een organisatie.

Stamgegevens (of masterdata) zijn de kerngegevens over personen, adressen, producten, artikelen en alle andere objecten waar een organisatie steeds opnieuw gegevens van gebruikt bij het vastleggen van processen of transacties. Stamgegevens wijzigen zelden en vormen de vaste gegevens van een object (als stamgegevens wel wijzigen – iemand wijzigt bijvoorbeeld zijn achternaam of de kleur van een voertuig wijzigt – is het van belang om ook de relatie tussen de oude en nieuwe stamgegevens te bewaren zodat duidelijk is dat het nog over hetzelfde object gaat! Maar het voert te ver om dit aspect van stamgegevensbeheer hier nu uit te werken).

Stamgegevens kan een organisatie zelf beheren (intern) of van een andere organisatie of externe bron betrekken; we spreken dan van referentiele gegevens; stamgegevens die buiten de eigen organisatie worden beheerd en onderhouden. Denk bijvoorbeeld aan een lijst met landencodes. Maar ook de basisregistratie personen (BRP) bevat, bezien vanuit een afnemer, de referentiele gegevens van een persoon voor die afnemer. En de BRP zelf gebruikt weer de BAG om adressen als extern stamgegeven aan een persoon te koppelen. Hier ontstaan ook de problemen als iemands woonadres als een stamgegeven wordt beschouwd. Strikt genomen is het dat niet want het kan wijzigen. De vastlegging van het woonadres van een persoon is een transactiegegeven. De basisregistraties bevatten dus ook transactiegegevens![1]

Alle vastgelegde transacties, zoals orders, leveringen, facturen, of levensgebeurtenissen bevatten transactiegegevens. Deze zijn een momentopname van een gebeurtenis of rechtsfeit en beschrijven specifiek die gebeurtenis als gestolde werkelijkheid. Ze zijn opgebouwd uit de combinatie van stamgegevens/referentiele gegevens en gegevens die de transactie beschrijven. Bijvoorbeeld als iemand gehuwd is, verhuisd is of een diploma heeft behaald.

De beschrijving van de hele gegevensverzameling  zelf noemen we metagegevens. Dit is een belangrijk onderdeel van de “administratie” van gegevens.

Tenslotte kan vanuit de registratie van de transactiegegevens een analyse worden gedaan om te komen tot nieuwe gegevens; analysegegevens (trends, verbanden etc). Bijvoorbeeld het feit dat een klant dit jaar tien bestellingen heeft gedaan of dat de omzet in een periode met 10% is gestegen.

Gegevens als geregistreerde afspiegeling van de werkelijkheid

In een registratie vormen gegevens een afbeelding van een gebeurtenis in de werkelijkheid. Het doel van de registratie bepaalt wat we van de werkelijkheid willen vastleggen. Verschillende organisaties (of afdelingen binnen een organisatie) kunnen van hetzelfde object verschillende gegevens registreren. Wel kunnen ze afspreken dat dezelfde set stamgegevens van het object wordt gebruikt. Ziedaar een toepassing van de basisregistraties als het om de geregistreerde objecten gaat; personen, bedrijven, voertuigen, adressen. De stamgegevens in de basisregistraties vormen referentiele gegevens voor de transacties van een dienstverlener (dat de basisregistraties ook transactiegegevens bevatten laat ik hier verder buiten beschouwing maar verdient een aparte discussie. Je wil die soorten gegevens eigenlijk niet vermengen).

Het belang van enkelvoudige registratie zit in de wens dat van één object maar op één plek de stamgegevens worden bijgehouden zodat dit aspect van de werkelijkheid hetzelfde is voor alle afnemers (intern en extern) en de afnemer ook weet dat het over hetzelfde object gaat. Afnemers mogen de stamgegevens of referentiele gegevens niet wijzigen, alleen gebruiken, en noodzakelijke aanpassingen mogen alleen worden doorgevoerd door de bronhouder of beheerder van de stamgegevens. Verkeerde gegevens moeten worden gemeld aan de bronhouder zodat de actualiteit voor alle afnemers op peil blijft.

Stamgegevens dupliceren of niet?

In de praktijk roept enkelvoudige registratie een paar vragen op. Mag je referentiele gegevens in je eigen informatiehuishouding vastleggen als kopie? Is er dan nog sprake van enkelvoudige vastlegging? En als ik de gegevens zelf niet registreer kan ik dan vertrouwen op de kwaliteit en beschikbaarheid van de bron?

Het uitgangspunt is dat stamgegevens actueel moeten zijn als je ze gebruikt bij een transactie voor een juiste  weergave van de werkelijkheid. Als je ze zelf beheert heb je die actualiteit zelf in de hand. Maar wat als je ze bij een ander betrekt?

Niet dupliceren maar verwijzen!

Een bekend oud NORA-architectuurprincipe luidde “Enkelvoudige vastlegging meervoudig gebruik”. Dit is inmiddels vervangen door “Informeer bij de bron”. Hieraan is door de NORA de implicatie verbonden dat je beter kunt verwijzen naar die brongegevens in plaats van een kopie uit die bron vast te leggen in je eigen administratie.

Dat klinkt logisch maar naar mijn mening moet je in veel gevallen wèl een kopie maken van de stamgegevens. De stamgegevens vraag je op een tijdmoment op om ze te registreren als onderdeel van een transactie. Dan moeten ze actueel zijn en daarna niet meer wijzigen. Zou je een verwijzing gebruiken die altijd naar het actuele gegeven verwijst dan kom je in de problemen als later de stamgegevens wijzigen want dan wijzigt ook je transactie en klopt deze niet meer met de werkelijkheid van toen. Denk aan mensen die hun achternaam wijzigen, een auto die wordt overgespoten etc.

Gebruik maken van een verwijzing naar de bron in plaats van lokaal vastleggen stelt zeer hoge eisen aan de bronhouder die de historie van een gegeven in de verwijzing moet meenemen en deze tot in lengte van dagen moet kunnen leveren met een beschikbaarheid die de afnemer vraagt.

Het betekent ook dat de eigenaar van de transactiegegevens niet een eigenstandige registratie kan voeren en voortdurend afhankelijk is van de bronregistratie. Hoe kun je dan de verantwoordelijkheid nemen voor de eigen informatiehuishouding?

Stamgegevens moet je kopiëren als ze onderdeel worden van transactiegegevens!

Niet verwijzen maar dupliceren!

Als stamgegevens actueel moeten zijn is het af te raden om een eigen kopie te gebruiken die eerder is “opgehaald”. Voor transacties geldt voor stamgegevens altijd het principe van “informeer bij de bron(houder)”. Je moet op dat moment synchroniseren met de registratie waarin de stamgegevens vastliggen. Maar er kan reden zijn om een eigen “kopie” van de stamgegevens bij te houden. Het gebruik van externe stamgegevens creëert namelijk een afhankelijkheid. Dit kan ongewenst zijn vanwege de gevraagde hoge performance of beschikbaarheid van een systeem vanuit het bedrijfsproces.

Het is dan zaak om de eigen kopie synchroon te houden met de bron. Dat kan technisch op vele manieren en de eisen aan de actualiteit bepalen dan meestal welke manier  de beste is. Bijvoorbeeld een push door de bronhouder van gewijzigde gegevens zodra die worden geregistreerd naar de kopie. Of een periodieke synchronisatie met een frequentie die voldoende is voor de actualiteit die het proces vraagt (eenmaal per 24 uur bijvoorbeeld).

Tenslotte moeten bronhouder en afnemers sluitende organisatorische en juridische afspraken maken om elkaars registratie te gebruiken en te vertrouwen op de gegevenskwaliteit (in geval van de basisregistraties zelfs vastgelegd in wetten en twaalf eisen). Dit kost soms meer inspanning dan het zelf registreren van stamdata. In het uiterste geval zal een organisatie toch kiezen voor eigen registratie als de kwaliteit en beschikbaarheid van de referentiele gegevens onvoldoende is voor het eigen proces.

Conclusie

Stamgegevens op één plek registreren en beheren als uitgangspunt staat buiten kijf (mits ze de vereiste kwaliteit hebben). Maar mag je  stamgegevens dupliceren? Het hangt ervan af! De informatiekundige moet zich bewust zijn van de eisen die het proces stelt aan de actualiteit van een intern of extern stamgegeven en op basis daarvan zijn ontwerpkeuze maken. Naast actualiteit spelen ook performance (tijdigheid), beschikbaarheid en legitimiteit (verantwoordelijkheid) een rol. En de kosten en baten. Eén centrale ICT-voorziening die voor alle afnemers voldoet, is een architecturale utopie en in de praktijk niet mogelijk.

[1] Merk op dat in het stelsel van basisregistraties het gebruikte begrip “authentiek gegeven” niet in deze indeling voor komt. Dit is gedefinieerd als een gegeven dat in een basisregistratie is opgenomen en dat bij wettelijk voorschrift als authentiek is aangemerkt. Het kan zowel een stamgegeven, een referentieel gegeven als een transactiegegeven zijn! Referentiele gegevens die uit een bron buiten het stelsel komen (zoals postcodes) worden in de basisregistraties een “niet-authentiek gegeven” genoemd.

Andere blogs uit deze serie:

De 1ste blog, over betekenisloze identiteitsaanduiding, lees je hier.
De 2de blog gaat over het principe van ontkoppelpunten in het ontwerp en lees je hier.
De 3de blog gaat over eenduidige en consistente taal: link.
De 4de blog gaat over verantwoordelijkheidsverdeling en functiescheiding: link.
De 5de blog gaat over dat de verantwoordelijkheid voor besluiten zo laag mogelijk in de organisatie moet liggen: link.
De 6de blog gaat over aantonen “wie je bent” loskoppelen van “wat je mag”: link.
De 8de blog gaat over data en metadata scheiden in opslag en verwerking: link.

Voel jij je ook vaak overweldigd door een gebrek aan tijd, te veel taken en een gebrek aan focus? Ben je constant bezig met verschillende dingen tegelijkertijd en stel je belangrijke taken uit? Dan is een Agile werkwijze misschien wel de oplossing, zelfs als je geen software ontwikkelt. Lees verder en ontdek hoe je met Agile meer grip kan krijgen op je werk en effectiever te zijn, ongeacht je vakgebied.

Wat is Agile werken?
Agile is een benadering van projectmanagement en productontwikkeling. Het is gebaseerd op het Agile Manifesto, een document dat al in 2001 werd opgesteld door een groep softwareontwikkelaars. Agile biedt een iteratieve en adaptieve aanpak, waardoor organisaties, afdelingen en individuen sneller kunnen reageren op veranderingen en zich gemakkelijk kunnen aanpassen aan nieuwe inzichten en klantbehoeften. Binnen agile splitsen gebruikers taken in kleine, behapbare stukken die direct resultaat leveren, in plaats van maandenlang te werken aan een groot project zonder mogelijkheid van tussentijdse feedback.

