Open source Software, audits, beveiliging en privacy.

posted by VinceW op ma, 11/21/2011 - 22:51
afbeelding van VinceW

Momenteel staat Open Source Software (OSS) weer nadrukkelijker op de agenda door de diverse berichten over: Informatiebeveiliging, Business Continuity Planning, Risk Management, Audit maar ook Privacy. Bekend is het feit dat Open Source Software organisaties financiele kansen kan bieden. Echter er zijn ook nog andere mogelijkheden die Open Source Software kan bieden. Deze mogelijkheden zijn onder andere te vinden in; leveranciersonafhankelijkheid en betere audit mogelijkheden. Maar ook in community building, social engagement en privacy van medewerkers en klanten. Wat kan Open Source Software bijdragen aan uw onderneming met betrekking tot Audits, beveiliging en privacy? Geen pleidooi voor Open Source Software maar eens een andere kant van de kubus.

Een fundamenteel verschil tussen Open Source Software en, om het zo maar even te noemen 'commerciele' software is het feit dat de broncode van de software openbaar is. Dit geeft gebruikers de mogelijkheid om de software naar behoefte te bestuderen, aan te passen en te verbeteren. De definitie is nog wel wat 'strakker weg te zetten, maar voor dit artikel is deze 'kort door de bocht' voorstelling wel voldoende. Als u hier dieper in wilt duiken is de wikipedia pagina (http://nl.wikipedia.org/wiki/Opensourcesoftware) een goede pagina om te beginnen.

Leveranciersonafhankelijkheid

Bij de meeste commerciële software is de broncode bedrijfsgeheim / eigendomscode: de gebruiker 'koopt' of 'huurt' een programma en gebruikt dat. Indien de software aangepast moet worden zijn de mogelijkheden vaak beperkt. Meestal moet men namelijk naar de leverancier van de originele software om de executable aan te passen. De ene partij zal dit maatwerk noemen, een andere partij noemt dit een vendor lock-in. Als partijen (leverancier/gebruiker) zich beiden in de overeenkomst kunnen vinden is hier helemaal niet mis mee. Maar war als je als klant na verloop van tijd, om wat voor een reden dan ook, niet meer tevreden bent over de leverancier? Dan ben je, als je tenminste niet van softwarepakket wilt veranderen, wel gehouden aan die leverancier! Een andere leverancier beschikt immers niet over de broncode en kan dus de door u 'gehuurde' software niet aanpassen. Vergelijk dit met het onderhoud van uw auto. Uw merkauto kunt u niet bij een 'niet dealer garage' in onderhoud geven omdat deze niet de benodigde informatie en onderdelenvan de fabrikant krijgt omdat die besloten heeft om uitsluitend aan zijn 'eigen merk garages' te leveren.

Business Continuity Planning

In het kader van Business Continuity Planning is het zeer wenselijk om inschattingen te kunnen maken over gevolgen voor de organisatie in het geval dat een leverancier weg komt te vallen, of niet meer aan zijn verplichtingen kan voldoen. Of, zoals Adobe (flash voor mobiele platforms) en Microsoft (Silverlight), leveranciers eenvoudig besluiten om de software simpelweg niet meer te ondersteunen. Dit kan toch een meer dan aanzienlijke impact hebben op uw organisatie als u net besloten heeft om uw gegevens middels deze software te delen.

In hoeverre is bepaalde software dermate belangrijk dat het nodig is om hierop te plannen en te organiseren? Denk hierbij dan ook eens aan wettelijke verplichtingen die voor uw organisatie van toepassing kunnen zijn. In de luchtvaartindustrie is het bijvoorbeeld heel gebruikelijk om bewaartermijnen van 30 jaar te hebben. Stelt u zich een voor dat uw organisatie nog data uit 1985 beschikbaar moet kunnen maken. De software die toen gebruikt werd zal hoogstwaarschijnlijk zonder aanpassingen niet meer draaien op de nieuwe hardware. Derhalve bent u als organisatie genoodzaakt om ook 'oude hardware' te blijven bewaren en te onderhouden. Vast staat in ieder geval: Als u niet over de broncode beschikt kunt u uw oude software niet aanpassen aan de nieuwe hardware. Open Source Software geeft de vrijheid om te wisselen als de producent stopt met de verkoop, de prijs voor het product verhoogt, veranderingen aan de software aanbrengt of veranderingen in de licenties van de software doorvoert naar een minder acceptabele vorm.

