De onderzoeksvraag is “kan de IT auditor omgeving · 2012-09-05 · In figuur 1 zijn vier...

Herbert van der Kooij

De onderzoeksvraag is “kan de IT auditor

assurance verstrekken in een Cloud Computing

omgeving.” Hierbij zijn de verschillende aspecten

van Cloud Computing onderzocht. Vervolgens zijn de

voorwaarden van assurance-opdrachten afgezet

tegen deze verschillende Cloud Computing aspecten.

Hoofdconclusie is dat het geven van redelijke mate

van zekerheid zeer lastig is gezien de complexiteit

van de verschillende aspecten van Cloud Computing.

Vrije Universiteit Amsterdam

Postgraduate IT Audit Opleiding

Referaat juli 2012

Versie 1.0

De IT Auditor “in de wolken”

Liberalisatie van IT geeft de afnemer

nieuwe mogelijkheden en de IT Auditor

nieuwe uitdagingen.

Voorwoord

Dit referaat is geschreven als afstudeeropdracht van de Postgraduate IT Audit opleiding

aan de Vrije Universiteit van Amsterdam. In het referaat dient een actueel vraagstuk uit

de IT Audit wereld op een academisch verantwoorde wijze behandelt te worden. Dit

referaat heeft als onderwerp “Assurance in the Cloud”. De toename van IT diensten in de

Cloud leidt tot een grote vraag naar zekerheid omtrent deze diensten. Dit brengt voor de

IT Auditor grote vraagstukken en uitdagingen met zich mee. Het referaat heeft als

doelstelling om inzicht te geven in welke mate een IT Auditor zekerheid kan geven over

Cloud diensten en welke middelen hij daarbij ter beschikking heeft. Om hier antwoord op

te geven ligt een literatuurstudie ten grondslag van Cloud Computing en assurance -

opdrachten. Daarnaast zijn er interviews afgenomen met verschillende professionals die

bij hun dagelijkse werkzaamheden direct betrokken zijn bij Cloud oplossingen. Via deze

weg wil ik mijn afstudeerbegeleider dr. A. (Abbas) Shahim RE bedanken voor de prettige

en interessante conversaties en het vakkundige inzicht welke tot een verdere verdieping

en verrijking van dit referaat heeft geleid.

juli 2012

Herbert van der Kooij

Inhoudsopgave

Inleiding ............................................................................................................................. 6

1.1 Achtergrond .......................................................................................................... 6

1.2 Onderzoeksvraag ...................................................................................................... 7

1.2.1 Subvragen ..................................................................................................... 7

1.2.2 Scope van het referaat .................................................................................... 7

1.3 Aanpak, indeling en structuur onderzoek .................................................................. 8

1.3.1 Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? ...... 8

1.3.2 Waaraan moet een Assurance-opdracht voldoen? ................................................ 9

1.3.3 Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven van

Assurance binnen een Cloud omgeving ............................................................................ 9

2. Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? .................. 10

2.1 Inleiding .............................................................................................................. 10

2.2 Wat is Cloud Computing? ....................................................................................... 10

2.2.1 Definitie traditionele IT oplossing (hosting / ASP omgeving) ................................ 10

2.2.2 Definitie en essentiële aspecten van Cloud Computing ........................................ 10

2.2.3 Definitie Cloud Computing: ............................................................................. 11

2.2.4 Service modellen van Cloud Computing ............................................................ 11

2.2.5 Delivery modellen van Cloud Computing ........................................................... 11

2.2.6 Vijf kenmerken van Cloud Computing ............................................................... 13

2.2.7 Verschillen Cloud Computing ten opzichte van hosting en ASP ............................. 14

2.3 De techniek virtualisatie ........................................................................................ 15

2.3.1 Definitie en aanbieders ................................................................................... 15

2.3.2 Complexe technieken van virtualisatie .............................................................. 16

2.3.3 Wat betekent virtualisatie voor de IT Auditor ..................................................... 18

2.4 Business model .................................................................................................... 19

2.4.1 Inleiding ....................................................................................................... 19

2.4.2 Verschillende partijen in de Cloud .................................................................... 19

2.4.3 Van kopen naar huren .................................................................................... 22

2.5 Wet en regelgeving ............................................................................................... 22

2.5.1 Nederlandse regelgeving ................................................................................. 22

2.5.2 Amerikaanse wetgeving .................................................................................. 23

2.6.6 Betekenis privacy wetgeving voor de IT Auditor ...................................................... 24

2.6 Overige risico‟s ..................................................................................................... 24

2.6.1 De invloed op de Cloud diensten van de afnemer is beperkt ................................ 24

2.6.2 Right to audit is randvoorwaarde ..................................................................... 24

2.6.3 Afhankelijkheid van de aanbieder (Vendor lock-in) ............................................. 24

2.6.4 Verschillende afnemers in dezelfde Cloud .......................................................... 24

2.6.5 Exitstrategie .................................................................................................. 25

2.7 Conclusie verschillen tussen Cloud Computing en traditionele IT oplossingen. .............. 26

3. Waaraan moeten assurance-opdrachten voldoen? ............................................................ 28

3.1 Inleiding .............................................................................................................. 28

3.2 Definitie en doelstelling van een assurance-opdracht ................................................. 28

3.3 Soorten assurance-opdrachten ............................................................................... 29

3.4 Type en vormen van assurance-opdrachten ............................................................. 30

3.4.1 Type assurance-opdrachten ............................................................................. 30

3.4.2 Audit domeinen ............................................................................................. 30

3.4.3 Vormen van assurance-opdrachten .................................................................. 31

3.4.4 Service Organization Control (SOC) Rapport ...................................................... 33

3.4.5 SOC 1........................................................................................................... 33

3.4.6 SOC 2........................................................................................................... 33

3.4.7 SOC 3........................................................................................................... 34

3.5 De vijf elementen van een assurance-opdracht ......................................................... 34

3.5.1 Drie partijen .................................................................................................. 34

3.5.2 Object van onderzoek ..................................................................................... 34

3.5.3 Toetsingsnormen ........................................................................................... 35

3.5.4 Geschikte informatie ...................................................................................... 35

3.5.5 Het assurance rapport .................................................................................... 36

3.6 Conclusie waaraan moeten assurance opdrachten voldoen en de invloed voor assurance

van Cloud Computing ...................................................................................................... 37

4. Instrumenten van de IT Auditor bij Cloud Computing opdrachten ...................................... 42

4.1 Inleiding .............................................................................................................. 42

4.2 Niet Cloud dienst specifieke standaarden ................................................................. 42

4.3 Cloud dienst specifieke standaarden ........................................................................ 43

4.4 Tools ................................................................................................................... 45

4.5 Externe deskundigen ............................................................................................. 46

4.6 Conclusie instrumenten van de IT Auditor bij Cloud Computing opdrachten .................. 46

5. Conclusie .................................................................................................................... 48

6. Literatuurlijst .............................................................................................................. 50

7. Bijlage ....................................................................................................................... 52

7.1 Bijlage 1 .............................................................................................................. 52

7.2 Bijlage 2 .............................................................................................................. 53

7.3 Bijlage 3 .............................................................................................................. 54

Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij

Pagina 6 van 54

Inleiding

1.1 Achtergrond

Hoe kan de IT Auditor in een wereld met toenemende virtualisatie en Cloud computing

assurance verstrekken? De IT Auditor verstrekt tot op heden diverse vormen van

zekerheid / assurance in een veelal nog traditionele1 IT wereld. De IT Auditor wordt in

twee rollen geconfronteerd met cloud computing:

als IT Auditor van gebruikers van cloud computing (al dan als onderdeel van een

audit team van een externe financial Auditor);

als IT Auditor van een aanbieder van cloud computing (die dan eventueel weer

gebruik maakt van onderaannemers).

Figuur 1 - Actoren model Assurance in de Cloud

In figuur 1 zijn vier betrokken partijen van een assurance-opdracht ten aanzien van een

Cloud dienst weergegeven. De Cloud afnemer betreft de afnemer van de Cloud dienst.

Vanuit deze partij komt de vraag naar zekerheid omtrent de geoutsourcete IT omgeving.

De Cloud service provider verstrekt een opdracht aan onafhankelijke derde partij, te

weten de External IT Auditor. De External IT Auditor zal onderzoek verrichten naar de IT

omgeving van de Cloud service provider, waarbij hij gebruik maakt waar mogelijk van de

werkzaamheden en bevindingen van de Internal IT Auditor. Onder de Cloud Service

Provider wordt de aanbieder van de Cloud dienst bedoelt inclusief eventuele

subcontracters (Housing, Iaas, Paas dienstverleners). Dit maakt de audit werkzaamheden

complex, een nadere toelichting wordt gegeven in paragraaf 2.4.2 verschillende partijen

1 Met traditionele IT omgeving worden IT omgevingen bedoeld die geen gebruik maken van virtualisatie of Cloud diensten.


Pagina 7 van 54

in de Cloud. Nadat de External IT Auditor het onderzoek heeft afgerond wordt een

rapport met een oordeel over de Cloud dienst van de Cloud Service Provider afgegeven

aan de Service Organisation. Deze verstrekt het assurance rapport aan de Cloud afnemer

en indien gewenst verstrekt de gebruikers organisatie het assurance rapport aan de user

auditor. De vraag is of de IT Auditor in een wereld met IT virtualisatie en cloud

computing, welke onzichtbaar zijn voor de gebruiker ook kan verstrekken en welke

middelen hij hierbij kan hanteren.

Vanuit het onderwerp Cloud Computing en Assurance is dan ook de volgende

onderzoeksvraag gedefinieerd:

1.2 Onderzoeksvraag

“Op welke wijze en met welke instrumenten kan de IT Auditor Assurance verstrekken in

een Cloud Computing omgeving?”

1.2.1 Subvragen

Om antwoord te kunnen geven op de hoofdvraag is de aanpak gekozen om de

hoofdvraag onder te verdelen in drie subvragen.

1. Wat zijn de verschillen tussen Cloud Computing en traditionele IT omgeving?

2. Waaraan moet een Assurance-opdracht voldoen?

3. Welke instrumenten heeft de IT Auditor tot zijn beschikking om Assurance te

verschaffen in een Cloud omgeving?

Deze subvragen, relevante deelaspecten en de aanpak zijn schematisch weergegeven in

figuur 2. Per subvraag wordt in paragraaf 1.3.1 t/m 1.3.3 een verkorte toelichting

gegeven en benoemd in welk hoofdstuk de onderwerpen worden behandeld. Dit alles

samengevat beschrijft de gehele aanpak van het onderzoek.

1.2.2 Scope van het referaat

Dit referaat richt zich op Assurance-opdrachten welke betrekking hebben op de Cloud

omgevingen waarbij Multi-tenancy (door meerdere partijen gedeelde infrastructurele

componenten) van toepassing is, dus de Public Cloud. De Private Cloud, Community

Cloud en Hybrid Cloud vallen derhalve buiten beschouwing. In paragraaf 2.2.4 worden de

verschillende service modellen van Cloud Computing toegelicht.

De onderzoeksvraag gaat in op de mogelijkheid voor een IT Auditor om Assurance te

geven ten aanzien van Cloud diensten. Daarom worden opdrachten welke een IT Auditor

kan uitvoeren ten aanzien van Cloud diensten waarbij geen Assurance wordt gegeven

buiten scope gelaten.

Het onderzoek heeft zich alleen gericht op de risico‟s, processen en beheersmaatregelen

bij de Cloud service provider. De beheersmaatregelen welke de Cloud afnemer dient te

treffen, ten einde voldoende controle te houden over zijn uitbestede systemen en

gegevens, zijn buiten scope.

Daarnaast gaat het onderzoek voornamelijk in op infrastructuur- en applicatie- Cloud

diensten. Het outsourcen van een geheel business proces (Business As A Service) is

eveneens buiten scope.


Pagina 8 van 54

1.3 Aanpak, indeling en structuur onderzoek

Het begin van het onderzoek heeft vooral betrekking gehad op het vinden van relevante

theorie. Door middel van een intensieve literatuurstudie is voldoende informatie

gevonden om een beeld te krijgen over de verschillende aspecten van Cloud Computing

en de vereisten van assurance-opdrachten. Tevens is gesproken met auditors, juristen en

zijn eigen ervaringen bij klanten meegenomen.

De drie subvragen zoals benoemd in paragraaf 1.2.1 zijn opgenomen in de

onderzoeksaanpak, waarbij per deelvraag relevante deelaspecten zijn gedefinieerd.

Vervolgens wordt per deelvraag een conclusie en samenvatting gegeven welke als input

dienen voor de eindconclusie.

Figuur 2: Schematisch onderzoeksaanpak

1.3.1 Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen?

In hoofdstuk 2 wordt de hoofdvraag „Wat is Cloud Computing?‟ beschreven. Hierbij zijn

sub onderwerpen vastgesteld die relevant zijn voor dit referaat. Om de verschillen van

Cloud computing ten opzichte van traditionele IT omgevingen inzichtelijk te maken wordt

in hoofdstuk 2 eerst de traditionele IT omgeving kort getypeerd. Daarna volgt een

verkenning van het begrip Cloud Computing. Vervolgens wordt de techniek van

virtualisatie behandeld. Deze techniek is elementair om Cloud diensten aan te kunnen

bieden. Het Business model in paragraaf 2.4 nader toegelicht waarbij de rollen die de

verschillende partijen binnen Cloud Computing spelen worden behandeld en in paragraaf

2.5 wordt in gegaan op weten regelgeving en juridische bedrijfsbelangen.

Tot slot zal antwoord gegeven worden op de vraag waarin Cloud Computing verschilt van

traditionele IT omgevingen.

Hoofdstuk 2

Hoofdstuk 3

Hoofdstuk 4 Hoofdstuk 5


Pagina 9 van 54

Op basis van de bovenstaande paragrafen, waarbij de aspecten van Cloud Computing

zijn beschreven, worden de elementaire verschillen ten opzichte van een “traditionele IT

omgeving” in paragraaf 2.7 weergegeven.