Dit maakt het eenvoudiger om te focussen op de zaken die ertoe doen en voorkomt alles tegelijk proberen te doen. Agile werken stimuleert een cultuur van continue verbetering. Door regelmatig te reflecteren op de eigen werkwijze en continu te zoeken naar manieren om efficiënter te werken, verhoogt het werken met een agile werkwijze de productiviteit. Al deze onderdelen kunt u ook toepassen buiten de IT, op ‘normaal’ werk, om dit efficiënter te maken.

Waarom Agile werken buiten de IT?
Agile werken heeft een aantal eigenschappen die het geschikt maken voor toepassingen buiten de IT. Laten we kijken naar redenen waarom Agile werken waarde kan toevoegen in andere domeinen:

– Snel verkrijgen van feedback en eerder leren van je fouten: Een Agile werkwijze maakt het mogelijk eerder te leren van fouten door snel verkrijgen van feedback. Agile stimuleert regelmatige feedback in evaluaties. Dit leidt tot snellere identificatie van fouten en verbeterpunten. Door regelmatig contact met klanten, gebruikers en belanghebbenden, krijgen teams snel inzicht in wat wel, en wat niet, werkt. Hiermee kunnen organisaties de aanpak en producten direct aanpassen. Of het nu gaat om productontwikkeling, evenementorganisatie, klantenservice of marketingcampagnes, feedback stelt teams in staat hun werk voortdurend te valideren en aan te passen aan de behoeftes van dat moment. Dit bevordert een cultuur van voortdurend leren en verbeteren, waardoor je als organisatie waarde kunt blijven toevoegen aan je product of dienst.

– In staat zijn snel aanpassingen te doen: In een wereld waarin verandering de enige constante is, is het vermogen om snel te reageren op veranderingen essentieel. Agile werken biedt met het iteratief werken een flexibele aanpak waarmee teams snel kunnen inspelen op veranderingen in de omgeving en nieuwe inzichten tijdens het project. Deze flexibiliteit maakt het mogelijk om prioriteiten snel aan te passen.

– Het team staat centraal: Agile werken legt de nadruk op zelfsturing en samenwerking in de organisatie met alle stakeholders. Elk teamlid wordt aangemoedigd om verantwoordelijkheid te nemen voor het werk en om openlijk te communiceren over eventuele problemen of fouten die ze tegenkomen. Het stimuleert multidisciplinaire teams die samenwerken aan hetzelfde doel. Deze aanpak kan waardevol zijn op verschillende plekken in de organisatie. Door silo’s te doorbreken en teams te laten samenwerken, kunnen organisaties synergie creëren en betere resultaten behalen.

– Frequent behalen van resultaat: Door de iteratieve aanpak van Agile is een team of organisatie in staat om periodiek met resultaten te boeken. Over het algemeen genomen duurt het boeken van eerste resultaten twee tot vier weken.

Hoe Agile werken buiten de IT toe te passen?
Hoe moet je dan agile werken toepassen, als je niet in een IT-omgeving werkt? Hieronder hebben we vier adviezen opgenomen:

– Maak een lijst van taken en doelen: Identificeer alle taken en doelen die het projectteam willen realiseren. Zorg ervoor dat de doelen duidelijk zijn geformuleerd en dat de gewenste resultaten zijn gespecificeerd. Prioriteer; bespreek met het team welke van deze taken en doelen het belangrijkst zijn voor de organisatie of de klant en voer deze taken en doel als eerste uit.

– Schat de tijd in: Bepaal of het haalbaar is om al het werk binnen een periode van twee tot vier weken af te ronden. Als dat niet het geval is, overweeg dan het werk op te delen in iteraties. Elke iteratie moet een kort tijdsbestek hebben van minimaal 1 week en maximaal 4 weken, waarin het team een sub-taak of een aantal taken kan afronden.

– Kies een geschikte Agile-methode: Overweeg samen met het team welke Agile-methode het beste past om de voortgang van het werk te bespreken en te volgen. Enkele voorbeelden van Agile-methoden zijn Kanban of de Scrum-methodiek, met bijbehorende stand-ups (dagelijkse korte bijeenkomsten) en retrospectives (evaluaties). Het is ook mogelijk een combinatie van Agile-methoden te gebruiken, aangepast op de cultuur en inrichting van de organisatie.

– Evalueer en verbeter continu: Bespreek eventuele lessen die zijn geleerd en pas deze toe in de volgende iteratie. Door regelmatig te evalueren en verbeteringen door te voeren, is het team in staat steeds efficiënter en steeds betere resultaten te realiseren met meer waarde voor de klant of afnemer.

Gedragsverandering, moet ik daar nog wat mee?

Gedragsverandering is cruciaal bij het implementeren van Agile werken, omdat het de mindset, samenwerking en uitvoering van taken transformeert. Agile vereist een aanpassing van de mindset naar flexibiliteit, open communicatie, zelforganisatie en continue verbetering. Dit betekent het loslaten van traditionele hiërarchieën – sturing- en verantwoordingslijnen – in de organisatie en het omarmen van een cultuur van vertrouwen en empowerment. Het kan nuttig zijn een Agile coach in te schakelen of een training te volgen, om als team te leren wat er nodig is voor het succesvol implementeren en behouden van een Agile werkwijze op de lange termijn.

Kortom, Agile werken is niet beperkt tot de IT-afdeling en biedt zeker ook waarde en voordelen voor andere vakgebieden en domeinen. Het stelt teams in staat om snel feedback te verkrijgen, te leren van fouten en flexibel te reageren op veranderingen. Door de nadruk te leggen op samenwerking, zelfsturing en het behalen van frequente resultaten, werken teams en organisaties efficiënter en behalen zij betere resultaten.

Deze blog is onderdeel van een serie blogs, die gebaseerd zijn op een onderzoek in samenwerking met Universiteit Leiden. Wil je meer weten over de inzet van agile werken binnen jouw afdeling of organisatie? Neem dan contact op met Mitch Knoop: mitch.knoop@vka.nl of Aart-Jan Eenkhoorn: aartjan.eenkhoorn@vka.nl.

ChatGPT. Wie heeft er nog niet van gehoord. Je hoort erover op de radio, in de wandelgangen, van LinkedIn-guru’s en zelfs op familieborrels en verjaardagsfeestjes. Maar wat is ChatGPT en is het werkelijk een oplossing die je voor van-alles-en-nog-wat kunt gebruiken?

Wie hier blindelings op vertrouwt komt bedrogen uit. Dat wordt begrijpelijk als je je verdiept in wat ChatGPT eigenlijk is.

Achterliggende techniek ChatGPT in een notendop

ChatGPT is een Large Language Model (LLM), ook wel een taalmodel. Dit is een model dat een hele grote hoeveelheid tekst (trainingdata) analyseert en daar zelf verbanden in zoekt. Deze verbanden ontstaan tussen woorden en concepten, ook wel groepjes woorden, bijvoorbeeld het concept ‘glazen plafond’. Waar ‘glazen’ misschien associaties opwekt zoals ‘limonade’ en ‘plafond’ iets als ‘kamer’, koppel je de combinatie eerder aan ‘loopbaan’. Vervolgens verbindt het algoritme met behulp van deep learning gewichten aan de verbanden.

Aan de hand van een gebruikersvraag (ook wel prompt genoemd), kan het model de volgende woorden voorspellen op basis van de gewichten en woord-verbanden.

De voorspelling van het model klinkt hoogstwaarschijnlijk als een goed lopende zin. Echter, de betekenis die wij als mensen aan woorden geven, neemt het model niet mee. Het model controleert dus niet de feitelijke juistheid van de tekst. Plat gezegd zorgt een taalmodel er alleen voor dat een zin tekstueel goed loopt, ook al zou het inhoudelijk onzin zijn.

Gebruik van ChatGPT

Terug naar ChatGPT. Dit model is getraind op miljarden teksten uit alle hoeken van het internet (tot en met 2021). Dit houdt in dat als er genoeg verbanden over een specifiek onderwerp in de trainingsdata staan, ChatGPT er goed klinkende tekst van kan maken. Realiseer je dus dat ChatGPT, als taalmodel, geen rekening houdt met de betekenis van de woorden.

Wanneer je ChatGPT een vraag stelt over een domein waar je weinig van weet dan klinkt de reactie waarschijnlijk intelligent vanwege de goede zinsopbouw. Zodra je focust op jouw eigen expertises is het mogelijk dat je gebreken tegenkomt.

We horen je denken, maar waar kan ik een taalmodel, zoals ChatGPT, dan wel goed voor gebruiken? Taalmodellen kunnen een stuk tekst voor je vertalen, met name doordat het model bekend is met de onderlinge woordverbanden in iedere taal waarop het getraind is. De uiteindelijke vertaling kijkt niet naar de inhoud van de tekst, maar naar in hoeverre dit samenspel van woorden natuurlijk voorkomt.

Ook kun je ChatGPT een opzet laten genereren voor een tekst binnen een domein waar je zelf deskundig in bent. Neem bijvoorbeeld de opzet van een projectvoorstel. Je hebt zo’n gelijksoortig stuk waarschijnlijk al verschillende keren geschreven, dus je weet precies hoe het eruit moet zien. Toch kun je aanlopen tegen een writer’s block, moeite hebben met heldere formuleringen of krap in je tijd zitten. In zo’n geval zou ChatGPT kunnen helpen met een opzetje.

Ongeacht de toepassing is het van belang dat je beschikt over kennis en expertise van het onderwerp waarvoor je taal laat generen. Hierdoor ben je zelf in staat de gegenereerde tekst te controleren op correctheid.

Conclusie

Kortom: ChatGPT stelt je in staat om efficiënter te doen wat je al kunt. Zolang je kwaliteit wilt borgen, stelt ChatGPT je niet in staat om dingen te doen die je zonder hulp ook niet kan. Wij adviseren dan ook nooit een tekst direct over te nemen van een LLM maar deze zelf, of door een andere expert op het desbetreffende vakgebied, te laten controleren. Verantwoord gebruik van oplossingen zoals ChatGPT vereist expertise.

Daan Smits en Jules van den Berg zijn consultants bij VKA. Al tijdens hun studie, maar nu bij de uitvoering van opdrachten nog veel meer, adviseren zij over het gebruik en de inzet van AI. Wil je met hen van gedachten wisselen over de inzet en het gebruik van AI? Neem dan contact met op met Daan Smits of Jules van den berg.

