OTAP volgens de ISO 27001

Pieter Kloetstra – Managing Consultant

Wat is OTAP

OTAP is een afkorting. Een afkorting die staat voor:

  • Ontwikkel
  • Test
  • Acceptatie
  • Productie

Het is de industriestandaard om software (door) te ontwikkelen. Een die aangeeft dat u afzonderlijke omgevingen moet inrichten voor de verschillende stadia van softwareontwikkeling. Omgevingen die onderling ‘functioneel’ en soms ook fysiek gescheiden zijn. Waar vervolgens verschillende groepen mensen in werken. De programmeurs logischerwijs bij de eerste. De gebruikers meer bij de laatste.

Het scheiden maakt het ook mogelijk om de informatie te scheiden. Zo voorkomt u dat er nog niet geteste code in productie wordt genomen en dat live informatie met persoonsgegevens in de ontwikkelomgeving gebruikt wordt.

De OTAP aanpak zorgt enerzijds voor kwaliteit en structuur. Anderzijds zorgt het voor minimalisatie van de risico’s. Risico’s op fouten in de software. Risico’s op verstoring van de live omgeving. Risico’s dat de informatie beschadigd raakt of wellicht in handen van onbevoegden komt.

 

De BIV als houvast

BIV? Weer een afkorting. BIV is een houvast als het gaat om de eisen aan informatie en middelen.

  • De B staat voor beschikbaarheid van de informatie. Het systeem moet ‘het doen’.
  • De I voor integriteit. Of te wel de kwaliteit ervan.
  • De V ten slotte staat voor de vertrouwelijkheid. Onbevoegden buiten de deur houden.

De BIV kunt u ook toepassen op softwareontwikkeling en de risico’s die daarbij komen kijken. We leggen dat hierna uit.

De relatie met ISO 27001

De ISO 27001 is een raamwerk dat organisaties helpt om de beveiliging van hun informatie te organiseren en de risico’s te beheersen. Binnen de ISO is het OTAP raamwerk een onderdeel. We noemen hier bewust het beheersen van risico’s. Want risico’s zijn er altijd. U kunt niet 100% voorkomen dat een risico daadwerkelijk een feit wordt. Inventariseer ze. Kwalificeer ze. Focus op de belangrijkste en beheers die.

De ISO 27001 helpt u om software zo goed en veilig mogelijk te ontwikkelen. Goed door het maken van onderlinge afspraken en vastleggen van processen en beleid. Veilig door de risico’s te beheersen. Daar helpt de eerdergenoemde OTAP structuur en BIV bij. OTAP geeft aan dat u afzonderlijke omgevingen moet hebben als u software ontwikkelt. Een afzonderlijke omgeving voor de ontwikkeling, één voor het testen, één voor het accepteren en tenslotte één voor de productie (live) omgeving.

Voor nieuwe software belangrijk maar met name bij doorontwikkeling en nieuwe releases van bestaande software. Want dan is er een situatie met een draaiende productieomgeving waarin live informatie gebruikt wordt. Die wilt u op geen enkele wijze verstoren. Met betrekking tot de softwareontwikkeling kan uw bedrijf te maken hebben met wet en regelgeving waar u aan moet voldoen. Of verplichtingen en richtlijnen vanuit uw opdrachtgever. Aanvullend daarop kan uw eigen risicobeoordeling ook kaders en vertrekpunten meegeven.  De OTAP systematiek helpt u  om aan deze kaders en vertrekpunten op een juiste wijze invulling te geven.

Een nulmeting helpt u daarbij. Het geeft aan hoe u de situatie, uitgangspunten en risico’s in kaart brengt en hoe u die vervolgens naar verschillende afspraken kunt vertalen. Bijvoorbeeld naar een beleidsplan, processen en werkafspraken.

Van goed naar beter

De ISO 27001 helpt u dus om veilig te ontwikkelen, testen, accepteren en live te gaan. Met daarbij aandacht voor de kwaliteit van de software. Doen wat de software moet doen zonder verstoringen. En de veiligheid in termen van bescherming tegen onbevoegden.

Organisaties die software ontwikkelen zonder de OTAP structuur zijn we nog niet tegen gekomen. Wel zien we dat die organisaties nog stappen kunnen zetten om de werkwijze te professionaliseren. Wat de kwaliteit en risicobeheersing ten goede komt.

We geven u nog een aantal tips en ervaringen uit onze praktijk mee.

  • Maak goede afspraken en criteria wanneer de software naar de volgende fase kan.
  • Zorg voor een nagenoeg fysieke scheiding van de omgevingen.
  • Zorg dat gebruikers alleen toegang hebben tot de omgevingen die nodig zijn. Dat voorkomt dat een onbevoegde die op 1 omgeving binnenkomt ook eenvoudig toegang heeft tot de rest.
  • Zorg voor afzonderlijke datasets. Gebruik nooit vertrouwelijke informatie, zoals persoonsgegevens, in de eerste drie fasen.

Blog geschreven door Pieter Kloetstra, Managing Consultant

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!