1.3.2 Waaraan moet een Assurance-opdracht voldoen?

In hoofdstuk 3 wordt de definitie en de vereisten van een Assurance-opdracht

beschreven. Bij het beschrijven van de definitie en de vereisten van een Assurance-

opdracht zijn de volgende paragrafen opgesteld:

Definitie en doelstelling van een Assurance-opdracht;

Soorten Assurance-opdrachten;

Type en soorten van Assurance-opdrachten;

De vijf elementen van een Assurance-opdracht;

Cloud Computing normenkaders.

Op basis van de vastgestelde vereisten en kenmerken van een Assurance-opdracht wordt

in paragraaf 2.7 de beschreven aspecten van Cloud Computing hiertegen afgezet, waarbij

vervolgens een conclusie wordt gegeven.

1.3.3 Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven

van Assurance binnen een Cloud omgeving

In hoofdstuk 4 worden de tools beschreven welke een IT Auditor tot zijn beschikking

heeft bij het geven van Assurance binnen een Cloud omgeving. De volgende

onderverdeling wordt behandeld;

Niet Cloud dienst specifieke standaarden

Cloud dienst specifieke standaarden

Tools

Externe deskundigen

Waarna een conclusie wordt gevormd over de middelen van de IT auditor bij Cloud

Computing opdrachten.

Na het beantwoorden van de drie subvragen wordt in hoofstuk 5 een mening gevormd

ten aanzien van de hoofdvraag ”Kan de IT Auditor zekerheid verschaffen in een Cloud

omgeving”.


Pagina 10 van 54

2. Wat zijn de verschillen tussen Cloud Computing en

traditionele IT oplossingen?

2.1 Inleiding

Bij het zoeken naar de definitie van Cloud Computing worden in artikelen verschillende

definities weergegeven. De aspecten van Cloud Computing die generiek wordt

beschreven in de verschillende artikelen zijn de service modellen, de delivery modellen

en de specifieke kenmerken van Cloud Computing. Hieronder zijn de verschillende

modellen en kenmerken van cloud computing schematisch weergegeven. Vervolgens

wordt in paragraaf 2.2 de onderdelen van figuur 3 toegelicht. Vervolgens worden in

paragraaf 2.3 t/m 2.6 andere belangrijke aspecten van cloud computing nader toegelicht.

Tot slot wordt in paragraaf 2.7 een conclusie gegeven op de eerste subvraag, wat de

verschillen tussen een traditionele IT omgeving en een cloud omgeving.

Figuur 3 - Cloud Computing

2.2 Wat is Cloud Computing?

2.2.1 Definitie traditionele IT oplossing (hosting / ASP omgeving)

De traditionele IT omgeving waarbij in dit referaat wordt uitgegaan is een omgeving

waarbij de IT omgeving in eigendom is van de eigen organisatie, intern beheerd wordt en

vooral IT diensten levert aan de eigen organisatie. Daarnaast zijn deze IT oplossingen

beperkt flexibel en schaalbaar omdat o.a. virtualisatie niet of beperkt wordt toegepast.

2.2.2 Definitie en essentiële aspecten van Cloud Computing

Bij het zoeken naar de definitie van Cloud Computing in artikelen worden veel

verschillende definities weergegeven. Onderstaande definitie bevat de verschillende

essentiële aspecten van Cloud Computing zoals weergegeven in figuur 3.


Pagina 11 van 54

2.2.3 Definitie Cloud Computing:

“Cloud Computing is een IT service model, gebaseerd op virtualisatie, waarbij de

diensten in de vorm van infrastructuur, data en applicaties via het internet worden

aangeboden als een gedistribueerde service via één of meerdere service providers. Deze

diensten worden door verschillende afnemers gedeeld, zijn eenvoudig schaalbaar en

wordt betaald per gebruikte eenheid.”

gebaseerd op: [Böhm10] en [NIST11]

De verschillende aspecten van deze definitie bevatten:

de verschillende service modellen van Cloud Computing die via internet worden

aangeboden;

de verschillende delivery modellen waarop diensten worden aangeboden;

de kenmerken van Cloud Computing (afhankelijk van het service model).

Hieronder worden deze onderwerpen verder toegelicht. Het aspect dat de service via één

of meerdere service providers wordt aangeboden wordt verder toegelicht bij het

hoofdstuk business model (paragraaf 2.4).

2.2.4 Service modellen van Cloud Computing

Er worden vier verschillende service modellen onderkend bij Cloud Computing [Soge10]:

Private cloud

Een private cloud is een cloud infrastructuur die uitsluitend wordt geëxploiteerd voor een

bepaalde organisatie. Een private cloud kan worden beheerd door de organisatie zelf of

door een derde partij, waarbij de organisatie zelf of de derde partijen de eigenaar van de

middelen kunnen zijn.

Community Cloud

Eén Cloud Infrastructuur wordt gedeeld door verschillende organisaties uit een specifieke

gemeenschap of met dezelfde belangen. Deze vorm heeft vergelijkbare eigenschappen

als een Private Cloud.

Public Cloud

De Cloud Infrastructuur is algemeen beschikbaar voor de hele wereld. Deze

infrastructuur is eigendom van de leverancier en de afnemers van de dienst zijn geen

eigenaar van de middelen.

Hybrid Cloud

Een hybride model, ontstaat zodra twee of meer van bovenstaande cloud infrastructuren

(private, community, public) worden gekoppeld.

De scheiding tussen de verschillende service modellen is niet altijd zo scherp als

hierboven beschreven en van sommige vormen, zoals private cloud, kan worden

afgevraagd of het nog wel een Cloud model is. Tegenwoordig als iets via internet wordt

aangeboden noemt men dit al snel Cloud. Daarom is het belangrijk om de verschillende

kenmerken duidelijk tegen de geboden diensten aan te houden om te bepalen of het wel

een Cloud dienst is.

2.2.5 Delivery modellen van Cloud Computing

Er zijn drie belangrijke delivery modellen [Böhm10] van Cloud Computing te onderscheiden.

Deze drie modellen, IAAS, PAAS en SAAS kunnen worden samengevat als de lagen van


Pagina 12 van 54

IT. Figuur 4 is onderverdeeld door middel van een stippellijn in twee segmenten. Aan de

linkerzijde wordt de samenhang weergegeven tussen de verschillende vormen van Cloud

Computing en de daarbij behorende componenten. Aan de rechterzijde is de mate van

invloed op de componenten weergegeven in relatie tot het delivery model. Hoe minder

invloed de afnemer heeft op de dienst, des temeer is de afnemer afhankelijk van de

Cloud dienst aanbieder.

Intrastructure as a Service (IaaS)

IaaS is een dienst waarbij IT-infrastructuurvoorzieningen gevirtualiseerd worden

aangeboden via het internet. De hardware laag die onder meer servers,

netwerkapparatuur en de storageapparatuur bevat, is eigendom van de service provider.

De afnemer geeft vaak zelf aan over hoeveel geheugen, processor capaciteit en

dataopslag hij wil beschikken en welk besturingssysteem hierop moet draaien.

Vervolgens wordt deze configuratie gevirtualiseerd aangeboden. Het opschalen van

recources is, doordat de recources gevirtualiseerd zijn, eenvoudig en meestal geheel

automatisch (zonder tussenkomst van de service provider) te realiseren.

Platform as a Service (PaaS)

PaaS is een dienst bovenop de infrastructuur laag waarbij via applicatiehosting

voorzieningen als platform wordt aangeboden via het internet. Als toevoeging op IaaS

worden zaken als databases, portals en Enterprise Service Bus (ESB) vooraf

geconfigureerd door de service provider. Vaak gebruiken de afnemers de PaaS diensten

voor ontwikkel en testwerkzaamheden. Tevens wordt PaaS toegepast voor Hybrid

omgevingen waarbij de afnemer over integratiefaciliteiten beschikt voor het koppelen van

een eigen omgeving aan de Cloud omgeving.

Software as a service (SaaS)

SaaS is een dienst waarbij applicatiefunctionaliteit wordt aangeboden via het internet.

Deze laag draait boven op de IAAS en PAAS laag. Deze lagen zijn niet altijd

ondergebracht bij één service provider. Het kan voorkomen dat de SaaS aanbieder

onderliggende lagen afneemt bij andere providers (bijvoorbeeld Amazon VPC).

De invloed van de afnemer zoals weergegeven in figuur 4, is bij Cloud Computing

diensten beperkt. De service provider investeert, levert de dienst, voert beheertaken uit

en ontwikkelt de dienst. De klant heeft bij de IaaS dienst meer invloed dan bij de SaaS

dienst, omdat de klant bij IaaS zelf verantwoordelijk is voor het beheren en ontwikkelen

van de applicaties.

Elke organisatie heeft zijn eigen definities van Cloud Computing en de scheiding van

IaaS, PaaS en SaaS delivery modellen. Wat bij het ene bedrijf wordt aangeboden als

IaaS dienst is bij het andere bedrijf al een PaaS dienst. Hierbij bestaat het risico dat

appels met peren worden vergeleken. Niet alleen voor de afnemers, maar ook voor de IT

Auditor is het van belang om de objecten van onderzoek duidelijk in beeld te krijgen en

vast te stellen uit welke onderdelen de definitie bestaat.


Pagina 13 van 54

Figuur 4 - Delivery model Cloud Computing gebaseerd op [CSAv2.1 09]

2.2.6 Vijf kenmerken van Cloud Computing

Afhankelijk van het service model zijn onderstaande vijf kenmerken in meer of mindere

mate van toepassing op Cloud Computing services. Bij het Public Cloud service model zijn

ze allen van toepassing. [Clou09]

Gebaseerd op diensten

De Cloud oplossingen worden als diensten geleverd (as a Service). Klant- en leverancier

zijn van elkaar gescheiden via een „service interface'. Die interface verbergt de

implementatiedetails en maakt een geautomatiseerde respons mogelijk.

Schaalbaar en elastisch

De capaciteit van de dienst kan op verzoek van de klant geautomatiseerd omhoog of

Figuur 5 - Schaalbaarheid Cloud Computing [Chun10]


Pagina 14 van 54

omlaag worden bijgesteld. Een Cloud Computing service is daardoor schaalbaar en

elastisch.

Schaalbaarheid:

Dit is een kenmerk van de onderliggende infrastructuur en softwareplatformen.

Doordat Cloud Computing als een dienst wordt geleverd kan onderscheid gemaakt

worden tussen functionaliteit en techniek. De klant ziet de functionaliteit en de

aanbieder bepaalt de techniek. Door deze scheiding is de aanbieder in staat om

standaardisatie verder door te voeren. De virtualisatie software zorgt ervoor dat

er eenvoudig virtuele hardware componenten aan de infrastructuur kunnen

worden toegevoegd, zodat de klant on-demand meer resources tot zijn

beschikking krijgt. Door het te delen met meerdere afnemers wordt de

overcapaciteit of tekorten met de gehele groep van afnemers gedeeld. De

verschillende tijdszones zorgen ervoor dat de kantoortijdpieken niet gelijk vallen.

Door de steeds grotere bandbreedtes kan de aanbiedlocatie steeds verder worden

gedeeld waardoor steeds meer afnemers wereldwijd gebruik kunnen maken van

Cloud Computing diensten.

Elasticiteit:

Dit is een kenmerk van het economische model: het betekent dat het er niet of

nauwelijks economische sancties staan op het veranderen van de hoeveelheid

capaciteit die wordt afgenomen.

Gedeeld met meerdere afnemers

Diensten delen een verzameling hard- en softwarebronnen voor meerdere afnemers. ICT

middelen kunnen daardoor efficiënt worden benut, waardoor Cloud diensten relatief

goedkoop kunnen worden aangeboden door Cloud providers. De hardware wordt bij elk

delivery model gedeeld. Bij PAAS en SAAS diensten wordt ook de middleware laag en

respectievelijk de applicatie gedeeld.

Betalen per gebruikseenheid

Het gebruik van de Cloud diensten wordt geautomatiseerd bijgehouden om verschillende

betalingsmodellen mogelijk te maken. Deze modellen zijn gebaseerd op gebruik in

termen van bijvoorbeeld tijdseenheden of datahoeveelheden, niet op de kosten van de

apparatuur.

Internettechnologie

De dienst wordt geleverd via breedband gebruik makend van internetformaten en -

protocollen, zoals http en IP. De Cloud diensten zijn niet gebonden aan een apparaat of

locatie. Bij sommige Cloud diensten wordt de dienst vanaf meerdere locaties (elke locatie

een deel van de service of roulerend) geleverd.

2.2.7 Verschillen Cloud Computing ten opzichte van hosting en ASP

Er kan een nuance worden aangebracht waarin Cloud diensten zich onderscheiden van

hosting en web applicaties (ASP). De invloed op en de controle over de IT omgeving

wordt sterk verminderd wanneer men kiest om dit in de cloud te plaatsen. Dit komt

voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van

hardware en/of software welke door meerdere klanten worden afgenomen. De security

instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft

hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op. Dit wordt

weergegeven in tabel 1 waarbij de kenmerken van Cloud computing afgezet worden

tegen de traditionele hosting en ASP omgeving. De invulling is op basis van generieke


Pagina 15 van 54

dienst eigenschappen. De verschillende oplossingen worden in de praktijk soms ook

anders aangeboden.

Bij de kolom “gedeeld” van tabel 1 wordt aangegeven dat de inrichting van de dienst

generiek is voor alle klanten. Bijvoorbeeld wanneer nieuwe ontwikkelingen

(functionaliteit, patches, etc.) worden doorgevoerd ten aanzien van een applicatie, die als

SaaS dienst wordt aangeboden, worden deze wijzigingen direct voor alle afnemers van

deze SaaS dienst in één keer doorgevoerd. Alleen de data en de inrichting van de

applicatie is gescheiden opgeslagen. Deze scheiding kan zijn aangebracht in verschillende

databases of in verschillende tabellen van de database.

2.3 De techniek virtualisatie

2.3.1 Definitie en aanbieders

Virtualisatie kent net als Cloud Computing vele definities. Een definitie van virtualisatie

is:

Virtualisatie is de simulatie van software en/of hardware waarop andere software draait.

