De waarde van IT Security

De waarde van IT Security

Studenten:

Auke Geerts en Geert Waardenburg

Afstudeerbegeleider:

Drs. R.C. Christiaanse RA

Bedrijfscoach:

Drs. E.P. Rutkens RE

Examencommissie:

Prof. dr. Ir. R. Paans RE en P. Harmzen RE RA

Amsterdam, 31 maart 2008

Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

2

Voorwoord Deze scriptie is geschreven in het kader van het afstudeerproject van de Postgraduate IT Audit Opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Wij hebben ons onderzoek gericht op de relatie tussen IT security en het behalen van de organisatiedoelstellingen. Het doel was om vast te stellen in hoeverre het van belang is voor een organisatie om de IT security op orde te hebben in het kader van realiseren van de organisatiedoelstellingen. De vraagstelling van ons onderzoek luidt ‘In hoeverre is de mate van IT security van invloed op het behalen van de bedrijfsdoelstellingen’. Vanuit de Vrije Universiteit is de heer Rob Christiaanse betrokken bij de totstandkoming van het onderzoek en de scriptie. Wij willen hem bedanken voor het meedenken, het stellen van kritische vragen en de tijd die hij voor ons beschikbaar stelde. De ‘klankbordgesprekken’ en opmerkingen hebben een wezenlijke bijdrage geleverd aan de kwaliteit van ons onderzoek. Wij willen de heer Erik Rutkens (KPMG) bedanken voor zijn constructieve opmerkingen ten aanzien van de onderzoeksaanpak, de verwerking hiervan en de conclusies van ons onderzoek. Amsterdam, maart 2008

Auke Geerts Geert Waardenburg


3

Management samenvatting Wat is de toegevoegde waarde van het op orde hebben van de IT security voor het behalen van de doelen van een organisatie? Waarom dient het management aandacht en schaarse middelen te besteden aan de beschikbaarheid, integriteit en vertrouwelijkheid van de ITmiddelen? De urgentie van een goede IT security is niet altijd duidelijk dan wel duidelijk te maken voor het management van een organisatie. Dit, omdat IT security niet gezien wordt als een onderwerp dat waarde creëert voor de stakeholders van de organisatie. Organisaties hebben bestaansrecht omdat ze waarde creëren voor hun stakeholders. Om deze waarde te creëren definiëren organisaties doelstellingen. Een belangrijke maatstaf om de realisatie van de organisatiedoelstellingen te meten is de mate van IT-business alignment. Uit onderzoek blijkt dat organisaties die hun IT-business alignment op een hoger niveau hebben succesvoller zijn in het realiseren van de organisatiedoelstellingen. In opdracht van het management of als gevolg van wettelijke vereisten worden IT-audits uitgevoerd. Hierbij wordt onder meer de beschikbaarheid, integriteit en vertrouwelijkheid van informatie beoordeeld. Bevindingen naar aanleiding van IT-audits worden gedeeld met het management, maar er wordt niet altijd prioriteit gegeven aan het oplossen van de bevindingen. Dit is opmerkelijk aangezien beschikbaarheid, integriteit en vertrouwelijkheid van informatie van cruciaal belang zijn bij het nemen van managementbeslissingen. Om een uitspraak te kunnen doen over de mate waarin IT security invloed heeft op de realisatie van de bedrijfsdoelstellingen is er een onderzoek uitgevoerd met de volgende vraagstelling: In hoeverre is de mate van IT security van invloed op het behalen van de bedrijfsdoelstellingen. Omdat IT-business alignment een belangrijke maatstaf is om de realisatie van deze bedrijfsdoelstellingen te meten, is in dit onderzoek de relatie tussen IT-business alignment en IT security in kaart gebracht. Allereerst is IT-business alignment gedefinieerd. Dit is gedaan aan de hand van twee modellen voor IT-business alignment. Het eerste model, van Van Grembergen beoordeelt de randvoorwaardelijke aspecten die aanwezig moeten zijn voor een bepaalde mate van ITbusiness alignment. Het tweede model van Luftman beoordeelt de resultante van een bepaalde mate van IT-business alignment. Vervolgens is IT security gedefinieerd als de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. De relatie tussen deze twee, IT-business alignment en IT security, is in kaart gebracht door te beoordelen in hoeverre in de modellen aandacht wordt besteed aan (aspecten van) IT security. Geconcludeerd kan worden dat er een relatie is tussen IT security en IT-business alignment. Met name het aspect beschikbaarheid is van invloed op de mate van IT-business alignment. Beschikbaarheid van informatie is niet alleen een belangrijke randvoorwaarde voor een grotere mate van IT-business alignment, maar bepaalt ook het resultaat van IT-business alignment.


4

Inhoudsopgave MANAGEMENT SAMENVATTING .....................................................................................................................4 HOOFDSTUK 1 ONDERZOEKSAANPAK ..............................................................................................................6 1.1 ACHTERGROND ................................................................................................................................................. 6 1.2 PROBLEEMSTELLING........................................................................................................................................... 6 1.3 CONCEPTUEEL MODEL EN DEELVRAGEN.................................................................................................................. 6 1.4 SCOPE............................................................................................................................................................. 8 1.5 ONDERZOEKSAANPAK ........................................................................................................................................ 8 HOOFDSTUK 2 IT-BUSINESS ALIGNMENT .........................................................................................................9 2.1 INLEIDING ........................................................................................................................................................ 9 2.2 DEFINITIE ........................................................................................................................................................ 9 2.3 MODELTYPE ................................................................................................................................................... 10 2.4 MODELLEN .................................................................................................................................................... 10 2.5 CONCLUSIE .................................................................................................................................................... 12 HOOFDSTUK 3 UITWERKING MODELLEN IT-BUSINESS ALIGNMENT ............................................................... 13 3.1 STRATEGIC ALIGNMENT MODEL (VENKATRAMAN, HENDERSON) ............................................................................... 13 3.2 LUFTMAN STRATEGIC ALIGNMENT MATURITY ASSESSMENT .................................................................................... 15 3.3 VAN GREMBERGEN BALANCED SCORE CARD ........................................................................................................ 18 HOOFDSTUK 4 IT SECURITY ............................................................................................................................ 22 4.1 INLEIDING ...................................................................................................................................................... 22 4.2 DEFINITIE ...................................................................................................................................................... 22 HOOFDSTUK 5 SCORE MODELLEN IT-BUSINESS ALIGNMENT ......................................................................... 24 5.1 METHODE ..................................................................................................................................................... 24 5.2 RESULTATEN .................................................................................................................................................. 25 HOOFDSTUK 6 CONCLUSIE ............................................................................................................................. 28 6.1 DEELVRAGEN.................................................................................................................................................. 28 6.2 CONCLUSIE .................................................................................................................................................... 29 6.3 EVALUATIE ..................................................................................................................................................... 29 LITERATUURLIJST ........................................................................................................................................... 30


5

Hoofdstuk 1 Onderzoeksaanpak 1.1 Achtergrond Organisaties hebben bestaansrecht doordat ze waarde creëren voor hun stakeholders. Dit kunnen aandeelhouders zijn, maar ook andere belanghebbenden binnen en buiten de organisatie. Om deze waarde te creëren formuleren organisaties doelstellingen. Deze organisatiedoelstellingen kunnen financieel van aard zijn, maar ook niet-financiële doelstellingen zijn mogelijk. Over het algemeen is het zo dat er een positieve correlatie is tussen de mate waarin de organisatiedoelstellingen worden bereikt en de waarde die gecreëerd wordt voor de stakeholders van de organisatie. Een belangrijke maatstaf om de realisatie van de organisatiedoelstellingen te meten is de mate van IT-business alignment1. Organisaties die hun IT-business alignment op een hoger maturity-level hebben zijn succesvoller in het realiseren van de organisatiedoelstellingen. Vanuit het IT-audit vakgebied is er veel aandacht voor de beveiliging van de IT-omgeving (IT security). Dit omdat de beveiliging hiervan van invloed is de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Bevindingen naar aanleiding van IT-audits worden gedeeld met het management, maar er wordt niet altijd prioriteit gegeven aan het oplossen van de bevindingen. Dit is opmerkelijk aangezien beschikbaarheid, integriteit en vertrouwelijkheid van informatie van cruciaal belang is bij het nemen van managementbeslissingen. In dit onderzoek wordt onderzocht of er een relatie is tussen de mate van realisatie van de organisatiedoelstellingen en het niveau van IT security van de organisatie.

