Aan de slag als auditor 4: Het uitvoeren van de tweede onderzoeksdag
De onderzoeksvraag is “kan de IT auditor omgeving · 2012-09-05 · In figuur 1 zijn vier...
Transcript of De onderzoeksvraag is “kan de IT auditor omgeving · 2012-09-05 · In figuur 1 zijn vier...
Herbert van der Kooij
De onderzoeksvraag is “kan de IT auditor
assurance verstrekken in een Cloud Computing
omgeving.” Hierbij zijn de verschillende aspecten
van Cloud Computing onderzocht. Vervolgens zijn de
voorwaarden van assurance-opdrachten afgezet
tegen deze verschillende Cloud Computing aspecten.
Hoofdconclusie is dat het geven van redelijke mate
van zekerheid zeer lastig is gezien de complexiteit
van de verschillende aspecten van Cloud Computing.
Vrije Universiteit Amsterdam
Postgraduate IT Audit Opleiding
Referaat juli 2012
Versie 1.0
De IT Auditor “in de wolken”
Liberalisatie van IT geeft de afnemer
nieuwe mogelijkheden en de IT Auditor
nieuwe uitdagingen.
Voorwoord
Dit referaat is geschreven als afstudeeropdracht van de Postgraduate IT Audit opleiding
aan de Vrije Universiteit van Amsterdam. In het referaat dient een actueel vraagstuk uit
de IT Audit wereld op een academisch verantwoorde wijze behandelt te worden. Dit
referaat heeft als onderwerp “Assurance in the Cloud”. De toename van IT diensten in de
Cloud leidt tot een grote vraag naar zekerheid omtrent deze diensten. Dit brengt voor de
IT Auditor grote vraagstukken en uitdagingen met zich mee. Het referaat heeft als
doelstelling om inzicht te geven in welke mate een IT Auditor zekerheid kan geven over
Cloud diensten en welke middelen hij daarbij ter beschikking heeft. Om hier antwoord op
te geven ligt een literatuurstudie ten grondslag van Cloud Computing en assurance -
opdrachten. Daarnaast zijn er interviews afgenomen met verschillende professionals die
bij hun dagelijkse werkzaamheden direct betrokken zijn bij Cloud oplossingen. Via deze
weg wil ik mijn afstudeerbegeleider dr. A. (Abbas) Shahim RE bedanken voor de prettige
en interessante conversaties en het vakkundige inzicht welke tot een verdere verdieping
en verrijking van dit referaat heeft geleid.
juli 2012
Herbert van der Kooij
Inhoudsopgave
Inleiding ............................................................................................................................. 6
1.1 Achtergrond .......................................................................................................... 6
1.2 Onderzoeksvraag ...................................................................................................... 7
1.2.1 Subvragen ..................................................................................................... 7
1.2.2 Scope van het referaat .................................................................................... 7
1.3 Aanpak, indeling en structuur onderzoek .................................................................. 8
1.3.1 Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? ...... 8
1.3.2 Waaraan moet een Assurance-opdracht voldoen? ................................................ 9
1.3.3 Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven van
Assurance binnen een Cloud omgeving ............................................................................ 9
2. Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? .................. 10
2.1 Inleiding .............................................................................................................. 10
2.2 Wat is Cloud Computing? ....................................................................................... 10
2.2.1 Definitie traditionele IT oplossing (hosting / ASP omgeving) ................................ 10
2.2.2 Definitie en essentiële aspecten van Cloud Computing ........................................ 10
2.2.3 Definitie Cloud Computing: ............................................................................. 11
2.2.4 Service modellen van Cloud Computing ............................................................ 11
2.2.5 Delivery modellen van Cloud Computing ........................................................... 11
2.2.6 Vijf kenmerken van Cloud Computing ............................................................... 13
2.2.7 Verschillen Cloud Computing ten opzichte van hosting en ASP ............................. 14
2.3 De techniek virtualisatie ........................................................................................ 15
2.3.1 Definitie en aanbieders ................................................................................... 15
2.3.2 Complexe technieken van virtualisatie .............................................................. 16
2.3.3 Wat betekent virtualisatie voor de IT Auditor ..................................................... 18
2.4 Business model .................................................................................................... 19
2.4.1 Inleiding ....................................................................................................... 19
2.4.2 Verschillende partijen in de Cloud .................................................................... 19
2.4.3 Van kopen naar huren .................................................................................... 22
2.5 Wet en regelgeving ............................................................................................... 22
2.5.1 Nederlandse regelgeving ................................................................................. 22
2.5.2 Amerikaanse wetgeving .................................................................................. 23
2.6.6 Betekenis privacy wetgeving voor de IT Auditor ...................................................... 24
2.6 Overige risico‟s ..................................................................................................... 24
2.6.1 De invloed op de Cloud diensten van de afnemer is beperkt ................................ 24
2.6.2 Right to audit is randvoorwaarde ..................................................................... 24
2.6.3 Afhankelijkheid van de aanbieder (Vendor lock-in) ............................................. 24
2.6.4 Verschillende afnemers in dezelfde Cloud .......................................................... 24
2.6.5 Exitstrategie .................................................................................................. 25
2.7 Conclusie verschillen tussen Cloud Computing en traditionele IT oplossingen. .............. 26
3. Waaraan moeten assurance-opdrachten voldoen? ............................................................ 28
3.1 Inleiding .............................................................................................................. 28
3.2 Definitie en doelstelling van een assurance-opdracht ................................................. 28
3.3 Soorten assurance-opdrachten ............................................................................... 29
3.4 Type en vormen van assurance-opdrachten ............................................................. 30
3.4.1 Type assurance-opdrachten ............................................................................. 30
3.4.2 Audit domeinen ............................................................................................. 30
3.4.3 Vormen van assurance-opdrachten .................................................................. 31
3.4.4 Service Organization Control (SOC) Rapport ...................................................... 33
3.4.5 SOC 1........................................................................................................... 33
3.4.6 SOC 2........................................................................................................... 33
3.4.7 SOC 3........................................................................................................... 34
3.5 De vijf elementen van een assurance-opdracht ......................................................... 34
3.5.1 Drie partijen .................................................................................................. 34
3.5.2 Object van onderzoek ..................................................................................... 34
3.5.3 Toetsingsnormen ........................................................................................... 35
3.5.4 Geschikte informatie ...................................................................................... 35
3.5.5 Het assurance rapport .................................................................................... 36
3.6 Conclusie waaraan moeten assurance opdrachten voldoen en de invloed voor assurance
van Cloud Computing ...................................................................................................... 37
4. Instrumenten van de IT Auditor bij Cloud Computing opdrachten ...................................... 42
4.1 Inleiding .............................................................................................................. 42
4.2 Niet Cloud dienst specifieke standaarden ................................................................. 42
4.3 Cloud dienst specifieke standaarden ........................................................................ 43
4.4 Tools ................................................................................................................... 45
4.5 Externe deskundigen ............................................................................................. 46
4.6 Conclusie instrumenten van de IT Auditor bij Cloud Computing opdrachten .................. 46
5. Conclusie .................................................................................................................... 48
6. Literatuurlijst .............................................................................................................. 50
7. Bijlage ....................................................................................................................... 52
7.1 Bijlage 1 .............................................................................................................. 52
7.2 Bijlage 2 .............................................................................................................. 53
7.3 Bijlage 3 .............................................................................................................. 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 6 van 54
Inleiding
1.1 Achtergrond
Hoe kan de IT Auditor in een wereld met toenemende virtualisatie en Cloud computing
assurance verstrekken? De IT Auditor verstrekt tot op heden diverse vormen van
zekerheid / assurance in een veelal nog traditionele1 IT wereld. De IT Auditor wordt in
twee rollen geconfronteerd met cloud computing:
als IT Auditor van gebruikers van cloud computing (al dan als onderdeel van een
audit team van een externe financial Auditor);
als IT Auditor van een aanbieder van cloud computing (die dan eventueel weer
gebruik maakt van onderaannemers).
Figuur 1 - Actoren model Assurance in de Cloud
In figuur 1 zijn vier betrokken partijen van een assurance-opdracht ten aanzien van een
Cloud dienst weergegeven. De Cloud afnemer betreft de afnemer van de Cloud dienst.
Vanuit deze partij komt de vraag naar zekerheid omtrent de geoutsourcete IT omgeving.
De Cloud service provider verstrekt een opdracht aan onafhankelijke derde partij, te
weten de External IT Auditor. De External IT Auditor zal onderzoek verrichten naar de IT
omgeving van de Cloud service provider, waarbij hij gebruik maakt waar mogelijk van de
werkzaamheden en bevindingen van de Internal IT Auditor. Onder de Cloud Service
Provider wordt de aanbieder van de Cloud dienst bedoelt inclusief eventuele
subcontracters (Housing, Iaas, Paas dienstverleners). Dit maakt de audit werkzaamheden
complex, een nadere toelichting wordt gegeven in paragraaf 2.4.2 verschillende partijen
1 Met traditionele IT omgeving worden IT omgevingen bedoeld die geen gebruik maken van virtualisatie of Cloud diensten.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 7 van 54
in de Cloud. Nadat de External IT Auditor het onderzoek heeft afgerond wordt een
rapport met een oordeel over de Cloud dienst van de Cloud Service Provider afgegeven
aan de Service Organisation. Deze verstrekt het assurance rapport aan de Cloud afnemer
en indien gewenst verstrekt de gebruikers organisatie het assurance rapport aan de user
auditor. De vraag is of de IT Auditor in een wereld met IT virtualisatie en cloud
computing, welke onzichtbaar zijn voor de gebruiker ook kan verstrekken en welke
middelen hij hierbij kan hanteren.
Vanuit het onderwerp Cloud Computing en Assurance is dan ook de volgende
onderzoeksvraag gedefinieerd:
1.2 Onderzoeksvraag
“Op welke wijze en met welke instrumenten kan de IT Auditor Assurance verstrekken in
een Cloud Computing omgeving?”
1.2.1 Subvragen
Om antwoord te kunnen geven op de hoofdvraag is de aanpak gekozen om de
hoofdvraag onder te verdelen in drie subvragen.
1. Wat zijn de verschillen tussen Cloud Computing en traditionele IT omgeving?
2. Waaraan moet een Assurance-opdracht voldoen?
3. Welke instrumenten heeft de IT Auditor tot zijn beschikking om Assurance te
verschaffen in een Cloud omgeving?
Deze subvragen, relevante deelaspecten en de aanpak zijn schematisch weergegeven in
figuur 2. Per subvraag wordt in paragraaf 1.3.1 t/m 1.3.3 een verkorte toelichting
gegeven en benoemd in welk hoofdstuk de onderwerpen worden behandeld. Dit alles
samengevat beschrijft de gehele aanpak van het onderzoek.
1.2.2 Scope van het referaat
Dit referaat richt zich op Assurance-opdrachten welke betrekking hebben op de Cloud
omgevingen waarbij Multi-tenancy (door meerdere partijen gedeelde infrastructurele
componenten) van toepassing is, dus de Public Cloud. De Private Cloud, Community
Cloud en Hybrid Cloud vallen derhalve buiten beschouwing. In paragraaf 2.2.4 worden de
verschillende service modellen van Cloud Computing toegelicht.
De onderzoeksvraag gaat in op de mogelijkheid voor een IT Auditor om Assurance te
geven ten aanzien van Cloud diensten. Daarom worden opdrachten welke een IT Auditor
kan uitvoeren ten aanzien van Cloud diensten waarbij geen Assurance wordt gegeven
buiten scope gelaten.
Het onderzoek heeft zich alleen gericht op de risico‟s, processen en beheersmaatregelen
bij de Cloud service provider. De beheersmaatregelen welke de Cloud afnemer dient te
treffen, ten einde voldoende controle te houden over zijn uitbestede systemen en
gegevens, zijn buiten scope.
Daarnaast gaat het onderzoek voornamelijk in op infrastructuur- en applicatie- Cloud
diensten. Het outsourcen van een geheel business proces (Business As A Service) is
eveneens buiten scope.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 8 van 54
1.3 Aanpak, indeling en structuur onderzoek
Het begin van het onderzoek heeft vooral betrekking gehad op het vinden van relevante
theorie. Door middel van een intensieve literatuurstudie is voldoende informatie
gevonden om een beeld te krijgen over de verschillende aspecten van Cloud Computing
en de vereisten van assurance-opdrachten. Tevens is gesproken met auditors, juristen en
zijn eigen ervaringen bij klanten meegenomen.
De drie subvragen zoals benoemd in paragraaf 1.2.1 zijn opgenomen in de
onderzoeksaanpak, waarbij per deelvraag relevante deelaspecten zijn gedefinieerd.
Vervolgens wordt per deelvraag een conclusie en samenvatting gegeven welke als input
dienen voor de eindconclusie.
Figuur 2: Schematisch onderzoeksaanpak
1.3.1 Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen?
In hoofdstuk 2 wordt de hoofdvraag „Wat is Cloud Computing?‟ beschreven. Hierbij zijn
sub onderwerpen vastgesteld die relevant zijn voor dit referaat. Om de verschillen van
Cloud computing ten opzichte van traditionele IT omgevingen inzichtelijk te maken wordt
in hoofdstuk 2 eerst de traditionele IT omgeving kort getypeerd. Daarna volgt een
verkenning van het begrip Cloud Computing. Vervolgens wordt de techniek van
virtualisatie behandeld. Deze techniek is elementair om Cloud diensten aan te kunnen
bieden. Het Business model in paragraaf 2.4 nader toegelicht waarbij de rollen die de
verschillende partijen binnen Cloud Computing spelen worden behandeld en in paragraaf
2.5 wordt in gegaan op wet- en regelgeving en juridische bedrijfsbelangen.
Tot slot zal antwoord gegeven worden op de vraag waarin Cloud Computing verschilt van
traditionele IT omgevingen.