[NIST11]

Door het toevoegen van deze extra laag kunnen meerdere virtuele systemen op één

fysiek systeem draaien. Hierdoor worden de genoemde eigenschappen van cloud

computing (multi-tenancy, schaalbaarheid) behaald. Daarom is virtualisatie de enabler

van cloud diensten.

De scheiding tussen operating system en onderliggende hardware laag betreft niet alleen

server virtualisatie maar ook onderstaande soorten van virtualisatie:

Soorten virtualisatie

Netwerk virtualisatie;

Applicatie virtualisatie;

Operating System virtualisatie;

Storage virtualisatie.

Binnen virtualisatie wordt onderscheid gemaakt tussen het host systeem waarop de

virtuele systemen komen te draaien en de gevirtualiseerde systemen zelf (de "guest").

LegendaGedeeld

Klant specifiek

Gedeeld / Multi-tenancy

soms

Locatie onafhankelijk

1 locatie

meerdere locaties

soms

Betalen per gebruikseenheid

ja

nee

soms

n.v.t.

IT component / laag

Gedeeld

Locatie

€ / g

ebru

ik

Gedeeld

Locatie

€ / g

ebru

ik

Gedeeld

Locatie

€ / g

ebru

ik

Applicatie

Middleware

Besturingssysteem

Virtuele infrastructuur

Fysieke

Hosting ASP Cloud

Tabel 1 - Cloud verschillen ten opzichte vant.o.v ASP en Hosting


Pagina 16 van 54

De bekendste aanbieders van virtualisatie producten zijn:

2.3.2 Complexe technieken van virtualisatie

Op basis van in figuur 6 weergegeven virtualisatie producten wordt hieronder van boven

naar beneneden kort de werking van virtualisatie producten van VMware toegelicht,

welke onder andere gebruikt worden om cloud diensten te kunnen aanbieden. Hieruit

blijkt de technische complexiteit elke direct impact heeft op de kennis van de IT Auditor.

Figuur 7 - VMware producten

Figuur 6 - VMware placed in the leaders quadrant of Gartner


Pagina 17 van 54

Gevirtualiseerd applicaties

Momenteel biedt VMware een omgeving aan waar software ontwikkelaars applicaties

kunnen ontwikkelen voor SaaS applicaties. Daarnaast worden er standaard

bedrijfsapplicaties aangeboden in samenwerking met bekende leveranciers waaronder:

Exchange, SQL, SharePoint, Oracle en SAP.

Vmware vShield Manager

Dit is een nieuwe dienst waarin VMware enkele beveiligingscomponenten virtualiseert en

de verschillende virtuele datacenter (vShere) segmenteert (Post groep isolation). De

gevirtualiseerde componenten bestaan onder andere uit Firewall, VPN, Load balancing.

Daarnaast biedt deze dienst functionaliteit om op de virtualisatie laag antivirus en anti-

malware diensten te draaien. Door ook de beveiligingscomponenten te virtualiseren

pretendeert VMware dat policy‟s en security rules van de verschillende Virtuele

omgevingen beter zijn te integreren en te monitoren.

VMware Center Suite

Deze dienst is de management laag van VMware vSphere waarin de verschillende virtuele

clusters kunnen worden ingericht (o.a. templates) en gemonitord. De diensten zoals

vMotion, HA, SRM, DRS, etc. worden hier ingericht en beheerd. Met VMware VMotion

kunnen virtuele machines zonder onderbreking verhuizen naar een andere ESX server.

Dit kan overigens niet over de datacenters heen. Met VMware HA worden bij uitval van

een ESX server alle virtuele machines die hierdoor geraakt worden automatisch weer

opgestart op een andere ESX server. Met VMware DRS worden de virtuele machines op

basis van de benodigde systeemresources automatisch verdeeld over de beschikbare ESX

systemen binnen een cluster en met VMware SRM kunnen virtuele machines verhuisd

worden naar een tweede datacenter. Hierbij wordt de onderliggende storage

meeverhuisd. Een andere dienst van VMware is de “VMware Compliance Checker for

vSphere” waarbij een overzicht wordt gegeven van de inrichting van policy en security.

VMware vSphere

Dit is de virtualisatie laag die de fysieke resources (computing, storage, network) virtueel

aanbiedt aan de bovenlaag. Door middel van VMcenter kunnen de daarbij beschreven

functionaliteiten c.q. diensten worden toegevoegd.

Fysieke laag

In de onderste laag van figuur 7 is de fysieke hardware symbolisch weergegeven.

Dienst voor de Cloud

Momenteel richt VMware zich ook op cloud inrichtingen, waarbij o.a. complete

omgevingen van private Cloud naar public Cloud omgevingen kunnen worden

getransporteerd. Daarnaast kunnen virtuele datacenters worden ingericht waarbij

verschillende levels van dienstverlening virtueel kan worden gesegmenteerd. Hierbij is

bijvoorbeeld de performance, security en policy‟s en beschikbaarheid per virtuele

datacenter ingericht.


Pagina 18 van 54

2.3.3 Wat betekent virtualisatie voor de IT Auditor

Uit bovenstaande beschreven diensten en producten van een gevirtualiseerde omgeving

blijkt duidelijk de complexiteit van deze techniek. Met een muisklik kunnen hele

omgevingen worden verplaatst, gekopieerd of verwijderd. Afhankelijk van de

beschikbaarheid van de recources worden automatisch servers verplaatst van het ene

naar het andere cluster of van het ene datacenter naar het andere datacenter.

Vragen als:

waar staat mijn data;

waar wordt mijn data uitgevoerd;

wie kunnen bij mijn data?

worden moeilijke vragen om te beantwoorden, zowel voor de IT Auditor als voor de

beheer partijen. Google kiest er bijvoorbeeld bewust voor om met klanten geen

afspraken te maken over de locatie van de data. De data wordt meerdere malen op

verschillende plaatsen wereldwijd opgeslagen en op basis van de beschikbare capaciteit

wordt de data vanuit een bepaalde plek (land, datacenter) aangeboden.

Een onder meer technisch fenomeen, is de toewijzing van geheugen aan de diverse guest

OS's. Die toewijzing moet er overigens niet toe leiden dat data van de ene guest door

een andere guest kunnen worden gelezen als gevolg van het delen van

geheugenadressen zoals genoemd door Michael Hoesing [HOES06].

De genoemde diensten van VMware om inzage te krijgen in compliance van

beveiligingsbeleid en de beschikbaarheid en monitoring functies van alle virtuele

platvormen zijn goede ontwikkelingen. Daarnaast komen steeds meer virtuele platformen

(servers en componenten) beschikbaar op basis van best practices. Echter door gebruik

te maken van voorgeïnstalleerde VM‟s om nieuwe klantomgevingen in te richten bestaat

het risico dat „exploits‟ direct op alle omgevingen binnen de Cloud omgeving effect

hebben. Dit kan onder andere tot gevolg hebben dat systemen van alle klanten niet meer

beschikbaar zijn of dat ongeautoriseerde toegang verkregen kan worden tot de data van

alle klanten.

Door de toenemende complexiteit bestaat steeds meer de behoefte assurance te krijgen

over de data in de Cloud. Voor de IT Auditor betekent virtualisatie een samensmelting

van de verschillende audit domeinen (tabel 3) en een complexe techniek welke

specialisme vergt van virtualisatie. Door de snel veranderende technieken en

omgevingen zal de verstandige opdrachtgever de IT Auditor vaker vragen om zich te

richten op het vaststellen van het CMM level (Capability Maturity Model) van de IT

organisatie (aanbieder dienst) en de beheersprocessen meer geënt op de virtuele laag

dan op de “point in time situatie.” Het vaststellen of de omgeving gedurende een

bepaalde periode heeft voldaan aan de gestelde normen is immers lastiger te bepalen

omdat de IT omgeving met virtualisatie zeer dynamisch is ingericht.

Belangrijk voor de IT Auditor is om de IT omgeving van zowel fysieke als virtuele

objecten goed inzichtelijk te hebben. Voor de virtuele objecten geldt dat de IT Auditor

over voldoende kennis binnen zijn team moet beschikken of deskundige moet betrekken.

Welke objecten van onderzoek binnen de opdracht vallen kan bijvoorbeeld worden

bepaald met een risico analyse (ISO 27005). Vervolgens kan opzet en bestaan worden

onderzocht tegen het te toetsen normenkader, dit eventueel in combinatie van het

onderzochte CMM level van de aanbieder geeft de beoogde gebruiker meer zekerheid ook

naar de toekomst, iets wat IT Auditors momenteel nog niet doen.


Pagina 19 van 54

2.4 Business model

2.4.1 Inleiding

Cloud computing kan dus worden beschouwd als een verdere doorontwikkeling van een

reeks van vele reeds bestaande en goed onderzochte concepten zoals Grid computing,

virtualisatie of Application Service Provider (ASP). Hoewel, veel van de concepten niet

nieuw lijken te zijn, ligt de echte innovatie van cloud computing in de manier waarop het

diensten levert aan de klant. Verschillende bedrijfsmodellen zijn geëvolueerd in de

afgelopen tijd om op verschillende abstractie niveaus diensten te verlenen. Deze diensten

omvatten softwaretoepassingen, programmeerplatforms, data-opslag of computing

infrastructuurdiensten.

„Het business model bepaalt wat Cloud Computing is niet de techniek‟

Het is niet ondenkbaar dat op termijn het verschil voor de afnemer in opslag,

rekencapaciteit, connectiviteit en software verdwijnt. De ultieme vorm is dat een afnemer

betaalt voor de hoeveelheid gebruik (ICT, inclusief hardware, software, diensten, etc.).

De klant wordt afgerekend op daadwerkelijk gebruik, zoals een ieder afrekent met de

watermaatschappij of de energiemaatschappij. De klant betaalt een voorschot en aan het

einde van het jaar volgt de eindafrekening. ICT zoals het gebruik van water en elektra

ofwel de liberalisatie van IT [ACCO10]

Het business model bestaat uit een aantal aspecten waarbij in dit referaat wordt

ingegaan op de verschillende partijen van Cloud Computing, de verschuiving van kopen

naar huren, de invloed van de afnemer op de dienst, weten regelgeving en de risico‟s

voortkomend uit het business model. Tot slot worden de verschillen ten opzichte van

traditionele IT omgeving uiteengezet.

2.4.2 Verschillende partijen in de Cloud

In de traditionele IT outsourcing had de afnemer meestal te maken met één provider die

de hosting dienst of ASP dienst aanbood. Bij het Cloud Computing model is het een

netwerk van verschillende service providers geworden waarbij de afnemer direct of

indirect diensten afneemt.

Figuur 8 - bron [BOHM10]

Naast de partijen die in figuur 8 worden getoond zijn er meer partijen die in het Cloud

Computing model kunnen worden onderkend. In onderstaande tabel worden de

verschillende partijen weergegeven.


Pagina 20 van 54

De afstemming tussen de actoren in de keten, de communicatie en de kennisoverdracht

behoeven hierbij veel meer aandacht.

In figuur 9 wordt een voorbeeld gegeven van meerdere partijen in de Cloud. De

aggregator voegt twee diensten van aanbieder A en één dienst van aanbieder C samen

tot één dienst. Aanbieder C neemt vervolgens weer diensten af voor aanbieder B. Daarbij

kunnen alle aanbieders in verschillende landen zijn gevestigd en zaken zoals back-up

omgevingen weer ergens anders hebben ondergebracht. Indien een IT Auditor assurance

moet geven over bijvoorbeeld de vertrouwelijkheid van de gegevens aan de klanten van

aanbieder D kan dit tot gevolg hebben dat alle partijen in scope zijn.

Tabel 2 - Partijen in de Cloud gebaseerd op [BOHM10 2]

Figuur 9 - verschillende partijen in de Cloud (bijlage 3)


Pagina 21 van 54

Door de complexiteit zoals weergegeven in dit voorbeeld vormen de volgende elementen

aandachtspunten voor de IT Auditor bij het uitvoeren van een assurance-opdracht binnen

een dergelijke omgeving:

Service Level Agreements (SLA) moeten op elkaar aansluiten (Sub contractors);

Informatiebeveiliging van verschillende partijen moet consistent zijn en op elkaar

zijn afgestemd (toegangsbeheer, policy‟s);

Verschillende landen met verschillende weten regelgeving;

Opdracht kan qua omvang zeer groot worden waardoor deze mogelijk niet meer

economisch rendabel is;

Bij de verschillende providers moet the „right to audit‟ door zelf onderzoek uit te

mogen voeren zijn overeengekomen;

Indien reeds verklaringen beschikbaar zijn bij verschillende aanbieders moeten

deze volgens dezelfde standaarden zijn uitgevoerd of de een moet de ander qua

scope afdekken;

Afgesproken moet worden welke medewerkers van de verschillende providers

toegang hebben tot de klantdata;

Scheiding in of afstemming van taken en verantwoordelijkheden van de

verschillende dienstverleners.

Generiek kan gesteld worden dat de afstemming tussen de actoren in de keten, de

communicatie en de kennisoverdracht hierbij veel meer aandacht behoeven, met

volstrekte duidelijkheid over “RACI” aspecten. (Responsible, Accountable, Consulted,

Informed)

Bijzonder punt van aandacht vormt de scope en interpretatie van reeds afgegeven

verklaringen, zoals bijvoorbeeld een ISAE 3000 heeft natuurlijk betrekking op een

standaard verklaring. Maar ook als gevolg van het uitvoeren van een dergelijke audit

opdracht door IT Auditors van verschillende landen kunnen verschillen ontstaan. De CISA

zal een opdracht mogelijk anders uitvoeren dan een Nederlandse IT Auditor. Verschillen

in opleiding en wijze van aanpak kunnen zich voordoen. Waarbij in aanmerking dient te

worden genomen of een opdracht Risk based (NL) of rule based (US) is uitgevoerd. In

andere landen verschillen de standaarden waarschijnlijk nog meer.