1.2 Probleemstelling Het onderzoek heeft de volgende doelstelling: Het doen van een uitspraak over de relatie tussen de mate van IT security en de realisatie van de bedrijfsdoelstellingen Om deze doelstelling te realiseren en een uitspraak te doen over de relatie tussen IT security en de realisatie van de organisatiedoelstellingen hebben we de volgende vraagstelling gedefinieerd: In hoeverre is de mate van IT security van invloed op de mate van IT-business alignment?

1.3 Conceptueel model en deelvragen Het conceptueel model wordt gebruikt om het probleemgebied te definiëren en te verhelderen. Het model beantwoordt de vraag welke relaties er tussen de verschillende

1

Cobit 4.1, IT governance Institute, 2007 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

6

aspecten liggen. Volgens De Leeuw2 kan het conceptueel model gezien worden als de bril waarmee de werkelijkheid wordt beschouwd. Zie figuur 1 voor het conceptueel model. Onderliggend probleem is het feit dat de (toegevoegde) waarde en relevantie van IT security niet goed kan worden uitgedrukt. In dit onderzoek zal onderzocht worden of IT security toegevoegde waarde heeft. Dit wordt gedaan door de relatie tussen IT-business alignment en IT Security te onderzoeken. Doordat de mate van IT-business alignment invloed heeft op de realisatie van de organisatiedoelstellingen heeft de aanwezigheid van een relatie tussen IT-business alignment en IT security direct impact op de mate van realisatie van de organisatiedoelstellingen.

Figuur 1 Conceptueel model

De relatie tussen IT-business alignment en IT security werkt twee kanten op. Hierdoor worden de volgende deelvragen onderzocht: 1. Welke geschikte methoden zijn er om de mate van IT-business alignment te meten? 2. Heeft de mate van IT security invloed op de mate van IT-business alignment? 3. Heeft de mate van IT-business alignment invloed op de mate van IT security?

2

Leeuw, A.C.J. de, Bedrijfskundige methodologie: management van onderzoek, Assen, Van Gorcum en Comp., 1996 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

7

1.4 Scope In ons onderzoek willen we ons richten op de relatie tussen IT-business alignment en IT security. De relatie tussen IT-business alignment en de organisatiedoelstellingen zal niet worden onderzocht.

1.5 Onderzoeksaanpak Om de onderzoeksvraag te beantwoorden willen we een literatuurstudie uitvoeren. De scriptie is daarbij ingericht zoals uitgewerkt in figuur 2. Allereerst wordt in hoofdstuk 2 IT-business alignment gedefinieerd. Deze definitie zal in dit onderzoek gehanteerd worden. Daarna worden kort de beschikbare modellen voor ITbusiness alignment geïnventariseerd. In hoofdstuk 3 wordt een aantal van deze modellen in detail uitgewerkt. Deze modellen worden gebruikt om de onderzoeksvraag te beantwoorden. Vervolgens zal in hoofdstuk 4 het begrip IT security gedefinieerd worden. Dit wordt gedaan aan de hand van de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. In hoofdstuk 5 wordt een analyse gemaakt waar de geselecteerde modellen zullen worden beoordeeld aan de hand van de aspecten zoals gedefinieerd in hoofdstuk 4. Tenslotte zal in hoofdstuk 6 de conclusie getrokken worden. Hierbij wordt een antwoord gegeven op de onderzoeksvraag.

Figuur 2 Structuur scriptie


8

Hoofdstuk 2 IT-business alignment In dit hoofdstuk zal IT-business alignment aan de orde komen. Na een korte introductie wordt de definitie gegeven die gehanteerd zal worden in dit onderzoek. Vervolgens zullen de belangrijkste modellen voor IT-business alignment behandeld worden en wordt er een selectie gemaakt van de modellen die bruikbaar zijn.

2.1 Inleiding In veel organisaties worden grote investeringen in informatie technologie gedaan. De waarde en resultaten van deze investeringen zijn echter vaak moeilijk of niet te meten. Daarnaast is het zo dat veel projecten mislukken. Bij IT-business alignment is het uitgangspunt om de resultaten van deze investeringen te maximaliseren door het optimaliseren van de relatie tussen de IT en de business.

2.2 Definitie Om de resultaten van investeringen te kunnen meten is het noodzakelijk om een eenduidige definitie te hanteren. De waarde van IT moet inzichtelijk gemaakt worden. Als definitie voor IT-business alignment gebruikt Strassmann3 de volgende: Alignment is de mogelijkheid om een positieve relatie te laten zien tussen informatie technologie en de financiële prestatiemaatstaven. De definitie van Luftman4 richt zich meer op de mate van realisatie van de bedrijfsstrategie: Alignment is de manier waarop informatie technologie op een juiste en tijdige manier wordt toegepast, in lijn met de bedrijfsstrategie, -doelstellingen en –behoeften. Deze definitie van Luftman wordt verder uitgewerkt door Poels5: IT-business alignment is de beste manier waarop IT middelen kunnen worden ingezet om bedrijfsdoelstellingen te realiseren. Hierbij wordt de IT primair als ondersteunend aan het bedrijfsproces gezien, maar ook als een manier om nieuwe producten en diensten voor de organisatie mogelijk te maken. Dit resulteert in een situatie waarbij de business de IT beïnvloedt en andersom. IT middelen zijn gegevens, toepassingen, opslag- en verwerkingsfaciliteiten, communicatiefaciliteiten en specialisten. De definitie van Poels wordt in dit onderzoek gehanteerd als definitie voor IT-business alignment.

3

Strassman, P., Cutter IT Journal, What is Alignment, 1998

4

Luftman, J., communications of AIS, assessing business-IT alignment maturity, 2000

5

Poels, R.P.W, Beïnvloeden en meten van business-IT alignment, proefschrift Vrije Universiteit, 2006 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

9

2.3 Modeltype De modellen die we hebben aangetroffen in de literatuur vallen onder te verdelen in modellen die de input beoordelen en modellen die de output beoordelen, zie figuur 3. Onder een input-model verstaan we een model die de randvoorwaarden die aanwezig moeten zijn beoordeelt. Een output-model is een model die beoordeelt in hoeverre verwachte uitkomsten aanwezig zijn.

Figuur 3 IT-business alignment proces

Voor IT-business alignment geldt dat modellen die de input beoordelen een oordeel geven over de randvoorwaardelijke aspecten die aanwezig moeten zijn binnen een organisatie. Modellen die de output beoordelen geven daarentegen een oordeel over de resultante van ITbusiness alignment binnen een organisatie.

2.4 Modellen Poels geeft aan dat er een beperkt aantal modellen voor IT-business alignment zijn. Één van de eerste en belangrijkste modellen is het model van Henderson en Venkatraman. In dit model worden vier perspectieven beschreven ten aanzien van de afstemming tussen de bedrijfs- en de IT-strategie. Bij het bepalen van de mate van IT-business alignment wordt rekening gehouden met de onderlinge relaties tussen de verschillende perspectieven. De vier perspectieven van het model zijn bedrijfsstrategie, IT-strategie, organisatiestructuur en processen en IT infrastructuur en processen. Aan de hand van de output van IT-business alignment geeft dit model een oordeel over de mate van IT-business alignment. Luftman heeft het model van Henderson en Venkatraman verder uitgewerkt in het ITbusiness alignment maturity model. Dit model is één van de weinige modellen dat concreet gemaakt wordt op een niveau dat het toepasbaar is om de mate van IT-business alignment binnen een organisatie te meten. Met behulp van het model van Luftman kan de mate van ITbusiness alignment bepaald worden door op zes verschillende vlakken de organisatie te beoordelen. Hierbij gaat het om communicatie, managementinformatie, governance, partnership, scope en architectuur en skills. Het model van Luftman geeft een oordeel over de mate van IT-business alignment aan de hand van de output van IT-business alignment. Van Grembergen heeft op basis van de financiële en de IT balanced scorecard een balanced scorecard ontwikkeld voor het meten van IT business alignment. In het model worden de perspectieven corporate contribution, customer orientation, operational excellence en future orientation benoemd. Voor elk van deze perspectieven zijn een aantal factoren bepaald. Bij het bepalen van de mate van IT-business alignment worden de organisatie voor deze factoren


10

gescoord naar mate van maturity. Dit model geeft aan de hand van de randvoorwaarden die aanwezig zijn een oordeel over de mate van IT-business alignment. Daarnaast heeft Maes6 het negenvlak ontwikkeld. In dit model wordt onderscheid gemaakt tussen enerzijds de strategie, de structuur en de uitvoering, en anderzijds tussen de business, informatie/communicatie en de technologie, zie figuur 4. Dit model blijft echter op een hoog abstractieniveau en is nog niet praktisch ingevuld.