Hoofdstuk 2
Hoofdstuk 3
Hoofdstuk 4 Hoofdstuk 5
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 9 van 54
Op basis van de bovenstaande paragrafen, waarbij de aspecten van Cloud Computing
zijn beschreven, worden de elementaire verschillen ten opzichte van een “traditionele IT
omgeving” in paragraaf 2.7 weergegeven.
1.3.2 Waaraan moet een Assurance-opdracht voldoen?
In hoofdstuk 3 wordt de definitie en de vereisten van een Assurance-opdracht
beschreven. Bij het beschrijven van de definitie en de vereisten van een Assurance-
opdracht zijn de volgende paragrafen opgesteld:
Definitie en doelstelling van een Assurance-opdracht;
Soorten Assurance-opdrachten;
Type en soorten van Assurance-opdrachten;
De vijf elementen van een Assurance-opdracht;
Cloud Computing normenkaders.
Op basis van de vastgestelde vereisten en kenmerken van een Assurance-opdracht wordt
in paragraaf 2.7 de beschreven aspecten van Cloud Computing hiertegen afgezet, waarbij
vervolgens een conclusie wordt gegeven.
1.3.3 Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven
van Assurance binnen een Cloud omgeving
In hoofdstuk 4 worden de tools beschreven welke een IT Auditor tot zijn beschikking
heeft bij het geven van Assurance binnen een Cloud omgeving. De volgende
onderverdeling wordt behandeld;
Niet Cloud dienst specifieke standaarden
Cloud dienst specifieke standaarden
Tools
Externe deskundigen
Waarna een conclusie wordt gevormd over de middelen van de IT auditor bij Cloud
Computing opdrachten.
Na het beantwoorden van de drie subvragen wordt in hoofstuk 5 een mening gevormd
ten aanzien van de hoofdvraag ”Kan de IT Auditor zekerheid verschaffen in een Cloud
omgeving”.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 10 van 54
2. Wat zijn de verschillen tussen Cloud Computing en
traditionele IT oplossingen?
2.1 Inleiding
Bij het zoeken naar de definitie van Cloud Computing worden in artikelen verschillende
definities weergegeven. De aspecten van Cloud Computing die generiek wordt
beschreven in de verschillende artikelen zijn de service modellen, de delivery modellen
en de specifieke kenmerken van Cloud Computing. Hieronder zijn de verschillende
modellen en kenmerken van cloud computing schematisch weergegeven. Vervolgens
wordt in paragraaf 2.2 de onderdelen van figuur 3 toegelicht. Vervolgens worden in
paragraaf 2.3 t/m 2.6 andere belangrijke aspecten van cloud computing nader toegelicht.
Tot slot wordt in paragraaf 2.7 een conclusie gegeven op de eerste subvraag, wat de
verschillen tussen een traditionele IT omgeving en een cloud omgeving.
Figuur 3 - Cloud Computing
2.2 Wat is Cloud Computing?
2.2.1 Definitie traditionele IT oplossing (hosting / ASP omgeving)
De traditionele IT omgeving waarbij in dit referaat wordt uitgegaan is een omgeving
waarbij de IT omgeving in eigendom is van de eigen organisatie, intern beheerd wordt en
vooral IT diensten levert aan de eigen organisatie. Daarnaast zijn deze IT oplossingen
beperkt flexibel en schaalbaar omdat o.a. virtualisatie niet of beperkt wordt toegepast.
2.2.2 Definitie en essentiële aspecten van Cloud Computing
Bij het zoeken naar de definitie van Cloud Computing in artikelen worden veel
verschillende definities weergegeven. Onderstaande definitie bevat de verschillende
essentiële aspecten van Cloud Computing zoals weergegeven in figuur 3.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 11 van 54
2.2.3 Definitie Cloud Computing:
“Cloud Computing is een IT service model, gebaseerd op virtualisatie, waarbij de
diensten in de vorm van infrastructuur, data en applicaties via het internet worden
aangeboden als een gedistribueerde service via één of meerdere service providers. Deze
diensten worden door verschillende afnemers gedeeld, zijn eenvoudig schaalbaar en
wordt betaald per gebruikte eenheid.”
gebaseerd op: [Böhm10] en [NIST11]
De verschillende aspecten van deze definitie bevatten:
de verschillende service modellen van Cloud Computing die via internet worden
aangeboden;
de verschillende delivery modellen waarop diensten worden aangeboden;
de kenmerken van Cloud Computing (afhankelijk van het service model).
Hieronder worden deze onderwerpen verder toegelicht. Het aspect dat de service via één
of meerdere service providers wordt aangeboden wordt verder toegelicht bij het
hoofdstuk business model (paragraaf 2.4).
2.2.4 Service modellen van Cloud Computing
Er worden vier verschillende service modellen onderkend bij Cloud Computing [Soge10]:
Private cloud
Een private cloud is een cloud infrastructuur die uitsluitend wordt geëxploiteerd voor een
bepaalde organisatie. Een private cloud kan worden beheerd door de organisatie zelf of
door een derde partij, waarbij de organisatie zelf of de derde partijen de eigenaar van de
middelen kunnen zijn.
Community Cloud
Eén Cloud Infrastructuur wordt gedeeld door verschillende organisaties uit een specifieke
gemeenschap of met dezelfde belangen. Deze vorm heeft vergelijkbare eigenschappen
als een Private Cloud.
Public Cloud
De Cloud Infrastructuur is algemeen beschikbaar voor de hele wereld. Deze
infrastructuur is eigendom van de leverancier en de afnemers van de dienst zijn geen
eigenaar van de middelen.
Hybrid Cloud
Een hybride model, ontstaat zodra twee of meer van bovenstaande cloud infrastructuren
(private, community, public) worden gekoppeld.
De scheiding tussen de verschillende service modellen is niet altijd zo scherp als
hierboven beschreven en van sommige vormen, zoals private cloud, kan worden
afgevraagd of het nog wel een Cloud model is. Tegenwoordig als iets via internet wordt
aangeboden noemt men dit al snel Cloud. Daarom is het belangrijk om de verschillende
kenmerken duidelijk tegen de geboden diensten aan te houden om te bepalen of het wel
een Cloud dienst is.
2.2.5 Delivery modellen van Cloud Computing
Er zijn drie belangrijke delivery modellen [Böhm10] van Cloud Computing te onderscheiden.
Deze drie modellen, IAAS, PAAS en SAAS kunnen worden samengevat als de lagen van
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 12 van 54
IT. Figuur 4 is onderverdeeld door middel van een stippellijn in twee segmenten. Aan de
linkerzijde wordt de samenhang weergegeven tussen de verschillende vormen van Cloud
Computing en de daarbij behorende componenten. Aan de rechterzijde is de mate van
invloed op de componenten weergegeven in relatie tot het delivery model. Hoe minder
invloed de afnemer heeft op de dienst, des temeer is de afnemer afhankelijk van de
Cloud dienst aanbieder.
Intrastructure as a Service (IaaS)
IaaS is een dienst waarbij IT-infrastructuurvoorzieningen gevirtualiseerd worden
aangeboden via het internet. De hardware laag die onder meer servers,
netwerkapparatuur en de storageapparatuur bevat, is eigendom van de service provider.
De afnemer geeft vaak zelf aan over hoeveel geheugen, processor capaciteit en
dataopslag hij wil beschikken en welk besturingssysteem hierop moet draaien.
Vervolgens wordt deze configuratie gevirtualiseerd aangeboden. Het opschalen van
recources is, doordat de recources gevirtualiseerd zijn, eenvoudig en meestal geheel
automatisch (zonder tussenkomst van de service provider) te realiseren.
Platform as a Service (PaaS)
PaaS is een dienst bovenop de infrastructuur laag waarbij via applicatiehosting
voorzieningen als platform wordt aangeboden via het internet. Als toevoeging op IaaS
worden zaken als databases, portals en Enterprise Service Bus (ESB) vooraf
geconfigureerd door de service provider. Vaak gebruiken de afnemers de PaaS diensten
voor ontwikkel en testwerkzaamheden. Tevens wordt PaaS toegepast voor Hybrid
omgevingen waarbij de afnemer over integratiefaciliteiten beschikt voor het koppelen van
een eigen omgeving aan de Cloud omgeving.
Software as a service (SaaS)
SaaS is een dienst waarbij applicatiefunctionaliteit wordt aangeboden via het internet.
Deze laag draait boven op de IAAS en PAAS laag. Deze lagen zijn niet altijd
ondergebracht bij één service provider. Het kan voorkomen dat de SaaS aanbieder
onderliggende lagen afneemt bij andere providers (bijvoorbeeld Amazon VPC).
De invloed van de afnemer zoals weergegeven in figuur 4, is bij Cloud Computing
diensten beperkt. De service provider investeert, levert de dienst, voert beheertaken uit
en ontwikkelt de dienst. De klant heeft bij de IaaS dienst meer invloed dan bij de SaaS
dienst, omdat de klant bij IaaS zelf verantwoordelijk is voor het beheren en ontwikkelen
van de applicaties.
Elke organisatie heeft zijn eigen definities van Cloud Computing en de scheiding van
IaaS, PaaS en SaaS delivery modellen. Wat bij het ene bedrijf wordt aangeboden als
IaaS dienst is bij het andere bedrijf al een PaaS dienst. Hierbij bestaat het risico dat
appels met peren worden vergeleken. Niet alleen voor de afnemers, maar ook voor de IT
Auditor is het van belang om de objecten van onderzoek duidelijk in beeld te krijgen en
vast te stellen uit welke onderdelen de definitie bestaat.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 13 van 54
Figuur 4 - Delivery model Cloud Computing gebaseerd op [CSAv2.1 09]
2.2.6 Vijf kenmerken van Cloud Computing
Afhankelijk van het service model zijn onderstaande vijf kenmerken in meer of mindere
mate van toepassing op Cloud Computing services. Bij het Public Cloud service model zijn
ze allen van toepassing. [Clou09]
Gebaseerd op diensten
De Cloud oplossingen worden als diensten geleverd (as a Service). Klant- en leverancier
zijn van elkaar gescheiden via een „service interface'. Die interface verbergt de
implementatiedetails en maakt een geautomatiseerde respons mogelijk.
Schaalbaar en elastisch
De capaciteit van de dienst kan op verzoek van de klant geautomatiseerd omhoog of
Figuur 5 - Schaalbaarheid Cloud Computing [Chun10]
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 14 van 54
omlaag worden bijgesteld. Een Cloud Computing service is daardoor schaalbaar en
elastisch.
Schaalbaarheid:
Dit is een kenmerk van de onderliggende infrastructuur en softwareplatformen.
Doordat Cloud Computing als een dienst wordt geleverd kan onderscheid gemaakt
worden tussen functionaliteit en techniek. De klant ziet de functionaliteit en de
aanbieder bepaalt de techniek. Door deze scheiding is de aanbieder in staat om
standaardisatie verder door te voeren. De virtualisatie software zorgt ervoor dat
er eenvoudig virtuele hardware componenten aan de infrastructuur kunnen
worden toegevoegd, zodat de klant on-demand meer resources tot zijn
beschikking krijgt. Door het te delen met meerdere afnemers wordt de
overcapaciteit of tekorten met de gehele groep van afnemers gedeeld. De
verschillende tijdszones zorgen ervoor dat de kantoortijdpieken niet gelijk vallen.
Door de steeds grotere bandbreedtes kan de aanbiedlocatie steeds verder worden
gedeeld waardoor steeds meer afnemers wereldwijd gebruik kunnen maken van
Cloud Computing diensten.
Elasticiteit:
Dit is een kenmerk van het economische model: het betekent dat het er niet of
nauwelijks economische sancties staan op het veranderen van de hoeveelheid
capaciteit die wordt afgenomen.
Gedeeld met meerdere afnemers
Diensten delen een verzameling hard- en softwarebronnen voor meerdere afnemers. ICT
middelen kunnen daardoor efficiënt worden benut, waardoor Cloud diensten relatief
goedkoop kunnen worden aangeboden door Cloud providers. De hardware wordt bij elk
delivery model gedeeld. Bij PAAS en SAAS diensten wordt ook de middleware laag en
respectievelijk de applicatie gedeeld.
Betalen per gebruikseenheid
Het gebruik van de Cloud diensten wordt geautomatiseerd bijgehouden om verschillende
betalingsmodellen mogelijk te maken. Deze modellen zijn gebaseerd op gebruik in
termen van bijvoorbeeld tijdseenheden of datahoeveelheden, niet op de kosten van de
apparatuur.
Internettechnologie
De dienst wordt geleverd via breedband gebruik makend van internetformaten en -
protocollen, zoals http en IP. De Cloud diensten zijn niet gebonden aan een apparaat of
locatie. Bij sommige Cloud diensten wordt de dienst vanaf meerdere locaties (elke locatie
een deel van de service of roulerend) geleverd.
2.2.7 Verschillen Cloud Computing ten opzichte van hosting en ASP
Er kan een nuance worden aangebracht waarin Cloud diensten zich onderscheiden van
hosting en web applicaties (ASP). De invloed op en de controle over de IT omgeving
wordt sterk verminderd wanneer men kiest om dit in de cloud te plaatsen. Dit komt
voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van
hardware en/of software welke door meerdere klanten worden afgenomen. De security
instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft
hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op. Dit wordt
weergegeven in tabel 1 waarbij de kenmerken van Cloud computing afgezet worden
tegen de traditionele hosting en ASP omgeving. De invulling is op basis van generieke
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 15 van 54
dienst eigenschappen. De verschillende oplossingen worden in de praktijk soms ook
anders aangeboden.
Bij de kolom “gedeeld” van tabel 1 wordt aangegeven dat de inrichting van de dienst
generiek is voor alle klanten. Bijvoorbeeld wanneer nieuwe ontwikkelingen
(functionaliteit, patches, etc.) worden doorgevoerd ten aanzien van een applicatie, die als
SaaS dienst wordt aangeboden, worden deze wijzigingen direct voor alle afnemers van
deze SaaS dienst in één keer doorgevoerd. Alleen de data en de inrichting van de
applicatie is gescheiden opgeslagen. Deze scheiding kan zijn aangebracht in verschillende
databases of in verschillende tabellen van de database.
