Pieter Kloetstra – Managing Consultant
OTAP is een afkorting. Een afkorting die staat voor:
Het is de industriestandaard om software (door) te ontwikkelen. Een die aangeeft dat u afzonderlijke omgevingen moet inrichten voor de verschillende stadia van softwareontwikkeling. Omgevingen die onderling ‘functioneel’ en soms ook fysiek gescheiden zijn. Waar vervolgens verschillende groepen mensen in werken. De programmeurs logischerwijs bij de eerste. De gebruikers meer bij de laatste.
Het scheiden maakt het ook mogelijk om de informatie te scheiden. Zo voorkomt u dat er nog niet geteste code in productie wordt genomen en dat live informatie met persoonsgegevens in de ontwikkelomgeving gebruikt wordt.
De OTAP aanpak zorgt enerzijds voor kwaliteit en structuur. Anderzijds zorgt het voor minimalisatie van de risico’s. Risico’s op fouten in de software. Risico’s op verstoring van de live omgeving. Risico’s dat de informatie beschadigd raakt of wellicht in handen van onbevoegden komt.
BIV? Weer een afkorting. BIV is een houvast als het gaat om de eisen aan informatie en middelen.
De BIV kunt u ook toepassen op softwareontwikkeling en de risico’s die daarbij komen kijken. We leggen dat hierna uit.
De ISO 27001 is een raamwerk dat organisaties helpt om de beveiliging van hun informatie te organiseren en de risico’s te beheersen. Binnen de ISO is het OTAP raamwerk een onderdeel. We noemen hier bewust het beheersen van risico’s. Want risico’s zijn er altijd. U kunt niet 100% voorkomen dat een risico daadwerkelijk een feit wordt. Inventariseer ze. Kwalificeer ze. Focus op de belangrijkste en beheers die.
De ISO 27001 helpt u om software zo goed en veilig mogelijk te ontwikkelen. Goed door het maken van onderlinge afspraken en vastleggen van processen en beleid. Veilig door de risico’s te beheersen. Daar helpt de eerdergenoemde OTAP structuur en BIV bij. OTAP geeft aan dat u afzonderlijke omgevingen moet hebben als u software ontwikkelt. Een afzonderlijke omgeving voor de ontwikkeling, één voor het testen, één voor het accepteren en tenslotte één voor de productie (live) omgeving.
Voor nieuwe software belangrijk maar met name bij doorontwikkeling en nieuwe releases van bestaande software. Want dan is er een situatie met een draaiende productieomgeving waarin live informatie gebruikt wordt. Die wilt u op geen enkele wijze verstoren. Met betrekking tot de softwareontwikkeling kan uw bedrijf te maken hebben met wet en regelgeving waar u aan moet voldoen. Of verplichtingen en richtlijnen vanuit uw opdrachtgever. Aanvullend daarop kan uw eigen risicobeoordeling ook kaders en vertrekpunten meegeven. De OTAP systematiek helpt u om aan deze kaders en vertrekpunten op een juiste wijze invulling te geven.
Een nulmeting helpt u daarbij. Het geeft aan hoe u de situatie, uitgangspunten en risico’s in kaart brengt en hoe u die vervolgens naar verschillende afspraken kunt vertalen. Bijvoorbeeld naar een beleidsplan, processen en werkafspraken.
De ISO 27001 helpt u dus om veilig te ontwikkelen, testen, accepteren en live te gaan. Met daarbij aandacht voor de kwaliteit van de software. Doen wat de software moet doen zonder verstoringen. En de veiligheid in termen van bescherming tegen onbevoegden.
Organisaties die software ontwikkelen zonder de OTAP structuur zijn we nog niet tegen gekomen. Wel zien we dat die organisaties nog stappen kunnen zetten om de werkwijze te professionaliseren. Wat de kwaliteit en risicobeheersing ten goede komt.
We geven u nog een aantal tips en ervaringen uit onze praktijk mee.
Blog geschreven door Pieter Kloetstra, Managing Consultant