Figuur 4 negenvlak van Maes

Business Information Services Library (afgekort BiSL) is een framework voor het uitvoeren van informatiemanagement en functioneel beheer. In BiSL staat beschreven hoe een gebruikersorganisatie ervoor kan zorgen dat de informatievoorziening adequaat werkt en hoe men behoeften in het bedrijfsproces vertaalt naar ICT-oplossingen en niet-ICT-oplossingen. Verder wordt beschreven hoe men de informatievoorziening en ICT-dienstverlening vanuit een gebruiksoptiek stuurt en hoe men de informatievoorziening op lange termijn vormgeeft. Cobit is een best practice, ontwikkeld door het IT governance institute. Cobit onderscheid een IT management cyclus die bestaat uit de fasen plan and organise, acquire and implement, deliver and support en monitor and evaluate. Cobit heeft voor elk van deze fasen een aantal controledoelstellingen benoemd. Bij het beoordelen van de organisatie moet voor elk van deze controledoelstellingen bepaald worden in hoeverre deze wordt gehaald. De focus van Cobit ligt op het beheersen van de IT processen en het voldoen aan de vraag vanuit de business.

6

Maes, R., Informatiemanagement in kaart gebracht, 2003 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

11

2.5 Conclusie In het volgende hoofdstuk worden de modellen van Henderson & Venkatraman, Luftman en Van Grembergen verder uitgewerkt. Deze modellen voldoen aan de definitie zoals die in dit onderzoek gehanteerd wordt. Daarnaast zijn deze modellen voldoende praktisch toepasbaar gemaakt, zodat ze geschikt zijn om te beoordelen in hoeverre IT security een onderdeel is van IT-business alignment. Het model van Maes en BISL worden niet meegenomen omdat deze modellen op een hoog abstractieniveau blijven, waardoor ze nog niet praktisch toepasbaar gemaakt kunnen worden. Cobit wordt niet verder meegenomen omdat Cobit IT beschouwt als een middel om de vraag vanuit de business te vervullen. Hierbij wordt voorbijgegaan aan het feit dat er een wisselwerking bestaat tussen IT en de business. Gezien de definitie van IT-business alignment die als uitgangspunt genomen wordt, ‘de beste manier waarop IT middelen kunnen worden ingezet om bedrijfsdoelstellingen te realiseren’, is Cobit een model wat zich slechts richt op een deelaspect van het brede spectrum dat IT-business alignment omvat.


12

Hoofdstuk 3 Uitwerking modellen IT-business alignment In dit hoofdstuk worden de verschillende modellen voor IT-business alignment besproken. Achtereenvolgens worden de modellen van Venkatraman & Henderson, Luftman en Van Grembergen uitgewerkt.

3.1 Strategic alignment model (Venkatraman, Henderson) 3.1.1 Inleiding Het Strategic Alignment Model van Venkatraman en Henderson biedt bedrijven ondersteuning bij het afstemmen van de bedrijfsstrategie op de IT-strategie. Door Luftman wordt het Strategic alignment model van Venkatraman en Henderson (1993) het ‘founding fathers model’ op het gebied van IT business alignment genoemd7. In een groot aantal modellen die de alignment tussen business en IT behandelen wordt verwezen naar het Strategic alignment model en wordt dit het bekendste model genoemd8. 3.1.2 Model Afstemming tussen business en IT vindt volgens Venkatraman en Henderson plaats op twee niveaus, op een strategisch niveau en een operationeel niveau. Door onderscheid te maken in de business en de IT en een strategisch alignment niveau en een operationeel alignment niveau ontstaan vier kwadranten, zie figuur 5.

Figuur 5 IT-business alignment maturity model

Venkatraman en Henderson wijzen niet alleen op het belang van deze kwadranten, maar vooral ook op de onderlinge relaties tussen de kwadranten, zie figuur 6. Het Strategic alignment model maakt het mogelijk om de doelstellingen en de activiteiten van de IT-afdeling te analyseren en te vergelijken met de algehele organisatiedoelstellingen.

7

Luftman, J., information systems management, Assessing IT/Business Alignment, 2003

8

Maes, R., Redefining business – IT alignment through a unified framework, 2000 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

13

Venkatraman en Henderson beschrijven in hun model vier perspectieven ten aanzien van de afstemming tussen de bedrijfs- en de IT-strategie. De vier perspectieven zijn:

Business strategy

Organisational infrastructure and processes

IT Strategy

IT infrastructure and processes

Figuur 6 Perspectieven ten aanzien van afstemming bedrijfsstrategie en strategie ICT

3.1.3 Uitwerking model 1. Business strategy: Als startpunt in de organisatie geldt de bedrijfsstrategie. Op basis van de bedrijfsstrategie wordt de organisatie ingericht en wordt de invulling van ITinfrastructuur bepaald. De bedrijfsstrategie wordt grotendeels bepaald door een drietal onderwerpen, te weten de business scope, de mate waarin een organisatie zich kan onderscheiden van haar concurrenten en de business governance. De business scope geeft aan welke producten op welke markten voor welke klanten worden geproduceerd. Als drivers voor dit perspectief en de realisatie van de business strategy noemen Venkatraman en Henderson de rol van het topmanagement en het management van de informatiesystemen. 2. Organisational infrastructure and processes: ICT helpt de organisatie mee in het behalen van de doelstellingen door het ondersteunen van de bedrijfsprocessen. ICT is faciliterend ten opzichte van de organisatie. In dit perspectief zijn van belang de wijze waarop de organisatie ingericht is, de wijze waarop de bedrijfsprocessen zijn ingericht en de capaciteiten van het personeel om de taken, die de bedrijfsstrategie ondersteunen goed uit te voeren.


14

3. IT Strategy: Uitgangspunt in dit perspectief is dat de ICT-strategie dient te passen in en aan te sluiten op de bedrijfsstrategie. Alleen als deze aansluiting er is kan ICT een zinvolle bijdrage leveren aan het behalen van de organisatiedoelstellingen. Binnen dit perspectief zijn van belang de mogelijkheden van de aanwezige IT, de mate waarin IT middels onderscheidende kenmerken bijdraagt aan nieuwe van een nieuwe bedrijfsstrategie of de huidige bedrijfsstrategie beter kan ondersteunen. 4. IT infrastructure and processes: Centraal in dit perspectief staan, evenals in het perspectief Organisational infrastructure and processes, de architectuur, de processen en de capaciteiten. In dit perspectief gaat het niet om de algehele bedrijfsarchitectuur, de bedrijfsprocessen en de bedrijfscapaciteiten, maar om de IT-architectuur, en om de ITprocessen en IT-capaciteiten.

3.2 Luftman Strategic Alignment Maturity Assessment 3.2.1 Inleiding Één van de bekendste modellen voor het bepalen van de IT-business alignment is het strategic alignment maturity model van Luftman. Het maturity model van Luftman is ontwikkeld in 2000 en is het eerste model waarmee de maturity van de IT-business alignment van een organisatie bepaald kan worden. Het model van Luftman wordt door Tapia gezien als één van de beste voorbeelden van een model om de mate van IT-business alignment te bepalen9. Daarnaast dekt het model van Luftman volgens Poels het brede spectrum van alignment10. Het model van Luftman focust zich op de beoordeling van de resultaten van IT-business alignment. Luftman heeft het model gevalideerd door het model te toetsen bij 25 Fortune-500 bedrijven en 6 Fortune-200 bedrijven. 3.2.2 Model Zie figuur 7 voor het model voor IT-business alignment. De zes aspecten zoals die in het model benoemd worden, zijn verder uitgewerkt in paragraaf 3.2.3. In het model zijn de zes aspecten geconcretiseerd met een aantal criteria die van invloed zijn op de mate van ITbusiness alignment. De vervolgstap is dat voor elk van de zes aspecten de maturity bepaald wordt. Hierbij wordt er onderscheid gemaakt tussen 5 maturity levels: initial/ad hoc (1), committed (2),established focussed (3), improved/managed (4) en optimized (5). Een organisatie kan bijvoorbeeld op niveau 1 zijn wat betreft communicatie, maar qua governance op niveau 4 zitten.

9

Tapia, R.S., A value-based maturity model for IT alignment in networked businesses, 2007

10

Poels, R.P.W, Beïnvloeden en meten van business-IT alignment, proefschrift Vrije Universiteit, 2006 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

15

Figuur 7 IT-business alignment model

3.2.3 Uitwerking model Luftman ziet IT-business alignment als de manier om informatietechnologie op een juiste manier toe te passen. Dit is in lijn met de bedrijfsstrategie, -doelen en –behoeften. Een volwassen niveau van alignment is de situatie dat de IT en de business hun strategieën op elkaar aanpassen. Alignment is gedefinieerd als de beoordeling van effectiviteit (de goede dingen doen) en efficiëntie (de dingen goed doen). Als je de maturity van de IT-business alignment weet, als organisatie, dan weet je ook op welke aspecten je kan verbeteren. Luftman heeft in eerder onderzoek een aantal factoren geïdentificeerd die remmend, dan wel stimulerend zijn voor de IT-business alignment in een bedrijf, zie tabel 1.


