Er is ontzettend veel aandacht voor de veiligheid van informatiesystemen. Dat wordt mede veroorzaakt door de gruwelverhalen over ransomware. Maar dat is, hoe gruwelijk ook, natuurlijk het topje van de ijsberg. Er zijn veel meer en ook op veel vlakken heel basale risico’s die met enig denkwerk goed zijn weg te nemen. Daar is geen Rocket Science voor nodig. Zo is er al veel te winnen door bij veel processen in de IT-sfeer goed na te denken over het begin. Denkt u bijvoorbeeld aan de offerteaanvraag of de aanbestedingsprocedure. Het is vrij zeker dat wat je niet vraagt, je ook niet krijgt. Dat geldt ook voor het controledossier van de accountant. Die moet beroepshalve aandacht besteden aan de continuïteit van de informatiesystemen van zijn klanten. Maar wat legt hij eigenlijk vast over die informatiesystemen? Ook hier is het begin van groot belang. Er moet in het controledossier een inventarislijst komen van alle software die een cliënt gebruikt. Alleen al door die in te vullen kan de accountant aantonen dat hij aandacht heeft besteed aan het onderwerp continuïteit van het informatiesysteem. Lees meer…

Informatiesystemen zijn voor organisaties vandaag de dag onmisbaar. Dan is het toch opmerkelijk dat nota bene in het huidige informatietijdperk het bij veel gebruikers ontbreekt aan algemene kennis over informatiesystemen. Ik noem enkele voorbeelden. Er wordt veel door specialisten over software gesproken in vaktaal. Maar hoeveel betrokkenen weten nu precies wat software is, hoe het is samengesteld, wat de verschillen zijn in programmeertalen en hoe het zit met hulpsoftware, operating systems en met het risicobesef? Voor IT geldt de ijzeren waarheid dat elk product een voorkant en een achterkant heeft. Dus tegenover de vele voordelen staan helaas ook nadelen. In veel situaties worden alleen de voordelen benadrukt, dat helpt de gebruikers niet. En hoe zit het met het Auteursrecht? Op software rust auteursrecht. Dat zorgt niet alleen voor zegeningen, ook voor zorgen. Bij wie rust het intellectuele eigendom (IE)? Is dat een natuurlijke persoon of een rechtspersoon? Of is er misschien sprake van gedeelde eigendom? En rust er pandrecht op de software? Wat weet een softwarehouse van auteursrecht? Lees meer…

Er bestaan allerlei soorten risico’s. Als het gaat over objecten (huis, auto etc.), dan worden de risico’s gedekt door de vele soorten verzekeringen. Risico’s zijn bij objecten gemakkelijk te identificeren, omdat objecten zichtbaar en tastbaar zijn. Bij abstracte en complexe producten zoals software (niet zichtbaar) ligt dat veel moeilijker. Toch zijn er wel aanknopingspunten om na te denken over de risico’s van software. Zo heb je de drie basisaspecten van informatiebeveiliging te weten beschikbaarheid (continuïteit), integriteit en vertrouwelijkheid (exclusiviteit). Deze basisaspecten omvatten drie heel verschillende onderwerpen, met ieder hun eigen risico’s en sterk uiteenlopende groepen betrokkenen die hun eigen belangen willen bewaken. De theorie luidt dat er beleidsmaatregelen voor die verschillende onderwerpen moeten worden ontwikkeld. Maar wat betekent dat in de praktijk voor de risico’s van software en wat kosten praktische en effectieve maatregelen in dat kader? De softwarebranche kan zelf voor de integriteit (testen) en vertrouwelijkheid (hacken) de benodigde maatregelen treffen, maar niet voor wat betreft de beschikbaarheid. Daar zijn TTP’s (Trusted Third Party’s) voor nodig, zoals de IT-notaris. Lees meer…

