20080325 - 801 - Scriptie - definitief - Vurore

More documents

Recommendations

Info

5 Conclusies en aanbevelingenDit hoofdstuk omvat de conclusies en aanbevelingen die zijn voortgekomen uit debevindingen vanuit het onderzoek dat is uitgevoerd om tot deze scriptie te komen.De centrale onderzoeksvraag van deze scriptie luidt als volgt:Op welke wijze kan worden getoetst of aan de eisen wordt voldaan die aan eenService Level Agreement (SLA) worden gesteld, om de afstemming tussen degebruikersorganisatie en de IT-serviceorganisatie binnen de Rijksoverheid vast teleggen, waarbij ook de noodzakelijke informatiebeveiliging in opzet, bestaan enwerking in de IV-dienstverleningsketen is geborgd?Uit het literatuur- en praktijkonderzoek blijkt dat een SLA een nuttig middel is omafspraken tussen twee organisaties eenduidig vast te leggen. Er zijn elementen naarvoren gekomen die belangrijk zijn voor de totstandkoming van een SLA, maar ookbelangrijk zijn bij de toetsing van het gebruik van een SLA. Het is mogelijk geblekendeze elementen te vatten in een auditinstrument. Dit auditinstrument kan gebruiktworden door een auditor of adviseur om een SLA te toetsen of aan de eisen wordtvoldaan die aan een SLA worden gesteld.In het auditinstrument zijn de elementen in de volgende hoofd- en subcategorieëningedeeld: Algemeen, bijvoorbeeld doelen, rechten en plichten; Lifecycle van een SLA, bijvoorbeeld aanleiding, ontwikkelen en testen; Inhoud van een SLA (algemeen), bijvoorbeeld samenstelling; Inhoud van een SLA (beveiliging), bijvoorbeeld referentiekaders en regelgeving.De elementen uit deze categorieën moeten in ieder geval worden meegenomen bijde totstandkoming van een SLA om te zorgen voor een goede afstemming tussenbeide partijen.De noodzaak voor het gebruik van een dergelijk auditinstrument wordt gevoed doorde discrepantie die er is tussen de theorie en de praktijk. Om dat verschil goed tekunnen toetsen en om te beoordelen of de afstemming wel volledig is, kan hetinstrument behulpzaam zijn.Het instrument is (nog) niet gevalideerd. Geadviseerd wordt dit in eenvervolgonderzoek te doen. In dit vervolgonderzoek kan ook worden nagegaan ofhet zin heeft om weegfactoren toe te kennen aan de onderscheiden categorieënvan het instrument.De praktische bruikbaarheid van de voorgestelde methodiek kan op deze wijzeworden vastgesteld en wellicht op onderdelen nog worden verfijnd of verbeterd.De toetsing van het instrument in de praktijk heeft in dit onderzoek opgeleverd datde normenkaders voor informatiebeveiliging niet worden vastgelegd in de SLA’s enook niet op werking zijn gecontroleerd door de naleving ervan te toetsen.Een aanbeveling is dan ook om dit wel te gaan doen, bijv. door het gebruik makenvan een Third Party Mededeling (TPM), die betrekking heeft op het niveau van deinformatiebeveiliging (conform het VIR 2007) en wordt afgegeven door eenonafhankelijke partij.Afstudeerscriptie team <strong>801</strong> blz. 28 van 49
6 ReflectieAlgemeenHet maken van een scriptie vergt nogal wat. Je moet tijd investeren, werken aan deonderlinge communicatie met elkaar en begeleiders. Lezen van literatuur, hetmaken van afspraken en het houden van interviews met in eerste instantie somsvolstrekt onbekende mensen. Tijdens het totstandkomingproces is ons een aantaldingen opgevallen. Een paar daarvan willen we in dit hoofdstuk met u delen.Planning en tijdsduurDe VU hanteert voor het schrijven van een scriptie een termijn van zes maanden. Alsrichtlijn voor de studiebelasting wordt 200 uur per persoon aangegeven. Om