Managed hosting door True

Alex Beleggersbank krijgt inzicht in niet geautoriseerde wijzigingen

Case study

 

Beleggersbank Alex was in 1999 de eerste partij in Nederland die zich helemaal toelegde op online beleggen. Inmiddels bedient de bank 100.000 klanten en is het de grootste aanbrenger van particuliere orders op zowel de aandelen- als de optiebeurs van Euronext Amsterdam. Alleen al in 2006 verwerkte het bedrijf 3,2 miljoen orders. Dit vraagt om systemen met maximale beschikbaarheid, veiligheid en schaalbaarheid. Tegelijkertijd is de markt van online beleggen een zeer concurrerende markt, waarbij met name innovatiekracht een belangrijk onderscheidend kenmerk is. De systemen van Alex moeten dus snel en veelvuldig kunnen veranderen. Om te zorgen dat alleen geautoriseerde wijzigingen worden doorgevoerd zet Alex vanaf deze zomer ook de software van Tripwire in.

Alex ontwikkelt alle software zelf en ongeveer eenderde van alle medewerkers is dan ook actief op het gebied van IT. Om de kwaliteit van de systemen en dienstverlening onverminderd hoog te kunnen houden heeft Alex de laatste jaren vooral op het gebied van procedures belangrijke wijzingen doorgevoerd. Ed Lanen, Manager ICT: "We zijn bezig met het herinrichten van onze IT-organisatie. Een voortdurend veranderproces. We ontwikkelen al onze software zelf en voor de veranderingen kennen we een specifiek proces om ervoor te zorgen dat onze producctiesystemen niet down gaan zodra de software live gaat. Dit is een procedurele kwestie. En juist omdat het mensenwerk is, moet je controlepunten inbouwen in het proces. Vertrouwen is goed maar controle is beter. We hebben 100.000 klanten dus als het systeem ook maar heel even down gaat hebben we dus 100.000 potentiële klachten."

Sytze van der Veen, Hoofd Support & Test Center bevestigt: "Het is cruciaal om dit veranderproces procedureel goed af te dekken. Software moet 100% kloppen voordat het in productie komt. Vervolgens moet je er elk moment zeker van kunnen zijn dat datgene wat je in productie brengt of hebt gebracht ook daadwerkelijk in productie mocht komen. Wij controleren nu met Tripwire of er wijzigingen zijn doorgevoerd die niet door dat proces zijn gegaan."

"Het is feitelijk een ‘repressieve' maatregel, je controleert namelijk achteraf", zo vervolgt Ed Lanen. "Maar de doelstelling is wel degelijk om het preventief te laten werken, zodat de technisch beheerders er vooraf al rekening mee houden. De Technisch Beheerders kunnen zelf software in productie brengen. Met Tripwire kunnen we echter voortdurend zien of er iets gebeurd is dat niet had mogen gebeuren. Doordat iedereen weet dat deze controle plaatsvindt is het systeem daarmee ook preventief geworden."

Implementatie is bedrijfskundige uitdaging

Wat Ed Lanen betreft is de implementatie van een tool als Tripwire vooral een bedrijfskundige uitdaging, veel meer dan een technisch issue. "In juli 2006 zijn we voor het eerst met de software van Tripwire in aanraking gekomen, en deze zomer gaan we live. Dat het zo lang geduurd heeft, heeft niet te maken met de software maar vooral met het inbedden ervan in de organisatie. Je moet acceptatie creëren een draagvlak hebben. Het is toch een controlemiddel en als zodanig wekt het de weerstand op van degene die zich gecontroleerd voelen. Daar moet je begrip voor hebben. Wij hebben hier te maken met twee afdelingen Technisch Beheer (TB) en Support & Test Center. Technisch Beheer weet feitelijk het meest van het product en ook de projectleider is hoofd Technisch Beheer. We hebben de beheertaak en de verantwoordelijkheid voor Tripwire echter niet neergelegd bij TB. Het is volgens mij namelijk niet verstandig om de controle neer te leggen bij de afdeling die zelf de software in productie brengt. Je laat een slager ook niet zijn eigen vlees keuren. We hebben er dus voor gekozen het systeem en de verantwoordelijkheid ervoor neer te leggen bij Support & test Center, verantwoordelijk voor het gehele Change Management. Zij doen op dit aspect dus ook de controle op Technisch Beheer. Een duidelijke functiescheiding."

Vertrouwen kweken

Als Tripwire nu een ongeautoriseerde wijziging tegenkomt dan gaan TB en STC samenzitten. Sytze van de Veen: "De implementatie is inderdaad een bedrijfskundig probleem, geen technisch probleem. Je moet eerst de acceptatie verhogen, zodanig dat iedereen ook zelf het nut van zo'n maatregel inziet. Tripwire is ook niet alleen een controlemiddel. Ook incidenten laten zich nu veel makkelijker opsporen en localiseren. Alle wijzigingen zijn nu beter in kaart gebracht en er zijn dus ook voordelen voor de beheerafdeling, bij het oplossen van problemen."