16

Stimulerende factoren

Remmende factoren

Senior management support voor IT IT en de business hebben geen goede relatie IT betrokken bij ontwikkeling van strategie

IT prioritiseert niet goed

IT begrijpt de business

IT kan beloften niet nakomen

Partnership business-IT

IT begrijpt de business niet

IT projecten worden goed geprioritiseerd

Senior management support IT niet

IT laat leiderschap zien

IT management laat geen leiderschap zien

Tabel 1 Stimulerende en Remmende factoren IT-business alignment

Uit de tabel valt op te merken dat een aantal onderwerpen zowel bij de stimulerende als remmende factoren horen. Het model wat Luftman heeft ontwikkeld kent twee dimensies. De eerste dimensie zijn de maturity niveaus. Luftman onderscheid de volgende maturity niveaus: 1. Initial/Adhoc process 2. Committed Process 3. Established Focused Process 4. Improved/Managed Process 5. Optimized process. De tweede dimensie die het model heeft, zijn de zes criteria voor business alignment. Dat zijnde volgende aspecten: 1. Communicatie Effectieve uitwisseling van ideeën en een duidelijk begrip van wat nodig is om een succesvolle strategie te bereiken zijn belangrijke aspecten om alignment te bereiken. Te vaak is er te weinig begrip van de business bij IT en te weinig waardering voor IT aan de kant van de business. 2. Managementinformatie Het is van belang dat de IT organisatie haar waarde kan laten zien aan de business. Dit moet gedaan worden in termen die voor de business begrijpelijk en beïnvloedbaar zijn. Dit kan bijvoorbeeld door service levels af te spreken. Deze service levels moeten worden uitgedrukt in termen die de business begrijpt en accepteert.


17

3. Governance Dit aspect gaat over de wijze waarop IT wordt ingezet om de ondernemingsdoelstellingen te bereiken en de wijze waarop besluitvorming over prioriteiten en resources plaatsvindt. Er moet formeel overleg zijn tussen de business en IT waarin prioriteiten en resource-toewijzing wordt besproken. Dit is een belangrijk aspect die de mate van alignment bepaalt. Dit besluitvormingsorgaan moet helder gedefinieerd worden. 4. Partnership Het is van belang om een gelijke verantwoordelijkheid te geven aan IT en de business om de strategie te definiëren. Daarnaast moet de partnership van IT en business tot een punt komen dat IT veranderingen in bedrijfsprocessen mogelijk maakt, maar ook initieert. Verder is het zo dat er vertrouwen over en weer moet zijn. 5. Scope and Architectuur Hier gaat het erom in hoeverre IT de volgende punten kan realiseren: a. Een rol aannemen waarin een flexibele infrastructuur, transparant voor de business, verzorgd wordt. b. Nieuwe technologieën evalueren en effectief toepassen c. Het enablen en sturen van bedrijfsprocessen en strategieën d. Oplossingen aanbieden die toegepast zijn aan de behoeften van de business 6. Skills Hierbij gaat het behalve traditionele zaken als training, salaris, feedback op prestaties en carrièremogelijkheden ook om de organisatie cultuur en de sociale omgeving van de organisatie. Het gaat er om dat de organisatie snel kan inspelen op veranderingen in de markt en in staat zijn van elkaar te leren met als doel elkaar te inspireren om te komen tot innovaties in producten en diensten. Deze aspecten zijn de basis voor het model om de maturity voor IT business alignment te bepalen. Voor elk van deze aspecten wordt vervolgens het maturity niveau bepaald. Hierdoor is het voor een organisatie mogelijk om te identificeren waar aandachts- en verbeterpunten liggen.

3.3 Van Grembergen Balanced Score Card 3.3.1 Inleiding De balanced scorecard van Kaplan en Norton is ontwikkeld vanuit het idee dat de prestaties van een organisatie breder beoordeeld moeten worden dan alleen op basis van financiële resultaten11. Naast de financiële resultaten wordt er bijvoorbeeld gekeken naar klantbelangen, interne processen en het innovatievermogen. Dit principe is toegepast door van Grembergen

11

Van Grembergen, W., Aligning Business and Information Technology through the Balanced Scorecard at a Major Canadian Financial Group: its Status Measured with an IT BSC Maturity Model, 2001 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

18

op de beoordeling van de mate van IT-business alignment. Het model is toegepast en getest door van Grembergen bij een grote financiële instelling. Het model van Van Grembergen focust zich met name op de aanwezigheid van randvoorwaarden die aanwezig moeten zijn voor een goede IT-business alignment. 3.3.2 Model Zie figuur 8 voor de business balanced scorecard van Van Grembergen. Dit model wordt verder uitgewerkt in paragraaf 3.3.3.

Figuur 8 IT-business alignment Balanced Scorecard

3.3.3 Uitwerking model Van Grembergen heeft bij het ontwikkelen van de balanced scorecard om de mate van ITbusiness alignment te bepalen eerst onderzocht welke stakeholders welke vragen hebben. Dit is samengevat in figuur 9.


19

Figuur 9 Belangrijke vragen stakeholders

De doelstellingen die de balanced scorecard voor IT-business alignment heeft zijn de volgende: -

Laat de toegevoegde waarde van de IT organisatie zien

-

Zorg ervoor dat de IT plannen in lijn zijn met de strategie

-

Zorg ervoor dat de effectiviteit van IT gemeten kan worden

-

Zorg ervoor dat de prestaties van IT inzichtelijk gemaakt worden

Om deze doelstellingen te bereiken is er gekozen voor een balanced scorecard met de volgende gebieden: 1. Corporate contribution Dit onderdeel van de balanced scorecard kijkt naar IT vanuit de bril van de raad van bestuur en aandeelhouders. De belangrijkste onderwerpen hier zijn de bijdrage die IT levert aan het realiseren van de strategie, de mate waarin IT aan kostenbesparing en het behalen van synergievoordelen bijdraagt, de waarde van IT projecten en de gerealiseerde financiële resultaten, waarbij gekeken wordt naar budgetten en daadwerkelijke uitgaven. 2. Customer Orientation Het klant perspectief kijkt vanuit de interne gebruikers naar IT. Belangrijke punten zijn klanttevredenheid, IT/business partnership, resultaten van applicatieontwikkeling, en de mate van realisatie van afgesproken service levels. 3. Operational Excellence Hierbij wordt gekeken vanuit het gezichtspunt van IT management, en audit en regulerende instanties. Hierbij wordt gekeken naar de inrichting van de IT processen (ITIL), de tijdigheid waarmee IT in staat is om producten en diensten te leveren en de mate waarin IT in staat is om risico’s in nieuwe en bestaande technologieën te identificeren en af te dekken. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

20

4. Future Orientation Dit perspectief focust zich op de prestatie van de IT organisatie vanuit het perspectief van de IT organisatie zelf. Belangrijke onderdelen die beoordeeld worden zijn de proces verbeteringen, het vermogen om goed personeel te behouden en door te ontwikkelen en het vermogen om nieuwe technologieën in te zetten. Om deze gebieden te beoordelen wordt er gebruik gemaakt van maturity niveaus. De volgende 5 niveaus worden onderscheiden: 1. Initial 2. Repeatable 3. Defined 4. Managed 5. Optimized


21

Hoofdstuk 4 IT Security In dit hoofdstuk wordt het begrip IT security gedefinieerd. Dit met als doel in hoofdstuk 5 aan te kunnen geven in hoeverre IT security te maken heeft met IT-business alignment.

