Beheersing van risico’s en controls in ICT-ketens Samenvatting Modellen voor beheersbaarheid en assurance zijn tot dusver intraorganisatorisch van aard. Doordat ICT zich niet beperkt tot de grenzen van organisaties zijn deze modellen niet passend voor het verkrijg van vertrouwen in ICT-ketens. Beheersbaarheid en assurance van ICT-ketens vragen daarom om een nieuwe aanpak. Het TTISC project verschaft deze aanpak door het sturen op de balans in de verdeling van de ketenrisico’s en (verantwoordelijkheid voor) controls. Assurance analyse op basis van deze aanpak kan de initiële opzet en beoordeling van assurance in ICT-ketens waarborgen.
Aanleiding: Assurance in ICT-ketens Er is behoefte aan een (nieuwe) assurance aanpak voor ICT-ketens
Voor het leveren van ICT-ondersteunde diensten (services) wordt in toenemende mate gebruik gemaakt van een keten of netwerk van dienstaanbieders. We spreken dan van een ICT-keten. Het aantal (vitale) ICT-ketens neemt sterk toe. De ICT-ketens worden steeds complexer, enerzijds omdat ze meer functionaliteit ondersteunen, anderzijds omdat er steeds meer partijen (ketenpartners) betrokken zijn. Vanuit het perspectief van een keteninitiator bestaat er behoefte aan een methodiek om zekerheid en sturingsmechanismen te verkrijgen dat er aan een aantal business- en kwaliteitsdoelstellingen wordt voldaan, of wel ICT-keten assurance en governance. ICT-ketens maken gebruik van een keten of netwerk van andere serviceaanbieders. Risico en controls in de keten strekken zich daarbij uit over meerdere organisaties; ze zijn daardoor interorganisatorisch van aard. Voor het opzetten van een systeem van vertrouwen binnen één enkele organisatie (intra-organisatorisch) zijn vele standaarden en raamwerken voorhanden (ISO, NIST COSO, COBIT 5). Raamwerken voor beheersing en controle in ICT-ketens (inter-organisatorisch) daarentegen zijn er nog niet: een nieuwe aanpak is nodig. In dit artikel beschrijven we zo’n nieuwe aanpak, gebaseerd op (het sturen op) de balans in de verdeling van ketenrisico’s en (verantwoordelijkheid voor) controls in ICT-ketens. Voorbeelden van belangrijke ICT-ketens binnen de overheid zijn er te over. Diensten als DigiD en de Overheidstransactiepoort zijn geïmplementeerd in een ICT-keten van veel samenwerkende organisaties. Deze diensten moeten continue in de lucht zijn voor het inklaren van goederen bij de Douane of voor het doen van inkomstenaangifte bij de Belastingdienst en het aanvragen van een uitkering bij het UWV. Terug naar het papieren proces, indien mogelijk, zou leiden tot enorme vertragingen en financiële consequenties. Dat het in dergelijke belangrijke ICT-ketens mis kan gaan werd nog niet zo heel lang geleden duidelijk toen de “service authenticatie en autorisatie” uitviel door de hack bij DigiNotar. In één klap waren de PKIoverheid certificaten van veel overheidsorganisaties ongeldig en was de elektronische dienstverlening van de overheid in gevaar. In het onderzoeksproject TTISC (Towards a Trustworthy ICT Service Chain) werken de Rijksuniversiteit Groningen, IBM, TNO, CWI en Logius samen om voor bovengenoemd probleem van beheersing en control in ICT-ketens een raamwerk te ontwikkelen en te toetsen in de praktijk.
1
Inrichten van ICT-ketens Het realiseren van evenwicht tussen risico- control verdeling binnen ketens
Voor beheersing van ICT-ketens dient de wijze waarop risico’s zich door de keten zijn belegd op een juiste wijze in balans te zijn met de wijze waarop de verantwoordelijkheid voor het nemen van compenserende maatregelen is verdeeld in de keten. Om dit te kunnen beoordelen, introduceren we twee typen assurance distributies voor de ICT-keten (de risico-distributie en de controldistributie), en het assurance profiel: De risico-distributie De risico-distributie beschrijft hoe voor elke schakel in de ICT-keten zijn risico afhankelijk is van (propageert naar) aanpalende ketenschakels: Voor welke risico’s neemt de ketenschakel zelf compenserende (mitigerende) maatregelen?, Voor welk (niveau van) resterende risico’s heeft de ketenschakel nog afhankelijkheid van aanpalende schakels? De risico-distributie beschrijft vanuit het perspectief van de keteninitiator hoe ‘zijn’ risico’s doorwerken in risico-afhankelijkheden in de gehele ‘onderliggende’ keten. De risico-distributies worden op basis van een ordinale schaal onderscheiden, met respectievelijk een Hoog, Medium of Laag gedistribueerd risico. De control-distributie De control-distributie beschrijft hoe elke schakel de verantwoordelijkheid voor het nemen van compenserende (mitigerende) maatregelen verdeelt over andere (aanpalende) ketenschakels in de ICT-keten. Hierbij onderscheiden we drie methoden van control-distributie: Orkestratie: Door een enkele dominante partij worden eisen gesteld (en gemonitord) aan alle toeleverende schakels qua risico beheer, controlemaatregelen en ketenbestuur (implementatie en handhaving); Recursie: Vanuit de