Ed Lanen: "We doen dit overigens ook niet om redenen van compliance of wet- en regelgeving. Dat zijn mooie modewoorden waar iedereen zich achter verschuilt. We doen het omdat we ervan overtuigd zijn dat het de kwaliteit van onze systemen ten goede komt en omdat daarmee de kwaliteit van onze dienstverlening toeneemt. Goede bedrijfsvoering is al snel compliance. Verstandig inrichten is al snel ITIL, best practices immers. Klanten koesteren. In de VS is wet- en regelgeving veel sterker, maar daar hebben we hier feitelijk niets mee te maken. SOX leeft voor ons niet. Wetten zijn voor ons niet het incentive om dit te doen. Wetten zijn ook vaak multi-interpretabel."

Testen en autoriseren

Alex is eigenlijk een systeemontwikkelclub. Van de ca. 225 medewerkers is eenderde werkzaam in de IT, waarvan 50 ontwikkelaars. Sytse van der Veen: "Testen vindt plaats in een schaduwomgeving, of acceptatieomgeving. Als de test goed bevonden wordt dan wordt de software en de change geautoriseerd. Wat ik vandaag autoriseer in de testomgeving, komt vervolgens ook in productie. Als dat gebeurt, dan is dat dus conform verwachting, en dan hoef ik het niet te zien. Ik wil alleen de gevallen zien waar iets mee aan de hand is. De onverwachte wijzigingen. Deze tool voorkomt overigens niet dat incidenten toch zullen blijven optreden, maar het zal wel minder worden."

"Het is natuurlijk zo dat van tijd tot tijd software per ongeluk in productie komt, zonder dat het de testprocedure doorlopen heeft. Soms moeten problemen snel worden verholpen en dan gebeuren dat soort zaken", zo vervolgt Ed Lanen. "Toch is dat niet wenselijk. Tripwire maakt dit nu zichtbaar en vervolgens hebben we er een goed gesprek over. Het blijft natuurlijk een grijs gebied: wat is een gewone beheerswijziging en wat is een structurele wijziging, een change. Als je een paar settings verandert valt dat dan onder de formele change management procedure? Kleine wijzigingen moeten mogelijk blijven zonder bureaucratisch te zijn. Volgens ITIL is elke wijziging een formele change, maar Alex wil wel flexibel blijven."

Tripwire kijkt per dag, of met enige regelmaat naar welke bestandjes er veranderd zijn. Er zijn daarbij potentieel oneindig veel veranderingen en je moet dus heel goed instellen wat je wel en wat je niet teruggekoppeld wilt hebben. Ed Lanen: "Tripwire is in zekere zin een SLA-beheertool, ik vind het eigenlijk geen audit tool, daar is het te operationeel voor, te gedetailleerd. Om het zo te kunnen instellen dat je precies de rapportages krijgt die je nodig hebt hebben we nauw samengewerkt met onze vaste scurity partner Pinewood. Wat wil ik wél zien, en wat wil ik niet zien. Daar moet je echt wel even de tijd voor nemen. De consultants van Pinewood hebben bijzonder veel ervaring in de financiële sector en zijn daarbij ook nog eens de enige gecertificeerde Tripwire partner. Zij weten als geen ander welke informatie wel of niet  nuttig is."

Tripwire is geïnstalleerd op alle systemen: servers, firewalls, netwerkcomponenten en desktops. Op alle apparaten worden Tripwire agents geïnstalleerd die periodiek rapporteren of op dat systeem iets veranderd is. Daarnaast vindt ook agentless monitoring plaats. In totaal zijn er dertien gebruikers die met Tripwire werken.

ROI

Ed Lanen: "Als het gaat om de meetbaarheid van het succes van Tripwire dan iss dat niet snel in absolute getallen uit te drukken. Het werkt voor een belangrijk deel preventief, en is daarmee lastig aantoonbaar. Het is wat mij betreft een succes als ik vaker dingen zie die aanleiding geven om even samen te zitten, en te bespreken of iets een verandering is in beheer of een echte change. ROI is voor ons niet economisch. Het gaat om kwaliteit. We sturen niet op geld, niet direct althans.: Sytze van der Veen: "Twee jaar geleden hebben we ons testproces ingericht, en daarbij ook nooit echt gemeten wat het ons nu bespaard heeft, maar we weten nu wel dat niemand het meer zou willen missen. Iedereen is overtuigd van het nut. Dat gaat met Tripwire ook gebeuren."

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2215468). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 
Vacatures bij Alex
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×