Figuur 10 -land specifieke standaarden - [KPMG10]


Pagina 22 van 54

Figuur 11- bron:[COMP10]

2.4.3 Van kopen naar huren

Bij het afnemen van Cloud Computing diensten verschuiven de ICT kosten van kopen

naar huren. Waar de klant organisatie eerst moest investeren in faciliteiten (housing),

hardware, software, licenties, opleidingen, etc. worden deze kosten nu als verbruik per

eenheid doorberekend. Hierbij kan bijvoorbeeld betaald worden voor de verbruikte

recources (CPU, storage, netwerkbandbreedte) of per ingelogde gebruiker.

Dit brengt voor de klantorganisatie natuurlijk voordelen zoals:

Geen initiële aanschaf kosten;

Geen overcapaciteit of onder capaciteit dus allen betalen voor de benodigde ICT

(zie figuur 5);

Geen eigen beheerders met steeds meer specialistische kennis;

Meeliften op ontwikkelingen van alle afnemers;

Geen aanschaf en bijhouden van licenties;

Veel specialistische kennis door schaalvoordeel en standaardisatie;

Hoge standaardisatie op basis van best practices.

Maar de diensten van Cloud Computing hebben ook weer nadelen:

De invloed (change, security) op de Cloud diensten is beperkt;

Afhankelijkheid van de aanbieder (Vendor lock-out);

Verschillende afnemers in dezelfde Cloud;

Roerige markt met nieuwe aanbieders;

Verschillende weten regelgeving.

Het punt weten regelgeving wordt in onderstaande paragraaf verder behandeld. De rest

van bovenstaande punten worden in paragraaf 2.6 verder toegelicht.

2.5 Wet en regelgeving

Als klantorganisatie blijf je zelf volledig verantwoordelijk om aan alle wettelijke

bepalingen, die de wetgever oplegt, te voldoen. De IT kan worden geoutsourced in de

Cloud, maar de verantwoordelijkheid hierover niet.

Binnen Nederland zijn een aantal wetten van toepassing met betrekking tot ICT.

Hieronder volgt een kort overzicht.

2.5.1 Nederlandse regelgeving

Nederlandse grondwet

Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan

regels gebonden is als het gaat om het vastleggen en verstrekken van

persoonsgegevens.

Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel het

briefgeheim is in alle gevallen onschendbaar alsook het telefoon- en telegraafgeheim.

Wet bescherming persoonsgegevens

De wet bescherming persoonsgegevens gebaseerd op richtlijn 95/46/EG heeft als doel


Pagina 23 van 54

het beschermen van persoonsgegevens welke geregistreerd worden (privacy wetgeving).

Het CBP is het Europees toeziend orgaan op de uitvoering van deze wetgeving.

Auteurswet

De Auteurswet bevat artikelen over het auteursrecht.

Telecommunicatiewet

De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger

betreffende elke vorm van digitale communicatie.

Wet Computercriminaliteit

Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer

gepleegd worden waarbij het gebruik van ICT moet een wezenlijke rol spelen bij het

misdrijf.

Wet elektronische handtekeningen

De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik

meer hoeft te maken van papier.

Voor de meeste van bovenstaande wetten geldt dat deze alleen in Nederland van kracht

zijn. De wetgeving bijvoorbeeld met betrekking tot elektronische handtekening is binnen

Europa nog niet volledig op elkaar afgestemd. Alleen de wet met betrekking tot de

Privacy richtlijn is in Europees verband vastgesteld. De Europese Unie heeft sinds oktober

1998 een Privacy richtlijn die het exporteren van persoonsgegevens naar landen buiten

de EU verbiedt, tenzij het land in kwestie een minstens even strenge privacy wetgeving

kent.

2.5.2 Amerikaanse wetgeving

Dat de Europese privacy wetgeving zeer streng is blijkt wel uit het feit dat zelfs de VS niet aan de

eisen van de EU voldoet. Dit heeft onder andere te maken met de Amerikaanse Patriot Act,

ingevoerd na de aanslagen van 11 september. Deze Patriot Act geeft de Amerikaanse overheid

vergaande bevoegdheden als het gaat om toegang tot elektronisch opgeslagen data.

De afspraken met de leveranciers van Cloud diensten moeten dan ook op individuele basis worden

gemaakt tussen afnemer en aanbieder. Door de keten van diensten in de Cloud is dit niet altijd even

eenvoudig.

Er worden een aantal zaken aangegeven waarop de afnemer van Cloud diensten kan

letten.

Allereerst is er de Safe Harbor Certificering (SHC). Dit raamwerk is ontwikkeld door het

US Department of Commerce om de verschillen in privacy wetgeving tussen de EU en de

VS te overbruggen, en is in 2000 goedgekeurd door de EU.

Afspraken locatie datacenter

Daarnaast kan bij sommige aanbieders van cloud computing diensten waaronder

Microsoft en Amazon, bepaalt worden in welke regio (Europa, Azië, Noord Amerika) de

applicaties en gegevens van de afnemer worden gehost. Dit is nog geen absolute

zekerheid in juridische zin.

Ketenafspraken

Tenslotte kan de afnemer een contract sluiten met een cloud computing provider, waarbij

de afspraken die met de Cloud dienst leverancier gemaakt wordt ook door hen

contractueel kunnen worden afgedwongen bij leveranciers verderop in de keten.


Pagina 24 van 54

Dataownership

Naast de Privacy wetgeving zullen door de afnemer ook afspraken gemaakt moeten

worden over het eigendom van data en op welke wijze deze data bij een geschil

aangeleverd worden. De naleving van deze afspraken is natuurlijk sterk afhankelijk van

het specifieke land waar de Cloud dienst leverancier gevestigd is. Wat legaal is in het ene

land is mogelijk verboden in het andere land.

2.6.6 Betekenis privacy wetgeving voor de IT Auditor

Kortom betekent dit voor de IT Auditor dat met name voor het kwaliteitsaspect

vertrouwelijkheid de wetgeving voor privacy alleen binnen Europa geregeld is en op basis

van SHC certificering de US hieraan ook voldoet. Met de overige landen zullen individuele

afspraken moeten worden beoordeeld, hierbij zou de IT Auditor een deskundige moeten

inschakelen.

2.6 Overige risico’s

2.6.1 De invloed op de Cloud diensten van de afnemer is beperkt

Doordat Cloud diensten voor een groot aantal afnemers worden ingericht zijn de klant

specifieke inrichtingseisen beperkt. Hierbij kunnen wensen ten aanzien van

toegangsbeheer en policy‟s mogelijk niet conform intern geldende beveiligingseisen bij de

service provider worden ingericht. Wijzigingen die worden doorgevoerd ten aanzien van

IaaS, PaaS of SaaS diensten gelden vrijwel altijd voor alle afnemers. Dus bijvoorbeeld de

invloed op het changemanagement proces is beperkt. Daarnaast wordt voor de keten van

aanbieders identiteitsmanagement (IDM) steeds belangrijker. Single sign on is niet altijd

te realiseren, losstaand van de verschillende informatiebeveiligingsstandaarden van de

verschillende partijen in de keten.

2.6.2 Right to audit is randvoorwaarde

Bij het uitvoeren van een assurance-opdracht waarbij meerdere partijen betrokken zijn

moet het “Right to audit” mogelijk zijn.

2.6.3 Afhankelijkheid van de aanbieder (Vendor lock-in)

Indien de afnemer eenmaal de (strategische) keuze heeft gemaakt voor Cloud Computing

diensten, wordt de afhankelijkheid van de Cloud dienst leverancier erg groot. Een goede

exit migratie strategie moet daarom vooraf worden opgesteld en vervolgens moet deze

periodiek worden herzien. Enkele aandachtspunten hierbij zijn:

welke data, gegevens, informatie kunnen worden meegenomen (contractuele

afspraken) en wat kan de afnemer zelfstandig met deze gegevens. Voornamelijk

bij SaaS diensten kan de inrichting erg specifiek zijn;

“Backsourcing” is erg moeilijk omdat de middelen maar vooral de kennis en

bemensing niet meer aanwezig is.

2.6.4 Verschillende afnemers in dezelfde Cloud

Een Cloud dienst leverancier kan meerdere diensten aanbieden (IaaS, SaaS), daarbij is

meestal het aantal afnemers omvangrijk. Door het groot aantal (wisselende) afnemers is

de baseline voor de informatiebeveiliging lastig vast te stellen door de klant. De klant

weet namelijk niet wie er in de Cloud zitten. Hieronder twee voorbeelden van afnemers

bij een Cloud leverancier:

a) 1000 handelsondernemingen van middelgrote omvang;


Pagina 25 van 54

b) 900 handelsondernemingen van middelgrote omvang en de staatsloterij of een

bank.

Het risico profiel van Cloud omgeving a is natuurlijk heel anders dan van omgeving b.

Daarnaast loopt een organisatie door de omvang van de Cloud omgeving (centralisatie

van data) standaard al meer risico om doelwit te worden van aanvallen (virus, hacking,

etc.) dan dat de klant de omgeving in eigen beheer heeft.

Voor het uitvoeren van een audit zal dit risico van verschillende afnemers in dezelfde

Cloud een belangrijke factor zijn om te bepalen wat de minimale baseline van de audit

opdracht zal moeten zijn. Daarnaast zal de SLA belangrijke input geven aan welke

voorwaarden voldaan moet worden door de aanbieder.

2.6.5 Exitstrategie

Door het meeliften van ontwikkelingen van Cloud Computing diensten zal het risico van

een vendor lock-in groter worden dan bij de huidige vormen van hosting. Het opstellen

van een migratiestrategie vanuit de Cloud naar een andere omgeving, ofwel backsourcing

ofwel naar een andere Coud omgeving, is derhalve een elementair onderdeel van de

afweging door de beoogde gebruiker voordat een Cloud dienst afgenomen wordt. Het

eenduidig vastleggen van deze opgestelde exit strategie en de maatregelen doorvoeren

in de SLA welke met de cloud provider wordt overeengekomen is daarna de volgende

uitdaging.


Pagina 26 van 54

2.7 Conclusie verschillen tussen Cloud Computing en traditionele

IT oplossingen.

Op basis van de voorgaande paragrafen wordt hieronder per onderdeel een conclusie

weergegeven waarin de traditionele IT omgeving verschilt van de cloud omgeving. Dit

alles wordt overzichtelijk weergegeven en samengevat in tabel 3.

Kenmerken cloud

Een groot verschil zit in het dynamische karakter van de Cloud ICT omgeving door middel

van virtualisatie. Dit brengt de grote voordelen van schaalbaarheid en beschikbaarheid

met zich mee. Echter deze dynamische kant van Cloud Computing heeft ook nadelen. Dit

kunnen nadelen zijn zoals de vermindering van invloed op de IT omgeving. Dit komt

voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van

hardware en/of software welke door meerdere klanten worden afgenomen. De security

instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft

hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op.

Business model cloud

In de traditionele omgevingen heeft de klant contacten en contracten met een aantal

partijen ten aanzien van de ondersteuning van haar IT omgeving. Ten aanzien van cloud

diensten zijn de betrokken partijen minder inzichtelijk voor de cloud afnemer. Om

zekerheid te krijgen over de cloud dienst zal de klant maar ook de IT Auditor zich bewust

moeten zijn van de verschillende partijen en gecombineerde delivery en service modellen

van Cloud Computing. Bij het geven van assurance zal de scope van het onderzoek een

belangrijk element spelen. Naast het feit dat de scope meerdere aanbieders (keten) kan

betreffen zal door de vergaande technische complexiteit (virtualisatie) en de schaalgrote

van de Cloud Computing aanbieders de omvang van de IT audit onderzoeken beduidend

toenemen. Dit kan tot gevolg hebben dat IT assurance-opdrachten mogelijk economisch

niet meer rendabel zijn. Goede communicatie over de complexiteit van de opdracht,

waaronder de scope met de daarbij behorende objecten van onderzoek, naar

opdrachtgever en aanbieders van de Cloud Computing diensten spelen hierbij een

belangrijke rol.

Virtualisatie

Door de techniek van virtualisatie, wat de enabler is van cloud diensten, wordt de

controleerbaarheid van de IT omgeving in de Cloud een stuk lastiger. Dit komt onder

andere omdat hele IT omgevingen (server, opslag, netwerk) door middel van één

muisklik verplaatst kunnen worden naar een ander datacenter in een ander land.

Daarnaast kan op eenvoudige wijze de IT omgeving worden gekopieerd waarbij het lastig

is om vast te stellen welke omgeving de juiste is. Daarnaast staan meerdere

klantomgevingen in het data centrum en zijn door middel van virtualisatie van elkaar

gescheiden. Deze omgevingen kunnen elkaar beïnvloeden of klanten kunnen elkaars data

benaderen indien de scheiding niet goed is ingericht. Tevens is het risicoprofiel lastig vast

te stellen omdat de klanten individueel verschillende risicoprofielen hebben. (bijv.

handelsondernemer en staatsloterij). Dit is echter wel bepalend voor het

informatiebeveiligingsbeleid van de Cloud provider. Kortom virtualisatie vergt

specialistische kennis voor beheerders en IT Auditors.


Pagina 27 van 54

Impact wet en regelgeving

Daar waar in een traditionele IT omgeving de klant volledige controle heeft over waar de

data wordt verwerkt zal met het oog op weten regelgeving contractuele afspraken

gemaakt moeten worden voor cloud diensten. Hierbij zal worden moeten worden

vastgelegd waar de data wordt verwerkt, opgeslagen en geback-upt. Daarnaast is de

privacy wetgeving alleen binnen Europa en US (SHC) eenduidig vastgelegd. De IT Auditor

zal door een deskundige moeten laten beoordelen of de contractuele afspraken

voldoende zekerheid bieden van de afgenomen Cloud diensten in de keten. De privacy en

het data eigendomsrecht van de klant is per land anders geregeld. Dit geldt met name

als de data centra voor de Cloud Computing diensten buiten Europa zijn gevestigd. De

standaarden voor privacywetgeving is onder de juristen een hot item maar een

eenduidige oplossing laat nog wel even op zich wachten.