2.3 De techniek virtualisatie
2.3.1 Definitie en aanbieders
Virtualisatie kent net als Cloud Computing vele definities. Een definitie van virtualisatie
is:
Virtualisatie is de simulatie van software en/of hardware waarop andere software draait.
[NIST11]
Door het toevoegen van deze extra laag kunnen meerdere virtuele systemen op één
fysiek systeem draaien. Hierdoor worden de genoemde eigenschappen van cloud
computing (multi-tenancy, schaalbaarheid) behaald. Daarom is virtualisatie de enabler
van cloud diensten.
De scheiding tussen operating system en onderliggende hardware laag betreft niet alleen
server virtualisatie maar ook onderstaande soorten van virtualisatie:
Soorten virtualisatie
Netwerk virtualisatie;
Applicatie virtualisatie;
Operating System virtualisatie;
Storage virtualisatie.
Binnen virtualisatie wordt onderscheid gemaakt tussen het host systeem waarop de
virtuele systemen komen te draaien en de gevirtualiseerde systemen zelf (de "guest").
LegendaGedeeld
Klant specifiek
Gedeeld / Multi-tenancy
soms
Locatie onafhankelijk
1 locatie
meerdere locaties
soms
Betalen per gebruikseenheid
ja
nee
soms
n.v.t.
IT component / laag
Gedeeld
Locatie
€ / g
ebru
ik
Gedeeld
Locatie
€ / g
ebru
ik
Gedeeld
Locatie
€ / g
ebru
ik
Applicatie
Middleware
Besturingssysteem
Virtuele infrastructuur
Fysieke
Hosting ASP Cloud
Tabel 1 - Cloud verschillen ten opzichte vant.o.v ASP en Hosting
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 16 van 54
De bekendste aanbieders van virtualisatie producten zijn:
2.3.2 Complexe technieken van virtualisatie
Op basis van in figuur 6 weergegeven virtualisatie producten wordt hieronder van boven
naar beneneden kort de werking van virtualisatie producten van VMware toegelicht,
welke onder andere gebruikt worden om cloud diensten te kunnen aanbieden. Hieruit
blijkt de technische complexiteit elke direct impact heeft op de kennis van de IT Auditor.
Figuur 7 - VMware producten
Figuur 6 - VMware placed in the leaders quadrant of Gartner
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 17 van 54
Gevirtualiseerd applicaties
Momenteel biedt VMware een omgeving aan waar software ontwikkelaars applicaties
kunnen ontwikkelen voor SaaS applicaties. Daarnaast worden er standaard
bedrijfsapplicaties aangeboden in samenwerking met bekende leveranciers waaronder:
Exchange, SQL, SharePoint, Oracle en SAP.
Vmware vShield Manager
Dit is een nieuwe dienst waarin VMware enkele beveiligingscomponenten virtualiseert en
de verschillende virtuele datacenter (vShere) segmenteert (Post groep isolation). De
gevirtualiseerde componenten bestaan onder andere uit Firewall, VPN, Load balancing.
Daarnaast biedt deze dienst functionaliteit om op de virtualisatie laag antivirus en anti-
malware diensten te draaien. Door ook de beveiligingscomponenten te virtualiseren
pretendeert VMware dat policy‟s en security rules van de verschillende Virtuele
omgevingen beter zijn te integreren en te monitoren.
VMware Center Suite
Deze dienst is de management laag van VMware vSphere waarin de verschillende virtuele
clusters kunnen worden ingericht (o.a. templates) en gemonitord. De diensten zoals
vMotion, HA, SRM, DRS, etc. worden hier ingericht en beheerd. Met VMware VMotion
kunnen virtuele machines zonder onderbreking verhuizen naar een andere ESX server.
Dit kan overigens niet over de datacenters heen. Met VMware HA worden bij uitval van
een ESX server alle virtuele machines die hierdoor geraakt worden automatisch weer
opgestart op een andere ESX server. Met VMware DRS worden de virtuele machines op
basis van de benodigde systeemresources automatisch verdeeld over de beschikbare ESX
systemen binnen een cluster en met VMware SRM kunnen virtuele machines verhuisd
worden naar een tweede datacenter. Hierbij wordt de onderliggende storage
meeverhuisd. Een andere dienst van VMware is de “VMware Compliance Checker for
vSphere” waarbij een overzicht wordt gegeven van de inrichting van policy en security.
VMware vSphere
Dit is de virtualisatie laag die de fysieke resources (computing, storage, network) virtueel
aanbiedt aan de bovenlaag. Door middel van VMcenter kunnen de daarbij beschreven
functionaliteiten c.q. diensten worden toegevoegd.
Fysieke laag
In de onderste laag van figuur 7 is de fysieke hardware symbolisch weergegeven.
Dienst voor de Cloud
Momenteel richt VMware zich ook op cloud inrichtingen, waarbij o.a. complete
omgevingen van private Cloud naar public Cloud omgevingen kunnen worden
getransporteerd. Daarnaast kunnen virtuele datacenters worden ingericht waarbij
verschillende levels van dienstverlening virtueel kan worden gesegmenteerd. Hierbij is
bijvoorbeeld de performance, security en policy‟s en beschikbaarheid per virtuele
datacenter ingericht.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 18 van 54
2.3.3 Wat betekent virtualisatie voor de IT Auditor
Uit bovenstaande beschreven diensten en producten van een gevirtualiseerde omgeving
blijkt duidelijk de complexiteit van deze techniek. Met een muisklik kunnen hele
omgevingen worden verplaatst, gekopieerd of verwijderd. Afhankelijk van de
beschikbaarheid van de recources worden automatisch servers verplaatst van het ene
naar het andere cluster of van het ene datacenter naar het andere datacenter.
Vragen als:
waar staat mijn data;
waar wordt mijn data uitgevoerd;
wie kunnen bij mijn data?
worden moeilijke vragen om te beantwoorden, zowel voor de IT Auditor als voor de
beheer partijen. Google kiest er bijvoorbeeld bewust voor om met klanten geen
afspraken te maken over de locatie van de data. De data wordt meerdere malen op
verschillende plaatsen wereldwijd opgeslagen en op basis van de beschikbare capaciteit
wordt de data vanuit een bepaalde plek (land, datacenter) aangeboden.
Een onder meer technisch fenomeen, is de toewijzing van geheugen aan de diverse guest
OS's. Die toewijzing moet er overigens niet toe leiden dat data van de ene guest door
een andere guest kunnen worden gelezen als gevolg van het delen van
geheugenadressen zoals genoemd door Michael Hoesing [HOES06].
De genoemde diensten van VMware om inzage te krijgen in compliance van
beveiligingsbeleid en de beschikbaarheid en monitoring functies van alle virtuele
platvormen zijn goede ontwikkelingen. Daarnaast komen steeds meer virtuele platformen
(servers en componenten) beschikbaar op basis van best practices. Echter door gebruik
te maken van voorgeïnstalleerde VM‟s om nieuwe klantomgevingen in te richten bestaat
het risico dat „exploits‟ direct op alle omgevingen binnen de Cloud omgeving effect
hebben. Dit kan onder andere tot gevolg hebben dat systemen van alle klanten niet meer
beschikbaar zijn of dat ongeautoriseerde toegang verkregen kan worden tot de data van
alle klanten.
Door de toenemende complexiteit bestaat steeds meer de behoefte assurance te krijgen
over de data in de Cloud. Voor de IT Auditor betekent virtualisatie een samensmelting
van de verschillende audit domeinen (tabel 3) en een complexe techniek welke
specialisme vergt van virtualisatie. Door de snel veranderende technieken en
omgevingen zal de verstandige opdrachtgever de IT Auditor vaker vragen om zich te
richten op het vaststellen van het CMM level (Capability Maturity Model) van de IT
organisatie (aanbieder dienst) en de beheersprocessen meer geënt op de virtuele laag
dan op de “point in time situatie.” Het vaststellen of de omgeving gedurende een
bepaalde periode heeft voldaan aan de gestelde normen is immers lastiger te bepalen
omdat de IT omgeving met virtualisatie zeer dynamisch is ingericht.
Belangrijk voor de IT Auditor is om de IT omgeving van zowel fysieke als virtuele
objecten goed inzichtelijk te hebben. Voor de virtuele objecten geldt dat de IT Auditor
over voldoende kennis binnen zijn team moet beschikken of deskundige moet betrekken.
Welke objecten van onderzoek binnen de opdracht vallen kan bijvoorbeeld worden
bepaald met een risico analyse (ISO 27005). Vervolgens kan opzet en bestaan worden
onderzocht tegen het te toetsen normenkader, dit eventueel in combinatie van het
onderzochte CMM level van de aanbieder geeft de beoogde gebruiker meer zekerheid ook
naar de toekomst, iets wat IT Auditors momenteel nog niet doen.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 19 van 54
2.4 Business model
2.4.1 Inleiding
Cloud computing kan dus worden beschouwd als een verdere doorontwikkeling van een
reeks van vele reeds bestaande en goed onderzochte concepten zoals Grid computing,
virtualisatie of Application Service Provider (ASP). Hoewel, veel van de concepten niet
nieuw lijken te zijn, ligt de echte innovatie van cloud computing in de manier waarop het
diensten levert aan de klant. Verschillende bedrijfsmodellen zijn geëvolueerd in de
afgelopen tijd om op verschillende abstractie niveaus diensten te verlenen. Deze diensten
omvatten softwaretoepassingen, programmeerplatforms, data-opslag of computing
infrastructuurdiensten.
„Het business model bepaalt wat Cloud Computing is niet de techniek‟
Het is niet ondenkbaar dat op termijn het verschil voor de afnemer in opslag,
rekencapaciteit, connectiviteit en software verdwijnt. De ultieme vorm is dat een afnemer
betaalt voor de hoeveelheid gebruik (ICT, inclusief hardware, software, diensten, etc.).
De klant wordt afgerekend op daadwerkelijk gebruik, zoals een ieder afrekent met de
watermaatschappij of de energiemaatschappij. De klant betaalt een voorschot en aan het
einde van het jaar volgt de eindafrekening. ICT zoals het gebruik van water en elektra
ofwel de liberalisatie van IT [ACCO10]
Het business model bestaat uit een aantal aspecten waarbij in dit referaat wordt
ingegaan op de verschillende partijen van Cloud Computing, de verschuiving van kopen
naar huren, de invloed van de afnemer op de dienst, wet- en regelgeving en de risico‟s
voortkomend uit het business model. Tot slot worden de verschillen ten opzichte van
traditionele IT omgeving uiteengezet.
2.4.2 Verschillende partijen in de Cloud
In de traditionele IT outsourcing had de afnemer meestal te maken met één provider die
de hosting dienst of ASP dienst aanbood. Bij het Cloud Computing model is het een
netwerk van verschillende service providers geworden waarbij de afnemer direct of
indirect diensten afneemt.
Figuur 8 - bron [BOHM10]
Naast de partijen die in figuur 8 worden getoond zijn er meer partijen die in het Cloud
Computing model kunnen worden onderkend. In onderstaande tabel worden de
verschillende partijen weergegeven.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 20 van 54
De afstemming tussen de actoren in de keten, de communicatie en de kennisoverdracht
behoeven hierbij veel meer aandacht.
In figuur 9 wordt een voorbeeld gegeven van meerdere partijen in de Cloud. De
aggregator voegt twee diensten van aanbieder A en één dienst van aanbieder C samen
tot één dienst. Aanbieder C neemt vervolgens weer diensten af voor aanbieder B. Daarbij
kunnen alle aanbieders in verschillende landen zijn gevestigd en zaken zoals back-up
omgevingen weer ergens anders hebben ondergebracht. Indien een IT Auditor assurance
moet geven over bijvoorbeeld de vertrouwelijkheid van de gegevens aan de klanten van
aanbieder D kan dit tot gevolg hebben dat alle partijen in scope zijn.
Tabel 2 - Partijen in de Cloud gebaseerd op [BOHM10 2]
Figuur 9 - verschillende partijen in de Cloud (bijlage 3)
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 21 van 54
Door de complexiteit zoals weergegeven in dit voorbeeld vormen de volgende elementen
aandachtspunten voor de IT Auditor bij het uitvoeren van een assurance-opdracht binnen
een dergelijke omgeving:
Service Level Agreements (SLA) moeten op elkaar aansluiten (Sub contractors);
Informatiebeveiliging van verschillende partijen moet consistent zijn en op elkaar
zijn afgestemd (toegangsbeheer, policy‟s);
Verschillende landen met verschillende wet- en regelgeving;
Opdracht kan qua omvang zeer groot worden waardoor deze mogelijk niet meer
economisch rendabel is;
Bij de verschillende providers moet the „right to audit‟ door zelf onderzoek uit te
mogen voeren zijn overeengekomen;
Indien reeds verklaringen beschikbaar zijn bij verschillende aanbieders moeten
deze volgens dezelfde standaarden zijn uitgevoerd of de een moet de ander qua
scope afdekken;
Afgesproken moet worden welke medewerkers van de verschillende providers
toegang hebben tot de klantdata;
Scheiding in of afstemming van taken en verantwoordelijkheden van de
verschillende dienstverleners.