Ongeveer 4 op de 5 overnames of fusies (M&A’s) blijkt achteraf een mislukking te zijn geweest[1] – [2]. Dit is een flink aantal en het roept de vraag op waarom zoveel organisaties zich eigenlijk nog bezighouden met M&A activiteiten. In deze blog ga ik dieper in op vijf verschillende reden waarom M&A’s mislukken en wat organisaties op IT-vlak kunnen doen om de kans op een mislukking te minimaliseren.

Om meteen maar met de deur in huis te vallen; de vijf meest voorkomende redenen waarom het vaak mis gaat bij een overname of fusie zijn als volgt:

1. Een onvolledige en/of gebrekkige (IT) due diligence;
2. Overschatting: het overschatten en het té optimistisch zijn over de voordelen die de overname of fusie kan opleveren;
3. Ontbrekende fit: op zowel het gebied van cultuur als strategisch;
4. Te veel focus op integratie;
5. Een slecht gemanagede (IT) integratie.

Het belang van IT due diligence
De eerste drie redenen waarom een overname of fusie mislukken hangen samen met het uitvoeren van een goede due diligence. In vrijwel alle M&A trajecten voeren organisaties een due diligence uit aan het begin. Daar is niks mis mee, sterker dat raden we aan! Maar er is een verschil tussen ‘doing the right things’ en ‘doing the things right’.

Wat wij in de praktijk zien is dat organisaties due diligence trajecten niet zorgvuldig of compleet uitvoeren. Vaak beperkt een due diligence zich tot operationele en financiële data en zien organisaties IT over het hoofd. Systemen en applicaties worden dan nog wel vaak meegenomen, maar het belang van topics zoals hoe om te gaan met het ‘alignen’ van business en IT-strategieën (wat is de strategie? Hoe zien de roadmaps eruit? Wat zijn toekomstige plannen op het gebied van technologie?), maar ook culturele verschillen zoals bijvoorbeeld een agile werkende DevOps machine versus een ouderwetse waterval aanpak worden vaak onderschat en niet grondig onderzocht.

Daarnaast voeren organisaties due diligences vaak gefragmenteerd uit en is het lastig om een compleet beeld te krijgen van het IT-landschap in samenhang met andere bedrijfsfuncties. Het uitvoeren van een complete due diligence is lastig, maar niet onmogelijk…

De IT-integratie
Reden nummer vier en vijf waarom overnames of fusies mislukken hangen samen met het uitvoeren van de integratie. In veruit de meeste M&A’s is er sprake van integratie, echter in de praktijk blijkt dat organisaties de integratie niet goed plannen en managen, vooral op het gebied van IT.

Kijkend naar het technologie aspect, moeten er werkzaamheden gebeuren op het gebied van technologie platformen, infrastructuur en netwerken in termen van consolidatie, rationalisatie en standaardisatie. Dit is niet simpel, maar mits goed uitgevoerd kan het op den duur een hoop kosten besparen. Ook op het gebied van data moet het een en ander gebeuren: beide organisaties hanteren verschillende data standaarden en modellen die op elkaar moeten worden geplot en moeten uiteindelijk leiden tot het hanteren van gelijke definities en gezamenlijke dataregisters. En dan zijn we nog niet eens begonnen over security, privacy en compliance: dezelfde control raamwerken en het implementeren en harmoniseren van beheersmaatregelen. Kortom, allemaal topics die ook in een goed uitgevoerde due diligence al naar voren moeten zijn gekomen.

In feite draait alles in het M&A traject om het uitvoeren van de integratie. In de praktijk wordt met name de IT-integratie niet goed gepland en dat is zonde, want als je als organisatie dit niet goed aanpakt, is het niet meer dan logisch dat de overname of fusie uiteindelijk leidt tot een mislukking.

En hoe nu verder?
Ik snap dat je nu denkt: waarom zou ik mij überhaupt bezighouden met fusies en overnames als 4 op de 5 een mislukking blijkt te zijn? Het laten slagen van M&A’s is niet onmogelijk, immers 1 op de 5 overnames of fusies slaagt dus wel. In dit artikel (link) heb ik al het belang van architectuur bij fusies en overnames geduid. Daarbij is dus naast het goed plannen en managen van de IT-integratie, ook het zorgvuldig uitvoeren van een goede IT due diligence aan het begin heel belangrijk voor het laten slagen van het traject.

Heeft u hulp nodig bij het uitvoeren van een IT due diligence of is uw organisatie betrokken bij een (mogelijke) overname of fusie en wilt u hier vanuit een strategisch IT-perspectief met ons verder over praten? Dat doen we graag en vrijblijvend. Neem contact op met daan.vanhorssen@vka.nl of wilbert.enserink@vka.nl.

[1] https://chiefexecutive.net/increasing-odds-success-merger/

[2] J. McKendrick. Enterprise architects, the new heroes of mergers and acquisitions, 2021. https://www.zdnet.com/article/enterprise-architects-asked-to-take-the-lead-with-mergers-and-acquisitions/

In deze serie van blogs sta ik stil bij de nog steeds geldige informatiekundige constructieprincipes die garant staan voor betere “informatiebouwwerken”. Ze zijn soms, in de vaart van de voortschrijdende technologie, een beetje vergeten. Met als gevolg soms wankele of slecht onderhoudbare en uitbreidbare “informatiebouwwerken”. Deze keer over de voordelen van het zo laag mogelijk in de organisatie beleggen van de verantwoordelijkheid voor besluiten. Dat het mis kan gaan wordt elke dag bewezen in de oorlog van Rusland met Oekraïne waarin Russische soldaten blind de besluiten van bovenaf volgen terwijl die van Oekraïne innovatief zijn en lokaal handelen.

Is dit een informatiekundig onderwerp of gaat dit over de bedrijfsvoering? Als je over die vraag doordenkt dan is mijn  conclusie; de bedrijfsvoering hangt samen met de informatievoorziening en dus is besturing ook een informatiekundig onderwerp!

Afhankelijk van de impact van een besluit ligt dit op een niveau in de organisatie. Een fusiebesluit bijvoorbeeld is typisch een strategisch besluit. Maar wat gebeurt er als je de verantwoordelijkheid om te besluiten te hoog in de organisatie belegd? Dan moet over de “kleine” besluiten informatie worden overgedragen naar het besluitvormend niveau. Dat kost tijd en heeft het risico van interpretatiefouten door een samenvatting, van de samenvatting van de samenvatting. Het besluit verliest context en zegt op dat hogere niveau niet hetzelfde als op het niveau waar het thuis hoort. Daarnaast doet het iets met zingeving en motivatie zoals mooi beschreven in deze animatie: link.

Organisaties die operationeel sterk gericht zijn op wendbaarheid en snelle reactie, zoals de krijgsmacht en de politie maar ook een volgens agile principes werkende organisatie, zijn een goed voorbeeld waaruit blijkt dat beslissingsbevoegdheid zo laag mogelijk in de organisatie beleggen werkt. Een duidelijke doelstelling in combinatie met een gedeeld beeld van de situatie en met rapportage naar de coördinerende centrale eenheid levert het beste resultaat (zoals bij network centric warfare, of informatiegestuurd optreden of SAFe©). Daarbij neemt de centrale eenheid niet de operationele besluiten “op de grond” maar ze bewaakt aan de hand van feedback de doelstelling (commanders intent) en stuurt daarop bij. De neiging om op microniveau te gaan sturen wordt wel groter naarmate de operationele informatie ook beschikbaar komt op het strategische en tactische niveau. Maar die neiging moet het management onderdrukken. Tactische en strategische sturing zijn een tweede orde regelniveau en moeten zich dus richten op het bijstellen van de doelen en niet op sturen van de uitkomsten.

In organisaties met veel managementlagen zien velen het echec van de eindverantwoordelijke lijnmanager die wordt overladen met besluiten waar hij of zij eigenlijk te weinig van weet om inhoudelijk te kunnen beslissen. Dus komen er oplegnotities, minutes en andere mooie formats om het vraagstuk of besluit terug te brengen tot een behapbaar verhaal. Veel doublure aan informatie dus. De oorzaak van teveel aan informatie ligt ook vaak in controldenken, wantrouwen en het idee dat managers operationeel moeten sturen en niet hun verantwoordelijkheid kunnen nemen als ze teveel over laten aan lagere bestuurslagen. Door het mandaat voor besluiten zo laag mogelijk in de organisatie te beleggen maar tegelijk duidelijke aan te geven wat bereikt moet worden en afspraken te maken over de rapportage of feedback aan de hogere lagen, ontstaat een informatiehuishouding met minder doublures en meer transparantie.  Alle niveaus en besluiten voeden de informatiehuishouding met operationeel/transactionele gegevens waarmee het management in staat is om te sturen op de uitkomsten door middel van KPI’s en zo de organisatie te leren betere besluiten te nemen.

Het succes van Netflix is een voorbeeld van dit principe en wordt mooi beschreven in het boek “No rules rules”[1]. De kern van dat succes is een bedrijfscultuur die mensen boven procedures stelde, die meer nadruk legde op innovatie dan op efficiëntie en waarin heel weinig controle was. Deze cultuur, gericht op het bereiken van topprestaties door een competent medewerkersbestand en leidinggeven door context te geven in plaats van controle heeft Netflix in staat gesteld te groeien en mee te veranderen met de klantvraag.

Een typisch voorbeeld van een organisatie die vastloopt omdat besluiten niet op het operationele niveau mogen worden gemaakt is een op autoriteit en hiërarchie gebaseerde krijgsmacht zoals in Rusland of Noord Korea. Maar ook het Angelsaksische managementmodel is gevoelig voor dit vastlopen door indolentie en afwachten bij de uitvoerende medewerkers.

Een verkeerde mandaatregeling of beslissingsbevoegdheid heeft dus niet alleen invloed op het succes of falliet van een organisatie maar ook direct invloed op de informatiebehoefte en navenant op afstemmingsoverleggen en de controltoren. Als informatiekundige ben je vaak als enige in een positie om dit te signaleren en is het zaak die impact te duiden en te adviseren over een werkend ontwerp voor de besturing.

[1]  No Rules Rules | 9780753553664 | Reed Hastings

Andere blogs uit deze serie:

De 1ste blog, over betekenisloze identiteitsaanduiding, lees je hier.
De 2de blog gaat over het principe van ontkoppelpunten in het ontwerp en lees je hier.
De 3de blog gaat over eenduidige en consistente taal: link.
De 4de blog gaat over verantwoordelijkheidsverdeling en functiescheiding: link.
De 6de blog gaat over aantonen “wie je bent” loskoppelen van “wat je mag”: link.
De 7de blog gaat over enkelvoudige registratie van stamgegevens: link.
De 8de blog gaat over data en metadata scheiden in opslag en verwerking: link.