Vraag Traditioneel Cloud

Kenmerken Cloud

IT omgeving schaalbaar en elastisch? nee ja

Betalen per gebruikseenheid? nee ja

Gebruik internettechnologie? beperkt ja

Business model cloud

Aantal parti jen voor 1 dienst? 1 mogel i jk 4

Ris ico profiel bekend? ja dynamisch

Aanschafkosten? eenmal ig nee

Insta l latie kosten? eenmal ig ja

Beheerkosten? ja nee

Invloed operationeel beheer? ja nee

Audit s tandaard? (ui tvoering en verklaring) ja nee (land afhankel i jk)

Virtualisatie

Eenvoudige handel ingen vergaande gevolgen? nee ja

Standaard datalocatie? ja nee

Meerdere parti jen bi j data? (service providers , externe beheerparti jen) nee ja

Scheiding data van andere klanten? fys iek fi rewal l vi rtueel

Snel veranderende IT omgeving? nee ja

Objecten van onderzoek assurance statisch dynamisch

Wet en regelgeving

Nederlandse wet en regelgeving? jamogel i jk meerdere

landen

Standaarden reeds opgesteld? ja nee

Tabel 3 - traditionele IT omgeving versus Cloud Computing omgeving


Pagina 28 van 54

3. Waaraan moeten assurance-opdrachten voldoen?

3.1 Inleiding

Om vast te kunnen stellen of een IT Auditor assurance kan geven in Cloud Computing

omgevingen moet worden vastgesteld waaraan assurance-opdrachten moeten voldoen.

In dit hoofdstuk wordt op basis van de door de NOREA opgesteld raamwerk “Raamwerk

voor assurance-opdrachten door IT-Auditors” [ASSU07] en in het EDP handboek van Kluwer

vastgelegde hoofdstuk “Assurance services” [EDPH08] een uiteenzetting gegeven van de

belangrijkste elementen waaraan een assurance-opdracht moet voldoen.

Met het raamwerk voor assurance-opdrachten conformeren IT-Auditors zich aan het

„International Framework for Assurance Engagements' van de IFAC (International

Federation of Accountants). Dit wordt ook onderstreept met het IFAC-lidmaatschap dat

onlangs aan de NOREA is verleend. [NORE08]

IT-Auditors die assurance-opdrachten uitvoeren zijn behalve aan dit Raamwerk en

Richtlijnen voor Assurance-opdrachten ook gebonden aan het Reglement Gedragscode

voor IT-Auditors („Code of Ethics') waarin onderstaande fundamentele ethische

uitgangspunten voor IT-Auditors zijn vastgelegd.

Integriteit: duidelijk en eerlijk zijn in alle beroepsmatige en zakelijke relaties;

Objectiviteit: geen beïnvloeding door vooroordelen, belangenverstrengeling of

bovenmatige invloed van anderen bij de professionele en zakelijke

oordeelsvorming, ofwel onafhankelijkheid;

Deskundigheid en zorgvuldigheid: het op peil houden van vakkennis door middel

van actuele ontwikkelingen in de praktijk, de wetgeving en de vaktechniek;

Geheimhouding: het betrachten van geheimhouding ten aanzien van informatie

die voortvloeit uit beroeps -matige en zakelijke relaties;

Professioneel gedrag: naleven van relevante weten regelgeving en zich

onthouden van handelingen die het beroep in diskrediet brengen.[RFIJ06]

3.2 Definitie en doelstelling van een assurance-opdracht

Een "assurance-opdracht" is een opdracht waarbij een IT-Auditor een conclusie

formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de

verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het

object van onderzoek ten opzichte van de toetsingsnormen, te versterken.

Daarnaast moet een assurance-opdracht onder andere voldoen aan onderstaande

criteria:

er zijn drie partijen (verschaffer van informatie, assurance provider en gebruiker);

er is een geschikt object van onderzoek;

er zijn criteria waaraan het object getoetst kan worden;

er is voldoende en geschikte informatie beschikbaar;

er wordt een schriftelijk assurance rapport opgeleverd.

Bovenstaande vijf elementen van een assurance-opdracht worden verderop in dit

hoofdstuk nader toegelicht.


Pagina 29 van 54

3.3 Soorten assurance-opdrachten

Op grond van het raamwerk voor assurance-opdrachten mogen twee soorten van

assurance-opdrachten door een IT-Auditor worden uitgevoerd:

1. de assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid.

De doelstelling van een assurance-opdracht tot het verkrijgen van een redelijke

mate van zekerheid is het reduceren van het opdrachtrisico tot een aanvaardbaar

laag niveau rekening houdend met de omstandigheden van de opdracht als basis

voor een positief geformuleerde conclusie van de IT-Auditor;

2. de assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid.

De doelstelling van een assurance-opdracht tot het verkrijgen van een beperkte

mate van zekerheid is het reduceren van het opdrachtrisico tot een niveau dat

aanvaardbaar is rekening houdend met de omstandigheden van de opdracht,

maar waarbij het risico groter is dan voor een opdracht tot het verkrijgen van een

redelijke mate van zekerheid, als basis voor een negatief geformuleerde conclusie

van de IT-Auditor.

Assurance-opdrachten kunnen op twee verschillende manieren, afhankelijk van de type

opdracht, worden uitgevoerd als een „assertion based-opdracht' of als een „direct

reporting-opdracht'. In figuur 12 wordt de soorten en uitvoeringen schematisch

weergegeven.

Figuur 12 - Soorten assurance-opdrachten


Pagina 30 van 54

3.4 Type en vormen van assurance-opdrachten

3.4.1 Type assurance-opdrachten

Aan de NOREA-brochure 'IT-assure, Zekerheid over uw IT' [ITAS08] kan worden ontleend

dat IT-Auditors de volgende type van IT-assurance-opdrachten onderkennen:

Outsourcing assurance;

Project assurance;

IT-organisatie assurance;

Applicatie assurance;

IT Due Diligence;

Privacy assurance;

Web assurance;

Revenue assurance;

Licentie assurance.

In het algemeen vallen de door de NOREA onderkende soorten van IT-assurance

onderzoeken onder assurance-opdrachten ten behoeve van systemen en processen.

3.4.2 Audit domeinen

Daarnaast worden door de NOREA [NORE98] zes auditdomeinen gehanteerd zoals

weergegeven in onderstaande tabel 4:


Pagina 31 van 54

Domeinen Onderwerp Objecten van onderzoek

Informatie-

strategie

Doelstellingen, uitgangspunten en

randvoorwaarden voor het omgaan van

informatie voorziening

Beleidvormingsprocessen, het beleid,

informatieplan en informatiearchitectuur

Informatie

management en

IT-management

Voorwaarden voor ontwikkeling, beheer,

gebruik van geautomatiseerde systemen,

alsmede de besturing van deze processen,

zodat getoetst kan worden door

management of aan de informatie strategie

wordt voldaan.

Planning, organisatie, budgettering,

bemanning, het besluitvormingsproces,

coördinatie, rapportage, innovatie,

communicatie, controle, besturing,

motivaties en kennisvergaring.

Informatie-

systemen

Geautomatiseerde processen die primair

ontworpen zijn om de mens te voorzien van

gegevens en de organisatie en hulpmiddelen

die dienen voor het ontwikkelen en gebruik

van informatiesystemen.

Applicaties, ontwikkelorganisaties,

projectorganisatie, kwaliteitsfunctie,

planning en control, project management,

technische beheer, versiebeheer,

distributie, tools, applicatie-architectuur,

databases, operationeel gebruik en

functioneel beheer.

Technische-

systemen

Systemen die deel uit maken van de IT-

infrastructuur en ontworpen zijn om

geïmplementeerd te worden in hardware en

systeemprogrammatuur met het doel de

hardware en systeemprogrammatuur aan te

sturen. Zoals hardware, besturingssystemen,

systemen voor acces control, netwerken,

database management systemen etc.

De systemen zelf, ontwikkelorganisatie,

onderhoudsorganisatie kwaliteitscontrole

van technisch beheer en ook

beheersprocessen zoals

configuratiebeheer, versiebeheer,

capaciteitsbeheer, probleembeheer,

beveiligingsbeheer etc.

Proces-

systemen

Systemen die ontworpen zijn om elektrische

interfaces aan te sturen en daarmee

apparaten zoals robots. Tevens horen tot

dit domein alle organisaties met een

primaire verantwoordelijkheid van deze

systemen.

ontwikkelorganisatie,

onderhoudsorganisatie, kwaliteitscontrole

van technisch beheer en ook

beheersprocessen zoals

configuratiebeheer, versiebeheer,

capaciteitsbeheer, probleembeheer, etc.

Operationele

automatiserings

ondersteuning

activiteiten van organisaties gericht op het

beheren en beschikbaar houden van de IT

infrastructuur en de onder beheer zijnde

processen conform de overeengekomen

Service Level Agreements alsook de

administratie hiervan. De operationele

werkzaamheden bestaan uit installatie,

beheer en onderhoud van

automatiseringsmiddelen inclusief de

geleverde programma's.

Operationeel beheer, interne controle,

beveiliging, autorisatie, risicomanagement,

en de overige beheersprocessen.

3.4.3 Vormen van assurance-opdrachten

De vormen van IT assurance-opdrachten die op bovenstaande domeinen van toepassing

kunnen zijn is een ISAE 3000 opdracht, certificeringen tegen ISO 27001, in bepaalde

gevallen een accountantscontrole volgens COS 800 of een ISAE3402/SSAE 16 verklaring

welke de opvolger is van de SAS 70 verklaring.

Tabel 4 -De zes audit domeinen


Pagina 32 van 54

De ISAE 3402 standaard is primair bedoeld voor processen die relevant zijn voor de

financiële verantwoording. Assurance over niet financiële onderdelen zoals continuïteit

van de uitvoeringsorganisatie, de accuraatheid van de informatiestromen tussen

uitvoerder en opdrachtgever en de vertrouwelijke omgang met data kunnen beter

worden uitgevoerd volgens de ISAE 3000 standaard.

De ISAE 3000 standaard biedt meer vrijheidsgraden en de mogelijkheden om ook

processen die geen invloed hebben op de financiële verantwoording in de scope op te

nemen. De standaard is „vormvrij‟, zolang een aantal verplichte onderdelen maar wordt

behandeld.

Een kwaliteitscertificaat op basis van ISO 27001 zegt ook iets over de manier waarop

processen worden beheerst, al gaat het om een geheel ander product aangezien er geen

accountantscontrole plaatsvindt.

Een accountantsverklaring bij historische financiële informatie op basis van ISA 800 kan

in bepaalde gevallen ook voorzien in de assurance behoefte van een gebruiker. Zo‟n

rapport stelt de informatie in een verantwoording centraal in plaats van de processen die

leiden tot de financiële verantwoording. De IT Auditor maakt dan integraal deel uit van

het controle team.

[bovenstaande informatie is gebaseerd op KMPG10]

Vergelijking 1 - standaarden voor assurance [KPMG10]


Pagina 33 van 54

3.4.4 Service Organization Control (SOC) Rapport

Naast de genoemde standaarden van paragraaf 3.4.3. zijn er ook standaarden opgesteld

door de American Institute for Certified Public Accountants. Zij geven zekerheid ten

aanzien van service organisaties. Dit doen ze onder andere middels Service Organization

Control (SOC) rapporten. SOC rapporten zijn interne controle rapporten ten aanzien van

de diensten welke door (Cloud) dienstaanbieders worden aangeboden. Deze rapporten

bieden belangrijke informatie voor eindgebruikers om risico‟s met betrekking tot een

uitbestede dienst te onderkennen en te kunnen beheersen. De SOC rapporten zijn te

onderkennen in drie varianten. Deze staan hieronder per variant toegelicht.

3.4.5 SOC 1

De SOC 1 rapportages zijn rapportages van audits die zijn uitgevoerd op service

organisaties welke diensten aanbieden met betrekking tot financiële processen. De

standaard die hiervoor gehanteerd wordt in de Verenigde Staten en Canada is de

SSAE16, de standaard die hiervoor in Europa wordt gebruikt is de ISAE3402. De controls

die hiervoor gehanteerd kunnen worden zijn niet voorgeschreven en zijn door de auditor

op basis van de objecten van onderzoek vast te stellen. Bij een SSAE16 en een ISAE3402

opdracht wordt als uitgangspunt een verklaring van het management genomen. Op basis

van deze verklaring wordt een audit uitgevoerd. Bij een SSAE16 en een ISAE3402

worden twee typen verklaringen onderkend, namelijk:

Type 1 – Deze verklaring heeft betrekking op de fairness of presentation en de suitability

of design. Bij fairness of presentation stelt de auditor vast of de beschrijving helder is

beschreven en of de scope toereikend is in relatie tot de verklaring van het management.

Tevens wordt gekeken of de in opzet beschreven beheersmaatregelen voldoende zijn

ingebed in de organisatie. Daarnaast stelt de auditor vast of met de opgestelde

beheersingsmaatregelen een redelijke mate van zekerheid gehaald kan worden.

Type 2 – Bij een type 2 verklaring wordt gekeken naar de operating effectiveness. Hierbij

stelt de auditor middels verschillende bewijsstukken vast of de beheersingsmaatregel in

een bepaalde periode effectief hebben gefunctioneerd overeenkomstig met de in opzet

beschreven beheersingsmaatregelen.

3.4.6 SOC 2

Soc 2 rapportages zijn bedoeld voor partijen die deskundig en bekend zijn met de

dienstverlenende organisaties en informatie behoeven omtrent de

beheersingsmaatregelen met betrekking tot beveiliging, beschikbaarheid,

vertrouwelijkheid en integriteit ten aanzien van de systemen van de service organisatie.

Anders dan de SOC 1 verklaring heeft deze rapportage geen betrekking op financiële

processen. Derhalve worden hiervoor ook gestandaardiseerde normenkaders gehanteerd,

te weten de “Trust Services Principles” en GAPP (Generally Accepted Privacy Principles).