Generiek kan gesteld worden dat de afstemming tussen de actoren in de keten, de
communicatie en de kennisoverdracht hierbij veel meer aandacht behoeven, met
volstrekte duidelijkheid over “RACI” aspecten. (Responsible, Accountable, Consulted,
Informed)
Bijzonder punt van aandacht vormt de scope en interpretatie van reeds afgegeven
verklaringen, zoals bijvoorbeeld een ISAE 3000 heeft natuurlijk betrekking op een
standaard verklaring. Maar ook als gevolg van het uitvoeren van een dergelijke audit
opdracht door IT Auditors van verschillende landen kunnen verschillen ontstaan. De CISA
zal een opdracht mogelijk anders uitvoeren dan een Nederlandse IT Auditor. Verschillen
in opleiding en wijze van aanpak kunnen zich voordoen. Waarbij in aanmerking dient te
worden genomen of een opdracht Risk based (NL) of rule based (US) is uitgevoerd. In
andere landen verschillen de standaarden waarschijnlijk nog meer.
Figuur 10 -land specifieke standaarden - [KPMG10]
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 22 van 54
Figuur 11- bron:[COMP10]
2.4.3 Van kopen naar huren
Bij het afnemen van Cloud Computing diensten verschuiven de ICT kosten van kopen
naar huren. Waar de klant organisatie eerst moest investeren in faciliteiten (housing),
hardware, software, licenties, opleidingen, etc. worden deze kosten nu als verbruik per
eenheid doorberekend. Hierbij kan bijvoorbeeld betaald worden voor de verbruikte
recources (CPU, storage, netwerkbandbreedte) of per ingelogde gebruiker.
Dit brengt voor de klantorganisatie natuurlijk voordelen zoals:
Geen initiële aanschaf kosten;
Geen overcapaciteit of onder capaciteit dus allen betalen voor de benodigde ICT
(zie figuur 5);
Geen eigen beheerders met steeds meer specialistische kennis;
Meeliften op ontwikkelingen van alle afnemers;
Geen aanschaf en bijhouden van licenties;
Veel specialistische kennis door schaalvoordeel en standaardisatie;
Hoge standaardisatie op basis van best practices.
Maar de diensten van Cloud Computing hebben ook weer nadelen:
De invloed (change, security) op de Cloud diensten is beperkt;
Afhankelijkheid van de aanbieder (Vendor lock-out);
Verschillende afnemers in dezelfde Cloud;
Roerige markt met nieuwe aanbieders;
Verschillende wet- en regelgeving.
Het punt wet- en regelgeving wordt in onderstaande paragraaf verder behandeld. De rest
van bovenstaande punten worden in paragraaf 2.6 verder toegelicht.
2.5 Wet en regelgeving
Als klantorganisatie blijf je zelf volledig verantwoordelijk om aan alle wettelijke
bepalingen, die de wetgever oplegt, te voldoen. De IT kan worden geoutsourced in de
Cloud, maar de verantwoordelijkheid hierover niet.
Binnen Nederland zijn een aantal wetten van toepassing met betrekking tot ICT.
Hieronder volgt een kort overzicht.
2.5.1 Nederlandse regelgeving
Nederlandse grondwet
Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan
regels gebonden is als het gaat om het vastleggen en verstrekken van
persoonsgegevens.
Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel het
briefgeheim is in alle gevallen onschendbaar alsook het telefoon- en telegraafgeheim.
Wet bescherming persoonsgegevens
De wet bescherming persoonsgegevens gebaseerd op richtlijn 95/46/EG heeft als doel
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 23 van 54
het beschermen van persoonsgegevens welke geregistreerd worden (privacy wetgeving).
Het CBP is het Europees toeziend orgaan op de uitvoering van deze wetgeving.
Auteurswet
De Auteurswet bevat artikelen over het auteursrecht.
Telecommunicatiewet
De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger
betreffende elke vorm van digitale communicatie.
Wet Computercriminaliteit
Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer
gepleegd worden waarbij het gebruik van ICT moet een wezenlijke rol spelen bij het
misdrijf.
Wet elektronische handtekeningen
De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik
meer hoeft te maken van papier.
Voor de meeste van bovenstaande wetten geldt dat deze alleen in Nederland van kracht
zijn. De wetgeving bijvoorbeeld met betrekking tot elektronische handtekening is binnen
Europa nog niet volledig op elkaar afgestemd. Alleen de wet met betrekking tot de
Privacy richtlijn is in Europees verband vastgesteld. De Europese Unie heeft sinds oktober
1998 een Privacy richtlijn die het exporteren van persoonsgegevens naar landen buiten
de EU verbiedt, tenzij het land in kwestie een minstens even strenge privacy wetgeving
kent.
2.5.2 Amerikaanse wetgeving
Dat de Europese privacy wetgeving zeer streng is blijkt wel uit het feit dat zelfs de VS niet aan de
eisen van de EU voldoet. Dit heeft onder andere te maken met de Amerikaanse Patriot Act,
ingevoerd na de aanslagen van 11 september. Deze Patriot Act geeft de Amerikaanse overheid
vergaande bevoegdheden als het gaat om toegang tot elektronisch opgeslagen data.
De afspraken met de leveranciers van Cloud diensten moeten dan ook op individuele basis worden
gemaakt tussen afnemer en aanbieder. Door de keten van diensten in de Cloud is dit niet altijd even
eenvoudig.
Er worden een aantal zaken aangegeven waarop de afnemer van Cloud diensten kan
letten.
Allereerst is er de Safe Harbor Certificering (SHC). Dit raamwerk is ontwikkeld door het
US Department of Commerce om de verschillen in privacy wetgeving tussen de EU en de
VS te overbruggen, en is in 2000 goedgekeurd door de EU.
Afspraken locatie datacenter
Daarnaast kan bij sommige aanbieders van cloud computing diensten waaronder
Microsoft en Amazon, bepaalt worden in welke regio (Europa, Azië, Noord Amerika) de
applicaties en gegevens van de afnemer worden gehost. Dit is nog geen absolute
zekerheid in juridische zin.
Ketenafspraken
Tenslotte kan de afnemer een contract sluiten met een cloud computing provider, waarbij
de afspraken die met de Cloud dienst leverancier gemaakt wordt ook door hen
contractueel kunnen worden afgedwongen bij leveranciers verderop in de keten.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 24 van 54
Dataownership
Naast de Privacy wetgeving zullen door de afnemer ook afspraken gemaakt moeten
worden over het eigendom van data en op welke wijze deze data bij een geschil
aangeleverd worden. De naleving van deze afspraken is natuurlijk sterk afhankelijk van
het specifieke land waar de Cloud dienst leverancier gevestigd is. Wat legaal is in het ene
land is mogelijk verboden in het andere land.
2.6.6 Betekenis privacy wetgeving voor de IT Auditor
Kortom betekent dit voor de IT Auditor dat met name voor het kwaliteitsaspect
vertrouwelijkheid de wetgeving voor privacy alleen binnen Europa geregeld is en op basis
van SHC certificering de US hieraan ook voldoet. Met de overige landen zullen individuele
afspraken moeten worden beoordeeld, hierbij zou de IT Auditor een deskundige moeten
inschakelen.
2.6 Overige risico’s
2.6.1 De invloed op de Cloud diensten van de afnemer is beperkt
Doordat Cloud diensten voor een groot aantal afnemers worden ingericht zijn de klant
specifieke inrichtingseisen beperkt. Hierbij kunnen wensen ten aanzien van
toegangsbeheer en policy‟s mogelijk niet conform intern geldende beveiligingseisen bij de
service provider worden ingericht. Wijzigingen die worden doorgevoerd ten aanzien van
IaaS, PaaS of SaaS diensten gelden vrijwel altijd voor alle afnemers. Dus bijvoorbeeld de
invloed op het changemanagement proces is beperkt. Daarnaast wordt voor de keten van
aanbieders identiteitsmanagement (IDM) steeds belangrijker. Single sign on is niet altijd
te realiseren, losstaand van de verschillende informatiebeveiligingsstandaarden van de
verschillende partijen in de keten.
2.6.2 Right to audit is randvoorwaarde
Bij het uitvoeren van een assurance-opdracht waarbij meerdere partijen betrokken zijn
moet het “Right to audit” mogelijk zijn.
2.6.3 Afhankelijkheid van de aanbieder (Vendor lock-in)
Indien de afnemer eenmaal de (strategische) keuze heeft gemaakt voor Cloud Computing
diensten, wordt de afhankelijkheid van de Cloud dienst leverancier erg groot. Een goede
exit migratie strategie moet daarom vooraf worden opgesteld en vervolgens moet deze
periodiek worden herzien. Enkele aandachtspunten hierbij zijn:
welke data, gegevens, informatie kunnen worden meegenomen (contractuele
afspraken) en wat kan de afnemer zelfstandig met deze gegevens. Voornamelijk
bij SaaS diensten kan de inrichting erg specifiek zijn;
“Backsourcing” is erg moeilijk omdat de middelen maar vooral de kennis en
bemensing niet meer aanwezig is.
2.6.4 Verschillende afnemers in dezelfde Cloud
Een Cloud dienst leverancier kan meerdere diensten aanbieden (IaaS, SaaS), daarbij is
meestal het aantal afnemers omvangrijk. Door het groot aantal (wisselende) afnemers is
de baseline voor de informatiebeveiliging lastig vast te stellen door de klant. De klant
weet namelijk niet wie er in de Cloud zitten. Hieronder twee voorbeelden van afnemers
bij een Cloud leverancier:
a) 1000 handelsondernemingen van middelgrote omvang;
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 25 van 54
b) 900 handelsondernemingen van middelgrote omvang en de staatsloterij of een
bank.
Het risico profiel van Cloud omgeving a is natuurlijk heel anders dan van omgeving b.
Daarnaast loopt een organisatie door de omvang van de Cloud omgeving (centralisatie
van data) standaard al meer risico om doelwit te worden van aanvallen (virus, hacking,
etc.) dan dat de klant de omgeving in eigen beheer heeft.
Voor het uitvoeren van een audit zal dit risico van verschillende afnemers in dezelfde
Cloud een belangrijke factor zijn om te bepalen wat de minimale baseline van de audit
opdracht zal moeten zijn. Daarnaast zal de SLA belangrijke input geven aan welke
voorwaarden voldaan moet worden door de aanbieder.
2.6.5 Exitstrategie
Door het meeliften van ontwikkelingen van Cloud Computing diensten zal het risico van
een vendor lock-in groter worden dan bij de huidige vormen van hosting. Het opstellen
van een migratiestrategie vanuit de Cloud naar een andere omgeving, ofwel backsourcing
ofwel naar een andere Coud omgeving, is derhalve een elementair onderdeel van de
afweging door de beoogde gebruiker voordat een Cloud dienst afgenomen wordt. Het
eenduidig vastleggen van deze opgestelde exit strategie en de maatregelen doorvoeren
in de SLA welke met de cloud provider wordt overeengekomen is daarna de volgende
uitdaging.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 26 van 54
2.7 Conclusie verschillen tussen Cloud Computing en traditionele
IT oplossingen.
Op basis van de voorgaande paragrafen wordt hieronder per onderdeel een conclusie
weergegeven waarin de traditionele IT omgeving verschilt van de cloud omgeving. Dit
alles wordt overzichtelijk weergegeven en samengevat in tabel 3.
Kenmerken cloud
Een groot verschil zit in het dynamische karakter van de Cloud ICT omgeving door middel
van virtualisatie. Dit brengt de grote voordelen van schaalbaarheid en beschikbaarheid
met zich mee. Echter deze dynamische kant van Cloud Computing heeft ook nadelen. Dit
kunnen nadelen zijn zoals de vermindering van invloed op de IT omgeving. Dit komt
voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van
hardware en/of software welke door meerdere klanten worden afgenomen. De security
instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft
hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op.
Business model cloud
In de traditionele omgevingen heeft de klant contacten en contracten met een aantal
partijen ten aanzien van de ondersteuning van haar IT omgeving. Ten aanzien van cloud
diensten zijn de betrokken partijen minder inzichtelijk voor de cloud afnemer. Om
zekerheid te krijgen over de cloud dienst zal de klant maar ook de IT Auditor zich bewust
moeten zijn van de verschillende partijen en gecombineerde delivery en service modellen
van Cloud Computing. Bij het geven van assurance zal de scope van het onderzoek een
belangrijk element spelen. Naast het feit dat de scope meerdere aanbieders (keten) kan
betreffen zal door de vergaande technische complexiteit (virtualisatie) en de schaalgrote
van de Cloud Computing aanbieders de omvang van de IT audit onderzoeken beduidend
toenemen. Dit kan tot gevolg hebben dat IT assurance-opdrachten mogelijk economisch
niet meer rendabel zijn. Goede communicatie over de complexiteit van de opdracht,
waaronder de scope met de daarbij behorende objecten van onderzoek, naar
opdrachtgever en aanbieders van de Cloud Computing diensten spelen hierbij een
belangrijke rol.
Virtualisatie
Door de techniek van virtualisatie, wat de enabler is van cloud diensten, wordt de
controleerbaarheid van de IT omgeving in de Cloud een stuk lastiger. Dit komt onder
andere omdat hele IT omgevingen (server, opslag, netwerk) door middel van één
muisklik verplaatst kunnen worden naar een ander datacenter in een ander land.
Daarnaast kan op eenvoudige wijze de IT omgeving worden gekopieerd waarbij het lastig
is om vast te stellen welke omgeving de juiste is. Daarnaast staan meerdere
klantomgevingen in het data centrum en zijn door middel van virtualisatie van elkaar
gescheiden. Deze omgevingen kunnen elkaar beïnvloeden of klanten kunnen elkaars data
benaderen indien de scheiding niet goed is ingericht. Tevens is het risicoprofiel lastig vast
te stellen omdat de klanten individueel verschillende risicoprofielen hebben. (bijv.
handelsondernemer en staatsloterij). Dit is echter wel bepalend voor het
informatiebeveiligingsbeleid van de Cloud provider. Kortom virtualisatie vergt
specialistische kennis voor beheerders en IT Auditors.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 27 van 54
Impact wet en regelgeving
Daar waar in een traditionele IT omgeving de klant volledige controle heeft over waar de
data wordt verwerkt zal met het oog op wet- en regelgeving contractuele afspraken
gemaakt moeten worden voor cloud diensten. Hierbij zal worden moeten worden
vastgelegd waar de data wordt verwerkt, opgeslagen en geback-upt. Daarnaast is de
privacy wetgeving alleen binnen Europa en US (SHC) eenduidig vastgelegd. De IT Auditor
zal door een deskundige moeten laten beoordelen of de contractuele afspraken
voldoende zekerheid bieden van de afgenomen Cloud diensten in de keten. De privacy en
het data eigendomsrecht van de klant is per land anders geregeld. Dit geldt met name
als de data centra voor de Cloud Computing diensten buiten Europa zijn gevestigd. De
standaarden voor privacywetgeving is onder de juristen een hot item maar een
eenduidige oplossing laat nog wel even op zich wachten.