4.1 Inleiding Organisaties maken gebruik van verschillende (bedrijfs)middelen om hun doelstellingen te behalen. Voorbeelden van bedrijfsmiddelen zijn personeel, machines, informatie en gebouwen. Informatie kan voor veel organisaties gezien worden als een belangrijk bedrijfsmiddel. Denk maar eens aan de managementinformatie op basis waarvan de directie haar beslissingen neemt. Informatie bestaat in verschillende vormen, zoals op papier, elektronisch opgeslagen of mondeling overgedragen. Informatie is van grote waarde en zal dus, in de verschillende vormen, op passende wijze beveiligd moeten worden. In de huidige situatie maken veel organisaties voor de verwerking, opslag en communicatie van gegevens gebruik van informatie- en communicatietechnologie (ICT). Het gebruik van ICT leidt tot nieuwe risico’s voor de beveiliging van informatie. Doordat gegevens digitaal kunnen worden verstuurd is het risico toegenomen dat belangrijke bedrijfsinformatie in ongewenste handen valt. Organisaties en hun informatiesystemen worden geconfronteerd met diverse beveiligingsrisico’s. Hierbij kan worden gedacht aan computerfraude, spionage, brand en computervirussen. Daarnaast is het een risico dat beslissingen op basis van onjuiste informatie genomen worden. Deze bedreigingen kunnen leiden tot het niet behalen van de organisatiedoelstellingen.

4.2 Definitie De definitie van IT security luidt als volgt: ”Het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de betrouwbaarheid van het informatievoorzieningsproces”. Het begrip betrouwbaarheid kan verder worden ingedeeld in:

Beschikbaarheid

Integriteit

Vertrouwelijkheid

4.2.1 Beschikbaarheid Beschikbaarheid is de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor de gebruikers. De bedrijfsprocessen van veel organisaties worden ondersteund door ICT, en zijn ook in grote mate afhankelijk van ICT. Om de continuïteit van de bedrijfsprocessen te waarborgen dienen maatregelen te worden getroffen om de beschikbaarheid van de ICT-middelen te garanderen. Er dienen bijvoorbeeld maatregelen te Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

22

worden getroffen om bijvoorbeeld te zorgen dat een digitaal ordersysteem beschikbaar is en gebruikt kan worden op het moment dat een telefonische order wordt doorgegeven. 4.2.2 Integriteit Integriteit is de mate waarin gegevens of functionaliteit juist ingevuld zijn. Zoals hiervoor aangegeven is informatie een belangrijk bedrijfsmiddel om de organisatiedoelstellingen te kunnen realiseren. Van belang is dus dat de gegevens juist zijn. Op basis van ongewenste aanpassing van omzetgegevens kan de directie van een organisatie bijvoorbeeld foutieve beslissingen nemen. 4.2.3 Vertrouwelijkheid Vertrouwelijkheid is de mate waarin toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Informatie is voor veel organisaties van cruciaal belang. Indien vertrouwelijke bedrijfsinformatie in handen komt van derden dan kan dit schadelijke gevolgen hebben. Als bijvoorbeeld informatie over het fabricageproces of de omzetinformatie in handen komt van een concurrent dan kan dit er toe leiden dat de organisatiedoelstellingen niet behaald worden. Om dit te voorkomen dienen organisaties diverse maatregelen te treffen om te waarborgen dat de bedrijfsgegevens slechts beschikbaar zijn voor bevoegden.


23

Hoofdstuk 5 Score modellen IT-business alignment In hoofdstuk 3 zijn de verschillende modellen voor IT-business alignment in kaart gebracht en vervolgens zijn de modellen van Venkatraman & Henderson, Luftman en Van Grembergen verder uitgewerkt. In dit hoofdstuk wordt een analyse gemaakt van de geselecteerde modellen aan de hand van de IT security aspecten zoals gedefinieerd in hoofdstuk 4. In hoofdstuk 4 is IT security gedefinieerd op basis van het begrip betrouwbaarheid. Dit begrip is onderverdeeld in de aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid.

5.1 Methode De modellen van Venkatraman & Henderson, Luftman en Van Grembergen zijn beoordeeld op de aanwezigheid van IT security elementen. Hierbij is onderzocht in hoeverre IT security randvoorwaardelijk, dan wel een resultante is van IT-business alignment.Hiervoor is gebruik gemaakt van de IT security aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid. De aspecten die in de IT-business alignment modellen gebruikt worden zijn gescoord op het feit of een hogere mate van IT-business alignment van invloed is op de mate van IT security aspecten. Dit is gedaan op basis van een score van 1 tot en met 5, hetgeen staat voor: 1

Niet

2

Beperkt

3

Gedeeltelijk

4

Grotendeels

5

Volledig

De modellen voor IT-business alignment worden bezien vanuit het al eerder beschreven model. In dit model wordt onderscheid gemaakt tussen de input en de output van IT security, zie figuur 10.

Figuur 10 Relatie IT security en IT-business alignment

Dit onderscheid focust zich op de aspecten die beoordeeld worden om een oordeel te kunnen geven over de mate van IT-business alignment. Dit kunnen randvoorwaardelijke aspecten zijn, zoals het model van Van Grembergen, of een beoordeling van de resultante van ITbusiness alignment, zoals het model van Luftman. Voor de gedetailleerde scores per model, zie bijlage 1. Voor de toelichting op deze scores, zie bijlage 2.


24

5.2 Resultaten In paragraaf 5.2 worden de volgende modellen achtereenvolgens beoordeeld op de relatie tussen IT security en IT-business alignment: het model van Luftman, het model van Van Grembergen en het model van Venkatraman en Henderson. 5.2.1 Model Luftman Binnen het model van Luftman wordt een onderverdeling gemaakt in:

Communications: Binnen het aspect Communications wordt onderscheid gemaakt in een aantal onderwerpen. Er wordt bijvoorbeeld ingegaan op de mate waarin de business IT ziet als een volwaardige partner en omgekeerd, de mate waarin van elkaar geleerd wordt en de mate waarin op gestructureerde wijze communicatie plaatsvindt tussen business en IT. Wat betreft de verschillende onderdelen van Communications hebben wij beoordeeld dat de mate van IT-business alignment gedeeltelijk van invloed is op de mate van IT security. Voor het onderdeel ‘Understanding of the business by IT’ hebben wij beoordeeld dat de mate van IT-business alignment grotendeels (score 4) van invloed is op de mate van de IT security aspecten. Als IT goed begrijpt wat de business nodig heeft, en er dus sprake is van een goede ITbusiness alignment, begrijpt IT ook de eisen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van IT-middelen en zal de beschikbaarheid geoptimaliseerd kunnen worden. Voor het onderdeel ‘Protocol rigidity’, de mate waarin binnen de organisatie strakke protocollen bestaan, hebben wij beoordeeld dat de mate van IT-business alignment niet (score 1) van invloed is op de mate van de IT security aspecten.

Competency/value measurements: Voor de verschillende onderdelen van Competency/value measurements hebben wij vastgesteld dat de IT Security aspecten gedeeltelijk het gevolg zijn van de mate van IT-business alignment. Het onderdeel Competency/value measurements behandelt onder andere de mate waarin door IT gerapporteerd wordt aan de business en omgekeerd over de geleverde prestaties, de afspraken die IT met de business heeft gemaakt over de te leveren prestaties en de mate waarin continue verbetering onderdeel is van de organisatiecultuur en – processen. Wat betreft het onderdeel ‘Service level agreements’ hebben wij beoordeeld dat de mate van IT-business alignment volledig (score 5) van invloed is voor de beschikbaarheid en gedeeltelijk van invloed is voor de vertrouwelijkheid en integriteit op de mate van IT security aspecten. In service level agreements zijn afspraken opgenomen ten aanzien van de beschikbaarheid van de IT-middelen voor het uitvoeren/ondersteunen van de processen van de business. Voor het onderdeel ‘Formal assessment/reviews’, dit gaat in op de formele beoordelingen (audits) en reviews hebben wij vastgesteld dat de mate van IT-business alignment volledig (score 5) van invloed is op de mate van de IT security aspecten. Voor het onderdeel ‘Continuous improvement’ hebben wij beoordeeld dat de mate van IT-business alignment voor dit aspect niet (score 1) van invloed is op de mate van de IT security aspecten.

Governance: In het aspect Governance worden de strategische business planning en de strategische IT planning behandeld, evenals de beheersing van de budgetten en de wijze waarop IT investeringen worden gezien binnen de organisatie. Wij hebben vastgesteld dat wat betreft de onderdelen van Governance de IT security aspecten niet Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

25

het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is dat de mate waarin budgetten binnen de organisatie beheerst worden, beoordeeld in het onderdeel ‘Budgetary control’, niet (score 1) van invloed is op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

Partnership: Het aspect Partnership behandelt onder andere de perceptie van de business ten opzichte van IT, de rol van IT in de strategische business planning en de mate waarin gezamenlijke doelen worden gesteld. Wij hebben vastgesteld dat wat betreft de onderdelen van Partnership de IT security aspecten niet het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is dat de mate waarin gezamenlijke (tussen business en IT) doelstellingen worden gedefinieerd niet van invloed is op de IT security aspecten.