In deze serie van blogs sta ik stil bij de nog steeds geldige informatiekundige constructieprincipes die garant staan voor betere “informatiebouwwerken”. Ze zijn soms, in de vaart van de voortschrijdende technologie, een beetje vergeten. Met als gevolg soms wankele of slecht onderhoudbare en uitbreidbare “informatiebouwwerken”. Deze keer over de noodzaak van een duidelijke verantwoordelijkheidsverdeling en functiescheiding in de organisatie. Dat het mis kan gaan werd onlangs bewezen bij de gemeente Den Haag waar een medewerkster paspoorten kon vervalsen voor criminelen omdat functiescheiding onvoldoende was geborgd in de werkprocessen.

De administratieve organisatie (AO) is een belangrijk aspect van een betrouwbare en beheerste informatiehuishouding. Functiescheiding en een goede taakverdeling zijn basisvoorwaarden voor een adequate besturing en beheersing van een organisatie. Tegenwoordig zouden we het “governance” noemen. In veel gevallen wordt het gezien als iets voor de controller of accountant en vaak wordt het aspect alleen in verband gebracht met financiële risico’s en fraude maar het is meer dan dat. Het hangt nauw samen met dataregistratie en gebruik. En omdat data steeds kritischer wordt als bedrijfsmiddel of omdat misbruik grote gevolgen kan hebben is het de moeite waard om hieraan als informatiekundige aandacht te schenken bij de opzet van de informatievoorziening als geheel en de inrichting van “checks&balances” om te voorkomen dat “de slager zijn eigen vlees keurt”. By design dus.

Verantwoordelijkheidsverdeling

In veel organisaties is de vraag “wie gaat hierover” niet eenvoudig te beantwoorden als het om de informatie als bedrijfsmiddel gaat. (Eind)verantwoordelijkheid (of eigenaarschap) voor processen, begrippen, gegevens en systemen is dan niet gedocumenteerd. Hier speelt ook de eeuwige verdeling tussen lijnverantwoordelijkheid en domeinverantwoordelijkheid (of portefeuillehouders in de matrixorganisatie). De CIO of CDO zal vanuit de kaderstellende rol eisen stellen aan de informatiehuishouding maar de inhoudelijke eindverantwoordelijkheid voor een proces of gegeven zal bij een persoon in de lijn moeten liggen.

Het organiseren en vastleggen van eigenaarschap (of beter accountability) en beheer (of responsibility) in een RACI matrix is een middel om dit expliciet te maken. Want bij iedere verandering zal iemand het nieuwe proces, product, begrip, gegeven of applicatiecomponent moeten beoordelen en vaststellen of goedkeuren.

Een informatiekundige zal de verantwoordelijkheidsverdeling moeten kennen om ontwerpen te laten vaststellen door de juiste beschikkende functionaris.

Functiescheiding

Functiescheiding is gebaseerd op het creëren van belangentegenstellingen en voorkomt dat een enkeling verantwoordelijk is voor meerdere opeenvolgende kritische handelingen in een bedrijfsproces, die mogelijkerwijs tot onregelmatigheden kunnen leiden die niet tijdig en gedurende de normale procesgang ontdekt worden. Het is een preventieve controlemaatregel (net zoals automatische systeemcontroles en anti-virus software) die in de dagelijkse registratieve taken helpt om twee dingen te voorkomen:

– Bewust fraude plegen wordt ontmoedigd omdat hiervoor samenwerking van twee of meer personen nodig is.
– De kans dat onbedoelde fouten optreden door het handelen van één enkele medewerker, is geringer.

Er is volgens de BIO sprake van adequate functiescheiding indien:

– in de organisatie een helder beeld bestaat van kwetsbare handelingen en functies;
– de verschillende kwetsbare deelhandelingen worden uitgevoerd door verschillende werknemers;
– kwetsbare handelingen die niet kunnen worden opgesplitst in deelhandelingen en niet separaat kunnen worden uitgevoerd, in teamverband worden verricht (4-ogen principe).

Denk in dit kader bijvoorbeeld aan de kritische processen en registratie van identiteitenbeheer en autorisatiemanagement. Autorisaties in het systeem zijn dé manier om functiescheiding strikt in te richten. Uiteraard zal er ook altijd functiescheiding buiten het systeem bestaan, maar de inrichting van autorisaties biedt de mogelijkheid om scheiding echt af te dwingen en is bovendien een efficiënte controle. Echter, het komen tot een goede inrichting waarbij een volledige scheiding bestaat tussen de handelingen, kijkrechten/rapportages en tussen de verschillende afdelingen van de organisatie is lastig te realiseren. Dit is dus typisch een ontwerpvraagstuk dat van te voren moet worden overdacht bij het begin van het bedrijfsproces!

Bedenk dat voor verantwoordelijkheidsverdeling en functiescheiding een bepaalde functierol (beschikkende functie, registrerende functie, bewarende functie, uitvoerende functie, controlerende functie) altijd door een persoon wordt ingevuld. Een afdeling kan dus niet een dergelijke functie hebben!

Bij digitale transformatie van de organisatie en aanpassen van processen en informatievoorziening zijn verantwoordelijkheidsverdeling en functiescheiding belangrijke aandachtspunten. Natuurlijk zijn de CISO en de FG hierbij een kwaliteitsbewaker maar de informatiekundige zal zelf de voorgestelde inrichting conceptueel moeten ontwerpen en aanbieden voor een toets!

Andere blogs uit deze serie:

De 1ste blog, over betekenisloze identiteitsaanduiding, lees je hier.
De 2de blog gaat over het principe van ontkoppelpunten in het ontwerp en lees je hier.
De 3de blog gaat over eenduidige en consistente taal: link.
De 5de blog gaat over dat de verantwoordelijkheid voor besluiten zo laag mogelijk in de organisatie moet liggen: link.
De 6de blog gaat over aantonen “wie je bent” loskoppelen van “wat je mag”: link.
De 7de blog gaat over enkelvoudige registratie van stamgegevens: link.
De 8de blog gaat over data en metadata scheiden in opslag en verwerking: link.

Wat verwachten opdrachtgevers van complexe programma’s van de “lead architect”? Via AGConnect vind je mijn bijdrage aan dat vraagstuk waarbij de uitkomst van 15 interviews met opdrachtgevers is verwerkt tot een compacte conclusie.

Link naar het hele verhaal: link.

Gepubliceerd via

Noodzaak tot inzicht in ketenrisico’s 

Samenwerkingsverbanden tussen organisaties (overheid, bedrijfsleven, instellingen, etc.) zijn niet meer weg te denken in de huidige maatschappij. Overheden zoals inspectiediensten, omgevingsdiensten en veiligheidsregio’s werken samen voor bijvoorbeeld de vergunningverlening, toezicht en handhaving. Ziekenhuizen, huisartsen en apothekers voor verlenen van zorg en in het bedrijfsleven is de ‘supply chain’ voor levering van goederen van levensbelang. De afhankelijkheden waarmee verschillende gemeenten zijn geconfronteerd ten tijde van de Log4j kwetsbaarheid, en de ontwikkelingen in Oekraïne die de paraatheid van onze digitale weerbaarheid op de proefstellen, onderstrepen de afhankelijkheid en complexiteit van de ketens waar we onderdeel vanuit maken. 

Deze voorbeelden hebben een ding gemeen: er is een onderliggende informatievoorziening die alle partijen verbindt en die het mogelijk maakt om informatie met elkaar te delen, goederen te verschepen en diensten te leveren. Het oude gezegde ‘de ketting is zo sterk als zijn zwakste schakel’ gaat ook hier op: hoe veilig is de informatievoorziening in de keten en hoe stel je zeker dat alle schakels in de keten even sterk zijn?  

Handreiking ketenrisicoanalyse van de VNG 

De informatiebeveiligingsdienst (IBD) van VNG Realisatie onderkent het vraagstuk van de keten en heeft daarom een handreiking Ketenrisicoanalyse opgesteld. “Het doel van dit document is een handreiking te verschaffen voor gemeenten die in ketens samenwerken en die ketenrisico’s willen onderkennen en mitigeren”. Sinds januari 2022 is versie 1.0 voor algemeen gebruik beschikbaar, zie deze link. De handreiking sluit inhoudelijk aan op onder meer de Baseline Informatiebeveiliging Overheid (BIO) en de standaarden voor informatiebeveiliging ISO 27001 en ISO 27002. 

De handreiking biedt in vijf uitgewerkte stappen (en 13 activiteiten) een gedegen aanpak voor de ketenrisicoanalyse. Te beginnen met het bepalen van de scope. Daarna het beschrijven van de keten en de onderlinge afhankelijkheden in processen, systemen en interface. Voorts het bepalen van de impact van een verstoring in de keten en daarna een verdere verdieping voor het vaststellen van cyberdreigingen en risico’s. De laatste stap is het bepalen van de maatregelen en het opstellen van actieplannen. In de bijlagen zijn sjablonen, formats en checklists opgenomen.  

Uitgangspunten voor een ketenrisicoanalyse 

De aandacht die de IBD geeft aan het ketenvraagstuk is naar onze mening volledig terecht: we zijn als maatschappij enorm afhankelijk van ketens. In de vorm van talloze klant-leverancier relaties en in de vorm van coproductie van taken en diensten (ketenpartner-ketenpartner relaties). Ook gemeenten. Toch bekruipt ons bij de handreiking Ketenrisicoanalyse een ongemakkelijk gevoel. De voorgestelde aanpak is top down met alle ketenpartijen en dus omvangrijk. Wie gaat dat doen? Een gemeente maakt deel uit van vele ketens, welke pakt men op en welke (nog) niet? De IBD stelt zelf vast dat er vaak geen keteneigenaar is, wie gaat het starten en coördineren? 

De omvang van het werk en de coördinatielast schrikt af. Daarom pleiten wij voor de volgende uitgangspunten bij het uitvoeren van een ketenrisicoanalyse:  

1. Elke organisatie past een bottom up aanpak toe aanvullend op de top down aanpak voor de ketenrisicoanalyse. 
2. Een dergelijke bottom up aanpak is ingericht om kort cyclisch verbeteringen in onderdelen van de keten te identificeren, ontwikkelen, implementeren en te toetsen. 
3. Elke organisatie is verantwoordelijk voor de eigen informatiebeveiliging. 
4. Elke organisatie geeft inzage in haar beveiligingsniveau (tot het niveau waarop het van belang is voor de veiligheid van de keten). 
5. Individuele organisaties gaan bilateraal met elkaar in gesprek en dragen actief bij aan de beveiliging van de keten.