Vraag Traditioneel Cloud
Kenmerken Cloud
IT omgeving schaalbaar en elastisch? nee ja
Betalen per gebruikseenheid? nee ja
Gebruik internettechnologie? beperkt ja
Business model cloud
Aantal parti jen voor 1 dienst? 1 mogel i jk 4
Ris ico profiel bekend? ja dynamisch
Aanschafkosten? eenmal ig nee
Insta l latie kosten? eenmal ig ja
Beheerkosten? ja nee
Invloed operationeel beheer? ja nee
Audit s tandaard? (ui tvoering en verklaring) ja nee (land afhankel i jk)
Virtualisatie
Eenvoudige handel ingen vergaande gevolgen? nee ja
Standaard datalocatie? ja nee
Meerdere parti jen bi j data? (service providers , externe beheerparti jen) nee ja
Scheiding data van andere klanten? fys iek fi rewal l vi rtueel
Snel veranderende IT omgeving? nee ja
Objecten van onderzoek assurance statisch dynamisch
Wet en regelgeving
Nederlandse wet en regelgeving? jamogel i jk meerdere
landen
Standaarden reeds opgesteld? ja nee
Tabel 3 - traditionele IT omgeving versus Cloud Computing omgeving
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 28 van 54
3. Waaraan moeten assurance-opdrachten voldoen?
3.1 Inleiding
Om vast te kunnen stellen of een IT Auditor assurance kan geven in Cloud Computing
omgevingen moet worden vastgesteld waaraan assurance-opdrachten moeten voldoen.
In dit hoofdstuk wordt op basis van de door de NOREA opgesteld raamwerk “Raamwerk
voor assurance-opdrachten door IT-Auditors” [ASSU07] en in het EDP handboek van Kluwer
vastgelegde hoofdstuk “Assurance services” [EDPH08] een uiteenzetting gegeven van de
belangrijkste elementen waaraan een assurance-opdracht moet voldoen.
Met het raamwerk voor assurance-opdrachten conformeren IT-Auditors zich aan het
„International Framework for Assurance Engagements' van de IFAC (International
Federation of Accountants). Dit wordt ook onderstreept met het IFAC-lidmaatschap dat
onlangs aan de NOREA is verleend. [NORE08]
IT-Auditors die assurance-opdrachten uitvoeren zijn behalve aan dit Raamwerk en
Richtlijnen voor Assurance-opdrachten ook gebonden aan het Reglement Gedragscode
voor IT-Auditors („Code of Ethics') waarin onderstaande fundamentele ethische
uitgangspunten voor IT-Auditors zijn vastgelegd.
Integriteit: duidelijk en eerlijk zijn in alle beroepsmatige en zakelijke relaties;
Objectiviteit: geen beïnvloeding door vooroordelen, belangenverstrengeling of
bovenmatige invloed van anderen bij de professionele en zakelijke
oordeelsvorming, ofwel onafhankelijkheid;
Deskundigheid en zorgvuldigheid: het op peil houden van vakkennis door middel
van actuele ontwikkelingen in de praktijk, de wetgeving en de vaktechniek;
Geheimhouding: het betrachten van geheimhouding ten aanzien van informatie
die voortvloeit uit beroeps -matige en zakelijke relaties;
Professioneel gedrag: naleven van relevante weten regelgeving en zich
onthouden van handelingen die het beroep in diskrediet brengen.[RFIJ06]
3.2 Definitie en doelstelling van een assurance-opdracht
Een "assurance-opdracht" is een opdracht waarbij een IT-Auditor een conclusie
formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de
verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het
object van onderzoek ten opzichte van de toetsingsnormen, te versterken.
Daarnaast moet een assurance-opdracht onder andere voldoen aan onderstaande
criteria:
er zijn drie partijen (verschaffer van informatie, assurance provider en gebruiker);
er is een geschikt object van onderzoek;
er zijn criteria waaraan het object getoetst kan worden;
er is voldoende en geschikte informatie beschikbaar;
er wordt een schriftelijk assurance rapport opgeleverd.
Bovenstaande vijf elementen van een assurance-opdracht worden verderop in dit
hoofdstuk nader toegelicht.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 29 van 54
3.3 Soorten assurance-opdrachten
Op grond van het raamwerk voor assurance-opdrachten mogen twee soorten van
assurance-opdrachten door een IT-Auditor worden uitgevoerd:
1. de assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid.
De doelstelling van een assurance-opdracht tot het verkrijgen van een redelijke
mate van zekerheid is het reduceren van het opdrachtrisico tot een aanvaardbaar
laag niveau rekening houdend met de omstandigheden van de opdracht als basis
voor een positief geformuleerde conclusie van de IT-Auditor;
2. de assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid.
De doelstelling van een assurance-opdracht tot het verkrijgen van een beperkte
mate van zekerheid is het reduceren van het opdrachtrisico tot een niveau dat
aanvaardbaar is rekening houdend met de omstandigheden van de opdracht,
maar waarbij het risico groter is dan voor een opdracht tot het verkrijgen van een
redelijke mate van zekerheid, als basis voor een negatief geformuleerde conclusie
van de IT-Auditor.
Assurance-opdrachten kunnen op twee verschillende manieren, afhankelijk van de type
opdracht, worden uitgevoerd als een „assertion based-opdracht' of als een „direct
reporting-opdracht'. In figuur 12 wordt de soorten en uitvoeringen schematisch
weergegeven.
Figuur 12 - Soorten assurance-opdrachten
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 30 van 54
3.4 Type en vormen van assurance-opdrachten
3.4.1 Type assurance-opdrachten
Aan de NOREA-brochure 'IT-assure, Zekerheid over uw IT' [ITAS08] kan worden ontleend
dat IT-Auditors de volgende type van IT-assurance-opdrachten onderkennen:
Outsourcing assurance;
Project assurance;
IT-organisatie assurance;
Applicatie assurance;
IT Due Diligence;
Privacy assurance;
Web assurance;
Revenue assurance;
Licentie assurance.
In het algemeen vallen de door de NOREA onderkende soorten van IT-assurance
onderzoeken onder assurance-opdrachten ten behoeve van systemen en processen.
3.4.2 Audit domeinen
Daarnaast worden door de NOREA [NORE98] zes auditdomeinen gehanteerd zoals
weergegeven in onderstaande tabel 4:
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 31 van 54
Domeinen Onderwerp Objecten van onderzoek
Informatie-
strategie
Doelstellingen, uitgangspunten en
randvoorwaarden voor het omgaan van
informatie voorziening
Beleidvormingsprocessen, het beleid,
informatieplan en informatiearchitectuur
Informatie
management en
IT-management
Voorwaarden voor ontwikkeling, beheer,
gebruik van geautomatiseerde systemen,
alsmede de besturing van deze processen,
zodat getoetst kan worden door
management of aan de informatie strategie
wordt voldaan.
Planning, organisatie, budgettering,
bemanning, het besluitvormingsproces,
coördinatie, rapportage, innovatie,
communicatie, controle, besturing,
motivaties en kennisvergaring.
Informatie-
systemen
Geautomatiseerde processen die primair
ontworpen zijn om de mens te voorzien van
gegevens en de organisatie en hulpmiddelen
die dienen voor het ontwikkelen en gebruik
van informatiesystemen.
Applicaties, ontwikkelorganisaties,
projectorganisatie, kwaliteitsfunctie,
planning en control, project management,
technische beheer, versiebeheer,
distributie, tools, applicatie-architectuur,
databases, operationeel gebruik en
functioneel beheer.
Technische-
systemen
Systemen die deel uit maken van de IT-
infrastructuur en ontworpen zijn om
geïmplementeerd te worden in hardware en
systeemprogrammatuur met het doel de
hardware en systeemprogrammatuur aan te
sturen. Zoals hardware, besturingssystemen,
systemen voor acces control, netwerken,
database management systemen etc.
De systemen zelf, ontwikkelorganisatie,
onderhoudsorganisatie kwaliteitscontrole
van technisch beheer en ook
beheersprocessen zoals
configuratiebeheer, versiebeheer,
capaciteitsbeheer, probleembeheer,
beveiligingsbeheer etc.
Proces-
systemen
Systemen die ontworpen zijn om elektrische
interfaces aan te sturen en daarmee
apparaten zoals robots. Tevens horen tot
dit domein alle organisaties met een
primaire verantwoordelijkheid van deze
systemen.
ontwikkelorganisatie,
onderhoudsorganisatie, kwaliteitscontrole
van technisch beheer en ook
beheersprocessen zoals
configuratiebeheer, versiebeheer,
capaciteitsbeheer, probleembeheer, etc.
Operationele
automatiserings
ondersteuning
activiteiten van organisaties gericht op het
beheren en beschikbaar houden van de IT
infrastructuur en de onder beheer zijnde
processen conform de overeengekomen
Service Level Agreements alsook de
administratie hiervan. De operationele
werkzaamheden bestaan uit installatie,
beheer en onderhoud van
automatiseringsmiddelen inclusief de
geleverde programma's.
Operationeel beheer, interne controle,
beveiliging, autorisatie, risicomanagement,
en de overige beheersprocessen.
3.4.3 Vormen van assurance-opdrachten
De vormen van IT assurance-opdrachten die op bovenstaande domeinen van toepassing
kunnen zijn is een ISAE 3000 opdracht, certificeringen tegen ISO 27001, in bepaalde
gevallen een accountantscontrole volgens COS 800 of een ISAE3402/SSAE 16 verklaring
welke de opvolger is van de SAS 70 verklaring.
Tabel 4 -De zes audit domeinen
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 32 van 54
De ISAE 3402 standaard is primair bedoeld voor processen die relevant zijn voor de
financiële verantwoording. Assurance over niet financiële onderdelen zoals continuïteit
van de uitvoeringsorganisatie, de accuraatheid van de informatiestromen tussen
uitvoerder en opdrachtgever en de vertrouwelijke omgang met data kunnen beter
worden uitgevoerd volgens de ISAE 3000 standaard.
De ISAE 3000 standaard biedt meer vrijheidsgraden en de mogelijkheden om ook
processen die geen invloed hebben op de financiële verantwoording in de scope op te
nemen. De standaard is „vormvrij‟, zolang een aantal verplichte onderdelen maar wordt
behandeld.
Een kwaliteitscertificaat op basis van ISO 27001 zegt ook iets over de manier waarop
processen worden beheerst, al gaat het om een geheel ander product aangezien er geen
accountantscontrole plaatsvindt.
Een accountantsverklaring bij historische financiële informatie op basis van ISA 800 kan
in bepaalde gevallen ook voorzien in de assurance behoefte van een gebruiker. Zo‟n
rapport stelt de informatie in een verantwoording centraal in plaats van de processen die
leiden tot de financiële verantwoording. De IT Auditor maakt dan integraal deel uit van
het controle team.
[bovenstaande informatie is gebaseerd op KMPG10]
Vergelijking 1 - standaarden voor assurance [KPMG10]
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 33 van 54
3.4.4 Service Organization Control (SOC) Rapport
Naast de genoemde standaarden van paragraaf 3.4.3. zijn er ook standaarden opgesteld
door de American Institute for Certified Public Accountants. Zij geven zekerheid ten
aanzien van service organisaties. Dit doen ze onder andere middels Service Organization
Control (SOC) rapporten. SOC rapporten zijn interne controle rapporten ten aanzien van
de diensten welke door (Cloud) dienstaanbieders worden aangeboden. Deze rapporten
bieden belangrijke informatie voor eindgebruikers om risico‟s met betrekking tot een
uitbestede dienst te onderkennen en te kunnen beheersen. De SOC rapporten zijn te
onderkennen in drie varianten. Deze staan hieronder per variant toegelicht.
3.4.5 SOC 1
De SOC 1 rapportages zijn rapportages van audits die zijn uitgevoerd op service
organisaties welke diensten aanbieden met betrekking tot financiële processen. De
standaard die hiervoor gehanteerd wordt in de Verenigde Staten en Canada is de
SSAE16, de standaard die hiervoor in Europa wordt gebruikt is de ISAE3402. De controls
die hiervoor gehanteerd kunnen worden zijn niet voorgeschreven en zijn door de auditor
op basis van de objecten van onderzoek vast te stellen. Bij een SSAE16 en een ISAE3402
opdracht wordt als uitgangspunt een verklaring van het management genomen. Op basis
van deze verklaring wordt een audit uitgevoerd. Bij een SSAE16 en een ISAE3402
worden twee typen verklaringen onderkend, namelijk:
Type 1 – Deze verklaring heeft betrekking op de fairness of presentation en de suitability
of design. Bij fairness of presentation stelt de auditor vast of de beschrijving helder is
beschreven en of de scope toereikend is in relatie tot de verklaring van het management.
Tevens wordt gekeken of de in opzet beschreven beheersmaatregelen voldoende zijn
ingebed in de organisatie. Daarnaast stelt de auditor vast of met de opgestelde
beheersingsmaatregelen een redelijke mate van zekerheid gehaald kan worden.
