Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht

de beroepsorganisatie van IT-auditors

www.infosecurity.nl

1

Informatieketens vragen om nieuwe

AssuranceINFOSECURITY.NL NOVEMBER 2010

Betrouwbaarheid “by design” of als uitkomst

Ruud J. Mollema RE RA

Werkgroep Ketenauditing


www.infosecurity.nl

Werkgroep Ketenauditing van NOREA, zoekt naar nieuwe wegen

• M. Bosch VWS• A. de Bruijn PwC• W.Geertsma RAD• R. Matthijsse Capgemini• R.J. Mollema HEC• R. Smildiger RAD • B. J. van Staveren UWV• R. Torabkhani AlignNet• M. Welters E&Y

2


www.infosecurity.nl

FEIT

Er speelt zich veel af in het publieke ICT domein

3


www.infosecurity.nl

4

Wat zich ontwikkelt

1. De informatiehuishouding in de publieke sector verandert in hoog tempo 2. Samenwerking en gegevensuitwisseling in ketens en netwerken spelen een

belangrijke rol3. INK bepaalt een groot deel van het speelveld4. Kwaliteit wordt aan het begin van de inrichting van de keten bepaald5. De IT audit beroepsgroep zoekt naar een moderne roldefinitie

en heeft nieuw instrumentarium nodig6. De basis van een modern referentiemodel voor IT auditing en management

review wordt gepresenteerd7. Rol positionering en gedrag zullen ook moeten ontwikkelen8. Leiderschap is kritische succes factor


www.infosecurity.nl

5

Wat gebeurt er binnen de overheid?

Commisie Kohnstam

E-overheid

NORA

Roel Bekker

ICT leveranciers

Manifestgroep

NUP

Organisatie van de Rijksdienst en uitvoering

Betere dienstverlening & minder lasten

Eén Architectuur voor dienstverlening

Een efficiënte, gestandaardiseerde overheid

Een bizar veld van reactie en beïnvloeding

Geen concurrentie op infrastructuren

Invoeringsplan e-overheid voor lagere overheden


www.infosecurity.nl

MENINGEN

Oordelen over performance

6


www.infosecurity.nl

7

Onvoldoende grip op informatievoorziening en IT

• Het huidige stelsel van verantwoording, controle en toezicht is

een in zichzelf gekeerd specialistisch systeem geworden, waarin

uitvoeringsorganisaties zichzelf niet meer herkennen

• Noodzaak tot een andere toepassing van governance met meer aandacht voor

risicomanagement bij de beleidsvorming en meer beslisruimte voor

uitvoeringsorganisaties

• Het terugdringen van de controle-op-controle door een gerichte inrichting van de

architectuur en governance

• IT-governance moet permanent worden ingebed in beleidstrajecten en sw reguliere

planning-en control cyclus (COBIT)

• Opdrachtgeverschap is onvoldoende ontwikkeld

http://www.rekenkamer.nl/cgi-bin/as.cgi/0282300/c/f4home


www.infosecurity.nl

8

Genomen maatregelen als reactie op AR rapport

• Meer structurele aandacht voor de rol van opdrachtgever,

bestuurlijke dimensie en de problematiek rondom samenwerking in

ketens

• Inrichting: versterking van CIO-functie in de organisatie als

beheerder van projectenportfolio en informatiemanagement op de

bestuurlijke agenda

• BZK heeft ter versterking van systeemverantwoordelijkheid de rol

van DGOBR ingericht, maar eigen verantwoordelijkheid van

ministers blijft

• Gateway-methode is als kwaliteitsinstrument ingevoerd en kan

overheid helpen leren en verbeteren, maar is niet gemaakt voor

management control


www.infosecurity.nl

UITDAGING

Wie houdt grip op deze ontwikkelingen?

