Digitale soevereiniteit en de strategische waarde van de S-BOM 

Bijvoorbeeld, de automobielsector in de VS is nauw verbonden met productie- en verwerkingsbedrijven in Mexico, Canada, Azië en Europa. De ingestelde importtarieven in de VS beïnvloeden via deze ketens direct de industrie in de VS. Met andere woorden als gevolg van de afhankelijkheid in de keten, zijn de organisaties in de automobielsector niet zondermeer soeverein. 

Complexiteit van IT-ketens 

In de IT-sector zien we vergelijkbare afhankelijkheden. De wereldwijde IT-ketens strekken zich uit over verschillende continenten, wat de discussie over cloudsoevereiniteit complex maakt. Het waarborgen van digitale soevereiniteit is essentieel om controle te houden over je data en IT-infrastructuur, vooral in een tijd van geopolitieke spanningen en veranderende regelgeving. 

Een goed voorbeeld van deze complexiteit is de afhankelijkheid van cloudproviders. Veel Europese bedrijven gebruiken Amerikaanse cloudproviders zoals AWS, Google Cloud en Microsoft Azure. Deze zogenaamde Hyperscalers vallen allemaal onder de Amerikaanse CLOUD Act. Dit creëert juridische en compliance uitdagingen voor Europese bedrijven die hun data willen beschermen volgens lokale wetgeving. 

IT-ketens omvatten verschillende lagen van hardware, software, diensten en netwerken, die allemaal bijdragen aan de functionaliteit en veiligheid van de IT-omgeving. Het beheren van deze complexe ketens vereist inzicht in alle componenten en hun onderlinge afhankelijkheden, inclusief technologieën, leveranciers en partners. Een gebrek aan inzicht in deze afhankelijkheden kan leiden tot onverwachte risico’s en kwetsbaarheden. 

Daarom is het cruciaal om een strategie te hebben die helpt deze complexiteit te beheersen en cloudsoevereiniteit of zelfs digitale soevereiniteit te waarborgen. Dit betekent weten waar de eigen data wordt opgeslagen, wie er toegang toe heeft, en hoe de IT-keten is opgebouwd en welke risico’s eraan verbonden zijn. 

Belang van digitale soevereiniteit 

Digitale soevereiniteit is van cruciaal belang in de huidige data-gedreven wereld. Het stelt organisaties in staat om controle te houden over hun digitale activa, infrastructuur en data. Dit gaat verder dan eigendom; het omvat de capaciteit om digitale middelen onafhankelijk te beheren en te besturen. Digitale soevereiniteit zorgt ervoor dat de organisatie autonoom beslissingen kan nemen over haar digitale aanwezigheid en operaties, vrij van externe druk of afhankelijkheden. De gehele waardeketen van een organisatie omvat meer dan alleen het cloudplatform. Tussen de organisatie, het cloudplatform en de zakelijke relaties vormen veel componenten een essentieel onderdeel van de waardeketen. 

Inzicht en grip op de keten 

Inzicht krijgen in en grip krijgen op deze keten lijkt een bijna onmogelijke taak, maar dat is het niet. Het is complex, maar niet alle onderdelen van de keten hebben dezelfde risico’s. Een belangrijk instrument om inzicht te krijgen in de keten en de afhankelijkheden waar risico’s dreigen, is de Bill-of-Materials. Voor software wordt dit een S-BOM genoemd en voor infrastructuur een I-BOM. Na de ervaring met de Log-4J kwetsbaarheid in 2021 hebben veel IT-organisaties deze instrumenten geadopteerd. Een S-BOM biedt inzicht in alle componenten die worden gebruikt bij de productie en het onderhoud van software. Door S-BOM informatie te verzamelen registreren en actueel te houden voor alle software binnen de organisatie, kunnen afhankelijkheden snel zichtbaar gemaakt worden zodra daar behoefte aan is. Met andere woorden zodra er sprake is van een zero-day melding, biedt een S-BOM snel en efficiënt inzicht of en waar de eigen organisatie kwetsbaar is. 

Interne keten en externe keten 

De S-BOM en de I-BOM kunnen ook van grote waarde zijn bij externe ketens. Als alle organisaties in een waardeketen gezamenlijk afspreken om accuraat een S-BOM en I-BOM op te stellen, wordt het ook mogelijk om met elkaar de controle op de keten te vergroten. 

De inhoud van een S-BOM of I-BOM kan worden aangepast aan specifieke behoeften. Dit kan binnen de eigen organisatie als ook binnen de waardeketen. Een accuraat bijgehouden register van kan daarmee van strategische waarde blijken als snel geschakeld moet worden op onvoorziene Geopolitieke of cyberthreat ontwikkelingen. 

Brede toepassing van Bills-of-Materials 

Niet alleen software en infrastructuur zijn relevant voor de waardeketen. Een Bill-of-Materials kan in elk gebied worden opgesteld. Het gebruik van een Bill-of-Materials komt oorspronkelijk uit de industrie. Door alle relevante Bills-of-Materials voor je waardestromen te verzamelen en te registreren, krijg je inzicht in je afhankelijkheden van derden. Dit inzicht vormt de basis voor het inschatten van risico’s en het nemen van passende maatregelen. 

Meer weten? 

Sogeti heeft expertise in het registreren, verwerken en analyseren van gegevens uit Bills-of-Material. Wij ondersteunen bij het ontwikkelen van een veilige, schaalbare en compliant cloudstrategie. Voor meer informatie over digitale soevereiniteit en S-BOM oplossingen, neem contact met ons op. Wij helpen graag bij het navigeren door de complexe wereld van digitale soevereiniteit.