Scope & architecture: Dit aspect gaat in op het type diensten die IT aanbiedt, de mate waarin de organisatie gebruik maakt van standaarden voor IT-middelen en de integratie van de architectuur binnen de functionele organisatie Wij hebben vastgesteld dat wat betreft de onderdelen van Scope & architecture de IT security aspecten niet het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is dat de mate waarin nieuwe technologieën toegepast en geëvalueerd worden niet van invloed is op de beschikbaarheid, integriteit en vertrouwelijkheid van de ITmiddelen.

Skills: Het aspect Skills behandelt de management stijl, het ondernemerschap binnen de organisatie, de mate waarin de organisatie in kan spelen op veranderingen en de sociale en politieke cultuur binnen de organisatie. Wij hebben vastgesteld dat wat betreft de onderdelen van Skills de IT security aspecten niet het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is het onderdeel ‘Management style’. Een managementstijl die gericht is leren van elkaar, op een gezamenlijke aanpak om de bedrijfsdoelstellingen te realiseren waarin zowel de business als IT een volwaardige partner is, heeft een positieve invloed op de ITbusiness alignment. Een dergelijke managementstijl is echter niet (score 1) van invloed op de IT security aspecten.

5.2.2 Model Van Grembergen Binnen het IT-business alignment Balanced Scorecard model van Van Grembergen wordt onderscheid gemaakt in:

Customer orientation: voor de onderdelen ‘Customer satisfaction’, ‘IT/business partnership’ en ‘Application development performance’ hebben wij vastgesteld dat een hogere mate van IT security gedeeltelijk (score 3) een positieve invloed heeft op de mate van IT-business alignment. Centraal bij het onderdeel ‘Customer satisfaction’ staat de mate waarin de business tevreden is over de geleverde diensten door IT. Deze klanttevredenheid kan gemeten worden door het uitvoeren van een klanttevredenheidsonderzoek onder een aantal managers van de business. De IT security aspecten hebben invloed op de klanttevredenheid. Indien de beschikbaarheid en vertrouwelijkheid van de IT-middelen bijvoorbeeld niet overeen komt met de wensen van de business zal dit leiden tot een lagere klanttevredenheid. Voor wat betreft het onderdeel ‘Service level performance’ hebben wij beoordeeld dat het aspect Beschikbaarheid volledig (score 5) in dit onderdeel wordt meegenomen en de aspecten Integriteit en Vertrouwelijkheid niet. In dit onderdeel wordt beoordeeld de Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

26

mate waarin de IT middelen de prestaties leveren die afgesproken zijn met de business. De beschikbaarheid en performance zijn key indicatoren hiervoor.

Corporate contribution: voor het onderdeel ‘Strategic contribution’ hebben wij beoordeeld dat een hogere mate van IT security gedeeltelijk (score 3) een positieve invloed heeft op de mate van IT-business alignment. De IT security aspecten zijn van invloed op de mate waarin IT bijdraagt aan het behalen van de organisatiedoelstellingen. Zo levert IT een wezenlijke bijdrage aan het realiseren van de doelstellingen door het beschikbaar stellen van de IT-middelen conform de wensen van de business, waardoor het bedrijfsproces optimaal ondersteund wordt. Van de onderdelen ‘Synergy achievement’, ‘Business value of IT projects’ en ‘Management of IT investments’ hebben wij beoordeeld dat de IT security aspecten niet (score 1) van invloed zijn op de mate van IT-business alignment. In het onderdeel ‘Synergy achievement’ wordt beoordeeld de mate waarin gebruik gemaakt wordt van generieke applicaties en systemen. De beschikbaarheid, integriteit en vertrouwelijkheid zijn niet van invloed op het behalen van de synergy achievement. Omgekeerd is de mate waarin gekozen is voor generieke applicaties en systemen wel van invloed op bijvoorbeeld de beschikbaarheid van de IT-middelen.

Operational excellence: voor de onderdelen ‘Responsiveness’ en ‘Backlog management and aging’ hebben wij beoordeeld dat een hogere mate van de beschikbaarheid, integriteit en vertrouwelijkheid niet (score 1) van invloed zijn op de mate van IT-business alignment. Wat betreft het onderdeel ‘Security and safing’ hebben wij vastgesteld dat de IT Security aspecten volledig (score 5) van invloed zijn op de mate van IT-business alignment. Dit geldt ook voor het aspect betrouwbaarheid voor het onderdeel ‘Process excellence’. De aspecten integriteit en vertrouwelijkheid zijn deels (score 3) van invloed op de mate waarin IT en de business op elkaar aansluiten.

Future orientation: voor de onderdelen ‘Staff management effectiveness’, ‘Enterprise architecture evolution’ en ‘Emerging technologies research’ hebben wij beoordeeld dat de IT security aspecten niet (score 1) van invloed zijn op de mate van IT-business alignment. Een voorbeeld hiervan is dat de beschikbaarheid, integriteit en vertrouwelijkheid van de IT-middelen niet van invloed is op de mate waarin een organisatie in staat is om kwalitatief goed personeel te behouden. Voor het onderdeel ‘Service capability improvement’ hebben wij vastgesteld dat de invloed van de IT security aspecten op de IT-business alignment gedeeltelijk (score 3) is.

5.2.3 Model Venkatraman & Henderson Wij hebben vastgesteld dat het model van Venkatraman & Henderson een model dat op hoofdlijnen aangeeft hoe het proces van afstemming tussen bedrijfs- en ICT-strategie verloopt. Wij hebben vastgesteld dat dit model niet geschikt is voor het scoren van de IT security aspecten. Het model van Venkatraman & Henderson is in beperkte mate uitgewerkt in concrete onderwerpen. Hierdoor is het in mindere mate geschikt om de invloed van de IT security aspecten op de mate van IT-business alignment te scoren.


27

Hoofdstuk 6 Conclusie In dit hoofdstuk wordt de onderzoeksvraag beantwoord aan de hand van voorgaande hoofdstukken. Allereerst wordt teruggegrepen op de initiële onderzoeksvraag. Daarna zal kort weergegeven worden wat in de voorgaande hoofdstukken is besproken en vervolgens wordt er een antwoord gegeven op de onderzoeksvraag en deelvragen.

6.1 Deelvragen De doelstelling van het onderzoek was te onderzoeken in hoeverre de mate van IT security invloed heeft op een grotere mate van IT-business alignment. Deze doelstelling hebben we onderverdeeld in drie deelvragen die achtereenvolgens behandeld worden. 1. Wat zijn geschikte methoden om de mate van IT business alignment te scoren? Het aantal modellen wat aanwezig is om de IT-business alignment van een organisatie te bepalen is beperkt. Één van de eerste modellen is het model van Venkatraman en Henderson. Andere modellen zijn BISL, Cobit en Maes. Veelal blijven modellen op een hoog abstractieniveau of behandelen ze een deelgebied van IT-business alignment. Modellen die wel geschikt zijn voor het scoren van IT-business alignment zijn de modellen van Luftman en Van Grembergen. Deze modellen zijn dan ook gebruikt om de volgende deelvragen te behandelen. Hierbij is er een nuanceverschil tussen beide modellen. Van Grembergen beoordeelt IT-business alignment door de aanwezigheid en maturity van de randvoorwaarden te beoordelen, en Luftman beoordeelt IT-business alignment door de maturity van de output van IT-business alignment te beoordelen, zie hiervoor ook figuur 11.

Figuur 11 IT-business alignment proces

2. Heeft de mate van IT security invloed op de mate van IT-business alignment? Zoals aangegeven hierboven kan het model van Van Grembergen gebruikt worden om de randvoorwaarden van IT-business alignment te meten. In hoofdstuk 5 is dit model beoordeeld voor de aspecten van IT security: beschikbaarheid, integriteit en vertrouwelijkheid. Hierbij is een 5-puntsschaal gebruikt. Hierbij kan gezien worden dat met name beschikbaarheid een belangrijk randvoorwaardelijk aspect is voor het realiseren van IT-business alignment. Daarnaast hebben ook beide andere aspecten, integriteit en vertrouwelijkheid, invloed op de mate van IT-business alignment.


28

Concluderend kan gesteld worden dat de mate van IT security een positieve invloed heeft op de mate van IT-business alignment. 3. Heeft de mate van IT-business alignment invloed op de mate van IT security? Het model van Luftman is gebruikt om te bepalen in hoeverre de mate van IT-business alignment invloed heeft op de mate van IT security. Dit omdat het model van Luftman de output, de resultaten van IT-business alignment beoordeelt. Ook hier zijn de aspecten van het model beoordeeld voor de aspecten van IT security middels een 5-puntsschaal. Hierbij kan geconcludeerd worden dat de beschikbaarheid een gevolg is van een goede business alignment en integriteit en vertrouwelijkheid in mindere mate ook een resultante zijn van business alignment. Concluderend kan gesteld worden dat de mate van IT-business alignment een positieve invloed heeft op de mate van IT security.