9


www.infosecurity.nl

10

De rol en bijdrage van IT auditing wordt zelden genoemd

• IT governance staat vaker op de bestuurlijke agenda, want

in hoge mate bepalend voor de outcome voor maatschappelijke

doelstellingen

• De IT audit functie is buiten spel geraakt en wordt niet (meer) gezien

als een vakdeskundige gesprekspartner en als cruciaal onderdeel van

het management control proces

• De IT audit functie heeft een technische connotatie, geen adequate

controlemechanismen maar snoepwinkeltje aan

(verouderde)raamwerken

• Er is nauwelijks wetenschappelijk onderzoek naar moderne

structuren, processen en adequate beoordelingsmodellen voor

assurance in informatieketens


www.infosecurity.nl

11

Complicaties bij oordeelsvorming in informatieketens

• Opdrachtgeverschap binnen ketenverband niet helder

• Autonomie en financiering van overheidsorganisaties

• Gebrek aan integrale ketencoördinatie op bestuurlijk niveau

• Aantal autonome organisaties bij de samenwerking

• Hoge mate van functionele specialisatie van de betrokken organisaties

• Betrokkenheid van verschillende bestuurlijke lagen

• Zoeken naar balans tussen autonomie en integratie (vrijheid in gebondenheid)


www.infosecurity.nl

INFORMATIEKETENS

Een blijvend verschijnsel

12


www.infosecurity.nl

13

Informatieketens in soorten en maten

• Klassieke uitbesteding• Semi-trust• Semi-keten• Echte keten Ketengovernance, de EDP-auditor nummer 1 | 2006


www.infosecurity.nl

14

INK en Competentie

Organisaties ontwikkelen zich volgens INK niveaus en bevinden zich in meerdere niveaus:


www.infosecurity.nl

15

Elk niveau stelt andere eisen en zet ontwikkelingen in gang

1. Activiteitgericht

2. Procesgericht

3. Systeemgericht

4. Ketengericht

• Functiebeschrijvingen• Taakopdrachten• Persoonlijk gereedschap• Effectiviteit

• Procesbeschrijvingen• AO• ERP• Interene optimalitsatie• Productgericht

• Architecturen NORA• Generieke infrastructuren• Samenwerking• Dienstgerichtheid Manifestgroep, NUP• SLA’s

• Servicegerichtheid• Vertrouwen Basisregistraties• Informatieketens• Open infrastructuren• Ontwikkeling van services


www.infosecurity.nl

16

Overheid in INK gevat

• Overheidsorganisaties bevinden zich overwegend in niveau 2

• Ontwikkelingen in e-overheid richten zich voornamelijk op tooling

voor niveau 3

• Ketens veronderstellen van alle partijen niveau 4

• Verschil in volwassenheid bij aanwezige organisaties en competenties

leiden tot aansluitingsproblemen in informatieketens


www.infosecurity.nl

17

Beïnvloeding van informatieketens

NORA

E-OVerheid

Cie Kohnstam

Roel Bekker

ManifestgroepNUP

Forum Standaardisatie

Leveranciers


www.infosecurity.nl

ASSURANCE

Nieuwe onzekerheden vragen om nieuwe antwoorden

18


www.infosecurity.nl

19

Complexiteit + nieuwe actoren = onzekerheid


www.infosecurity.nl

Samenwerking in de publieke sector

20

Ketensamenwerking over de kolommen heen

is het importeren van (politieke) risico’s.

De ketenafhankelijkheden zijn massaal,

de afhankelijkheid van anderen enorm.


www.infosecurity.nl

21

Voorbeeld: de sector Veiligheid

Politie

Veiligheidsregio’s

GHOR

Ambulancezorg

J ustitie

Gemeenten

(anderen)

Meldkamerdomein

Burger & bedrijf

Brandweer

Rampencoördinatie

Defensie

Gezamenlijk domein


www.infosecurity.nl

Assurance in perspectief

22

In den beginne was er alleen maar professional judgement,

later onderbouwd met modellen en normenkaders

Rule-based

Risk-based

Principle-based

PROCESOUTPUT

OUTCOME


www.infosecurity.nl

Assurance en controle in programma’s

23


www.infosecurity.nl

24

Veranderende vraag naar assurance

• Nieuwe vraagstukken door ontwikkelingen• Veel complexiteit• Generieke componenten doorbreken bestaande governance• Focus op diensten en (web)services in plaats van processen

en systemen• Betrouwbaarheid by design• Audit als stuurmiddel i.p.v. verantwoording


www.infosecurity.nl

25

Conclusie: veranderende behoefte aan audit modellen

• Meer complexiteit• Keteninrichting• Verleggen van betrouwbaarheidsvraagstukken naar