SOC 2 rapportages kunnen onder andere van belang zijn bij:

Het inzicht verkrijgen in de organisatie;

Leverancier selectie- en beoordelingstrajecten;

Interne governance en risico management processen;

Overheidstoezicht.

Overeenkomstig met SOC 1 rapporten zijn er 2 typen SOC 2 rapportages te

onderscheiden.


Pagina 34 van 54

3.4.7 SOC 3

De beoogde gebruikers van de SOC 3 rapportages zijn partijen die zekerheid willen ten

aanzien van de beheersingsmaatregelen die betrekking hebben op beveiliging,

beschikbaarheid en integriteit van de systemen welke gebruikt worden door de service

organisatie. Bij SOC 3 rapporten zijn de beoogde gebruikers onbekend. Deze rapporten

mogen aan iedereen vrij beschikbaar worden gesteld. Derhalve worden deze rapportages

onder andere voor marketing doeleinden van de service organisatie gebruikt.

3.5 De vijf elementen van een assurance-opdracht

3.5.1 Drie partijen

Bij een assurance-opdracht zijn drie afzonderlijke partijen betrokken: een IT-Auditor, een

verantwoordelijke partij en beoogde gebruikers.

Beroepsbeoefenaar

De auditor kan worden gevraagd assurance-opdrachten uit te voeren in een breed scala

van onderwerpen. Sommige objecten van onderzoek kunnen specialistische kennis en

ervaring vergen die uitgaan boven hetgeen van een individuele IT-Auditor normaal mag

worden verwacht. Zoals aangegeven in paragraaf 17(a) van het assurance raamwerk zal

een IT-Auditor een opdracht slechts aanvaarden wanneer zij bij het voorbereidend

onderzoek de opgedane kennis omtrent de omstandigheden van de opdracht erop wijst

dat aan ethische normen met betrekking tot professionele deskundigheid wordt voldaan.

In sommige gevallen kan aan deze eis worden voldaan doordat de IT-Auditor

gebruikmaakt van de werkzaamheden van personen uit andere beroepsgroepen,

aangeduid als deskundigen.

Tevens is de IT Auditor bij het uitvoeren van een assurance-opdracht verantwoordelijk

voor de aard, de tijdsfasering en de omvang van de werkzaamheden.

De verantwoordelijke partij

De verantwoordelijke partij is degene die bij een direct reporting-opdracht

verantwoordelijk is voor het object van onderzoek en bij een assertion based-opdracht

verantwoordelijk is voor de informatie omtrent het object van onderzoek en

verantwoordelijk kan zijn voor het object van onderzoek.

Beoogde gebruikers

De beoogde gebruikers bestaan uit de persoon, de personen of de groep van personen

voor wie de IT-Auditor het assurance-rapport opstelt (soms is de eindgebruiker nog niet

bekend).

3.5.2 Object van onderzoek

Het object van onderzoek en de informatie omtrent het object van onderzoek van een

assurance-opdracht kunnen veel vormen aannemen zoals weergegeven in tabel 5.

Object van onderzoek Voorbeeld Informatie omtrent object van onderzoek

Niet-financiële resultaten of posities prestaties van een entiteit indicatoren doelmatigheid en effectiviteit

Fysieke kenmerken omvang van een beschikbare capaciteit gedetailleerde beschrijving kenmerken

Systemen en processen

interne beheersingsysteem of het

geautomatiseerd systeem bewering effectiviteit

Tabel 5 - Objecten van onderzoek


Pagina 35 van 54

Een geschikt object van onderzoek:

Identificeerbaar en kan op eenduidige wijze worden geëvalueerd of worden

getoetst aan de vastgestelde toetsingsnormen;

Is van zodanige aard dat de informatie daarover onderworpen kan worden aan

procedures voor het verzamelen van toereikende informatie om een conclusie te

onderbouwen.

3.5.3 Toetsingsnormen

Toetsingsnormen zijn de benchmarks die worden gebruikt voor het evalueren of toetsen

van het object van onderzoek.

Toetsingsnormen bestaan uit een bestaand kader voor interne beheersingsmaatregelen

of uit individuele doelstellingen voor beheersing die specifiek zijn ontwikkeld ten behoeve

van de opdracht. Of toetsingsnormen generiek dan wel specifiek ontwikkeld zijn is van

invloed op de werkzaamheden die de IT-Auditor zal uitvoeren om de toepasbaarheid van

de toetsingsnormen voor een bepaalde opdracht te beoordelen. Bij het opstellen van

normenstelsels geeft “Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en

standaarden” [NORE02] handvatten. In dit rapport wordt onder andere aangegeven dat

nieuwe normenstelsels relatie moeten hebben met relevante referentiekaders zoals

COSO, Cobit, ISO 27001/2, ITIL, ISO. Toepasbare toetsingsnormen zijn noodzakelijk

voor een redelijk consistente evaluatie of toetsing van het object van onderzoek binnen

de context van vakkundige oordeelsvorming.

Toepasbare toetsingsnormen vertonen de volgende kenmerken:

Relevantie;

Volledigheid;

Betrouwbaarheid;

Neutraliteit;

Begrijpelijkheid;

Toepasbaarheid.

Toetsingsnormen zijn in één of meer van de volgende vormen toegankelijk voor de

beoogde gebruikers:

doordat ze openbaar zijn;

door ze op duidelijke wijze op te nemen in de presentatie;

door ze op duidelijke wijze op te nemen in het assurance-rapport;

doordat ze algemeen bekend zijn.

3.5.4 Geschikte informatie

Voor het goed kunnen uitvoeren van assurance-opdrachten is het verkrijgen van

geschikte informatie onontbeerlijk. In het raamwerk worden de volgende

richtlijnen gegeven voor het opstellen van een planning van een assurance-

opdracht waarbij onder andere de omvang van de werkzaamheden en het

verzamelen van toereikende informatie is opgenomen:

De IT Auditor houdt rekening met het materieel belang en onjuistheden hiervan;

Kwantiteit en de kwaliteit van de beschikbare informatie (voldoende en geschikt);

Bij het verkrijgen van toereikende informatie is het in het algemeen moeilijker om

zekerheid te verkrijgen over de informatie omtrent het object van onderzoek

wanneer deze betrekking heeft op een periode (werking) dan wanneer deze

betrekking heeft op een moment (opzet en bestaan);


Pagina 36 van 54

De IT-Auditor maakt een afweging tussen de kosten voor het verkrijgen van

informatie en het nut van de verkregen informatie.

De volgende aandachtpunten worden gegeven voor het uitvoeren van een assurance-

opdracht met een redelijke mate van zekerheid:

Het verkrijgen van kennis omtrent het object van onderzoek en andere

omstandigheden rond de opdracht waaronder, afhankelijk van het object van

onderzoek, het verkrijgen van kennis omtrent de interne

beheersingsmaatregelen;

het op basis van deze kennis inschatten van de risico's dat de informatie over het

object van onderzoek materiële onjuistheden vertoont;

het inspelen op de ingeschatte risico's, waaronder het ontwikkelen van een

algehele aanpak, en het bepalen van aard, tijdsfasering en omvang van overige

werkzaamheden;

het uitvoeren van overige werkzaamheden die duidelijk zijn gekoppeld aan de

gesignaleerde risico's, waarbij gebruik wordt gemaakt van een combinatie van

verificatie, waarnemingen ter plaatse, bevestiging, opnieuw uitvoeren, analyse en

inwinnen van inlichtingen. Deze overige werkzaamheden omvatten

gegevensgerichte werkzaamheden, waaronder het verkrijgen van bevestigende

informatie vanuit bronnen die onafhankelijk zijn van de entiteit en afhankelijk van

de aard van het object van onderzoek, het testen van de daadwerkelijke

effectiviteit van de beheersingsmaatregelen; en

het evalueren van de toereikendheid van de informatie.

Wanneer de informatie omtrent het object van onderzoek bijvoorbeeld toekomstgericht is

mag worden verwacht dat daarover minder objectieve informatie beschikbaar is dan

wanneer het historische informatie betreft.

3.5.5 Het assurance rapport

Een schriftelijk rapport met een conclusie die de zekerheid tot uitdrukking brengt welke is

verkregen over de informatie omtrent het object van onderzoek. Richtlijnen voor

Assurance-opdrachten schrijven basiselementen voor assurance-rapporten voor.

Daarnaast overweegt de IT-Auditor of er andere verantwoordelijkheden bestaan met

betrekking tot de rapportering, waaronder de communicatie met de organen belast met

governance indien dit van toepassing is.


Pagina 37 van 54

3.6 Conclusie waaraan moeten assurance opdrachten voldoen en

de invloed voor assurance van Cloud Computing

De uitvoering van de type assurance-opdrachten, zoals in tabel 7 is weergegeven, kan

worden gedaan in het kader van een jaarrekeningcontrole (COS 800) opdracht, een TPM,

een ISAE 3402 of middels een ISAE 3000 assurance-opdracht. Daarnaast zijn er ook

buitenlandse standaarden waaronder de SOC audit opdrachten zoals beschreven in

paragraaf 3.4.4.

Wat opvalt is dat veel van de type assurance-opdrachten zoals weergegeven in tabel 6

zijn te combineren tot één opdracht wanneer het een Cloud Computing dienst betreft.

Bijvoorbeeld bij het uitvoeren van een assurance-opdracht waarbij het object van

onderzoek een SaaS dienst zou betreffen kunnen de opdrachttypen outsource assurance,

IT organisatie assurance, applicatie assurance en privacy assurance samengevoegd

worden tot één assurance-opdracht.

Type assurance opdrachten Traditioneel CloudOutsourcing assurance n.v.t. Beoordelen IaaS, PaaS of SaaS

Project assurance ERP implementatie migratie tra ject

IT-organisatie assurance Beoordelen IT beheersprocessen Beoordelen beheerprocessen service

providerAppl icatie assurance Beoordelen appl ication Comtrols Beoordelen SaaS dienst of beoordelen

afreken appl icatie dienst.

IT Due Di l igence Beoordelen IT omgeving Beoordelen SLA en inrichting.

Privacy assurance Uitvoeren privacy audit afhankel i jk parti jen en locatie (landen).

Web assurance Beoordelen e-commerce appl icatie Beoordelen SaaS dienst + PaaS

Revenue assurance Beoordel ing sel f reporting inrichting.

(regis tratie verkopen)

Betaalmodule voor IaaS, PaaS of SaaS. (ISAE

3402)

Licentie assurance Beoordelen l icenties Als gebruiker van Cloud diensten niet meer

verantwoordel i jk.

Tabel 6 - type assurance-opdrachten

Dit komt doordat een Cloud dienst meerdere audit of assurance domeinen (tabel 4)

bestrijken. Doordat een Cloud dienst betrekking heeft op meerdere audit domeinen heeft

dit natuurlijk direct impact op de complexiteit van de opdracht.

Hierbij is de communicatie met de opdrachtgever en kennis van de verschillende audit

domeinen een aandachtspunt voor de auditor.

Om vast te stellen in hoeverre het geven van assurance bij een cloud opdracht afwijkt

ten aanzien van een asssurance opdracht bij een traditionele omgeving zijn de

kenmerken van cloud computing beschreven in hoofdstuk 2 afgezet tegen de assurance

voorwaarden zoals beschreven in hoofdstuk 3.


Pagina 38 van 54

Figuur 13 - onderzoeksaanpak

De uitkomsten hiervan worden per onderdeel toegelicht en zijn vervolgens overzichtelijk

weergegeven in tabel 8.

Soorten assurance-opdrachten

Er zijn twee soorten assurance-opdrachten namelijk:

1. Een opdracht met redelijke mate van zekerheid

Hierbij wordt de hoogste mate van zekerheid gegeven die een IT Auditor mag

verstrekken.

In een Cloud Computing omgeving kan deze mate van zekerheid gegeven worden,

maar is wel afhankelijk van enkele belangrijke aspecten zoals complexiteit en

omvang van de objecten van onderzoek (virtualisatie), de differentiatie van de

verantwoordelijke partijen (Cloud keten), beschikbare toetsingsnormen en de

eenduidigheid van afgegeven verklaringen bij subcontractors.

2. Een opdracht met beperkte mate van zekerheid.

Gezien de complexiteit van de hierboven benoemde aspecten ligt het geven van een

oordeel met beperkte mate van zekerheid voor de IT Auditor wellicht meer voor de hand.

De vraag blijft echter of de klant/afnemer van de Cloud dienst hiermee voldoende

zekerheid krijgt. Het gaat tenslotte wel om een geheel geoutsourcete omgeving waarop

de afnemer maar zeer beperkt grip heeft.

er drie partijen zijn (verschaffer van informatie, assurance provider en gebruiker);

Zoals weergeven in figuur 1 zijn voor de Cloud Computing omgeving de drie partijen van

een assurance-opdracht te definiëren. Voor de IT Auditor (hetzij van de gebruiker, hetzij

van de aanbieder) geldt dat hij over voldoende kennis moet beschikken in persoon of in

zijn auditteam om een audit in de Cloud te kunnen uitvoeren. Daarnaast kan de omvang

van de opdracht zeer uitgebreid zijn doordat subcontractors binnen de scope van het

onderzoek vallen en zoals eerder beschreven meerdere assurance domeinen binnen de

opdracht vallen. Communicatie over scope, objecten van onderzoek en verantwoordelijke

partijen is dan een zeer belangrijk aandachtspunt voor de IT Auditor, zowel naar de klant

als ook naar de verschillende subcontractors.

er een geschikt object van onderzoek is;

De objecten van onderzoek kunnen met een cloud opdracht zeer omvangrijk (zie drie

partijen) zijn. Daarnaast vergt de techniek van virtualisatie specifieke kennis. Zowel voor

de verantwoordelijke partij(en) alsook voor de IT Auditor. Door de dynamische


Pagina 39 van 54

kenmerken van virtualisatie bestaat de vraag of de werking wel in alle gevallen getoetst

kan worden. De inrichting van beheersprocessen geënt op de virtuele omgeving is

daarom ook een belangrijk aspect van een Cloud Computing audit. Daarnaast moeten

Cloud diensten die door een combinatie van verschillende subcontractors (zie figuur

bijlage 3) worden geleverd naast de diensten ook het informatiebeveiligingsbeleid, de

verschillende beheersprocessen (Changemanagement, Identiteitsmanagement, etc.)

voldoende op elkaar laten aansluiten.

er criteria zijn waaraan het object getoetst kan worden;

Normenkaders voor Cloud Computing worden ontwikkeld door verschillende partijen

(tabel 5), echter deze ontwikkelde normenkaders gaan beperkt in op virtualisatie

aspecten en daarnaast zijn de normenkaders nog niet geheel uitgekristalliseerd. Een

ander aandachtspunt is dat de Cloud omgeving buiten Europa kan zijn gesitueerd,

waardoor andere audit standaarden kunnen zijn toegepast en de wet en regelgeving per

land verschild. Dit heeft invloed op de criteria welke de auditor (ander land) zal hanteren

om de objecten tegen te toetsen. De SLA‟s zullen als belangrijk uitgangspunt dienen voor

het vast stellen van de criteria waaraan het object van onderzoek getoetst kan worden.