keteninitiator gezien besturen de achtereenvolgende ketenschakels elkaar in de gehele service lijn: Schakel A (de initiator) legt eisen qua risico en control op aan partij B, die vervolgens de hiervan afgeleide eisen oplegt aan partij C. Op deze manier beweegt de besturing zich recursief door de keten, waarbij de ketenschakels lokaal verantwoordelijk zijn, op elkaar kunnen rekenen en tevens elkaar kunnen aanspreken. Transparantie: Bij het systeem van transparantie worden de risico-controle maatregelen transparant gemaakt zodat alle partijen kunnen vaststellen dat er voldaan wordt aan de vereisten. Hierdoor is er een gedeelde en inzichtelijke wijze van risico-control distributie binnen de keten. Het assurance profiel Een assurance profiel bevat de ordinale waarden (Hoog, Medium, Laag) voor een set van assurance determinanten voor het ‘achterliggende deel’ van de ICT-keten. Een assurance determinant is daarbij een karakteristiek die elementair is voor het geven van assurance op een deel van de ICT-keten, bijvoorbeeld: informatiedeling, risicodeling, aanpassingsvermogen en informatiebeveiliging. In ICT-ketens moeten de risico-distributies, control-distributies en assurance profielen op goede wijze met elkaar in evenwicht zijn. Het samenspel (triplet) van deze risico-en control-distributies en assurance profielen vormt daarmee de basis (het stuurmiddel) voor ICT-keten beheersing, risicomanagement en governance. Dit triplet is grafisch weergegeven in Figuur 1.
2
Figuur 1: De assurance plot van een ICT-keten, opgebouwd uit een triplet (van risico-distributie, controldistributie en assurance profiel) per relatie.
Een assurance plot zoals weergegeven in figuur 1, geeft de (verdeling van de) risico-distributies, control distributie en assurance profielen over de ICT-keten weer. Bij initiatie van een ICT-keten heeft de keten initiator de mogelijkheid om invloed uit te oefenen hoe de assurance plot er uit dient te zien voor het realiseren van zijn business- of kwaliteitsdoelstelling. We spreken dan van het proces assurance plotting. De keten initiator stelt daarbij de assurance plot met de individuele assurance profielen vast als functie van de risico-distributie en de control-distributie. Een beoordelings-algoritme geeft daarbij aan of de vereiste balans tussen de risico-distributie en de control-distributie daadwerkelijk gerealiseerd is om beheersing van de ICT-keten te kunnen vaststellen.
Het dynamische ICT-keten governance proces Sturing op de beheersing van de doelstelling van de ICT-ketens
Vanuit het perspectief van de keteninitiator is het van belang dat zijn business- en/of kwaliteitsdoelstellingen in de ICT-keten op adequate wijze worden beheerst. Hiervoor dient een dynamisch ICT-keten governance proces te zijn vormgegeven, gericht op effectieve besturing ervan. Voor sturing op ICT-ketenbeheersing maken we gebruik van de welbekende, geaccepteerde, en veelvuldig toegepaste aanpak op basis van de Deming besturingscyclus. Het beschrijft de generieke cyclus van de vier Plan-Do-Check-Act (PDCA) stappen als continue besturingsmethodiek voor de beheersing en continue verbetering van processen en producten. Figuur 2 beschrijft hoe de (generieke) activiteiten uit de vier stappen van de PDCA-cyclus specifiek worden ingevuld voor de governance van beheersing van ICT-ketens met de methodiek van assurance plotting zoals beschreven in dit artikel.
3
Figuur 2: Activiteiten in het proces dynamische ICT-keten governance.
Conclusie Dit artikel is een resultaat van het Nederlands onderzoeksproject TTISC dat werkt aan een assurance raamwerk voor ICT-keten beheersing en controle, in combinatie met de promotiestudie van de eerste auteur van dit artikel aan dit onderwerp. We zijn van mening dat deze methodiek en het governance proces een solide basis kunnen vormen voor het beheersen en assurance geven op ICTketens op een breed spectrum aan business- of kwaliteitsdoelstellingen. De praktische invulling en haalbaarheid van de methodiek willen we in vervolgonderzoek verder uitwerken. Wij roepen hierbij organisaties op om samen met ons deze methodiek voor beheersing van ICT-ketens verder te valideren.
4
PERSONLIA Drs Y.W. (Ype) van Wijk RE RA is werkzaam bij de Rijksuniversiteit Groningen voor het TTISC project. Daarnaast is hij werkzaam als promovendus op het gebied van assurance in ICT-ketens, hetgeen gericht is op de ontwikkeling van het assurance raamwerk voor ICT-enabled service ketens. E-mailadres:
[email protected] Dr. Ir. H.J.M. (Harrie) Bastiaansen is senior consultant bij TNO. Hij heeft veel ervaring in het adviseren over enterprise architectuur en over de organisatie, processen en techniek voor integratie omgevingen in grote en complexe omgevingen. In de recente jaren is zijn aandacht uitgebreid naar IT-besturing. Daarbij heeft hij recentelijk succesvol zijn opleiding tot IT-Auditor aan de Erasmus Universiteit Rotterdam afgerond. E-mailadres:
[email protected].
5