nietonnodig onder tijdsdruk te komen staan, hebben wij besloten eerder te starten methet schrijven van een scriptie, namelijk in april 2007. Dat is achteraf niet onverstandiggebleken. Het schrijven van een plan van aanpak heeft veel tijd gekost, maar deervaring is dat wanneer hier goed over nagedacht wordt de tijd wordtterugverdiend in de uitvoeringsfase van het onderzoek. Een langere doorlooptijddan de geadviseerde termijn is aan te raden om de werkdruk meer te spreiden.Wijziging aanpakDe initiële aanpak voor het onderzoek bleek tijdens de uitvoering van het onderzoektoch niet de aanpak te zijn die zou leiden tot het gewenste resultaat. Deze initiëleaanpak ging uit van het opstellen van een instrument op basis van de bestudeerdetheorie. Dit instrument zou gevalideerd worden in het praktijkonderzoek. Het bleekechter dat de theorie onvoldoende handvatten bood om te komen tot eendergelijk instrument. Daarom hebben wij gekozen de aanpak te wijzigen en op basisvan de bestudeerde theorie een vragenlijst op te stellen zodat wij daarmee hetpraktijkonderzoek konden uitvoeren. Met de informatie vanuit de theorie enverkregen uit het onderzoek hebben wij vervolgens het instrument samengesteld.Informatiebeveiliging: een precair onderwerpVoordat wij begonnen aan het onderzoek waren wij niet echt bekend met hetgekozen onderwerp. Ons onderzoek was in eerste instantie gericht op debeveiligingsaspecten. De aanleiding voor ons was de onderwaardering van hetonderwerp beveiliging in een SLA. We hebben ervaren dat dit onderwerp somsgevoelig ligt. In voorkomend geval wilden we bij een sector van een groterijksoverheidsdienst gesprekken voeren en interviews afnemen. Over beveiligingkonden we op papier en in de SLA’s niet erg veel terugvinden.Toen bleek dat diverse gesprekspartners enigszins terughoudend werden.De publicatie bij de VU, de veronderstelde mogelijke (politieke) risico’s, wellicht detekortkomingen van de organisatie op dit terrein: het resulteerde er in dat dit deelvan het onderzoek voortijdig eindigde.Een aanbeveling die wij willen doen aan toekomstige studenten van de VU: weesalert op mogelijke hindernissen die worden opgeworpen in samenhang met dekeuze van het scriptieonderwerp. Je onderzoek kan erop stuklopen.Kies met zorg een onderwerp en een probleemstelling.Afstudeerscriptie team <strong>801</strong> blz. 29 van 49
Page 5 and 6: InhoudsopgaveColofon ______________
Page 7 and 8: De relatie tussen de gebruikersorga
Page 9 and 10: OnderzoeksmethodenDe methode van on
Page 11 and 12: 2 Theoretisch kader SLA’s en beve
Page 13 and 14: 2.2.2 Kenmerken/typering van de IT-
Page 15: Onderstaande figuur geeft de indeli
Page 18 and 19: 2.6.2 BetrokkenenHet is belangrijk
Page 20 and 21: 3 Uitkomsten praktijkonderzoek3.1 I
Page 22 and 23: Dit is aangegeven als vanzelfspreke
Page 24 and 25: 3.5 Inhoud van een SLA (beveiliging
Page 26 and 27: Er zijn ook enkele verschillen te c
Page 30 and 31: LiteratuurlijstDe opgenomen nummers
Page 32 and 33: 2.2.3 Onderwerp van overeenkomstAan
Page 34 and 35: 2.9 Aanpassingen van de SLA2.9.1 Wi
Page 36 and 37: 2.11.4 GeschillenBeschrijving van h
Page 38 and 39: VIR 2007 en beveiligingBij systemen
Page 40 and 41: In ITIL wordt het perspectief gekoz
Page 42 and 43: Bijlage 3 - gehanteerde gestructure
Page 44 and 45: Inhoud specifiek m.b.t. beveiliging
Page 46 and 47: Inhoud van eenSLA (beveiliging)Begr
Page 48 and 49: Samenstellen SLAHet gebruik maken v

20080325 - 801 - Scriptie - definitief - Vurore

Create successful ePaper yourself

Delete template?

Save as template?