Audit

Steeds meer wet- en regelgeving vraagt van organisaties een betere huishouding op het gebied van IT, Informatiebeveiliging en privacy regelingen. Organisaties moeten steeds meer kunnen tonen dat ze 'In Controll' zijn. Of het nu gaat om de 'integriteit' van de gegevens, de toegankelijkheid of de inhoud ervan. Organisaties moeten hier niet alleen zicht op hebben, ze moeten hier ook grip op hebben. Open source software kan hier een belangrijke bijdrage aan leveren. Vanwege het Open karakter, de broncode van het programme is immers bekend, kan door specialisten beter doorgrond worden wat de werking van het programma is. Hierdoor kan een kwalitatief betere beoordeling plaatsvinden. Een ander aspect is het feit dat zonder de beschikking van de broncode het vaak veel langer duurt voordat de werking doorgrond is. Open Source kan hierbij dus niet alleen een bijdrage leveren in de kwalitatieve beoordeling, een beoordeling kan ook nog eens efficienter gedaan worden.

Beveiliging

In het kader van Informatiebeveiliging kan open source een bijdrage leveren vanwege het open karakter. Immers van gesloten software, zonder broncode, is veel lastiger vast te stellen welke gegevens waar opgeslagen worden. Ook is lastiger vast te stellen of er gegevens naar derden wordt verzonden. Als organisatie heb je dus veel moeilijker grip op je informatie en kun je dit dus lastiger beheersen. Dit gaat steeds moeilijker worden, zeker nu er een tendens aan het ontstaan is van: Bring Your Own Device (BYOD). Kortweg: Het aansluiten van privé-apparaten op een bedrijfsnetwerk. Dus medewerkers sluiten hun eigen iPad, of iPhone aan op het netwerk van de baas. Lekker makkelijk, altijd de gegevens bij de hand. Los van de techniek geeft dit de (informatie) beveiliging wel een extra dimensie. Immers op die BYOD staan app's die niet onder een audit vallen, en wat doen die BYOD met de gegevens van de organisatie. In hoeverre blijft de integriteit van de gegevens bewaard, maar ook... hoe vertrouwelijk blijven de gegevens van de organisatie? Recentelijk bleek dat de Apple iPhone 4S toch behoorlijk wat extra informatie meestuurt naar de servers van Apple. Wellicht allemaal niet zo spectaculair, maar wellicht wel iets wat je vooraf wilt weten als je besluit om een apllicatie te gebruiken (of deze toestaat om in het netwerk van je organisatie te gebruiken). Open source kan hierbij, zoals onder Audit al is aangekaart, helpen door openheid te geven omtrent de werking van het programma.

Privacy

Open Source Software kan ook een bijdrage leveren aan de privacy discussie die momenteel actueel is. Met name de EU maakt zich sterk voor de privacy van de consumenten. Volgens mij is dit tevens iets waarover organisaties zich ook druk zouden moeten maken. Immers hoe wil je als organisatie grip houden op je privacy reglement waarin je opgenomen hebt wat je de privacy van de bezoekers van je website hoog in het vaandel hebt staan, als je vervolgens met een software pakket 'in de cloud' je website analyseert en die gegevens bij de leverancier van de gesloten software stalt. Of hoe wil je de privacy van medewerkers garanderen als de telefoons die je hen ter beschikking stelt volop rand-informatie versturen naar derden waarvan je geen weet hebt. Kortom zicht op de werking van de software is essentieel om grip te kunnen houden op privacy.

De (nabije) toekomst

Uitspraken doen wat er in de toekomst gaat gebeuren is en blijft natuurlijk altijd lastig. Toch zet ik hier een aantal dingen op een rij, waarvan ik denk dat die zich in de (nabije) toekomst in meer of mindere mate zullen manifesteren:

  • Steeds meer afnemers vragen transparante software, omwille van privacy, beveiliging, audits, etc
  • Leveranciers gaan meer Open Source Software maken omdat ze anders marktaandeel kwijtraken of omdat (nieuwe) regelgeving hen hiertoe noopt
  • Open Source communities krijgen steeds meer bedrijven als klanten
  • Open Source software zal in een vroeg stadium al geaudit (willen) worden
tags: 
Open Source Software
Security
Privacy
Audit

Reacties

Reactie toevoegen

Meer informatie over tekstopmaak

Plain text

  • Geen HTML toegestaan.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • Regels en alinea's worden automatisch gesplitst.
Geef de karakters in die u in de afbeelding ziet. (verify using audio)
Neem de tekens uit het bovenstaande figuur over. Waneer de tekens niet duidelijk zijn, kunt u het formulier verzenden om een nieuw figuur weer te geven. De tekens zijn niet hoofdlettergevoelig.