ontwerpfase

Vraagt om herindeling en benoeming

van de audit functie en aanvullende assurance

producten voor de Publieke Sector


www.infosecurity.nl

ASSURANCE OVER INFORMATIEKETENS

Nieuwe invalshoeken en domeinen

26


www.infosecurity.nl

INFRASTRUCTUUR

KETENPARTIJ / ORGANISATIE

PROCESSEN

INFORMATIE

OBJECTEN IN DE

KETEN

ONTWIKKELLINGFASE

Wetgeving is altijd de basis

Voorbereiding

Ontwikkeling

Uitvoering

Invalshoek voor assurance in informatieketens naar ontwikkelingsfase

27


www.infosecurity.nl

28

STRATEGIE

STRUCTUUR

UITVOERING

BELEID INFORMATIE TECHNOLOGIE

Assurance breidt zich uit richting uitvoeringsbeleid, want de traditionele ICT is de drager voor verandering geworden

28


www.infosecurity.nl

29

Voor-bereiding

Ontwik-keling

Uitvoering Afbouw

Bestuurlijk-organisatorisch

Wet- en regelgeving

Bedrijfsprocessen

Gegevens en toepassingen

Informatietechniek

Sociaal-organisatorisch

Marketing en Voorlichting

Projectorganisatie

Financieel-economisch

Politiek-strategisch

Aspecten in de lifecycle

Informatiebeveiliging


www.infosecurity.nl

LifecycleCriteria

Voorbereidingsfase Ontwikkelfase Uitvoeringsfase Afbouwfase

Cluster 1 WET•Politiek Strategisch•Bestuurlijk Organisatorisch•Wet- en Regelgeving•Financieel Economisch

Review wetsconcept/AMvBReview KetengovernanceReview Business Case

ProgrammareviewGateway Review

Review Beleid en Doelstellingen MSP

Risico beoordeling beeindiging / overgangAudit afbouw / overgangsplan

Kaderwet ZBO’sWetten op de BasisregistratiesWBP

Richtlijnen Grote ProjectenWetten op de BasisregistratiesMSP / Prince2WBP

COBITITILWBP WBP

Cluster 2 PROCES•Bedrijfsprocessen•Gegevens en Toepassingen•Informatietechniek•Competenties

Review UA / UTAudit informatiemodelAudit toepassing WBPAudit informatiebeveiliging

Risico analysesProject audit / reviewPre-implementatie auditAudit informatiebeveiligingReview ISO 15489/2082

Audit toepassing WBPAudit informatiebeveiligingAudit op systemenAudit op processen Audit op keten(s)Review ISO 15489/2082

Audit toepassing WBPAudit informatiebeveiligingG2G Due DiligenceReview ISO 15489/2082

ArchitecturenArchiefwetNOREA NormenVIR(/BI)

Standaarden CvS ArchitecturenArchiefwetISO 15489/2082C.v.InformatiebeveiligingNOREA NormenVIR(/BI)

BISL / ASLArchiefwetISO 15489/2082C.v.InformatiebeveiligingNOREA NormenVIR(/BI)

ArchiefwetISO 15489/2082C.v.InformatiebeveiligingNOREA NormenVIR(/BI)

Cluster 3 KLANT•Sociaal Organisatorisch•Markteting en Voorlichting•Kanaal- en Klantsturing

Risicoanalyse klantproces Audit op compliance NORA

Richtlijnen DienstverleningNORA

Richtlijnen DienstverleningNORA

Handvest Publieke.Verantwoording.

Assurance in de lifecycle


www.infosecurity.nl

31

Conclusie

1. Verscheidenheid in behoefte aan assurance door de komst van informatieketens leidt tot een diversiteit in vragen en antwoorden

2. Betrouwbaarheid wordt grotendeels in de ontwerpfase bepaald, daarna is het moeilijk nog aan te passen

3. Assurance in ketens is breder dan audit, waardoor de gangbare normenkaders niet meer voldoende zijn


www.infosecurity.nl

Opdrachten voor de beroepsgroep

• ICT-audit zal als dominante factor in de lifecycle van informatieketens aanwezig moeten zijn

• Haar beroepsgroep zal een claim op een aantal leidende assurance producten moeten leggen.

• Voor de overblijvende assurance producten zoals de Gateway Review zal een nieuw assurance regime worden gevonden

32


www.infosecurity.nl

Net als de media industrie, zal de beroepsgroep van ICT-auditors zich aanpassen aan moderne tijden en nieuwe technologieën

33

Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht

Entertainment & Humor

Transcript of Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht