Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
-
Upload
infosecurity2010 -
Category
Entertainment & Humor
-
view
593 -
download
0
Transcript of Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
1
Informatieketens vragen om nieuwe
AssuranceINFOSECURITY.NL NOVEMBER 2010
Betrouwbaarheid “by design” of als uitkomst
Ruud J. Mollema RE RA
Werkgroep Ketenauditing
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Werkgroep Ketenauditing van NOREA, zoekt naar nieuwe wegen
• M. Bosch VWS• A. de Bruijn PwC• W.Geertsma RAD• R. Matthijsse Capgemini• R.J. Mollema HEC• R. Smildiger RAD • B. J. van Staveren UWV• R. Torabkhani AlignNet• M. Welters E&Y
2
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
FEIT
Er speelt zich veel af in het publieke ICT domein
3
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
4
Wat zich ontwikkelt
1. De informatiehuishouding in de publieke sector verandert in hoog tempo 2. Samenwerking en gegevensuitwisseling in ketens en netwerken spelen een
belangrijke rol3. INK bepaalt een groot deel van het speelveld4. Kwaliteit wordt aan het begin van de inrichting van de keten bepaald5. De IT audit beroepsgroep zoekt naar een moderne roldefinitie
en heeft nieuw instrumentarium nodig6. De basis van een modern referentiemodel voor IT auditing en management
review wordt gepresenteerd7. Rol positionering en gedrag zullen ook moeten ontwikkelen8. Leiderschap is kritische succes factor
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
5
Wat gebeurt er binnen de overheid?
Commisie Kohnstam
E-overheid
NORA
Roel Bekker
ICT leveranciers
Manifestgroep
NUP
Organisatie van de Rijksdienst en uitvoering
Betere dienstverlening & minder lasten
Eén Architectuur voor dienstverlening
Een efficiënte, gestandaardiseerde overheid
Een bizar veld van reactie en beïnvloeding
Geen concurrentie op infrastructuren
Invoeringsplan e-overheid voor lagere overheden
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
MENINGEN
Oordelen over performance
6
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
7
Onvoldoende grip op informatievoorziening en IT
• Het huidige stelsel van verantwoording, controle en toezicht is
een in zichzelf gekeerd specialistisch systeem geworden, waarin
uitvoeringsorganisaties zichzelf niet meer herkennen
• Noodzaak tot een andere toepassing van governance met meer aandacht voor
risicomanagement bij de beleidsvorming en meer beslisruimte voor
uitvoeringsorganisaties
• Het terugdringen van de controle-op-controle door een gerichte inrichting van de
architectuur en governance
• IT-governance moet permanent worden ingebed in beleidstrajecten en sw reguliere
planning-en control cyclus (COBIT)
• Opdrachtgeverschap is onvoldoende ontwikkeld
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
8
Genomen maatregelen als reactie op AR rapport
• Meer structurele aandacht voor de rol van opdrachtgever,
bestuurlijke dimensie en de problematiek rondom samenwerking in
ketens
• Inrichting: versterking van CIO-functie in de organisatie als
beheerder van projectenportfolio en informatiemanagement op de
bestuurlijke agenda
• BZK heeft ter versterking van systeemverantwoordelijkheid de rol
van DGOBR ingericht, maar eigen verantwoordelijkheid van
ministers blijft
• Gateway-methode is als kwaliteitsinstrument ingevoerd en kan
overheid helpen leren en verbeteren, maar is niet gemaakt voor
management control
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
UITDAGING
Wie houdt grip op deze ontwikkelingen?
9
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
10
De rol en bijdrage van IT auditing wordt zelden genoemd
• IT governance staat vaker op de bestuurlijke agenda, want
in hoge mate bepalend voor de outcome voor maatschappelijke
doelstellingen
• De IT audit functie is buiten spel geraakt en wordt niet (meer) gezien
als een vakdeskundige gesprekspartner en als cruciaal onderdeel van
het management control proces
• De IT audit functie heeft een technische connotatie, geen adequate
controlemechanismen maar snoepwinkeltje aan
(verouderde)raamwerken
• Er is nauwelijks wetenschappelijk onderzoek naar moderne
structuren, processen en adequate beoordelingsmodellen voor
assurance in informatieketens
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
11
Complicaties bij oordeelsvorming in informatieketens
• Opdrachtgeverschap binnen ketenverband niet helder
• Autonomie en financiering van overheidsorganisaties
• Gebrek aan integrale ketencoördinatie op bestuurlijk niveau
• Aantal autonome organisaties bij de samenwerking
• Hoge mate van functionele specialisatie van de betrokken organisaties
• Betrokkenheid van verschillende bestuurlijke lagen
• Zoeken naar balans tussen autonomie en integratie (vrijheid in gebondenheid)
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
INFORMATIEKETENS
Een blijvend verschijnsel
12
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
13
Informatieketens in soorten en maten
• Klassieke uitbesteding• Semi-trust• Semi-keten• Echte keten Ketengovernance, de EDP-auditor nummer 1 | 2006
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
14
INK en Competentie
Organisaties ontwikkelen zich volgens INK niveaus en bevinden zich in meerdere niveaus:
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
15
Elk niveau stelt andere eisen en zet ontwikkelingen in gang
1. Activiteitgericht
2. Procesgericht
3. Systeemgericht
4. Ketengericht
• Functiebeschrijvingen• Taakopdrachten• Persoonlijk gereedschap• Effectiviteit
• Procesbeschrijvingen• AO• ERP• Interene optimalitsatie• Productgericht
• Architecturen NORA• Generieke infrastructuren• Samenwerking• Dienstgerichtheid Manifestgroep, NUP• SLA’s
• Servicegerichtheid• Vertrouwen Basisregistraties• Informatieketens• Open infrastructuren• Ontwikkeling van services
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
16
Overheid in INK gevat
• Overheidsorganisaties bevinden zich overwegend in niveau 2
• Ontwikkelingen in e-overheid richten zich voornamelijk op tooling
voor niveau 3
• Ketens veronderstellen van alle partijen niveau 4
• Verschil in volwassenheid bij aanwezige organisaties en competenties
leiden tot aansluitingsproblemen in informatieketens
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
17
Beïnvloeding van informatieketens
NORA
E-OVerheid
Cie Kohnstam
Roel Bekker
ManifestgroepNUP
Forum Standaardisatie
Leveranciers
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
ASSURANCE
Nieuwe onzekerheden vragen om nieuwe antwoorden
18
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
19
Complexiteit + nieuwe actoren = onzekerheid
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Samenwerking in de publieke sector
20
Ketensamenwerking over de kolommen heen
is het importeren van (politieke) risico’s.
De ketenafhankelijkheden zijn massaal,
de afhankelijkheid van anderen enorm.
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
21
Voorbeeld: de sector Veiligheid
Politie
Veiligheidsregio’s
GHOR
Ambulancezorg
J ustitie
Gemeenten
(anderen)
Meldkamerdomein
Burger & bedrijf
Brandweer
Rampencoördinatie
Defensie
Gezamenlijk domein
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Assurance in perspectief
22
In den beginne was er alleen maar professional judgement,
later onderbouwd met modellen en normenkaders
Rule-based
Risk-based
Principle-based
PROCESOUTPUT
OUTCOME
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Assurance en controle in programma’s
23
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
24
Veranderende vraag naar assurance
• Nieuwe vraagstukken door ontwikkelingen• Veel complexiteit• Generieke componenten doorbreken bestaande governance• Focus op diensten en (web)services in plaats van processen