Vijf pragmatische acties voor de ketenrisicoanalyse 

Naast deze belangrijke uitgangspunten om succesvol aan de slag te gaan met ketenrisico’s geven we een vijftal pragmatische acties om toe te passen: 

1. Inventariseer welke interfaces/koppelingen met welke ketenpartner de organisatie heeft. Maak hierbij gebruik van bestaande risicoanalyses en/of business impact analyses. 
2. Selecteer één ketenpartner op basis van een voor jouw organisatie belangrijk criterium. Denk hierbij aan onder andere aan de mate van risico, zoals financiële schade of imagoschade. 
3. Bepaal het vigerende veiligheidsbeleid en het gehanteerde basis beveiligingsniveau (BBN) op de interfaces/koppelingen met deze ketenpartner. Bel de CISO van de samenwerkingspartner en maak een afspraak. Het is sowieso een goed idee om af en toe fysiek een kop koffie met elkaar te drinken 😊 
4. Bespreek gezamenlijk het toegepaste beveiligingsbeleid. Bespreek de achtergronden van eventuele verschillen en de keuzes die hieraan ten grondslag liggen. 
5. Het is natuurlijk mogelijk dat er een blijvend verschil van inzicht is over het toe te passen beveiligingsbeleid. Bepaal in dat geval om welke ketendiensten het gaat en betrek de andere ketenpartijen. Herhaal stap vier met alle ketenpartijen. 

Doen: oefenen en testen van maatregelen 

Tenslotte, er is geen kwetsbaarheid die wacht totdat de ketenrisicoanalyse is uitgevoerd. Er is geen crisis die exact verloopt zoals in een business continuity plan of resilience playbook beschreven is. Met andere woorden ‘The proof of the pudding is in the eating’. Ons advies dan ook om als onderdeel van onze bottom up aanpak, zo snel mogelijk aan de slag te gaan met het oefenen en testen van de maatregelen die bijdragen aan de beheersbaarheid en weerbaarheid van de keten. 

Wilt u meer weten over samenwerkingsverbanden, risicoanalyses en/of oefenen en testen van maatregelen?  Of wilt u aan de slag met de vijf acties en zoekt u daarbij ondersteuning? Neem contact op met ruud.boot@vka.nl.  

In een wereld waarin vrijwel iedere organisatie in toenemende mate afhankelijk is van haar informatievoorziening, is het essentieel om gericht aandacht aan digitalisering te besteden en dit vast te leggen in een plan. Toch zijn er veel organisaties die ervoor terugdeinzen, met een spook uit het verleden voor ogen: de IT-strategie – dik, abstracte taal, onduidelijk tot stand gekomen en te weinig relatie met de kern van de activiteiten van de mensen in de organisatie.

Zo ontstaat er toch een rare paradox. Want ondanks het veelvoorkomende gebrek aan planvorming komen we in veel gesprekken bij onze opdrachtgevers eigenlijk niemand tegen die het belang van IT niet onderschrijft: iedereen beseft hoe belangrijk informatievoorziening is (en de hele stapel van technologie en business modellen die ervoor nodig is om ‘het’ werkend te krijgen) en dat het noodzakelijk is om op een gestructureerde wijze een plan te trekken. Een plan voor digitalisering helpt bij het identificeren van risico’s, maakt globale ideeën en doelen concreet en maakt het mogelijk dat de neuzen dezelfde kant op komen te staan.

Nog geen digitale business strategie

Waarom dan toch die terughoudendheid van organisaties? De verbinding met ‘de business’ is een cruciale factor en juist die verbinding blijkt in de praktijk zo lastig. Voorop staat het verbeteren van de resultaten van de organisatie, de primaire en ondersteunende processen, voor de mensen die er werken, voor klanten, leveranciers en samenwerkingspartners: voor ‘de business’. Publiek, privaat, non-profit, wat dan ook. Digitale middelen kunnen daarbij ondersteunend, leidend of zelfs turn-around zijn, maar ze staan altijd in dienst van de business. Hoe breng je dit pragmatisch bij elkaar? Is een Digitale Business Strategie dan niet weer het zoveelste stroperige instrument, oude wijn in nieuwe zakken?

Bij het opstellen van een Digitale Business Strategie is het van belang dat de juiste opdrachtgever betrokken is. Gezien het essentiële karakter van de digitale middelen voor een organisatie is dat vaak de (afdelings)directeur, de CIO of de CTO. Mensen met een dergelijke verantwoordelijkheid willen en moeten vooruitkijken. Naar hun externe omgeving, hun eigen organisatie, de bedrijfsprocessen, de cultuur en de initiatieven die zij moeten nemen om verandering tot stand te brengen. Want als we het over nieuwe digitale middelen hebben dan gaat het over verandering: nieuwe manieren van werken, andere vaardigheden, een nieuw ecosysteem van leveranciers en samenwerkingsverbanden. Dit belang rechtvaardigt een strategie vanuit een doordachte aanpak, met gedegen kennis en een samenhangend, communicabel eindproduct.

Wat gaan we dan doen?

Voor VKA is in de Digitale Business Strategie altijd het antwoord op de vraag ‘en wat gaan we dan doen’ cruciaal. Een plan zonder concrete en begrijpelijke actie heeft geen gezag en leidt niet tot structurele verandering. Om het spook uit het verleden te voorkomen is een ‘lichte’ aanpak nodig, zeker als eerste start. Om deze doelen te bereiken hebben we de quick scan voor de Digitale Business Strategie ontwikkeld. De vraagstelling van de opdrachtgever staat centraal, de aanpak is gericht op coproductie en een online uitvraag bij de medewerkers vormt de kern. De uitkomsten van de scan geven inzicht in de behoefte van digitalisering in de organisatie. Het eindproduct onderbouwt en concretiseert verder de kansen, voorwaarden en risico’s. Dat is NIET SAAI maar kort en krachtig, inhoudelijk spannend en inspirerend.

Is uw organisatie toe aan een nieuwe Digitale Business Strategie en wilt u hier met ons verder over praten? Dat doen we graag en vrijblijvend. Neem contact met ons op of met Wilbert Enserink.

Op 23 januari 2017 schreef een collega de wijze woorden dat de Wet Open Overheid (WOO) nu al voorbereiding vergt. Idee was toen dat de wet in 2017 zou passeren in de Tweede en Eerste Kamer als opvolger van de Wet Openbaarheid Bestuur (WOB). De WOO is op 5 oktober aangenomen door de Eerste Kamer en treedt naar verwachting 1 juni 2022 in werking. Doel van de wet is om iedereen wettelijk het recht te geven op toegang tot publieke informatie. De wet gaat gelden voor alle bestuursorganen (overheidsorganisaties, inclusief Eerste en Tweede Kamer). Leuk zo’n wet, maar bent u er al klaar voor?

De WOO

De wet gaat veel verder dan de WOB en gaat meer vragen van organisaties. Met een WOB-verzoek was een organisatie veelal weken of maanden bezig waarbij één of meerdere medewerkers handmatig mailtjes en documenten bij elkaar sprokkelden en vervolgens, al dan niet met algoritmes, moest controleren op privacygevoelige informatie en persoonlijke beleidsopvattingen. Nu wil de overheid toe naar een ‘druk-op-de-knop’ situatie en een actieve openbaarmaking van bestanden. Een stevige ambitie. Mijn stelling is dat overheden behoorlijk onderschatten wat er op hen af gaat komen en wat de impact van deze wet is.

Impact van de WOO is groot en niet te onderschatten!

De potentiele impact van de wet is immers groot: overheden moeten actief en transparant hun informatie gaan delen en openbaar maken. Dit betekent dat ze moeten weten welke informatie ze in huis hebben (dus geen kwijtgeraakte bonnetjes meer op ministeries), dat ze weten hoe ze deze informatie enigszins snel en efficiënt uit systemen kunnen halen en hiervoor processen hebben ingericht. Verder kunnen/moeten overheden dit aanleveren aan een nieuw te bouwen platform, genaamd PLOOI. Ook dient elke overheidsorganisatie een aanspreekpunt in te richten zodat mensen met gerichte vragen deze kunnen stellen aan een contactfunctionaris, een soort informatieloket.

Lastige vraagstukken met impact

Persoonlijk juich ik de doelen van de wet toe. Een transparante overheid, is immers (bijna) altijd goed. Maar gekoppeld aan de inwerkingtreding van deze wet komen vragen naar boven over de wet zelf, juridische vraagstukken waarbij de vraag is of bepaalde informatie wel openbaar moet zijn of mag worden, ICT-vraagstukken en organisatorische vraagstukken. Een veelkoppige uitdaging dus. Gelukkig heeft de overheid ook budget gealloceerd waarop aanspraak gemaakt kan worden om projecten op te starten die de WOO helpen ‘realiseren’.

Tot slot…

Het is zaak om snel van start te gaan met het bepalen van de impact van de WOO voor uw organisatie. Nieuw op te starten projecten kunnen rekening houden met deze impact van de WOO en nadenken over hoe het project bijdraagt aan de doelen van de WOO. Een uitgewerkte (domein)architectuur specifiek vanuit de invalshoek WOO zal hierbij zeker helpen. Handen uit de mouwen. Er is veel werk aan de winkel, want de WOO komt eraan. Vroeg of laat.

Ondanks dat de WOO behoorlijk nieuw is, heeft VKA al ervaringen opgedaan bij overheidsorganisaties om implicaties in beeld te brengen. Wilt u meer weten welke implicaties de WOO voor u met zich meebrengen? Neemt u dan contact op met Wilbert Enserink of Joost van Lier.

De kwetsbaarheden van onze IT en OT infrastructuur voor cyberaanvallen vormen een belangrijke reden voor beperking van de groei van het industriële ethernet. Verdere digitalisering van de operationele technologie lijkt af te zwakken. De huidige groei in de OT markt komt meer vanuit de ontwikkeling van Internet of Things (IoT). Gartner voorspelt dat in 2020 rond 20 miljard apparaten aan ‘het IoT netwerk’ hangen, met een omzet voor de leveranciers van meer dan 300 miljard dollar.