6.2 Conclusie IT-business alignment en IT security zijn onlosmakelijk met elkaar verbonden. Dat werkt twee kanten op. Allereerst is IT security een randvoorwaarde voor een goede IT-business alignment, maar daarnaast is IT security ook een resultante van een goede IT-business alignment, zie figuur 12. Een hogere mate van IT security heeft dus een positieve correlatie met een hogere mate van IT-business alignment.

Figuur 12 Relatie IT security en IT-business alignment

Dientengevolge kan gesteld worden dat de mate van IT security invloed heeft op de mate van realisatie van de organisatiedoelstellingen. Hierdoor is het aan te bevelen te overwegen investeringen te doen in IT security maatregelen, met name op het vlak van beschikbaarheid, maar ook integriteit en vertrouwelijkheid, om op deze manier bij te dragen aan de realisatie van de organisatiedoelstellingen.

6.3 Evaluatie Dit onderzoek is begonnen met als doel te onderzoeken of er een verband bestaat tussen het bereiken van de organisatiedoelstellingen en de mate van IT security. We hebben dit onderzocht door zowel IT-business alignment en IT security te definiëren en de relatie tussen beide te beoordelen. Het uiteindelijke resultaat beantwoord aan het voorafgestelde doel. Er is een bepaalde relatie tussen IT security en het bereiken van de organisatiedoelstellingen. Voor het IT audit vak is deze relatie van essentieel belang aangezien dit duidelijk de relevantie van het hebben van een goede IT security onderstreept.


29

Literatuurlijst Boeken Leeuw, A.C.J. de, Bedrijfskundige methodologie: management van onderzoek, Assen, van Gorcum en Comp., 1996 Poels, R.P.W, Beïnvloeden en meten van business-IT alignment, proefschrift Vrije Universiteit, 2006 Cumps, B., Business – ICT alignment, practises and determinant, proefschrift Katholieke Universiteit Leuven, 2007 Van Praat, J.C., Suerink J.M., Inleiding EDP-auditing, 1992 Overboek, P., Roos Lindgreen, E., Spruit, M., Informatiebeveiliging onder controle, 2000 Fijneman, R., Roos Lindgreen, E., Ho, K.H., IT-auditing en de praktijk, 2006

Artikelen Van Grembergen, W., Aligning Business and Information Technology through the Balanced Scorecard at a Major Canadian Financial Group: its Status Measured with an IT BSC Maturity Model, 2001 Luftman, J., communications of AIS, assessing business-IT alignment maturity, 2000 Luftman, J., information systems management, Assessing IT/Business Alignment, 2003 Maes, R., Redefining business – IT alignment through a unified framework, 2000 Maes, R., Informatiemanagement in kaart gebracht,2003 IT governance Institute, Cobit 4.1, 2007 Strassman, P., Cutter IT Journal, What is Alignment, 1998 Tapia, R.S., A value-based maturity model for IT alignment in networked businesses, 2007 Chapin, D.A., Akridge, S., How can security be measured, 2005 Venkatram, N., Henderson, J.C., Strategic alignment: Leveraging information technology for transforming organizations, 1993


30

Bijlage 1 Score modellen Score model Luftman Beschikbaarheid

Integriteit

Vertrouwelijkheid

Communications Understanding of business by IT Understanding of IT by business Inter/Intra organizational learning Protocol rigidity Knowledge sharing Liaison(s) effectiveness

4 4 4 1 3 3

4 4 4 1 3 3

4 4 4 1 3 3

Competency/Value measurements IT metrics Business metrics Balanced metrics Service Level agreements Benchmarking Formal Assessments/reviews Continuous improvement

3 1 3 5 3 5 1

1 1 1 3 1 5 1

1 1 1 3 1 5 1

Governance Business Strategic Planning IT strategic Planning Reporting/Organization Structure Budgetary Control IT Investment Management Steering Committee(s) Prioritization Process

1 1 1 1 1 1 3

1 1 1 1 1 1 3

1 1 1 1 1 1 3

3 1

3 1

3 1

1 1 1 1

1 1 1 1

1 1 1 1

1 1 1

1 1 1

1 1 1

Partnership Business Perception of IT Value Role of IT in Strategic business planning Shared Goals, Risk, Rewards/Penalties IT Program Management Relationship/Trust Style Business Sponsor/Champion Scope & Architecture Traditional, Enabler/Driver, External Standards Articulation Architectural Integration: Functional


31

organization Architectural Integration: enterprise Architectural Integration: interenterprise Architectural Transparency Skills Innovation, Entrepreneurship Locus of Power Management Style Change readiness Career crossover Education, Cross-training Social, Political, Trusting Environment

1 1

1 1

1 1

1

1

1

1 1 1 1 1 1 1

1 1 1 1 1 1 1

1 1 1 1 1 1 1

Score model Van Grembergen Beschikbaarheid Integriteit Vertrouwelijkheid Customer orientation Customer satisfaction IT/business partnership Application development performance Service Level performance

3 3 3 5

3 3 3 1

3 3 3 1

Corporate contribution Strategic contribution synergy achievement Business value of IT projects Management of IT investments

3 1 1 1

3 1 1 1

3 1 1 1

Operational Excellence Process Excellence Responsiveness Backlog management and aging Security and safety

5 3 1 5

3 1 1 5

3 1 1 5

Future Orientation Service capability improvement Staff management effectiveness Enterprise architecture evolution Emerging technologies research

3 1 1 1

3 1 1 1

3 1 1 1


32

Bijlage 2

Toelichting score modellen

In bijlage 1 is de score van de modellen opgenomen. In bijlage 2 wordt de score van de modellen toegelicht. Als eerste wordt het model van Luftman gescoord op de relatie tussen IT security en IT-business alignment. Het model van Luftman is gebruikt om te bepalen in hoeverre de mate van IT-business alignment invloed heeft op de mate van IT security. Dit omdat het model van Luftman de output, de resultaten van IT-business alignment beoordeelt. Vervolgens wordt het model van Van Grembergen uitgewerkt. Van Grembergen beoordeelt IT-business alignment door de aanwezigheid en maturity van de randvoorwaarden te beoordelen. Per aspect wordt eerst het aspect toegelicht en vervolgens wordt aangegeven of er een relatie met de IT security aspecten is. Model van Luftman

Communications Understanding of business by IT


33

De mate waarin IT voldoet aan de behoeften van de business wordt voor een gedeelte bepaald door het begrip van wat de business nodig heeft. Dit is van invloed op het gehele aanbod van diensten en producten van IT. Als IT goed begrijpt wat de business nodig heeft, heeft ze ook begrip van de eisen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van IT-middelen en zal de beschikbaarheid geoptimaliseerd kunnen worden. De mate van IT-business alignment is hierdoor grotendeels van invloed op de mate van IT security. Understanding of IT by business Dit aspect gaat over de mate waarin de business IT als een gelijkwaardige partner ziet in het proces om de organisatiedoelstellingen te behalen. Daarnaast gaat het hier om het begrip dat de business heeft van mogelijkheden en risico’s die IT-middelen bieden. Doordat de business inzicht heeft in mogelijkheden en risico’s van IT-middelen zullen de beschikbaarheid, integriteit en vertrouwelijkheid van IT-middelen beter aansluiten bij de behoeften vanuit de business. Hierdoor is de mate van IT-business alignment grotendeels van invloed op de mate van de IT security aspecten. Inter/Intra organizational learning Inter en Intra organizational learning is de mate waarin IT van de business leert en andersom. Als IT en de business van elkaar leren heeft dit tot effect dat er beter wederzijds begrip ontstaat. Door het leren van elkaar zal de business een beter begrip hebben van de risico’s van de IT-middelen en zal IT goed inzicht hebben op behoeften van de business. Dit is grotendeels van invloed op de beschikbaarheid, integriteit en vertrouwelijkheid van ITmiddelen. Protocol rigidity Hierbij gaat het om de mate waarin binnen de organisatie strakke protocollen bestaan, welke ervoor zorgen dat creativiteit en innovatie belemmerd worden. Dit aspect heeft geen invloed op het niveau van security. Knowledge sharing In het aspect Knowledge sharing gaat het om de manier waarin kennisdeling ingebed is in de bedrijfsprocessen. Kennisdeling resulteert in een begrip van de mogelijkheden en onmogelijkheden van IT voor de business. Dit is hierboven behandeld en heeft gedeeltelijk invloed op de beschikbaarheid, integriteit en vertrouwelijkheid van IT-middelen. Liaison(s) breadth/effectiveness Hierbij gaat het om de mate waarin er gestructureerde communicatie tussen IT en business plaats vindt. Deze communicatie kan op verschillende niveaus plaatsvinden (tactisch, operationeel, strategisch).