en systemen• Betrouwbaarheid by design• Audit als stuurmiddel i.p.v. verantwoording
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
25
Conclusie: veranderende behoefte aan audit modellen
• Meer complexiteit• Keteninrichting• Verleggen van betrouwbaarheidsvraagstukken naar
ontwerpfase
Vraagt om herindeling en benoeming
van de audit functie en aanvullende assurance
producten voor de Publieke Sector
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
ASSURANCE OVER INFORMATIEKETENS
Nieuwe invalshoeken en domeinen
26
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
INFRASTRUCTUUR
KETENPARTIJ / ORGANISATIE
PROCESSEN
INFORMATIE
OBJECTEN IN DE
KETEN
ONTWIKKELLINGFASE
Wetgeving is altijd de basis
Voorbereiding
Ontwikkeling
Uitvoering
Invalshoek voor assurance in informatieketens naar ontwikkelingsfase
27
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
28
STRATEGIE
STRUCTUUR
UITVOERING
BELEID INFORMATIE TECHNOLOGIE
Assurance breidt zich uit richting uitvoeringsbeleid, want de traditionele ICT is de drager voor verandering geworden
28
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
29
Voor-bereiding
Ontwik-keling
Uitvoering Afbouw
Bestuurlijk-organisatorisch
Wet- en regelgeving
Bedrijfsprocessen
Gegevens en toepassingen
Informatietechniek
Sociaal-organisatorisch
Marketing en Voorlichting
Projectorganisatie
Financieel-economisch
Politiek-strategisch
Aspecten in de lifecycle
Informatiebeveiliging
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
LifecycleCriteria
Voorbereidingsfase Ontwikkelfase Uitvoeringsfase Afbouwfase
Cluster 1 WET•Politiek Strategisch•Bestuurlijk Organisatorisch•Wet- en Regelgeving•Financieel Economisch
Review wetsconcept/AMvBReview KetengovernanceReview Business Case
ProgrammareviewGateway Review
Review Beleid en Doelstellingen MSP
Risico beoordeling beeindiging / overgangAudit afbouw / overgangsplan
Kaderwet ZBO’sWetten op de BasisregistratiesWBP
Richtlijnen Grote ProjectenWetten op de BasisregistratiesMSP / Prince2WBP
COBITITILWBP WBP
Cluster 2 PROCES•Bedrijfsprocessen•Gegevens en Toepassingen•Informatietechniek•Competenties
Review UA / UTAudit informatiemodelAudit toepassing WBPAudit informatiebeveiliging
Risico analysesProject audit / reviewPre-implementatie auditAudit informatiebeveiligingReview ISO 15489/2082
Audit toepassing WBPAudit informatiebeveiligingAudit op systemenAudit op processen Audit op keten(s)Review ISO 15489/2082
Audit toepassing WBPAudit informatiebeveiligingG2G Due DiligenceReview ISO 15489/2082
ArchitecturenArchiefwetNOREA NormenVIR(/BI)
Standaarden CvS ArchitecturenArchiefwetISO 15489/2082C.v.InformatiebeveiligingNOREA NormenVIR(/BI)
BISL / ASLArchiefwetISO 15489/2082C.v.InformatiebeveiligingNOREA NormenVIR(/BI)
ArchiefwetISO 15489/2082C.v.InformatiebeveiligingNOREA NormenVIR(/BI)
Cluster 3 KLANT•Sociaal Organisatorisch•Markteting en Voorlichting•Kanaal- en Klantsturing
Risicoanalyse klantproces Audit op compliance NORA
Richtlijnen DienstverleningNORA
Richtlijnen DienstverleningNORA
Handvest Publieke.Verantwoording.
Assurance in de lifecycle
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
31
Conclusie
1. Verscheidenheid in behoefte aan assurance door de komst van informatieketens leidt tot een diversiteit in vragen en antwoorden
2. Betrouwbaarheid wordt grotendeels in de ontwerpfase bepaald, daarna is het moeilijk nog aan te passen
3. Assurance in ketens is breder dan audit, waardoor de gangbare normenkaders niet meer voldoende zijn
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Opdrachten voor de beroepsgroep
• ICT-audit zal als dominante factor in de lifecycle van informatieketens aanwezig moeten zijn
• Haar beroepsgroep zal een claim op een aantal leidende assurance producten moeten leggen.
• Voor de overblijvende assurance producten zoals de Gateway Review zal een nieuw assurance regime worden gevonden
32
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Net als de media industrie, zal de beroepsgroep van ICT-auditors zich aanpassen aan moderne tijden en nieuwe technologieën
33