De kwaliteit van de overeengekomen SLA‟s en de eenduidigheid is derhalve van groot

belang. Tevens is het risicoprofiel een belangrijk aandachtspunt om vast te stellen door

de IT Auditor (paragraaf 2.6.4) met een dynamische omgeving met veel verschillende

afnemers.

er voldoende en geschikte informatie beschikbaar is;

Het bepalen van of voldoende informatie van adequaat niveau is verzameld om een juist

oordeel af te geven is op basis van bovenstaande aspecten een moeilijke opgave binnen

dergelijke omvangrijke en complexe audit opdrachten. Mede door het aspect van de

dynamische virtuele omgevingen is de vraag of alle benodigde informatie beschikbaar.

De informatie ten aanzien van de beheersprocessen en met name het change

managementproces van alle lagen (tabel 2) is hiervoor een essentieel aspect.

er een schriftelijk assurance rapport is.

Een aandachtpunt voor het opstellen van het rapport (en natuurlijk ook het uitvoeren van

de audit) is dat vooraf niet altijd de beoogde gebruiker bekend is. Door de dynamische

kenmerken van Cloud Computing kunnen afnemers ook alleen tijdelijk (voornamelijk

IaaS en SaaS) diensten afnemen.

Dit alles kort samengevat wordt nogmaals weergegeven in onderstaande tabel 7.

Elementen assurance opdrachten Traditionele IT opdracht Cloud Computing kenmerken

Redelijke mate van zekerheid Goed mogelijk Mogelijk maar afhankelijk van

meerdere aspecten*Beperkte mate van zekerheid Goed mogelijk Mogelijk maar bied dit de afnemers

de gewenste mate van zekerheid?

Soorten assurance

opdrachten


Pagina 40 van 54


Pagina 41 van 54

Elementen assurance opdrachten Traditionele IT opdracht Cloud Computing kenmerken

Beroepsbeoefenaar: specialistische

kennis

IT auditor IT auditor met kennis van virtualisatie

en Cloud aspecten*

Aard, de tijdsfasering en de omvang Goed mogelijk Mogelijk lastig in te schatten door

meerdere aspecten

De verantwoordelijke partij interne IT afdeling Service provider (IaaS, PaaS of SaaS)

Beoogde gebruikers Financial Accountant Afnemer of Financial Accountant

Identificeerbaar Statische objecten van onderzoek en

bijbehorende beheersprocessen

Virtuele objecten van onderzoek,

dynamische samenstelling IT

omgeving, beheersprocessen incl.

virtualisatie.Op eenduidige wijze worden

geëvalueerd

Vastgestelde toetsingsnormen Algemeen geaccepteerde

standaarden.normenkaders

Normenkaders niet geheel

uitgekristalliseerd.

Bestaand kader Meerdere bestaande kaders Enkele kaders, beperkt op beheersing

virtuele omgevingen in de Cloud

Specifiek ontwikkeld ten behoeve

van de opdracht

Studierapport 3, Raamwerk voor

ontwikkeling normenstelsels en

standaarden.

Studierapport 3, Raamwerk voor

ontwikkeling normenstelsels en

standaarden. (per land verschillend)

Consistente evaluatie of toetsing Uitgevoerd op basis van NOREA

standaarden

Per land verschillend

Vakkundige oordeelsvorming.

· Relevantie; standaarden NOREA Subjectief, focus verschillend

· Volledigheid; Eenvoudiger vast te stellen Lastiger vast te stellen

· Betrouwbaarheid; Goed Afhankelijk van scope en uit te voeren

audit partij

· Neutraliteit; Goed Afhankelijk van scope en uit te voeren

audit partij

· Begrijpelijkheid; Goed Specifieke kennis nodig van business

model en techniek

· Toepasbaarheid. Eenvoudiger Lastiger i.v.m. weging complexe

factoren

Opstellen van een planning van een

assurance-opdracht o.a. omvang van

de werkzaamheden voor het

verzamelen van toereikende

informatie.

Meer ontwikkelde standaarden en

minder complexe omgeving

Mogelijk teveel informatie nodig

(meerdere partijen) waardoor

economisch niet rendabel

De IT auditor houdt rekening met het

materieel belang en onjuistheden

hiervan.

Eenvoudiger in te schatten Lastiger vast te stellen of alle

materieel zijnde elementen in kaart

zijn gebracht.Vast stellen werking statische omgeving eenvoudiger vast

te stellen.

Dynamische omgeving lastiger vast te

stellen. (inrichting omgeving mogelijk

totaal verschillend,

beheersprocessen en CMM level

belangrijk)

er een schriftelijk

assurance rapport

is.

Een schriftelijk rapport met een

conclusie die de zekerheid tot

uitdrukking brengt welke is verkregen

over de informatie omtrent het

object van onderzoek.

Eenvoudiger op te stellen Complexiteit afhankelijk van

meerdere aspecten*

er criteria zijn

waaraan het object

getoetst kan

worden;

*Meerdere aspecten zijn onder andere: partijen business model, wet en regelgeving, locatie

datacenters, mate van dynamische omgeving.

er drie partijen zijn

(verschaffer van

informatie,

assurance provider

en gebruiker);

er een geschikt

object van

onderzoek is;

er voldoende en

geschikte

informatie

beschikbaar is;

Tabel 7 - elementen assurance-opdracht versus Cloud


Pagina 42 van 54

4. Instrumenten van de IT Auditor bij Cloud Computing

opdrachten

4.1 Inleiding

Zoals in paragraaf 3.4 en 3.5 is beschreven zijn er verschillende opdrachtvormen waarin

een IT auditor zekerheid verstrekt. Hierbij heeft de IT Auditor verschillende hulpmiddelen

of instrumenten tot zijn beschikking om hem of haar te ondersteunen bij het uitvoeren

van een audit opdracht. Frameworks en best practices zijn hier een goed voorbeeld van.

Het voordeel van frameworks en best practices is dat deze door de tijd heen ontwikkeld

zijn door meerdere professionals en onderhevig zijn geweest aan peer reviews. Hierdoor

wordt de kwaliteit van dergelijke hulpmiddelen beter gewaarborgd. Echter een risico van

het gebruiken van best practices is dat het kopiëren kan leiden tot slechte

werkprogramma‟s waarbij niet op de echte issues wordt ingegaan. Daarom dient de IT

Auditor te allen tijde de toepasselijkheid van een framework of best practice te

beoordelen in relatie tot de opdracht en de daarbij behorende onderzoeksobjecten.

4.2 Niet Cloud dienst specifieke standaarden

Aangezien cloud diensten opgebouwd zijn uit elementen (figuur 9) die ook in de

traditionele omgevingen worden gebruikt zijn onderstaande frameworks en best practices

natuurlijk ook van toepassing bij het uitvoeren van een IT audit opdracht met betrekking

tot een cloud computing dienst aangevuld met maatregelen die ingaan op de specifieke

cloud dienst risico‟s.

ISO-27001 (Information Security Management System ISMS) ;

ISO-27002 ("Code voor Informatiebeveiliging") ;

NEN-7510 (Informatiebeveiliging in de "zorg") ;

BS-25999 ("Business Continuity Management") ;

ISO-9001;

ISO-20000;

NIST

- 800-30, Risk Management Guide for Information Technology Systems

- 800-53, Security Controls and Assessment Procedures for Federal

Information Systems and Organizations

- 800-92, Guide to Computer Security Log Management

- 800-94, Guide to Intrusion Detection

- 800-144 Guidelines on Security and Privacy in Public Cloud Computing

ITIL;

Cobit;

Coso;

PCI DSS.

Ten aanzien van ISO 27001 opdrachten geldt ook voor cloud computing diensten dat de

IT beheersingsprocessen in control moeten zijn. Daarbij is het goed opzetten van een

Information Security Management System essentieel. Ook de ISO normen ten aanzien

van de kwaliteitssystemen voor de organisaties en de branche specifieke normen zoals

de NEN 7510 zijn afhankelijk van de cloud dienst goed toepasbaar. De standaarden

ontwikkeld door de National Institute of Standards and Technology (NIST) zijn zeker

relevant voor cloud computing. Enkele voorbeelden van best practices van de NIST zijn in

bovenstaande opsomming weergegeven. Om te komen tot een goed werkprogramma is

het uitvoeren van een risico analyse op de cloud dienst een goed begin om de echte

http://www.google.nl/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=3&ved=0CGIQFjAC&url=http%3A%2F%2Fcsrc.nist.gov%2Fpublications%2Fnistpubs%2F800-92%2FSP800-92.pdf&ei=n-rxT9zzCKL80QW3_cCPDg&usg=AFQjCNEH-vVprUDyP-wfmtHsKplAwbGHtQ&sig2=9qZLEZapRYbloiCA9zs8dw

http://www.google.nl/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=7&ved=0CHUQFjAG&url=http%3A%2F%2Fwww.nist.org%2Fnist_plugins%2Fcontent%2Fcontent.php%3Fcontent.64&ei=tQDyT9jcJ4PV8gPovoCuDQ&usg=AFQjCNHlNbfQcwvsI1PHtflYE4Km5fUc7g&sig2=wt5doXTvuPIDvgZng06CEA

http://www.nist.gov/


Pagina 43 van 54

issues inzichtelijk te krijgen om vervolgens de scope en de objecten van onderzoek vast

te stellen. De andere normen van de NIST kunnen goed dienen als input van de

verschillende onderdelen (domeinen) voor het werkprogramma.

Naast deze standaarden zijn de bekende frameworks als Cobit en Coso een goede

kapstok om de IT organisatie in te richten en vervolgens te toetsen. COBIT is vanaf 1992

ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het

IT Governance Institute (ITGI). Het benoemen van de doelen en deperformance

indicatoren om te komen tot een gecontroleerde IT omgeving is natuurlijk ook van

belang op cloud diensten. Het verschil van een cloud dienst ten opzichte van een

traditionele omgeving is dat onderstaand schema moet worden ingericht op meerdere

niveaus van de dienst met mogelijk meerdere onderaannemers. Dus zowel voor de

housing als voor de infrastructuur (IAAS) en de overige lagen PAAS en SAAS.

Figuur 14 Cobit 4.1 [Isaca09]

Tot laatste wordt in voorgaande opsomming PCI Data Security Standard (PCI DSS)

genoemd. Deze standaard gaat anders dan de voorgaande frameworks meer in detail in

aan welke inrichtingseisen componenten vanbetalingssystemen moeten voldoen. Echter

al deze reeds jaren bekende standaarden gaan niet specifiek in op de kenmerken van

Cloud computing en de daar bijbehorende mogelijke risico‟s. In de volgende paragraaf

wordt een overzicht gegeven van meer specifieke Cloud dienst standaarden.

4.3 Cloud dienst specifieke standaarden

Ten aanzien van Cloud omgevingen zijn wereldwijd een aantal initiatieven voor het

ontwikkelen van standaarden, dan wel werkgroepen opgezet om na te denken over de

specifieke risico‟s omtrent cloud en middels welke maatregelen deze beheerst kunnen


Pagina 44 van 54

worden. Voorbeelden van deze initiatieven zijn onder andere de Cloud Security Alliance

(CSA), de Cloud Management Working Group (CMWG) en de Cloud Auditing Data

Federation Working Group (CADFWG). Deze werkgroepen hebben een aantal cloud

specifieke frameworks en best practices opgesteld welke zowel betrekking hebben op de

implementatie van cloud omgevingen als het auditen hiervan. Daarnaast heeft ook de

eerder genoemde organisatie National Institute of Standards and Technology (NIST) vrij

recent een standaard opgesteld voor public cloud computing _NIST 800-144). Deze

“Special Publication” beschrijft voornamelijk aandachtspunten en risico‟s van cloud

diensten maar bevat geen concrete normen.

In tabel 8 wordt een overzicht gegeven van standaarden gericht op cloud computing. Per

organisatie wordt de standaard weergegeven met daarbij welke methodiek als basis is

gebruikt. Aangezien de techniek virtualisatie een belangrijke grondslag vormt voor cloud

computing is ook de relevantie van de verschillende standaarden ten opzichte van

virtualisatie opgenomen in de tabel. Vervolgens wordt in de laatste kolom de

bruikbaarheid voor de verschillende service modellen weergegeven.

Organisatie Naam normenkader / whitepaper Datum Gebruikte methodiek Virtualisatie Partijen

Cloud Security

Alliance

Top Threats to Cloud Computing V1.0 03-2010 ISO 27001/2 Beperkt verwijst naar

normenkader 8.

IaaS, PaaS, SaaS,

tenant

ENISA Benefits, risks and recommendations for

information security

11-2009 ISO 27001/2 (42), (43) and

BS25999 (44) standards.