Zoals u wellicht weet bestaat elk informatiesysteem uit vijf onderdelen: hardware en software, gegevens en gebruikers en als vijfde procedures. Niet lang geleden bevond het hele informatiesysteem zich onder één dak, dat van de eigenaar/gebruiker. Een sleutel op de deur was een belangrijk onderdeel van de informatiebeveiliging. Dat is met de komst van “The Cloud” ingrijpend veranderd. Zowel hardware als software worden digitaal via de Cloud als dienst ter beschikking gesteld. Op die manier hoef je geen eigenaar meer te zijn van de hard- en /of software, maar kun je op afstand gebruik maken van bijvoorbeeld een server (hardware) en een e-mailapplicatie (software). Dit laatste wordt Software as a Service (SaaS) genoemd. Als gevolg van die veranderingen zitten de gegevens niet alleen op afstand van de eigenaar maar ook buiten zijn beschikkingsmacht. Dat kan vervelende gevolgen hebben. Een duidelijk voorbeeld is de GDPR. Om aan die Europese wetgeving te kunnen voldoen moeten persoonsgegevens te allen tijde beschikbaar zijn voor de eigenaar van het informatiesysteem. Lees meer…

Worden de banken en de notaris binnenkort overbodig? Ik denk het niet. Als je de blockchain even ziet als een product, dan heeft dat een bepaalde functie. Die functie komt alleen tot zijn recht als hij wordt gebruikt waarvoor hij bedoeld is. Waarvoor was de blockchain ooit ontwikkeld? Juist, voor de administratie van de bitcoin, een digitale valuta. Het is gebleken dat bitcoins een waardevolle bezitting zijn. En dat je eigenlijk alleen maar hoeft te kunnen tellen, om na te gaan of het wel goed gaat met je “wallet” die de stand van je bezit weergeeft. Hier staan dus twee basale voorwaarden om de functionaliteit van de blockchain tot zijn recht te laten komen: het eigen belang en de simpele controle. Nu gaat eigenbelang en simpele controle niet altijd samen met meer ingewikkelde belangen, die bovendien specifieke diepgaande kennis (en soms ook nog ervaring) vragen.  Lees meer…

De verzakking van vastgoed was een belangrijk onderwerp van een zeer interessante bijeenkomst georganiseerd door het Risk & Compliance Platform Europe in het provinciehuis van Utrecht. Verzakkend vastgoed en informatietechnologie, wat heeft dat met elkaar te maken? De eerste en meest voor de hand liggende overeenkomst is, dat het over data gaat. Veel data, uit allerlei bronnen. Tot aan satelliet informatie aan toe. Door een van de inleiders werd verteld dat er informatie kan worden verzameld uit 450(!) bronnen (Fortierra). Tja, we hebben het wel over het informatietijdperk. Een andere belangrijke overeenkomst is, het gebrek aan de fundering. Ook de fundering onder de informatiemaatschappij is verborgen en verkeert niet in een goede staat.  Lees meer…

Iedereen wil innoveren, maar niemand wil veranderen! Hoe staat u hierin? De informatierevolutie blijft maar doordenderen met innovaties. Er ontstaan tal van nieuwe beroepen, maar helaas vaak op zeer specialistische basis. Daar wordt de informatiemaatschappij niet veiliger van. Want om informatietechnologie te beheersen heb je een multidisciplinaire aanpak nodig. Software is daarbij  de belangrijkste component in de informatiesystemen. Het draait immers om kennis van de ontwikkeling van de software en om de juridische aspecten van de software, zoals het intellectuele eigendom en het auteursrecht. Maar ook om de informatiebeveiliging. Bij informatiebeveiliging, inmiddels een serieuze wetenschap, draait het natuurlijk om de data. Op dit laatste onderdeel van een informatiesysteem rusten de meeste wettelijke verplichtingen. Een extra probleem daarbij is, dat de ontwikkelingen in deze drie vakgebieden razendsnel gaan. Denkt u alleen maar even aan de ontwikkelingen van chips. Het Nederlandse ASML heeft voor de komende 20 jaar de wet van Moore (elke 1 ½ à 2 jaar verdubbelt de capaciteit van chips) weer zeker gesteld met behulp van Ultraviolet lichttechnologie. Maar ook bij de term jurisprudentie kunt u zich misschien iets voorstellen.  Lees meer…