Gartner heeft tevens voor 2018 en verder 10 IT trends op een rij gezet. Uit de analyse van Gartner blijkt dat de wereld een groeiende wisselwerking ziet tussen de 10 genoemde trends. Een wisselwerking die innovatie in verschillende sectoren aanstuurt en versterkt. Dit is goed nieuws voor de beveiliging van de wereld van Operationele Technologie (OT, (I)IoT, ICS/SCADA) maar ook voor de benodigde interoperabiliteit tussen het groeiende aantal systemen dat met elkaar communiceert én de hoge beschikbaarheid. Prachtig, al die kansen en innovaties: maar hoe houd je nu grip op de groei en voorkom je een wildgroei? Zeker als het gaat om de beveiliging van OT kun je niet voorzichtig genoeg zijn! Het antwoord is architectuur. Architectuur denken geeft hieraan richting, structuur en handvatten voor prioriteitstelling.

Wat is de impact van alle innovaties?

Eerst de belangrijkste impact van de genoemde innovaties op een rijtje:

• Steeds meer slimme apparaten, sensoren, netwerken worden met elkaar verbonden. Dit is al geen nieuws meer. Wel zien we een versnelling van industriële fabrieken naar software geleide fabrieken, naar mobiele monitoring en fabrieksmanagement dat steeds meer op afstand wordt gedaan; waarbij IoT de mogelijkheid biedt inzicht in data te hebben vanaf een willekeurige locatie, zodat steeds beter, sneller en ‘remote’ beslissingen kunnen worden gemaakt.
• De trend van Artificial Intelligence (AI) wordt ondersteund door het verzamelen van data van machines en sensoren. Maar het combineren van enorme soorten data in verschillende formaten vraagt om een nieuwe data infrastructuur met nieuwe technologieën voor data transport en analyse. Hiermee samenhangend is de trend van centrale en Cloud oplossingen voor dataopslag en verwerking naar Edge computing.
• Informatieverwerking komt dichter bij de bron van deze informatie, ofwel gedistribueerd in het (eigen) netwerk en komt zo tegemoet aan uitdagingen voor connectiviteit, latency, bandbreedtebeperking en functionaliteit. Om dit allemaal in de hand te houden is een goed governance framework vereist. Naast simpele taken zoals updates gaat het hierbij ook om het complexe beheer van devices en van het gebruik van al die informatie. Dit is een van de (belangrijkste) redenen voor het beter gaan samenwerken van IT en OT, tot op CIO niveau; waarbij traditioneel IT en OT aparte domeinen zijn.
• Naast governance is de tweede reden voor samenwerken de trend dat analytische tools meer toegankelijk worden gemaakt voor eindgebruikers, domeinexperts en operators op een fabriek. Intussen blijft security de grootste zorg voor organisaties. Organisaties hebben vaak weinig controle over hun hardware en software, voor het nieuwe (IoT en Industriële IoT), maar ook over het oude (ICS/SCADA, legacy systemen). Dit betreft de trend naar meer vertrouwde hardware en software combinaties in de OT, met lering vanuit IT en samenwerking met security information officers bij besluiten over de aanschaf van systemen.

De genoemde impact laat zien dat er nog wel wat te organiseren en regelen valt voordat kansen die voortvloeien uit de nieuwe IT trends ook daadwerkelijk te gelde kunnen worden gemaakt bij OT systemen.

Houdt grip op IT en OT met behulp van architectuur

Werken onder architectuur is een bedrijfsfunctie die zorgt voor samenhang, complexiteitsreductie en integratie van de informatiesystemen, geeft aan welke bijdrage de ICT levert aan de bedrijfsdoelstelling en welke principes, normen en standaarden eraan ten grondslag liggen. De geschetste impact vraagt om een gemeenschappelijke visie en een gedeelde blauwdruk van de integrale organisatie en informatievoorziening. Voor de gemeenschappelijke visie en een gedragen aanpak is het nodig dat het beste van twee werelden bij elkaar komen: die van de operationele technologie én van de informatietechnologie, ofwel de OT en de IT.

Werken onder architectuur is niet nieuw. Dit betekent dat er al veel ervaring is, maar met name in het IT domein en eigenlijk nauwelijks in het OT domein. Een bekend raamwerk voor architectuur is TOGAF. TOGAF biedt een structuur en processen waarlangs de architectuur tot stand komt en bestuurd kan worden. De situatie bepaalt welke TOGAF handvatten geschikt zijn. Echter, voor het gebruik van architectuur in het OT domein is het nodig om de gekozen handvatten aan te vullen met best practices en standaarden voor architectuur en governance, zoals we die uit de ICS/SCADA wereld al kennen. Denk hierbij aan NIST (SP800-82), Centre for the Protection of National Infrastructure (CPNI), NCCIC/ICS-CERT. Voor de IT-OT governance is het referentiekader een combinatie van ITIL, ASL en Asset management.

De grootste winst van de voorgestelde aanpak voor architectuur in het IT/OT domein zal een verbeterde besluitvorming zijn, met toegang tot een grotere hoeveelheid gegevens van hoge kwaliteit in beide ‘traditioneel gescheiden’ werelden. Dit vraagt aan beide kanten een nieuwe manier van denken, denk hierbij bijvoorbeeld aan (bron: The Industrial Ethernet Book): expliciteren van verschillen tussen OT en IT hardware en software, het benoemen van voordelen bij IT en OT alignment, de uitdagingen bij deze alignment, hoe om te gaan met data intensieve oplossingen, maar ook het beheer en de beveiliging van deze technologie, om maar wat te noemen.

Aan de slag met architectuur in het OT-domein zal best lastig zijn in het begin, maar is hoogstnodig. De genoemde trends drukken door en zullen echt zorgen voor groei in het OT-domein. Aan u de keus: een gecontroleerde groei of liever een wildgroei?

Blockchain is niet de oplossing voor alle problemen, zoals de hype heeft doen vermoeden. In cryptovaluta is het bestaansrecht wel aangetoond, maar daarbuiten is het nog een onvolwassen technologie. Dit blijkt ook uit de berichten die de afgelopen periode in het nieuws zijn geweest. Sommige blockchain projecten zijn succesvol (denk bijvoorbeeld aan de energiehandel tussen buren [1][2]), anderen stranden in de uitvoering, en sommige zijn niet verder dan de tekentafel gekomen. Teveel van de gestrande projecten zijn gestart vanuit de wens om ‘iets’ met Blockchain te doen of vanuit de filosofie dat de toepassing van de Blockchain technologie de problemen oplost.

Blockchain is niet de heilige graal

Om weg te blijven uit de waan van de blockchain hype is het nodig om handvatten te hebben die de keuze voor blockchain onderbouwen. Blockchain is één van de mogelijke oplossingen en niet de heilige graal. Het is dan ook van belang om gestructureerd en onderbouwd te kiezen voor de IT-oplossing met de beste fit voor de situatie.

Aan de hand van een aantal belangrijke (onderscheidende) criteria is het mogelijk om al snel de potentie voor Blockchain te bepalen. Als deze positief (genoeg) is, is het zaak om meer in detail nog eens te kijken naar de keuzes en consequenties van de oplossingsrichting.

Redeneer vanuit de vraagstelling

Door niet Blockchain als uitgangspunt te nemen, maar juist te kijken naar de eigenlijke vraagstelling kun je de situatie (en daarmee het probleem en de wens) helder in kaart brengen. Door deze situatie (het proces, de samenwerking, de behoefte langs een vijftal thema’s te leggen wordt de mogelijke toegevoegde waarde van Blockchain voor deze specifieke situatie duidelijk.

Thema’s die helpen de potentie te bepalen zijn:
·      De samenwerking waarbinnen de vraag zich afspeelt;
·      Regelgeving die van toepassing is en eisen stelt;
·      Het type informatie en hoe deze gedeeld of verspreid wordt;
·      De afhankelijkheid die partijen hebben van deze informatie;
·      Het (al of niet bestaande) systeemlandschap.
Door goed naar deze onderwerpen te kijken voor de bedachte situatie (use case) ontstaat een beeld dat bepalend is voor het kiezen van de oplossingsrichting.

Als duidelijk is dat Blockchain een potentiële oplossing biedt, is het belangrijk om de impact te onderzoeken. Blockchain kijkt namelijk op een heel andere manier naar eigenaarschap, ketens en processen. In feite stelt Blockchain de informatie en het delen hiervan centraal. Deze andere manier van denken vereist ook een andere benadering op het gebied van eigenaarschap, organisatie, beheer, beveiliging en samenwerking.

Op deze manier is het mogelijk om met relatief weinig inspanning een gefundeerde en onderbouwde keuze te maken voor een passende oplossingsrichting.

Blockchain is misschien niet dé oplossing, maar zeker wel een oplossing.

Wilt u meer over weten over deze manier van kiezen voor Blockchain of met ons sparren over onze visie op Blockchain? Neem dan gerust contact met ons op.

Edge computing, als aanvulling op de cloud, stelt organisaties in staat ook de bedrijfskritische processen met gebruik van AI, big data en slimme sensoren veilig en betrouwbaar te automatiseren. Om van deze mogelijkheden gebruik te maken, is het zaak op tijd uw ICT en ICT organisatie hiervoor gereed te maken.

Tegenwoordig kiezen veel organisaties ervoor om hun ICT onder te brengen in de cloud. Dit is logisch omdat veel applicaties ondertussen ‘as a Service’ zijn te verkrijgen en ook voor infrastructuur is er een groot aanbod aan clouddiensten beschikbaar. Hierdoor kunnen organisaties profiteren van expertise uit de markt, een snellere time-to-market, eenvoudig op- en afschalen en minder up front investeringen. Organisaties kunnen zich meer focussen op de functionaliteit (het wat) en minder op de techniek (het hoe) van hun ICT.

De opkomst van IoT, big data en AI maakt allerlei nieuwe en innovatieve oplossingen mogelijk. Een voorbeeld hiervan is een gebouw waarin de klimaatregeling en verlichting door algoritmes wordt bepaald op basis van data die door een groot aantal sensoren is verzameld. Hierdoor zullen binnen organisaties ook IT-landschappen ontstaan waarin slimme sensoren, apparaten, datacenters en de cloud met elkaar zijn verbonden en intensief gegevens uitwisselen om geautomatiseerde taken uit te voeren.

Bij sommige van dit soort geautomatiseerde systemen moet, bijvoorbeeld omdat deze real time zijn, de overdracht van data gewaarborgd zijn en mag er weinig vertraging zijn. Een zelfsturend voertuig moet in een fractie van een seconde beslissen of hij moet remmen of juist gas moet geven op basis van de door zijn sensoren verzamelde informatie. Een mobiele hartmonitor moet direct een extern alarm geven of actie nemen op het moment dat zijn sensoren geen of een onregelmatige hartslag registreren.