Beperkt (blz 55) IaaS, PaaS, SaaS,

tenant

Cloud Security Guidance for Application Security V2.1 07-2010 ISO 27001 Beperkt (blz 22) IaaS, PaaS, SaaS

Cloud Security

Alliance

Cloud Controls Matrix (CCM) 12-2010 COBIT 4.1, HIPAA / HITECH

Act, ISO / IEC 27001-2005,

NIST SP800-53, FedRAMP,

PCI DSS v2.0, BITS Shared

Assessments AUP v5.0 / SIG

v6.0, GAPP (Aug 2009)

Beperkt (high level

zowel statisch als

VM)

IaaS, PaaS, SaaS,

tenant

Cloud Security

Alliance

Security Guidance for Critical Areas of Focus in

Cloud Computing V2.1

12-2009 ISO/IEC 27002 Beperkt (blz 68, 69) IaaS, PaaS, SaaS,

tenant

ISACA Business Benefits With Security, Governance

and Assurance Perspectives

10-2009 n.v.t. (white paper geen

normen VM)

IaaS, PaaS, SaaS,

tenant

NIST 800-144 Guidelines on Security and Privacy in

Public Cloud Computing 22/ 28

11-2011 n.v.t. Aandachtspunten

geen normen (blz 22

t/m 28)

IaaS, PaaS, SaaS,

tenant

NOREA Studierapport Normen voor de beheersing van

uitbestede ICT-beheerprocessen

12-2007 ISO/IEC 27001:2005,

Basisnormen Beveiliging en

Beheer ICT-infrastructuur

Versie 1.0, CobiT 4.1, ISO/IEC

20000:2005, NIST Special

Publication 800-53,

Studierapport 3, Raamwerk

voor ontwikkeling

normenstelsels.

Berperkt,

beheersprocessen

n.v.t.

Tabel 8 - Cloud computing normenkaders

De hierboven genoemde normenkaders zijn veelal toekomst gericht, waarbij wordt

aangegeven waaraan server providers moeten voldoen of waarop klanten moeten letten

voordat de stap naar Cloud Computing diensten wordt genomen. Virtualisatie wordt bij

enkele normenkaders genoemd, maar handvatten om de complexe technieken van

virtualisatie te beoordelen (paragraaf 2.3.) worden nauwelijks of niet beschreven.

De standaardisatie van de normenkaders waarbij de verschillende partijen en service

modellen aan bod komen met voldoende aandacht voor virtualisatie moeten nog verder

uitkristalliseren. Gestandaardiseerde werkprogramma‟s die op uniforme wijze worden

uitgevoerd zijn essentieel voor cloud computingdiensten zodat de onderkende aanbieders


Pagina 45 van 54

(paragraaf 2.3), IT auditors en klanten geen appels met peren gaan vergelijken.

Daarnaast zijn cloud diensten erg dynamisch (techniek en business model) waarbij het

voor de afnemer van de cloud dienst zeker van belang is dat de frequentie van de audit

en de rapportage hoger wordt dan momenteel voor de meeste certificeringen en audit

cycli vereist is.

4.4 Tools

Bij het uitvoeren van de werkzaamheden kan de IT Auditor gebruik maken van tools.

Wanneer dit geautomatiseerde tools zijn, worden deze ook wel CAAT‟s genoemd, dit

staat voor Computer Assisted Auditing Techniques. Hierbij kan men denken aan data-

analyse software, zoals IDEA. Een groot voordeel van dergelijke tools is dat een IT

Auditor relatief éénvoudig bepaalde analyses kan uitvoeren op complete data sets.

Wanneer men dergelijke analyses zou willen doen zonder CAAT‟s dan zal de IT auditor

enkele samples dienen te trekken en te beoordelen. Dit geeft minder zekerheid dan een

totaal analyse op de volledige set van het object van onderzoek. In relatie tot cloud

computing zou men hierbij kunnen denken aan analyses ten aanzien van logging

bestanden, het uitlezen van logische toegangsbeveiliging systemen of CAAT‟s welke

continious monitoring mogelijk maken. Bij het laatste voorbeeld zal de CAAT ervoor zorg

dragen wanneer gegevens worden gewijzigd de CAAT tool automatisch hiervan een

melding naar de verantwoordelijke functionaris zal sturen of naar de monitorings portal.

Een voorbeeld van CAAT‟s gericht op cloud service is SureCloud tool waarbij

vulnerabilities ten aanzien van operating systems, services en applicaties, firewalls,

routers en switches worden gescand. Dit soort tools zouden door de cloud service

provider kunnen worden ingericht waarbij de resultaten naar een dashboard worden

gestuurd. Hierbij kunnen dan de operationeel verantwoordelijke de status monitoren

maar ook de cloud afnemers en de auditors zouden toegang kunnen krijgen tot een

dergelijk dashboard.

Figuur 15 - dashboard vulnerability´s surecloud


Pagina 46 van 54

4.5 Externe deskundigen

Wanneer de IT auditor bij een opdracht onderzoeksobjecten tegenkomt, waarvan hij

onderkend dat hij ten aanzien daarvan over onvoldoende deskundigheid beschikt, is het

mogelijk voor het de IT auditor om gebruik te maken van externe deskundigen. Bij het

inhuren van externe deskundigen bij een opdracht dient de IT auditor zichzelf ervan te

verwittigen dat de externe deskundige wel over voldoende kennis beschikt ten aanzien

van het te onderzoeken object. Tevens dient de IT auditor deskundig genoeg te zijn om

de werkzaamheden en de uitkomsten van de werkzaamheden van de externe deskundige

te beoordelen. Een Cloud omgeving kan bestaan uit zeer veel en complexe componenten

die allen van invloed kunnen zijn op de Continuity, Integrity, Availability en Auditability

(CIAA) van de geautomatiseerde gegevensverwerking. Hierbij kan men denken aan de

inrichting van SAN‟s, firewall‟s, VLAN‟s, virtualisatie, databases, verschillende operating

systems. Het wordt voor de IT auditor steeds een grotere uitdaging om ten aanzien van

al deze componenten over voldoende kennis te beschikken, met name bij Cloud

omgevingen waar al deze technieken bij elkaar komen. Derhalve zal bij het auditen van

een Cloud omgeving het inschakelen van een externe deskundige steeds vaker nodig en

van grotere waarde zijn.

4.6 Conclusie instrumenten van de IT Auditor bij Cloud

Computing opdrachten

Voor de IT auditor zijn er veel standaarden en tools ter ondersteuning bij assurance

opdrachten beschikbaar. Standaarden die al langer beschikbaar zijn en voornamelijk

worden toegepast op traditionele omgevingen zijn ook voor cloud computing assurance

opdrachten goed toepasbaar. Het opstellen van bijvoorbeeld beheersingsprocessen en de

audit van traditionele It omgevingen toont grote overeenkomsten met cloud diensten. De

voornaamste moeilijkheid voor assurance voor cloud computing is dat de dienst veelal

opgebouwd is uit meerdere onderaannemers. Het wordt dan erg lastig om de

performance indicatoren op eenduidige wijze vast te stellen en te monitoren over de

ketens heen. Voeren bijvoorbeeld alle partijen op dezelfde manier changes door, of sluit

security management wel voldoende op elkaar aan? Wordt identity management

eenduidig uitgevoerd door alle partijen en worden credentials doorgegeven tussen de

partijen? Is singel sign on wel mogelijk etc.

Figuur 16 – Cloud dienst door meerdere partijen


Pagina 47 van 54

Naast deze vragen en de moeilijkheid van de meerdere betrokken partijen in de keten

zijn er momenteel een beperkt aantal normenkaders en tools welke volledig

uitgekristalliseerd zijn. Daarnaast moeten ook nog steeds meerdere normenkaders

worden samengevoegd tot één werkprogramma.


Pagina 48 van 54

5. Conclusie De IT Auditor kan in een wereld met toenemende virtualisatie en Cloud computing zeker

assurance verstrekken.

Voor de leverancier van cloud diensten zal hij/zij op ISAE3402/SSA16 of op

ISAE 3000-standaard gebaseerde onderzoeken, kunnen uitvoeren en daarover

rapporteren.

Voor afnemers van cloud diensten zal hij/zij de beschrijvingen van proces- en

informatiestromen inclusief de application controls en general computer controls

van geheel of gedeeltelijk op cloud diensten gebaseerde applicaties en

infrastructuur (afhankelijk van het service model) kunnen beoordelen en toetsen,

daarbij gebruik makend van door de leverancier verstrekte externe rapportages

(bijv. ISAE3402) en/of the right to audit door zelf onderzoek uit te voeren.

Of een opdracht in de praktijk economisch rendabel en of technisch uitvoerbaar is hangt

onder meer af van de volgende aspecten:

Aantal subcontractors;

Verschillen in wet en regelgeving;

Verschillen in informatiebeveiligingsbeleid subcontractors;

Verschillende risicoprofielen van de afnemers;

Volwassenheid (CMM level) van de service provider;

De technische “kennis“ van de auditors;

Impact op objecten van onderzoek en reikwijdte van een opdracht. Hierover goede

communicatie met de opdrachtgever en met de verschillende partijen (Cloud keten);

Opgestelde kwaliteit van de SLA‟s;

Techniek op basis van baseline ingericht;

Verdere standaardisatie Cloud Computing Normenkaders.

Kortom heel wat aspecten om rekening mee te houden alvorens een assurance-opdracht

te aanvaarden in de Cloud.

Voor de toekomst denk ik dat de Cloud Computing aanbieders zich kunnen onderscheiden

door het kunnen aantonen van een goede interne controle van de essentiële

beheersprocessen. Daarnaast initieert Cloud Computing een verdere uniformiteit van de

werkzaamheden van IT Auditors wereldwijd en de verdere ontwikkelen van Cloud

Computing assurance normenkaders.

Door de vergaande dynamische IT omgevingen gebaseerd op virtualisatie wordt het

steeds lastiger om de werking van bepaalde objecten van onderzoek vast te stellen. De

focus van assurance-opdrachten zal daarom sterk gericht moeten zijn op de

beheersprocessen waarbij het changemanagementproces zeer essentieel zal zijn.

Daarnaast zal de volwassenheid (CMM level) van de organisatie een steeds belangrijkere

rol gaan spelen bij het geven van assurance. Indien duidelijk is vast te stellen dat de

service provider van Cloud Computing duidelijk in control is kan naar de gebruiker

voldoende assurance worden afgegeven, waarbij deze assurance mogelijk ook meer

toekomst gericht kan zijn.


Pagina 49 van 54

Transparantie van de beheersprocessen de overeengekomen KPI‟s en

beheersmaatregelen die door klanten realtime zijn te monitoren. Waardoor niet alleen

assurance naar het verleden maar ook realtime zekerheid verkregen kan worden.

(SekChek, Rechten en rollen tools, change aanvragen en verwerkingen, etc.)

Daarnaast zijn er technische ontwikkelingen waardoor data van de eigenaar kan blijven

zonder dat de provider bij de klant data kan. (Trend Micro, Deep defends).

Uitdagingen genoeg voor de IT Auditor!


Pagina 50 van 54

6. Literatuurlijst

[BOHM10] Böhm, Leimeister, Riedl, Prof. Krcmar, Cloud Computing - Outsourcing 2.0 or

a new Business Model for IT Provisioning?, Technische Universität München (TUM),

(2009)

[NIST11] Final Version of NIST Cloud Computing Definition Published

[NIST11 2] Guide to security for full virtualization technologies

[BOHM10 2] Böhm, Riedl, Towards a Cloud Computing Value Network, 2010

[ChUN10] Mike Chung, Assurance in the Cloud, Compact, maart 2010.

[CSAC09] Glenn Brunette, Rich Mogull, Security Guidance for Critical Areas of Focus in

Cloud Computing V2.1, Cloud Security Alliance ,December 2009

[ASSU07] NOREA, Raamwerk voor assurance-opdrachten door IT-Auditors, december

2007

[EDPH08] Ronald Jonker, Handboek EDP-auditing 9300. Assurance services, 2010

[NORE08]

http://www.norea.nl/index.aspx?FilterId=2423&ChapterId=12177&ContentId=37183

[ITAS08] IT-assure zekerheid over uw IT, NOREA, 2008

[NORE02] Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden,

2002

[NORE98] NOREA-geschrift no. 1, NOREA, 1998

[RFIJ06] Rob Fijneman, IT-Auditor is meer dan controleur van informatietechnologie,

2006

[SOGE10] Ewald Roodenrijs, Point of View: Testing on the Cloud, Sogeti, 2010

[ClOU09]http://www.computable.nl/artikel/ict_topics/cloud_computing/2978520/233336

4/gartner-herziet-definitie-van-cloud-computing.html

[HOEC06] Michael Hoesing, Virtualization Usage, Risks and Audit Tools, ISACA, 2006

[ACCO10] Henk Aardom, Housing, hosting ASP en SaaS, 2010?

[COMP10] van Beek, Francken, SAS 70 herzien, focus ISAE 3402 blijft op

beheersingsmaatregelen financiële verantwoording, Compact, 2010

[KPMG10] Praktijkgids SAS 70 deel III, 2010

[Biene96] Margaret E. van Biene-Hershey, IT Auditing an object oriented approach, 1996

[Isaca09] ISACA COBIT Overview, 2009


Pagina 51 van 54

Gebruikte internet bronnen:

http://nvd.nist.gov/home.cfm

https://www.pcisecuritystandards.org/security_standards/

http://www.vmware.com/nl/

http://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Pages/Compact-

Magazine.aspx

http://www.norea.nl/

http://www.isaca.nl/

http://www.kluwer.nl/

https://cloudsecurityalliance.org/

http://cloud-standards.org

http://www.surecloud.com/index.htm

http://www.computable.nl/

http://computerworld.nl/

http://www.automatiseringgids.nl/

http://nvd.nist.gov/home.cfm

https://cloudsecurityalliance.org/

http://cloud-standards.org/

http://www.surecloud.com/index.htm


Pagina 52 van 54

7. Bijlage

7.1 Bijlage 1


Pagina 53 van 54

7.2 Bijlage 2


Pagina 54 van 54

7.3 Bijlage 3

De onderzoeksvraag is “kan de IT auditor omgeving · 2012-09-05 · In figuur 1 zijn vier...

Documents

Transcript of De onderzoeksvraag is “kan de IT auditor omgeving · 2012-09-05 · In figuur 1 zijn vier...