Waarom heet software eigenlijk zo? Een simpele en logische verklaring is, omdat het de tegenhanger is van hardware. Maar er is meer aan de hand. Voor de gebruiker is hardware zichtbaar, software is dat niet. Hardware is niet flexibel, software is dat wel. Het moet aanpasbaar zijn aan ontwikkelingen in de hardware, aan het operating system in de hardware, maar ook aan tal van externe factoren, zoals aanpassingen aan (nieuwe-) functionaliteit, wet- en regelgeving, infrastructuur etc… Kortom: software is onzichtbaar, uiterst flexibel en daarom zeer onderhoudsgevoelig. Daarom is software de tegenhanger van hardware. Maar wat nodig is voor onderhoud, de broncode, heeft de gebruiker niet. Dat is een los eindje. Hij is dus al snel zeer afhankelijk van (de goede werking) van software en van zijn leverancier. Ook op het gebied van rechtszekerheid zijn er losse eindjes aan het product software. Dat heeft vooral te maken met het auteursrecht en de toepassing daarvan. Tegenover zoveel onzekerheid kan de gebruiker van software dus wel wat vastigheid gebruiken.  Lees meer…

Software is gewoon een product, maar veel mensen zien dat nog niet zo. Ook onze Minister van Volksgezondheid die een corona appje dacht te bestellen, snapt nog niet veel van de product kenmerken. De zoektocht naar software, of de ontwikkeling ervan, begint met het vaststellen van de gewenste functionaliteit. Op basis daarvan wordt voor nieuwe software door een programmeur een broncode geschreven. Niet met een pen maar met behulp van software: de programmagenerator. In de broncode wordt exact bepaald welke gegevens worden vastgelegd en hoe deze worden bewerkt en gebruikt. Vervolgens wordt deze broncode en toebehoren met behulp van een vertaalprogramma, de compiler, omgezet in de digitale vorm. Die gaat in een apparaat van de gebruikers. En daar (of op afstand in een datacenter) worden gegevens vastgelegd. Het levenseinde van een broncode is aangebroken, als besloten wordt het onderhoud ervan te stoppen. Want software is zeer onderhoudsgevoelig. Voor het stoppen met onderhoud kunnen veel redenen zijn, maar één daarvan is, dat de software (eigenlijk de broncode) “versleten” is.  Lees meer…

Daar rijdt een oude auto. Hoe weet je dat? Dat zie je toch aan het model! Bij software ligt het iets anders. Zoals ik in één van mijn vorige columns al betoogde (Software,  een ijsberg) zie je verreweg het grootste deel van software niet. Dat deel omvat ten minste de broncode (source code) van de software. Dit deel is in een vorm, die voor een programmeur leesbaar is. De volgende fase in de softwareontwikkeling is de vertaling van de broncode met behulp van een vertaalprogramma (compiler) naar de vorm die een computer accepteert. Dat is de digitale vorm en die heet object code. Dit is de vorm die, meestal in het kader van een licentieovereenkomst, wordt geleverd aan de gebruiker. Nu bestaat er oude software, ook wel “legacy software “ genoemd die soms wel enkele tientallen jaren oud is. Voor gebruikers is dat echter niet zichtbaar. Er is nieuwe software aan toegevoegd. De zogenaamde user interface. Dit is de software die de communicatie van de gebruiker met de software mogelijk maakt. Dit kan geschreven zijn in nieuwe programmeertalen met de nieuwste mogelijkheden om de communicatie via het beeldscherm te optimaliseren.

Lees meer…