Type 2 – Bij een type 2 verklaring wordt gekeken naar de operating effectiveness. Hierbij
stelt de auditor middels verschillende bewijsstukken vast of de beheersingsmaatregel in
een bepaalde periode effectief hebben gefunctioneerd overeenkomstig met de in opzet
beschreven beheersingsmaatregelen.
3.4.6 SOC 2
Soc 2 rapportages zijn bedoeld voor partijen die deskundig en bekend zijn met de
dienstverlenende organisaties en informatie behoeven omtrent de
beheersingsmaatregelen met betrekking tot beveiliging, beschikbaarheid,
vertrouwelijkheid en integriteit ten aanzien van de systemen van de service organisatie.
Anders dan de SOC 1 verklaring heeft deze rapportage geen betrekking op financiële
processen. Derhalve worden hiervoor ook gestandaardiseerde normenkaders gehanteerd,
te weten de “Trust Services Principles” en GAPP (Generally Accepted Privacy Principles).
SOC 2 rapportages kunnen onder andere van belang zijn bij:
Het inzicht verkrijgen in de organisatie;
Leverancier selectie- en beoordelingstrajecten;
Interne governance en risico management processen;
Overheidstoezicht.
Overeenkomstig met SOC 1 rapporten zijn er 2 typen SOC 2 rapportages te
onderscheiden.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 34 van 54
3.4.7 SOC 3
De beoogde gebruikers van de SOC 3 rapportages zijn partijen die zekerheid willen ten
aanzien van de beheersingsmaatregelen die betrekking hebben op beveiliging,
beschikbaarheid en integriteit van de systemen welke gebruikt worden door de service
organisatie. Bij SOC 3 rapporten zijn de beoogde gebruikers onbekend. Deze rapporten
mogen aan iedereen vrij beschikbaar worden gesteld. Derhalve worden deze rapportages
onder andere voor marketing doeleinden van de service organisatie gebruikt.
3.5 De vijf elementen van een assurance-opdracht
3.5.1 Drie partijen
Bij een assurance-opdracht zijn drie afzonderlijke partijen betrokken: een IT-Auditor, een
verantwoordelijke partij en beoogde gebruikers.
Beroepsbeoefenaar
De auditor kan worden gevraagd assurance-opdrachten uit te voeren in een breed scala
van onderwerpen. Sommige objecten van onderzoek kunnen specialistische kennis en
ervaring vergen die uitgaan boven hetgeen van een individuele IT-Auditor normaal mag
worden verwacht. Zoals aangegeven in paragraaf 17(a) van het assurance raamwerk zal
een IT-Auditor een opdracht slechts aanvaarden wanneer zij bij het voorbereidend
onderzoek de opgedane kennis omtrent de omstandigheden van de opdracht erop wijst
dat aan ethische normen met betrekking tot professionele deskundigheid wordt voldaan.
In sommige gevallen kan aan deze eis worden voldaan doordat de IT-Auditor
gebruikmaakt van de werkzaamheden van personen uit andere beroepsgroepen,
aangeduid als deskundigen.
Tevens is de IT Auditor bij het uitvoeren van een assurance-opdracht verantwoordelijk
voor de aard, de tijdsfasering en de omvang van de werkzaamheden.
De verantwoordelijke partij
De verantwoordelijke partij is degene die bij een direct reporting-opdracht
verantwoordelijk is voor het object van onderzoek en bij een assertion based-opdracht
verantwoordelijk is voor de informatie omtrent het object van onderzoek en
verantwoordelijk kan zijn voor het object van onderzoek.
Beoogde gebruikers
De beoogde gebruikers bestaan uit de persoon, de personen of de groep van personen
voor wie de IT-Auditor het assurance-rapport opstelt (soms is de eindgebruiker nog niet
bekend).
3.5.2 Object van onderzoek
Het object van onderzoek en de informatie omtrent het object van onderzoek van een
assurance-opdracht kunnen veel vormen aannemen zoals weergegeven in tabel 5.
Object van onderzoek Voorbeeld Informatie omtrent object van onderzoek
Niet-financiële resultaten of posities prestaties van een entiteit indicatoren doelmatigheid en effectiviteit
Fysieke kenmerken omvang van een beschikbare capaciteit gedetailleerde beschrijving kenmerken
Systemen en processen
interne beheersingsysteem of het
geautomatiseerd systeem bewering effectiviteit
Tabel 5 - Objecten van onderzoek
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 35 van 54
Een geschikt object van onderzoek:
Identificeerbaar en kan op eenduidige wijze worden geëvalueerd of worden
getoetst aan de vastgestelde toetsingsnormen;
Is van zodanige aard dat de informatie daarover onderworpen kan worden aan
procedures voor het verzamelen van toereikende informatie om een conclusie te
onderbouwen.
3.5.3 Toetsingsnormen
Toetsingsnormen zijn de benchmarks die worden gebruikt voor het evalueren of toetsen
van het object van onderzoek.
Toetsingsnormen bestaan uit een bestaand kader voor interne beheersingsmaatregelen
of uit individuele doelstellingen voor beheersing die specifiek zijn ontwikkeld ten behoeve
van de opdracht. Of toetsingsnormen generiek dan wel specifiek ontwikkeld zijn is van
invloed op de werkzaamheden die de IT-Auditor zal uitvoeren om de toepasbaarheid van
de toetsingsnormen voor een bepaalde opdracht te beoordelen. Bij het opstellen van
normenstelsels geeft “Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en
standaarden” [NORE02] handvatten. In dit rapport wordt onder andere aangegeven dat
nieuwe normenstelsels relatie moeten hebben met relevante referentiekaders zoals
COSO, Cobit, ISO 27001/2, ITIL, ISO. Toepasbare toetsingsnormen zijn noodzakelijk
voor een redelijk consistente evaluatie of toetsing van het object van onderzoek binnen
de context van vakkundige oordeelsvorming.
Toepasbare toetsingsnormen vertonen de volgende kenmerken:
Relevantie;
Volledigheid;
Betrouwbaarheid;
Neutraliteit;
Begrijpelijkheid;
Toepasbaarheid.
Toetsingsnormen zijn in één of meer van de volgende vormen toegankelijk voor de
beoogde gebruikers:
doordat ze openbaar zijn;
door ze op duidelijke wijze op te nemen in de presentatie;
door ze op duidelijke wijze op te nemen in het assurance-rapport;
doordat ze algemeen bekend zijn.
3.5.4 Geschikte informatie
Voor het goed kunnen uitvoeren van assurance-opdrachten is het verkrijgen van
geschikte informatie onontbeerlijk. In het raamwerk worden de volgende
richtlijnen gegeven voor het opstellen van een planning van een assurance-
opdracht waarbij onder andere de omvang van de werkzaamheden en het
verzamelen van toereikende informatie is opgenomen:
De IT Auditor houdt rekening met het materieel belang en onjuistheden hiervan;
Kwantiteit en de kwaliteit van de beschikbare informatie (voldoende en geschikt);
Bij het verkrijgen van toereikende informatie is het in het algemeen moeilijker om
zekerheid te verkrijgen over de informatie omtrent het object van onderzoek
wanneer deze betrekking heeft op een periode (werking) dan wanneer deze
betrekking heeft op een moment (opzet en bestaan);
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 36 van 54
De IT-Auditor maakt een afweging tussen de kosten voor het verkrijgen van
informatie en het nut van de verkregen informatie.
De volgende aandachtpunten worden gegeven voor het uitvoeren van een assurance-
opdracht met een redelijke mate van zekerheid:
Het verkrijgen van kennis omtrent het object van onderzoek en andere
omstandigheden rond de opdracht waaronder, afhankelijk van het object van
onderzoek, het verkrijgen van kennis omtrent de interne
beheersingsmaatregelen;
het op basis van deze kennis inschatten van de risico's dat de informatie over het
object van onderzoek materiële onjuistheden vertoont;
het inspelen op de ingeschatte risico's, waaronder het ontwikkelen van een
algehele aanpak, en het bepalen van aard, tijdsfasering en omvang van overige
werkzaamheden;
het uitvoeren van overige werkzaamheden die duidelijk zijn gekoppeld aan de
gesignaleerde risico's, waarbij gebruik wordt gemaakt van een combinatie van
verificatie, waarnemingen ter plaatse, bevestiging, opnieuw uitvoeren, analyse en
inwinnen van inlichtingen. Deze overige werkzaamheden omvatten
gegevensgerichte werkzaamheden, waaronder het verkrijgen van bevestigende
informatie vanuit bronnen die onafhankelijk zijn van de entiteit en afhankelijk van
de aard van het object van onderzoek, het testen van de daadwerkelijke
effectiviteit van de beheersingsmaatregelen; en
het evalueren van de toereikendheid van de informatie.
Wanneer de informatie omtrent het object van onderzoek bijvoorbeeld toekomstgericht is
mag worden verwacht dat daarover minder objectieve informatie beschikbaar is dan
wanneer het historische informatie betreft.
3.5.5 Het assurance rapport
Een schriftelijk rapport met een conclusie die de zekerheid tot uitdrukking brengt welke is
verkregen over de informatie omtrent het object van onderzoek. Richtlijnen voor
Assurance-opdrachten schrijven basiselementen voor assurance-rapporten voor.
Daarnaast overweegt de IT-Auditor of er andere verantwoordelijkheden bestaan met
betrekking tot de rapportering, waaronder de communicatie met de organen belast met
governance indien dit van toepassing is.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 37 van 54
3.6 Conclusie waaraan moeten assurance opdrachten voldoen en
de invloed voor assurance van Cloud Computing
De uitvoering van de type assurance-opdrachten, zoals in tabel 7 is weergegeven, kan
worden gedaan in het kader van een jaarrekeningcontrole (COS 800) opdracht, een TPM,
een ISAE 3402 of middels een ISAE 3000 assurance-opdracht. Daarnaast zijn er ook
buitenlandse standaarden waaronder de SOC audit opdrachten zoals beschreven in
paragraaf 3.4.4.
Wat opvalt is dat veel van de type assurance-opdrachten zoals weergegeven in tabel 6
zijn te combineren tot één opdracht wanneer het een Cloud Computing dienst betreft.
Bijvoorbeeld bij het uitvoeren van een assurance-opdracht waarbij het object van
onderzoek een SaaS dienst zou betreffen kunnen de opdrachttypen outsource assurance,
IT organisatie assurance, applicatie assurance en privacy assurance samengevoegd
worden tot één assurance-opdracht.
Type assurance opdrachten Traditioneel CloudOutsourcing assurance n.v.t. Beoordelen IaaS, PaaS of SaaS
Project assurance ERP implementatie migratie tra ject
IT-organisatie assurance Beoordelen IT beheersprocessen Beoordelen beheerprocessen service
providerAppl icatie assurance Beoordelen appl ication Comtrols Beoordelen SaaS dienst of beoordelen
afreken appl icatie dienst.
IT Due Di l igence Beoordelen IT omgeving Beoordelen SLA en inrichting.
Privacy assurance Uitvoeren privacy audit afhankel i jk parti jen en locatie (landen).
Web assurance Beoordelen e-commerce appl icatie Beoordelen SaaS dienst + PaaS
Revenue assurance Beoordel ing sel f reporting inrichting.
(regis tratie verkopen)
Betaalmodule voor IaaS, PaaS of SaaS. (ISAE
3402)
Licentie assurance Beoordelen l icenties Als gebruiker van Cloud diensten niet meer
verantwoordel i jk.
Tabel 6 - type assurance-opdrachten
Dit komt doordat een Cloud dienst meerdere audit of assurance domeinen (tabel 4)
bestrijken. Doordat een Cloud dienst betrekking heeft op meerdere audit domeinen heeft
dit natuurlijk direct impact op de complexiteit van de opdracht.
Hierbij is de communicatie met de opdrachtgever en kennis van de verschillende audit
domeinen een aandachtspunt voor de auditor.
Om vast te stellen in hoeverre het geven van assurance bij een cloud opdracht afwijkt
ten aanzien van een asssurance opdracht bij een traditionele omgeving zijn de
kenmerken van cloud computing beschreven in hoofdstuk 2 afgezet tegen de assurance
voorwaarden zoals beschreven in hoofdstuk 3.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 38 van 54
Figuur 13 - onderzoeksaanpak
De uitkomsten hiervan worden per onderdeel toegelicht en zijn vervolgens overzichtelijk
weergegeven in tabel 8.
Soorten assurance-opdrachten
Er zijn twee soorten assurance-opdrachten namelijk:
1. Een opdracht met redelijke mate van zekerheid
Hierbij wordt de hoogste mate van zekerheid gegeven die een IT Auditor mag
verstrekken.
In een Cloud Computing omgeving kan deze mate van zekerheid gegeven worden,
maar is wel afhankelijk van enkele belangrijke aspecten zoals complexiteit en
omvang van de objecten van onderzoek (virtualisatie), de differentiatie van de
verantwoordelijke partijen (Cloud keten), beschikbare toetsingsnormen en de
eenduidigheid van afgegeven verklaringen bij subcontractors.
2. Een opdracht met beperkte mate van zekerheid.
Gezien de complexiteit van de hierboven benoemde aspecten ligt het geven van een
oordeel met beperkte mate van zekerheid voor de IT Auditor wellicht meer voor de hand.