In dit soort gevallen schiet een centrale gegevensverwerking op basis van de nu gangbare clouddiensten en ook een centraal datacenter vaak te kort. Door een veelvoud aan factoren kan het zijn dat de data overdracht niet direct lukt of de benodigde responsetijd niet wordt gerealiseerd. Denk aan beperkingen in mobiele dekking, drukte op het internet, de afstand die binnen het netwerk moet worden overbrugt of een ddos-aanval op de servers van de cloud provider.

Hiervoor biedt edge computing een oplossing: dicht bij de sensoren en apparaten aanwezige rekenkracht doet de verwerking van deze informatie en zorgt voor de automatische uitvoering van de taken of acties. Edge computing kan hierbij op verschillende manieren worden gerealiseerd. Denk hierbij aan de computer aan boord van het zelfsturend voertuig, of computers in een apparatuurruimte op een ziekenhuislocatie, maar ook rekenkracht aan de randen van (mobiele) telecom netwerken. Er is hierbij geen sprake van een one size fits all; de situatie bepaalt welke oplossing past.

Verwacht wordt dat door ontwikkelingen op het gebied van IoT, AI en big data edge computing de komende jaren het merendeel van de data, dat wil zeggen meer dan 50%, buiten het centrale datacenter of de cloud zal worden verwerkt. Het is ook niet voor niets dat cloud providers (o.a de hyper scalers) en ook grote infrastructuur (software) leveranciers hun product en diensten portfolio uitbreiden met verschillende edge computing oplossingen. Deze oplossingen zijn overigens nog vaak aanbieder specifiek en integreren daardoor nu vooral goed met de door de betreffende partij geboden clouddiensten of infrastructuur producten. Het is daarom extra belangrijk een goede afweging bij de keuze voor een product of dienst te maken.

Als uw organisatie ook in de toekomst innovatief wil zijn, is het daarom nu al verstandig om over de mogelijkheden en noodzakelijkheid van edge computing na te denken. Maakt of gaat uw organisatie gebruik maken van IoT, big data en AI? Volgt uw organisatie een ‘cloud tenzij’ beleid of bent u op weg alles naar de cloud te brengen? Automatiseert u processen waarin reactietijd telt? Indien het antwoord op één van deze vragen “ja” is, dan is het tijd om uw IT-strategie te heroverwegen en de mogelijkheden, randvoorwaarden en gevolgen van edge computing hierin te incorporeren en uit te werken.

Meer weten over edge computing in combinatie met IoT, big data en AI? VKA adviseert verschillende organisaties rond deze onderwerpen. We komen graag met u in gesprek.

De afgelopen tijd heeft u met uw organisatie toegewerkt naar de speciaal omcirkelde datum van 25 mei. Dé datum waarop de AVG in werking is getreden. Misschien bent u nog voorbereid op een sprintje richting het einde van het jaar wanneer ook de e-privacy verordening in werking treedt. Ik wil graag een nieuwe belangrijke datum toevoegen, namelijk: 14 januari 2020. De datum waarop de ondersteuning voor Windows7 verloopt.

Op 14 januari 2020 verloopt de (verlengde) ondersteuning van zowel Windows 7 als Windows Server 2008 R2. Daarna zal op 13 oktober 2020 de ondersteuning van Office2010 verlopen. Stoppen van de ondersteuning betekent dat Microsoft geen nieuwe beveiligingsupdates uitbrengt voor deze versies en dat de beveiligingsrisico’s toenemen. Daarom moet u nú actie ondernemen. Een migratie van Windows7 naar Windows10 (en daaraan gekoppeld de Office-versie) is veel werk. Maar een werkplek-migratie biedt ook nieuwe kansen en uitdagingen, deze schetsen we hieronder.

Werkplekvisie

De overstap van Windows7 naar Windows10 is een mooi moment om uw visie op de toekomstige werkplek te herijken. De wensen van werknemers ten aanzien van de werkplek zijn immers de afgelopen jaren sterk veranderd. Ze maken privé gebruik van allerhande (populaire) apps die zij ook zakelijk willen gebruiken. Sterker nog, vaak al daadwerkelijk inzetten, buiten uw ICT-organisatie om. Daarnaast willen medewerkers, zeker de jongere generatie, flexibeler werken nu de maatschappij dit van ze vraagt.

Óók andere stakeholders verwachten een moderne werkplekvisie. Business partners, klanten etc. werken zelf steeds mobieler, met moderne software en verwachten dat uw medewerkers deze ook kunnen gebruiken. Daarnaast verwachten zij dat u CO₂-neutraal werkt door bijvoorbeeld papierloos te werken en dat u altijd en overal bereikbaar bent.

Het opzetten van een werkplekvisie vergt een aantal stappen. De eerste is om na te denken hoe de medewerker van uw organisatie nu en in de toekomst werkt. Thema’s zoals flexwerken, meerdere apparaten en informatiebeveiliging zijn hierbij van belang. Vertaal vervolgens de opgestelde werkplekvisie naar persona’s. Hierin wordt beschreven welke apparaten, applicaties en rechten medewerkers nodig hebben in hun werkzaamheden.

Het combineren van de overstap van Windows7 naar Windows10 met een nieuwe werkplek, biedt voordelen. Door de inzet van nieuwe apparatuur is, met voldoende voorbereiding, de gebruiker maar weinig tijd kwijt. Het hele uitrolproces hoeft hierdoor per gebruiker slechts 15 minuten te duren.

Nieuwe functionaliteiten

In Windows10 wordt de Microsoft Store beschikbaar gesteld, hierbij heeft u de keus om publieke apps beschikbaar te maken of alleen ondersteunde bedrijfs-apps. Ook heeft Windows10 synchronisatiemogelijkheden voor opslag in de cloud (‘Onedrive’) standaard ingebouwd. Aandachtspunt is dat Microsoft Windows10 zo ontworpen heeft dat veel keuzes bij de gebruikers liggen.

Bovenstaande betekent dat u goed over nieuwe functionaliteiten moet nadenken en hier de organisatie in moet betrekken. Een keuze vanuit alleen de ICT-afdeling, stuit vaak op weerstand in de organisatie en leidt niet tot het gewenste resultaat.

Migratietraject

Een migratietraject naar Windows10 is niet eenvoudig. Eerst moet de nieuwe omgeving worden opgebouwd, gevolgd door het migreren van applicaties. Hier begint het lastig te worden. Met alle shadow-IT in de organisatie is het applicatielandschap van de organisatie niet altijd compleet inzichtelijk. Inzicht in het applicatielandschap is noodzakelijk om vast te stellen of applicaties Windows10-proof zijn.

Indien applicaties niet Windows10-proof zijn heeft u meerdere opties: vervangen van de applicatie door een nieuwe versie, migreren naar een SaaS-applicatie of apart zetten in een zogenaamde ‘container’. Deze opties zorgen ervoor dat de applicatie ontkoppeld wordt van de werkplek. Dit geeft niet alleen gemak bij het installeren van de Windows10 omgeving, maar biedt ook de mogelijkheid om te wisselen tussen zakelijke en privé apparaten door de medewerkers.

Gebruikers

Tijdens de technische realisatie is het belangrijk na te denken over de gebruikersadoptie. Communicatie, trainingen en ondersteuning zijn allemaal mogelijkheden die u kunt inzetten om uw medewerkers mee te nemen in het proces.

Sommige gebruikers zijn al -als consument- bekend met Windows 10, voor hen is de migratie eenvoudig. Anderen krijgen een steilere leercurve voor de kiezen. Het verlies van bestaande handigheidjes of terug krijgen van een veelvoud aan mogelijkheden zijn hier de oorzaak van. Het organiseren van gebruikerstrainingen en ‘on-site’ ondersteuning vlak na de migratie helpt de gebruikers bij het aanwennen aan het nieuwe platform.

Ook de uitrol valt onder de gebruikersadoptie. Dit is de eerste ervaring met Windows10 en uw gebruikers hier goed in ondersteunen helpen betaalt zich uiteindelijk terug. Tijdens dit gedeelte van het project doet de Coolblue-aanpak (uitgangspunten: snelle levering en de klant heeft altijd gelijk) het over het algemeen goed.

Lifecycle-management

Met de introductie van Windows10 heeft Microsoft de life-cycle van het product anders ingericht. Waar Windows7 tot 10 jaar na de release werd ondersteund, wordt een nieuwe major update in Windows10 (die 2x per jaar uitkomen) nog maximaal 18 maanden ondersteund. Een oudere versie ontvangt geen beveiligingsupdates meer, met alle toenemende beveiligingsrisico’s van dien. Kortom u wordt verplicht mee te gaan met deze nieuwe versies.

Deze snellere life-cycle heeft ook impact op uw beheerorganisatie. Hierbij speelt de vraag of de KA-omgeving dusdanig is ingericht dat er in korte cycli getest kan worden of de applicaties blijven werken op de nieuwe versie van Windows. Daarnaast is maar zeer de vraag of ‘oudere’ applicaties dit tempo bij kunnen benen. Om niet voor verrassingen komen te staan zult u het life-cycle management moeten uitbreiden naar uw applicatielandschap.

Conclusie

Zoals u ziet komt er nogal wat bij kijken bij de overgang van Windows7 naar Windows10. Het begint met fundamentele keuzes in strategie en ontwerp van de werkplek. Daarnaast moet het applicatielandschap tijdig onderzocht worden op eventuele problemen zodat die vroegtijdig aangepakt kunnen worden. U zult dus snel moeten starten met de voorbereidingen wanneer u nog met Windows7 werkt.

Meer weten over de digitale werkplek & werkplekvisie? Lees dan ook de informatie op onze pagina ‘Digitale Werkplek’.

Google’s digitale assistent kan straks een restaurant voor je reserveren. Het zal het begin blijken te zijn van een nieuwe fase in de relatie tussen mens en machine. Straks kun je in de auto een doktersconsult doen met je telefoon: ‘Hey Google, hoe komt het dat ik de laatste tijd pijn in mijn bovenbeen heb?’

Mei 2018 vond Google I/O plaats, het jaarlijkse developers-evenement van de zoekgigant. De techreus maakte hierbij vooral sier met Google Assistant. Zo belde de digitale assistent zelf een Chinees restaurant om voor 19:30 een tafel voor vier personen te reserveren. Ondanks lastige vragen van de restauranteigenaar – of het niet op een ander tijdstip kon en of het per se vier personen moesten zijn – lukte dit. Wat Google hiermee feitelijk heeft laten zien is dat haar digitale assistent de Turing Test doorstaat: een computer die zo slim is, dat hij door een mens niet meer van een mens te onderscheiden valt.