De vraag blijft echter of de klant/afnemer van de Cloud dienst hiermee voldoende
zekerheid krijgt. Het gaat tenslotte wel om een geheel geoutsourcete omgeving waarop
de afnemer maar zeer beperkt grip heeft.
er drie partijen zijn (verschaffer van informatie, assurance provider en gebruiker);
Zoals weergeven in figuur 1 zijn voor de Cloud Computing omgeving de drie partijen van
een assurance-opdracht te definiëren. Voor de IT Auditor (hetzij van de gebruiker, hetzij
van de aanbieder) geldt dat hij over voldoende kennis moet beschikken in persoon of in
zijn auditteam om een audit in de Cloud te kunnen uitvoeren. Daarnaast kan de omvang
van de opdracht zeer uitgebreid zijn doordat subcontractors binnen de scope van het
onderzoek vallen en zoals eerder beschreven meerdere assurance domeinen binnen de
opdracht vallen. Communicatie over scope, objecten van onderzoek en verantwoordelijke
partijen is dan een zeer belangrijk aandachtspunt voor de IT Auditor, zowel naar de klant
als ook naar de verschillende subcontractors.
er een geschikt object van onderzoek is;
De objecten van onderzoek kunnen met een cloud opdracht zeer omvangrijk (zie drie
partijen) zijn. Daarnaast vergt de techniek van virtualisatie specifieke kennis. Zowel voor
de verantwoordelijke partij(en) alsook voor de IT Auditor. Door de dynamische
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 39 van 54
kenmerken van virtualisatie bestaat de vraag of de werking wel in alle gevallen getoetst
kan worden. De inrichting van beheersprocessen geënt op de virtuele omgeving is
daarom ook een belangrijk aspect van een Cloud Computing audit. Daarnaast moeten
Cloud diensten die door een combinatie van verschillende subcontractors (zie figuur
bijlage 3) worden geleverd naast de diensten ook het informatiebeveiligingsbeleid, de
verschillende beheersprocessen (Changemanagement, Identiteitsmanagement, etc.)
voldoende op elkaar laten aansluiten.
er criteria zijn waaraan het object getoetst kan worden;
Normenkaders voor Cloud Computing worden ontwikkeld door verschillende partijen
(tabel 5), echter deze ontwikkelde normenkaders gaan beperkt in op virtualisatie
aspecten en daarnaast zijn de normenkaders nog niet geheel uitgekristalliseerd. Een
ander aandachtspunt is dat de Cloud omgeving buiten Europa kan zijn gesitueerd,
waardoor andere audit standaarden kunnen zijn toegepast en de wet en regelgeving per
land verschild. Dit heeft invloed op de criteria welke de auditor (ander land) zal hanteren
om de objecten tegen te toetsen. De SLA‟s zullen als belangrijk uitgangspunt dienen voor
het vast stellen van de criteria waaraan het object van onderzoek getoetst kan worden.
De kwaliteit van de overeengekomen SLA‟s en de eenduidigheid is derhalve van groot
belang. Tevens is het risicoprofiel een belangrijk aandachtspunt om vast te stellen door
de IT Auditor (paragraaf 2.6.4) met een dynamische omgeving met veel verschillende
afnemers.
er voldoende en geschikte informatie beschikbaar is;
Het bepalen van of voldoende informatie van adequaat niveau is verzameld om een juist
oordeel af te geven is op basis van bovenstaande aspecten een moeilijke opgave binnen
dergelijke omvangrijke en complexe audit opdrachten. Mede door het aspect van de
dynamische virtuele omgevingen is de vraag of alle benodigde informatie beschikbaar.
De informatie ten aanzien van de beheersprocessen en met name het change
managementproces van alle lagen (tabel 2) is hiervoor een essentieel aspect.
er een schriftelijk assurance rapport is.
Een aandachtpunt voor het opstellen van het rapport (en natuurlijk ook het uitvoeren van
de audit) is dat vooraf niet altijd de beoogde gebruiker bekend is. Door de dynamische
kenmerken van Cloud Computing kunnen afnemers ook alleen tijdelijk (voornamelijk
IaaS en SaaS) diensten afnemen.
Dit alles kort samengevat wordt nogmaals weergegeven in onderstaande tabel 7.
Elementen assurance opdrachten Traditionele IT opdracht Cloud Computing kenmerken
Redelijke mate van zekerheid Goed mogelijk Mogelijk maar afhankelijk van
meerdere aspecten*Beperkte mate van zekerheid Goed mogelijk Mogelijk maar bied dit de afnemers
de gewenste mate van zekerheid?
Soorten assurance
opdrachten
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 40 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 41 van 54
Elementen assurance opdrachten Traditionele IT opdracht Cloud Computing kenmerken
Beroepsbeoefenaar: specialistische
kennis
IT auditor IT auditor met kennis van virtualisatie
en Cloud aspecten*
Aard, de tijdsfasering en de omvang Goed mogelijk Mogelijk lastig in te schatten door
meerdere aspecten
De verantwoordelijke partij interne IT afdeling Service provider (IaaS, PaaS of SaaS)
Beoogde gebruikers Financial Accountant Afnemer of Financial Accountant
Identificeerbaar Statische objecten van onderzoek en
bijbehorende beheersprocessen
Virtuele objecten van onderzoek,
dynamische samenstelling IT
omgeving, beheersprocessen incl.
virtualisatie.Op eenduidige wijze worden
geëvalueerd
Vastgestelde toetsingsnormen Algemeen geaccepteerde
standaarden.normenkaders
Normenkaders niet geheel
uitgekristalliseerd.
Bestaand kader Meerdere bestaande kaders Enkele kaders, beperkt op beheersing
virtuele omgevingen in de Cloud
Specifiek ontwikkeld ten behoeve
van de opdracht
Studierapport 3, Raamwerk voor
ontwikkeling normenstelsels en
standaarden.
Studierapport 3, Raamwerk voor
ontwikkeling normenstelsels en
standaarden. (per land verschillend)
Consistente evaluatie of toetsing Uitgevoerd op basis van NOREA
standaarden
Per land verschillend
Vakkundige oordeelsvorming.
· Relevantie; standaarden NOREA Subjectief, focus verschillend
· Volledigheid; Eenvoudiger vast te stellen Lastiger vast te stellen
· Betrouwbaarheid; Goed Afhankelijk van scope en uit te voeren
audit partij
· Neutraliteit; Goed Afhankelijk van scope en uit te voeren
audit partij
· Begrijpelijkheid; Goed Specifieke kennis nodig van business
model en techniek
· Toepasbaarheid. Eenvoudiger Lastiger i.v.m. weging complexe
factoren
Opstellen van een planning van een
assurance-opdracht o.a. omvang van
de werkzaamheden voor het
verzamelen van toereikende
informatie.
Meer ontwikkelde standaarden en
minder complexe omgeving
Mogelijk teveel informatie nodig
(meerdere partijen) waardoor
economisch niet rendabel
De IT auditor houdt rekening met het
materieel belang en onjuistheden
hiervan.
Eenvoudiger in te schatten Lastiger vast te stellen of alle
materieel zijnde elementen in kaart
zijn gebracht.Vast stellen werking statische omgeving eenvoudiger vast
te stellen.
Dynamische omgeving lastiger vast te
stellen. (inrichting omgeving mogelijk
totaal verschillend,
beheersprocessen en CMM level
belangrijk)
er een schriftelijk
assurance rapport
is.
Een schriftelijk rapport met een
conclusie die de zekerheid tot
uitdrukking brengt welke is verkregen
over de informatie omtrent het
object van onderzoek.
Eenvoudiger op te stellen Complexiteit afhankelijk van
meerdere aspecten*
er criteria zijn
waaraan het object
getoetst kan
worden;
*Meerdere aspecten zijn onder andere: partijen business model, wet en regelgeving, locatie
datacenters, mate van dynamische omgeving.
er drie partijen zijn
(verschaffer van
informatie,
assurance provider
en gebruiker);
er een geschikt
object van
onderzoek is;
er voldoende en
geschikte
informatie
beschikbaar is;
Tabel 7 - elementen assurance-opdracht versus Cloud
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 42 van 54
4. Instrumenten van de IT Auditor bij Cloud Computing
opdrachten
4.1 Inleiding
Zoals in paragraaf 3.4 en 3.5 is beschreven zijn er verschillende opdrachtvormen waarin
een IT auditor zekerheid verstrekt. Hierbij heeft de IT Auditor verschillende hulpmiddelen
of instrumenten tot zijn beschikking om hem of haar te ondersteunen bij het uitvoeren
van een audit opdracht. Frameworks en best practices zijn hier een goed voorbeeld van.
Het voordeel van frameworks en best practices is dat deze door de tijd heen ontwikkeld
zijn door meerdere professionals en onderhevig zijn geweest aan peer reviews. Hierdoor
wordt de kwaliteit van dergelijke hulpmiddelen beter gewaarborgd. Echter een risico van
het gebruiken van best practices is dat het kopiëren kan leiden tot slechte
werkprogramma‟s waarbij niet op de echte issues wordt ingegaan. Daarom dient de IT
Auditor te allen tijde de toepasselijkheid van een framework of best practice te
beoordelen in relatie tot de opdracht en de daarbij behorende onderzoeksobjecten.
4.2 Niet Cloud dienst specifieke standaarden
Aangezien cloud diensten opgebouwd zijn uit elementen (figuur 9) die ook in de
traditionele omgevingen worden gebruikt zijn onderstaande frameworks en best practices
natuurlijk ook van toepassing bij het uitvoeren van een IT audit opdracht met betrekking
tot een cloud computing dienst aangevuld met maatregelen die ingaan op de specifieke
cloud dienst risico‟s.
ISO-27001 (Information Security Management System ISMS) ;
ISO-27002 ("Code voor Informatiebeveiliging") ;
NEN-7510 (Informatiebeveiliging in de "zorg") ;
BS-25999 ("Business Continuity Management") ;
ISO-9001;
ISO-20000;
NIST
- 800-30, Risk Management Guide for Information Technology Systems
- 800-53, Security Controls and Assessment Procedures for Federal
Information Systems and Organizations
- 800-92, Guide to Computer Security Log Management
- 800-94, Guide to Intrusion Detection
- 800-144 Guidelines on Security and Privacy in Public Cloud Computing
ITIL;
Cobit;
Coso;
PCI DSS.
Ten aanzien van ISO 27001 opdrachten geldt ook voor cloud computing diensten dat de
IT beheersingsprocessen in control moeten zijn. Daarbij is het goed opzetten van een
Information Security Management System essentieel. Ook de ISO normen ten aanzien
van de kwaliteitssystemen voor de organisaties en de branche specifieke normen zoals
de NEN 7510 zijn afhankelijk van de cloud dienst goed toepasbaar. De standaarden
ontwikkeld door de National Institute of Standards and Technology (NIST) zijn zeker
relevant voor cloud computing. Enkele voorbeelden van best practices van de NIST zijn in
bovenstaande opsomming weergegeven. Om te komen tot een goed werkprogramma is
het uitvoeren van een risico analyse op de cloud dienst een goed begin om de echte
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 43 van 54
issues inzichtelijk te krijgen om vervolgens de scope en de objecten van onderzoek vast
te stellen. De andere normen van de NIST kunnen goed dienen als input van de
verschillende onderdelen (domeinen) voor het werkprogramma.
Naast deze standaarden zijn de bekende frameworks als Cobit en Coso een goede
kapstok om de IT organisatie in te richten en vervolgens te toetsen. COBIT is vanaf 1992
ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het
IT Governance Institute (ITGI). Het benoemen van de doelen en deperformance
indicatoren om te komen tot een gecontroleerde IT omgeving is natuurlijk ook van
belang op cloud diensten. Het verschil van een cloud dienst ten opzichte van een
traditionele omgeving is dat onderstaand schema moet worden ingericht op meerdere
niveaus van de dienst met mogelijk meerdere onderaannemers. Dus zowel voor de
housing als voor de infrastructuur (IAAS) en de overige lagen PAAS en SAAS.
Figuur 14 Cobit 4.1 [Isaca09]
Tot laatste wordt in voorgaande opsomming PCI Data Security Standard (PCI DSS)
genoemd. Deze standaard gaat anders dan de voorgaande frameworks meer in detail in
aan welke inrichtingseisen componenten vanbetalingssystemen moeten voldoen. Echter
al deze reeds jaren bekende standaarden gaan niet specifiek in op de kenmerken van
Cloud computing en de daar bijbehorende mogelijke risico‟s. In de volgende paragraaf
wordt een overzicht gegeven van meer specifieke Cloud dienst standaarden.
4.3 Cloud dienst specifieke standaarden
Ten aanzien van Cloud omgevingen zijn wereldwijd een aantal initiatieven voor het
ontwikkelen van standaarden, dan wel werkgroepen opgezet om na te denken over de
specifieke risico‟s omtrent cloud en middels welke maatregelen deze beheerst kunnen
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 44 van 54
worden. Voorbeelden van deze initiatieven zijn onder andere de Cloud Security Alliance
(CSA), de Cloud Management Working Group (CMWG) en de Cloud Auditing Data
Federation Working Group (CADFWG). Deze werkgroepen hebben een aantal cloud
specifieke frameworks en best practices opgesteld welke zowel betrekking hebben op de
implementatie van cloud omgevingen als het auditen hiervan. Daarnaast heeft ook de
eerder genoemde organisatie National Institute of Standards and Technology (NIST) vrij
recent een standaard opgesteld voor public cloud computing _NIST 800-144). Deze
“Special Publication” beschrijft voornamelijk aandachtspunten en risico‟s van cloud
diensten maar bevat geen concrete normen.
In tabel 8 wordt een overzicht gegeven van standaarden gericht op cloud computing. Per
organisatie wordt de standaard weergegeven met daarbij welke methodiek als basis is
gebruikt. Aangezien de techniek virtualisatie een belangrijke grondslag vormt voor cloud
computing is ook de relevantie van de verschillende standaarden ten opzichte van
virtualisatie opgenomen in de tabel. Vervolgens wordt in de laatste kolom de
bruikbaarheid voor de verschillende service modellen weergegeven.
Organisatie Naam normenkader / whitepaper Datum Gebruikte methodiek Virtualisatie Partijen
Cloud Security
Alliance
Top Threats to Cloud Computing V1.0 03-2010 ISO 27001/2 Beperkt verwijst naar
normenkader 8.
IaaS, PaaS, SaaS,
tenant
ENISA Benefits, risks and recommendations for
information security
11-2009 ISO 27001/2 (42), (43) and
BS25999 (44) standards.