Het is het ultieme voorbeeld dat spraakbesturing in combinatie met kunstmatige intelligentie niet alleen op het punt van doorbreken staat, maar vooral ook een enorme impact gaat hebben op ons dagelijks leven. 2019 wordt dan ook het jaar van de digitale assistent.

Ten eerste is dat vanwege het gemak. Geen ‘interface’ is natuurlijker en makkelijker dan spraak. Dus wie gaat nog muis, of toetsenbord gebruiken nu virtuele assistenten in staat zijn tot doorgaande en natuurlijke conversaties? Zeker als ook Google Assistant net als Siri vanaf eind 2018 Nederlands spreekt.

Maar belangrijker nog dan het gemak gaan het de schier oneindige gebruikstoepassingen worden die deze ontwikkeling mogelijk maakt. We moeten ons namelijk realiseren dat met het bellen van een Chinees restaurant, en het kinderen leren netjes ‘dankjewel’ te zeggen, Google tijdens het genoemde event slechts een tipje van de sluier oplichtte.

Dus App ontwikkelaars opgelet: Spraak in combinatie met AI gaat de komende jaren veel wildere en meer fundamentele toepassingen mogelijk maken. Straks kun je in de auto een doktersconsult doen met je telefoon: ‘Hey Google, hoe komt het dat ik de laatste tijd pijn in mijn bovenbeen heb?’ Ook kun je dan je digitale assistent vragen om financieel advies: ‘Hey Siri, wat zal ik doen met mijn dertiende maand om mijn pensioen aan te vullen?’

Dat gaat niet alleen enorme mogelijkheden creëren, maar roept tegelijkertijd gigantische ethische dilemma’s op. En dan heb ik het uiteraard niet over de discussie die na het Google event in de media woedde: moet een digitale assistent zichzelf aan de telefoon als zodanig kenbaar maken? Nee, veel belangrijker is de vraag of en hoe wij, als onze digitale assistent straks voor ons beslissingen neemt, deze beslissingen kunnen controleren. Waarom geeft m’n assistent me eigenlijk dit advies? En ook: is het eigenlijk wel in mijn belang of dat van Google of Apple? Neem de discussie over de door onder meer Facebook gecreëerde filter bubble die ging over het feit dat Social Media sites met algoritmes bepalen welke informatie jou wordt getoond en wat niet. In het voorbeeld van de digitale assistent speelt dat een nog veel prominentere rol.

Ik ben dan ook van mening dat we veilig kunnen stellen dat niet alleen 2019 het jaar van de digitale assistent wordt, maar dat we er vanaf nu elk jaar mee bezig zullen zijn.

Anno 2018 is het gebruik van apps niet meer weg te denken. Hotels boek je gemakkelijk via Booking.com, bedragen verrekenen doe je snel via Tikkie en restaurants reserveer je direct via de app van Iens. Bedrijven van de toekomst spelen daar op in. Zo maakt de Rijksuniversiteit Groningen al gebruik van deze nieuwe ontwikkelingen door Tikkie te gebruiken als middel om collegegeld te innen en dit niet ‘ouderwets’ via email of post te doen.  Op deze manier fungeren apps als driver voor veranderende businessmodellen.

Tijdens het evenement Appril 2018 is getoond hoe deze ontwikkelingen worden versterkt door twee belangrijke technologische ontwikkelingen. Met spraakherkenning kan de bediening niet alleen sterk vereenvoudigd worden, ‘chatten’ sluit ook meer aan bij menselijke communicatie. Er zijn al apps die emoties herkennen in die spraak, handig voor bijvoorbeeld klachtafhandeling. De tweede is Augmented Reality, het verrijken van de werkelijkheid met kunstmatig gegenereerde beelden.

Nieuwe verdienmodellen

Ook blijkt de keuze voor apps steeds laagdrempeliger te worden. Hybride apps zijn in opkomst. Deze kunnen zowel op iOS het mobiele besturingssysteem van Apple als Android het systeem van Google draaien, waardoor de ontwikkelkosten lager zijn. En moderne functionaliteiten als spraakbesturing en andere AI-toepassingen zijn via zogenoemde API’s aan reeds bestaande apps toe te voegen.

Deze laagdrempeligheid biedt een scala aan nieuwe mogelijkheden voor bedrijven en organisaties in hun manier van zakendoen. Hiermee worden nieuwe verdienmodellen eenvoudig realiseerbaar. Een mooi voorbeeld hiervan is de ABN AMRO Tikkie app, waarmee de verrekening van een bedrag via een eenvoudig Whatsapp bericht wordt uitgevoerd. De bank pakt met deze mobiele dienst weer het rentevoordeel dat in het gewone betalingsverkeer is weggevallen.

Grip houden op app-landschap

Voor bedrijven en organisaties vormt dit een grote uitdaging: Een gestructureerde aanpak is noodzakelijk om te voorkomen dat er een ratjetoe aan apps ontstaat dat ik regelmatig in het desktop applicatielandschap aantref. Dat betekent een gemiste kans, ontevreden gebruikers en tijd- en geldverspilling.

Inventarisatie van de beoogde app doelgroep, een generieke app versus meerdere specifieke apps, en het formuleren van technologische uitgangspunten voor de app technologie, vormen de basiselementen van een dergelijke aanpak. Het borgt bovendien dat goed wordt omgegaan met de privacy van gebruikers en dat bedrijfsgevoelige informatie niet met IT-leveranciers zoals Facebook wordt gedeeld.

De laatste strijd

Kortom, op Appril 2018 was te zien dat apps steeds slimmer en krachtiger worden en daarmee alledaags in gebruik. Ik verwacht dat de komende jaren apps steeds meer veranderen in slimme digitale assistenten. De vraag is dan welke apps in deze evolutie als winnaar uit de strijd komen. Bijvoorbeeld: welke app wordt de beste binnenhuisadviseur? De app ‘IKEA Place’ toont nu alleen IKEA meubels, maar het is wachten op een app die meubelen van verschillende fabrikanten in jouw woonkamer kan laten zien. ‘Dus schat, hoe staat deze IKEA bijzettafel naast die Minotti bank die we gisteren in de showroom zagen?’

Afgelopen jaar is gebleken hoe kwetsbaar onze infrastructuur soms is als gevolg van cyberaanvallen. Zo zorgde PETYA voor niet functionerende kranen bij de containerterminal van Maersk, en voor niet functionerende sorteermachines bij TNT. Ook zijn recent enkele banken onbereikbaar gebleken door een DDos aanval. Tot nu toe zijn veelal technische, en eraan gerelateerde organisatorische maatregelen, genomen om dergelijke cybersecurity dreigingen het hoofd te bieden. Echter, zo langzamerhand sijpelt het begrip door dat het reactief nemen van maatregelen niet afdoende gaat zijn in de toekomst, willen we de continuïteit van dergelijke infrastructuur kunnen garanderen. Hoe krijgen we onze Operationele technologie (OT/ICS/SCADA) nou echt goed beveiligd?

Lange termijn visie

Veel ICS/SCADA systemen zijn in het verleden ontwikkeld om een taak uit te voeren. De huidige ICS/SCADA systemen zijn veelal doorontwikkeld op basis van ontwerpen van hun voorgangers. Nooit is nagedacht over hoe het ICT landschap rondom deze systemen zou kunnen wijzigen. Het is nu wel duidelijk dat veranderingen snel gaan. Dit vraagt een heldere lange termijn visie ten aanzien van ICS/SCADA systemen en hun ontwerp voor: koppelingen met kantoorautomatisering, en dus met internet, koppelingen met ERP systemen, draadloze bediening; allemaal toepassingsgebieden die 10 jaar geleden nog niet werden meegenomen in een ontwerp, maar nu steeds meer relevant blijken! Een lange termijn visie over hoe ICS/SCADA systemen in de toekomst zouden moeten functioneren is dus onontbeerlijk. Zo’n visie leidt tot nieuwe (functionele en technische) requirements die meegenomen dienen te worden in nieuw uit te schrijven aanbestedingen. Uiteraard horen hier ook requirements bij ten aanzien van beveiliging en continuïteit.

Werken onder Architectuur

In de ICT van Kantoorautomatisering en automatisering van grote systemen met een administratieve functie is het al jaren normaal om te werken onder architectuur. Dit betekent dat de architect nadenkt over welke functionele en technische bouwstenen nodig zijn, hoe deze passen in de lange termijn visie, wat de onderlinge samenhang van de benodigde systemen is, welke koppelingen er nodig zijn en met welke standaarden de systemen functioneren. Kortom: architectuur biedt een goed overzicht in de samenhang van alle ICS/SCADA systemen. Het werken onder architectuur heeft een aantal belangrijke voordelen, ik noem er drie:

1. Businesseisen, IT/OT eisen, ontwikkeling, inkoop, beheer en onderhoud van systemen worden goed op elkaar afgestemd;
2. De bouwstenen die de ICS/SCADA systemen (gaan) vormen zijn zo beter door te ontwikkelen, omdat de architect van te voren heeft nagedacht over ontkoppeling in ‘kleinere’ en ‘aanpasbare’ eenheden die kunnen blijven samenwerken. Bij de doorontwikkeling van deze ‘aanpasbare eenheden’ speelt lifecycle management een belangrijke rol. De leveranciers en afnemers passen zich langzaam hierop aan, zoals met de ontwikkeling van bouwstenen en centrale netwerk oplossingen voor bediening en logische toegang, logging en antimalware. Het opknippen in kleinere eenheden maakt het mogelijk, om ook met andere leveranciers te werken die voor zo’n eenheid een oplossing bieden. Kortom, minder vendor lock-in.
3. En last but not least: Een betere beveiliging van de ICS/SCADA systemen is mogelijk onder architectuur; omdat van te voren beter kan worden nagedacht, hoe de dreigingsbeelden kunnen worden vertaald in technische oplossingen, om deze te kunnen mitigeren.

Werken onder Architectuur, maar hoe dan?

Werken onder architectuur is niet nieuw. Dit betekent dat er al veel ervaring is, enkel niet (of minder) in de ICS/SCADA hoek. Een bekend raamwerk hiervoor is het architectuur raamwerk TOGAF. TOGAF biedt een structuur en governance processen waarlangs de architectuur bestuurd kan worden. Echter, het is hierbij nodig om TOGAF aan te vullen met best practices en standaarden voor architectuur en governance, zoals we die uit de ICS/SCADA wereld al kennen. Denk hierbij aan NIST (SP800-82), Centre for the Protection of National Infrastructure (CPNI), NCCIC/ICS-CERT en TOGAF, tot één toolbox verwerkt.