Beperkt (blz 55) IaaS, PaaS, SaaS,
tenant
Cloud Security Guidance for Application Security V2.1 07-2010 ISO 27001 Beperkt (blz 22) IaaS, PaaS, SaaS
Cloud Security
Alliance
Cloud Controls Matrix (CCM) 12-2010 COBIT 4.1, HIPAA / HITECH
Act, ISO / IEC 27001-2005,
NIST SP800-53, FedRAMP,
PCI DSS v2.0, BITS Shared
Assessments AUP v5.0 / SIG
v6.0, GAPP (Aug 2009)
Beperkt (high level
zowel statisch als
VM)
IaaS, PaaS, SaaS,
tenant
Cloud Security
Alliance
Security Guidance for Critical Areas of Focus in
Cloud Computing V2.1
12-2009 ISO/IEC 27002 Beperkt (blz 68, 69) IaaS, PaaS, SaaS,
tenant
ISACA Business Benefits With Security, Governance
and Assurance Perspectives
10-2009 n.v.t. (white paper geen
normen VM)
IaaS, PaaS, SaaS,
tenant
NIST 800-144 Guidelines on Security and Privacy in
Public Cloud Computing 22/ 28
11-2011 n.v.t. Aandachtspunten
geen normen (blz 22
t/m 28)
IaaS, PaaS, SaaS,
tenant
NOREA Studierapport Normen voor de beheersing van
uitbestede ICT-beheerprocessen
12-2007 ISO/IEC 27001:2005,
Basisnormen Beveiliging en
Beheer ICT-infrastructuur
Versie 1.0, CobiT 4.1, ISO/IEC
20000:2005, NIST Special
Publication 800-53,
Studierapport 3, Raamwerk
voor ontwikkeling
normenstelsels.
Berperkt,
beheersprocessen
n.v.t.
Tabel 8 - Cloud computing normenkaders
De hierboven genoemde normenkaders zijn veelal toekomst gericht, waarbij wordt
aangegeven waaraan server providers moeten voldoen of waarop klanten moeten letten
voordat de stap naar Cloud Computing diensten wordt genomen. Virtualisatie wordt bij
enkele normenkaders genoemd, maar handvatten om de complexe technieken van
virtualisatie te beoordelen (paragraaf 2.3.) worden nauwelijks of niet beschreven.
De standaardisatie van de normenkaders waarbij de verschillende partijen en service
modellen aan bod komen met voldoende aandacht voor virtualisatie moeten nog verder
uitkristalliseren. Gestandaardiseerde werkprogramma‟s die op uniforme wijze worden
uitgevoerd zijn essentieel voor cloud computingdiensten zodat de onderkende aanbieders
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 45 van 54
(paragraaf 2.3), IT auditors en klanten geen appels met peren gaan vergelijken.
Daarnaast zijn cloud diensten erg dynamisch (techniek en business model) waarbij het
voor de afnemer van de cloud dienst zeker van belang is dat de frequentie van de audit
en de rapportage hoger wordt dan momenteel voor de meeste certificeringen en audit
cycli vereist is.
4.4 Tools
Bij het uitvoeren van de werkzaamheden kan de IT Auditor gebruik maken van tools.
Wanneer dit geautomatiseerde tools zijn, worden deze ook wel CAAT‟s genoemd, dit
staat voor Computer Assisted Auditing Techniques. Hierbij kan men denken aan data-
analyse software, zoals IDEA. Een groot voordeel van dergelijke tools is dat een IT
Auditor relatief éénvoudig bepaalde analyses kan uitvoeren op complete data sets.
Wanneer men dergelijke analyses zou willen doen zonder CAAT‟s dan zal de IT auditor
enkele samples dienen te trekken en te beoordelen. Dit geeft minder zekerheid dan een
totaal analyse op de volledige set van het object van onderzoek. In relatie tot cloud
computing zou men hierbij kunnen denken aan analyses ten aanzien van logging
bestanden, het uitlezen van logische toegangsbeveiliging systemen of CAAT‟s welke
continious monitoring mogelijk maken. Bij het laatste voorbeeld zal de CAAT ervoor zorg
dragen wanneer gegevens worden gewijzigd de CAAT tool automatisch hiervan een
melding naar de verantwoordelijke functionaris zal sturen of naar de monitorings portal.
Een voorbeeld van CAAT‟s gericht op cloud service is SureCloud tool waarbij
vulnerabilities ten aanzien van operating systems, services en applicaties, firewalls,
routers en switches worden gescand. Dit soort tools zouden door de cloud service
provider kunnen worden ingericht waarbij de resultaten naar een dashboard worden
gestuurd. Hierbij kunnen dan de operationeel verantwoordelijke de status monitoren
maar ook de cloud afnemers en de auditors zouden toegang kunnen krijgen tot een
dergelijk dashboard.
Figuur 15 - dashboard vulnerability´s surecloud
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 46 van 54
4.5 Externe deskundigen
Wanneer de IT auditor bij een opdracht onderzoeksobjecten tegenkomt, waarvan hij
onderkend dat hij ten aanzien daarvan over onvoldoende deskundigheid beschikt, is het
mogelijk voor het de IT auditor om gebruik te maken van externe deskundigen. Bij het
inhuren van externe deskundigen bij een opdracht dient de IT auditor zichzelf ervan te
verwittigen dat de externe deskundige wel over voldoende kennis beschikt ten aanzien
van het te onderzoeken object. Tevens dient de IT auditor deskundig genoeg te zijn om
de werkzaamheden en de uitkomsten van de werkzaamheden van de externe deskundige
te beoordelen. Een Cloud omgeving kan bestaan uit zeer veel en complexe componenten
die allen van invloed kunnen zijn op de Continuity, Integrity, Availability en Auditability
(CIAA) van de geautomatiseerde gegevensverwerking. Hierbij kan men denken aan de
inrichting van SAN‟s, firewall‟s, VLAN‟s, virtualisatie, databases, verschillende operating
systems. Het wordt voor de IT auditor steeds een grotere uitdaging om ten aanzien van
al deze componenten over voldoende kennis te beschikken, met name bij Cloud
omgevingen waar al deze technieken bij elkaar komen. Derhalve zal bij het auditen van
een Cloud omgeving het inschakelen van een externe deskundige steeds vaker nodig en
van grotere waarde zijn.
4.6 Conclusie instrumenten van de IT Auditor bij Cloud
Computing opdrachten
Voor de IT auditor zijn er veel standaarden en tools ter ondersteuning bij assurance
opdrachten beschikbaar. Standaarden die al langer beschikbaar zijn en voornamelijk
worden toegepast op traditionele omgevingen zijn ook voor cloud computing assurance
opdrachten goed toepasbaar. Het opstellen van bijvoorbeeld beheersingsprocessen en de
audit van traditionele It omgevingen toont grote overeenkomsten met cloud diensten. De
voornaamste moeilijkheid voor assurance voor cloud computing is dat de dienst veelal
opgebouwd is uit meerdere onderaannemers. Het wordt dan erg lastig om de
performance indicatoren op eenduidige wijze vast te stellen en te monitoren over de
ketens heen. Voeren bijvoorbeeld alle partijen op dezelfde manier changes door, of sluit
security management wel voldoende op elkaar aan? Wordt identity management
eenduidig uitgevoerd door alle partijen en worden credentials doorgegeven tussen de
partijen? Is singel sign on wel mogelijk etc.
Figuur 16 – Cloud dienst door meerdere partijen
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 47 van 54
Naast deze vragen en de moeilijkheid van de meerdere betrokken partijen in de keten
zijn er momenteel een beperkt aantal normenkaders en tools welke volledig
uitgekristalliseerd zijn. Daarnaast moeten ook nog steeds meerdere normenkaders
worden samengevoegd tot één werkprogramma.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 48 van 54
5. Conclusie De IT Auditor kan in een wereld met toenemende virtualisatie en Cloud computing zeker
assurance verstrekken.
Voor de leverancier van cloud diensten zal hij/zij op ISAE3402/SSA16 of op
ISAE 3000-standaard gebaseerde onderzoeken, kunnen uitvoeren en daarover
rapporteren.
Voor afnemers van cloud diensten zal hij/zij de beschrijvingen van proces- en
informatiestromen inclusief de application controls en general computer controls
van geheel of gedeeltelijk op cloud diensten gebaseerde applicaties en
infrastructuur (afhankelijk van het service model) kunnen beoordelen en toetsen,
daarbij gebruik makend van door de leverancier verstrekte externe rapportages
(bijv. ISAE3402) en/of the right to audit door zelf onderzoek uit te voeren.
Of een opdracht in de praktijk economisch rendabel en of technisch uitvoerbaar is hangt
onder meer af van de volgende aspecten:
Aantal subcontractors;
Verschillen in wet en regelgeving;
Verschillen in informatiebeveiligingsbeleid subcontractors;
Verschillende risicoprofielen van de afnemers;
Volwassenheid (CMM level) van de service provider;
De technische “kennis“ van de auditors;
Impact op objecten van onderzoek en reikwijdte van een opdracht. Hierover goede
communicatie met de opdrachtgever en met de verschillende partijen (Cloud keten);
Opgestelde kwaliteit van de SLA‟s;
Techniek op basis van baseline ingericht;
Verdere standaardisatie Cloud Computing Normenkaders.
Kortom heel wat aspecten om rekening mee te houden alvorens een assurance-opdracht
te aanvaarden in de Cloud.
Voor de toekomst denk ik dat de Cloud Computing aanbieders zich kunnen onderscheiden
door het kunnen aantonen van een goede interne controle van de essentiële
beheersprocessen. Daarnaast initieert Cloud Computing een verdere uniformiteit van de
werkzaamheden van IT Auditors wereldwijd en de verdere ontwikkelen van Cloud
Computing assurance normenkaders.
Door de vergaande dynamische IT omgevingen gebaseerd op virtualisatie wordt het
steeds lastiger om de werking van bepaalde objecten van onderzoek vast te stellen. De
focus van assurance-opdrachten zal daarom sterk gericht moeten zijn op de
beheersprocessen waarbij het changemanagementproces zeer essentieel zal zijn.
Daarnaast zal de volwassenheid (CMM level) van de organisatie een steeds belangrijkere
rol gaan spelen bij het geven van assurance. Indien duidelijk is vast te stellen dat de
service provider van Cloud Computing duidelijk in control is kan naar de gebruiker
voldoende assurance worden afgegeven, waarbij deze assurance mogelijk ook meer
toekomst gericht kan zijn.
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 49 van 54
Transparantie van de beheersprocessen de overeengekomen KPI‟s en
beheersmaatregelen die door klanten realtime zijn te monitoren. Waardoor niet alleen
assurance naar het verleden maar ook realtime zekerheid verkregen kan worden.
(SekChek, Rechten en rollen tools, change aanvragen en verwerkingen, etc.)
Daarnaast zijn er technische ontwikkelingen waardoor data van de eigenaar kan blijven
zonder dat de provider bij de klant data kan. (Trend Micro, Deep defends).
Uitdagingen genoeg voor de IT Auditor!
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 50 van 54
6. Literatuurlijst
[BOHM10] Böhm, Leimeister, Riedl, Prof. Krcmar, Cloud Computing - Outsourcing 2.0 or
a new Business Model for IT Provisioning?, Technische Universität München (TUM),
(2009)
[NIST11] Final Version of NIST Cloud Computing Definition Published
[NIST11 2] Guide to security for full virtualization technologies
[BOHM10 2] Böhm, Riedl, Towards a Cloud Computing Value Network, 2010
[ChUN10] Mike Chung, Assurance in the Cloud, Compact, maart 2010.
[CSAC09] Glenn Brunette, Rich Mogull, Security Guidance for Critical Areas of Focus in
Cloud Computing V2.1, Cloud Security Alliance ,December 2009
[ASSU07] NOREA, Raamwerk voor assurance-opdrachten door IT-Auditors, december
2007
[EDPH08] Ronald Jonker, Handboek EDP-auditing 9300. Assurance services, 2010
[NORE08]
http://www.norea.nl/index.aspx?FilterId=2423&ChapterId=12177&ContentId=37183
[ITAS08] IT-assure zekerheid over uw IT, NOREA, 2008
[NORE02] Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden,
2002
[NORE98] NOREA-geschrift no. 1, NOREA, 1998
[RFIJ06] Rob Fijneman, IT-Auditor is meer dan controleur van informatietechnologie,
2006
[SOGE10] Ewald Roodenrijs, Point of View: Testing on the Cloud, Sogeti, 2010
[ClOU09]http://www.computable.nl/artikel/ict_topics/cloud_computing/2978520/233336
4/gartner-herziet-definitie-van-cloud-computing.html
[HOEC06] Michael Hoesing, Virtualization Usage, Risks and Audit Tools, ISACA, 2006
[ACCO10] Henk Aardom, Housing, hosting ASP en SaaS, 2010?
[COMP10] van Beek, Francken, SAS 70 herzien, focus ISAE 3402 blijft op
beheersingsmaatregelen financiële verantwoording, Compact, 2010
[KPMG10] Praktijkgids SAS 70 deel III, 2010
[Biene96] Margaret E. van Biene-Hershey, IT Auditing an object oriented approach, 1996
[Isaca09] ISACA COBIT Overview, 2009
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 51 van 54
Gebruikte internet bronnen:
http://nvd.nist.gov/home.cfm
https://www.pcisecuritystandards.org/security_standards/
http://www.vmware.com/nl/
http://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Pages/Compact-
Magazine.aspx
http://www.norea.nl/
http://www.isaca.nl/
http://www.kluwer.nl/
https://cloudsecurityalliance.org/
http://cloud-standards.org
http://www.surecloud.com/index.htm
http://www.computable.nl/
http://computerworld.nl/
http://www.automatiseringgids.nl/
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 52 van 54
7. Bijlage
7.1 Bijlage 1
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 53 van 54
7.2 Bijlage 2
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 54 van 54
7.3 Bijlage 3