34

Deze communicatie vindt plaats op de verschillende aandachtsgebieden die IT kent. Dit zijn onder andere beheer, ontwikkeling, maar ook de lange termijn plannen. Onderdeel hiervan zijn de beschikbaarheid, integriteit en vertrouwelijkheid van IT-middelen. De invloed van de mate van de IT-business alignment op de mate van de IT security aspecten is gedeeltelijk.

Competency/Value Measurements IT metrics Deze factor wordt bepaald door de mate waarin IT rapporteert wat de gerealiseerde prestaties zijn. Hierdoor laat IT zien wat de waarde is voor de business. Onderdeel hiervan is de beschikbaarheid van IT-middelen. Integriteit en vertrouwelijkheid worden niet benoemd in IT rapportages. De integriteit en vertrouwelijkheid zijn geen onderdeel van de manier waarop IT haar eigen prestaties meet. De invloed van de mate van IT-business alignment op de mate van beschikbaarheid is gedeeltelijk. Er is geen invloed op de mate van integriteit en vertrouwelijkheid. Business metrics Dit zijn de rapportages van de prestaties van de business zelf. Geen van de IT security aspecten is hier onderdeel van. De invloed van de mate van IT-business alignment op de mate van de IT security aspecten is derhalve nihil. Balanced metrics Hieronder wordt de mate verstaan van de koppeling van de gerealiseerde prestaties door de business en de gerealiseerde prestaties door IT. Een factor die de score van deze factor bepaalt is de rapportage over de beschikbaarheid van de IT-middelen. Integriteit en vertrouwelijkheid daarentegen zijn geen factoren die de gerealiseerde resultaten van IT dan wel business bepaalt. Service level Agreements Dit aspect omvat de afspraken over te realiseren prestaties die IT met de business heeft gemaakt. Een belangrijke factor voor dit aspect zijn de afspraken over de beschikbaarheid van ITmiddelen. Daarnaast zijn afspraken omtrent de vertrouwelijkheid en integriteit een mogelijk onderdeel van SLA’s. Benchmarking Benchmarking vindt plaats om de prestaties van de eigen organisatie te beoordelen. Dit vindt plaats op de verschillende processen binnen de organisatie. Één van de processen is het IT proces. Voor dit proces is beschikbaarheid een onderdeel wat gemeten kan worden. De aspecten vertrouwelijkheid en integriteit daarentegen zijn geen onderdeel van de benchmark in verband met het feit dat deze aspecten niet of nauwelijks te meten zijn.


35

Formal assessment/reviews Formele beoordelingen en reviews worden op verschillende manieren uitgevoerd. Hieronder kunnen onder andere projectbeoordelingen, maar ook audits worden verstaan. De aspecten beschikbaarheid, integriteit en vertrouwelijkheid worden meegenomen tijdens de IT-audit. Bij een IT-audit worden het IT-proces en de IT-systemen beoordeeld op deze aspecten. Hierdoor is de mate van IT-business alignment volledig van invloed op de mate van de IT security aspecten. Continuous improvement Dit aspect beoordeelt of continue verbetering onderdeel is van de organisatiecultuur en organisatieprocessen. De focus ligt hier op productiviteit- en kwaliteitsverbetering van het primaire proces. De IT security aspecten worden hierin niet specifiek meegenomen, derhalve is de mate van IT-business alignment niet van invloed op de mate van de IT security aspecten.

Governance Business Strategic Planning Dit aspect focust zich op het realiseren van de bedrijfsdoelstellingen en de daarbij behorende allocatie van budgetten. De verschillende IT security aspecten worden niet meegenomen in de strategische business planning. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. IT strategic Planning Dit aspect focust zich op het realiseren van de IT-doelstellingen en de daarbij behorende allocatie van budgetten. De verschillende IT security aspecten worden niet meegenomen in de strategische IT planning. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Reporting/Organization Structure Hierin wordt de rapportage- en organisatiestructuur van de organisatie beoordeeld. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Budgetary Control Hierin wordt de beheersing van budgetten binnen de organisatie geclassificeerd. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. IT Investment Management


36

Deze factor beoordeelt de wijze waarop investeringen in IT gezien worden, als kosten of als investeringen die bijdrage aan procesverbetering of -verandering. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Steering Committee(s) Hierin wordt de wijze waarop de stuurgroep vormgegeven wordt geclassificeerd. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Prioritization Process Dit is de mate waarin IT meewerkt en meedenkt in het prioritiseren van projecten. IT kan hier onder andere waarde toevoegen door de risico’s en mogelijkheden van het gebruik van de verschillende IT-middelen te benoemen. De mate van IT-business alignment is gedeeltelijk van invloed op de mate IT security aspecten.

Partnership Business Perception of IT Value Deze factor beoordeelt de wijze waarop de business naar IT kijkt. Dit varieert van een kostenpost tot een belangrijke wijze om de business strategie te realiseren. De IT security aspecten hebben beperkte invloed op de wijze waarop de business naar IT kijkt. Een hogere mate van IT-security zal leiden tot het beeld van een betrouwbare partner. Een stap verder is het beeld van een innovatieve partner, dit wordt niet bereikt door een hogere mate van IT security. Role of IT in Strategic business planning Dit aspect behandelt de rol die IT heeft in de strategische bedrijfsplanning. Het niveau van IT-security heeft hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Shared Goals, Risk, Rewards/Penalties De manier waarop de verantwoordelijkheid voor risico binnen een organisatie wordt belegd en de wijze waarop credits worden gedeeld zijn de onderdelen waarop dit aspect beoordeeld wordt. De verschillende IT security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. IT Program Management Hierin wordt de manier waarop IT programma management vormgegeven wordt geclassificeerd.


37

De verschillende IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Relationship/Trust Style Dit aspect behandelt de classificatie van de relatie tussen IT en de business. De verschillende IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Business Sponsor/Champion De laag in de organisatie waar de business sponsor zich bevindt wordt hier behandeld. Dit varieert van geen tot CEO niveau. De verschillende IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten.

Scope & Architecture Traditional, Enabler/Driver, External Dit aspect classificeert op basis van de type diensten die IT aanbiedt. Dit kan variëren van email en boekhoudkundige systemen tot diensten die de bedrijfsprocessen uitvoert en daardoor de realisatie van de bedrijfsstrategie ondersteunt. Om op dit aspect goed te kunnen scoren is het een randvoorwaarde dat de beschikbaarheid en integriteit van de IT-middelen gewaarborgd wordt. Vertrouwelijkheid is een aspect dat in mindere mate hieraan bijdraagt aangezien dit afhankelijk is van het type IT-middel. Standards Articulation Dit aspect benoemt de mate waarin de organisatie gebruik maakt van standaarden voor ITmiddelen. Beschikbaarheid is een gevolg van de mate waarin standaarden gebruikt worden, maar geen driver voor standaarden. Integriteit en vertrouwelijkheid hebben eveneens geen invloed op de mate van gebruik van standaarden. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Architectural Integration: Functional organization Hierin wordt de integratie van architecture binnen de functionele organisatie geclassificeerd. De IT security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Architectural Integration: enterprise Bij dit onderdeel wordt de mate beoordeeld waarin de IT in staat is om een eenduidige architectuur in de gehele organisatie en in alle bedrijfsprocessen te realiseren.


38

De beschikbaarheid, integriteit en vertrouwelijkheid hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Architectural Integration: inter-enterprise Hierin wordt de mate beoordeeld waarin de IT in staat is om een architectuur in te richten die flexibel is en geïntegreerd kan worden in de architecturen van afnemers en toeleveranciers. De beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Architectural Transparency Bij dit onderdeel wordt de mate beoordeeld waarin IT een rol aannemen waarin een flexibele infrastructuur, transparant voor de business, verzorgd wordt. De IT security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten.

Skills Innovation, Entrepreneurship Hierin wordt de manier waarop omgegaan wordt met initiatieven en ondernemende ideeën geclassificeerd. De IT security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Locus of Power In de Locus of Power wordt de plek waar macht binnen de organisatie belegd is bepaald. De IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Management Style In de factor Management Style wordt de managementstijl binnen de organisatie beoordeeld. De IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Change readiness Change readiness behandelt de mate waarin de organisatie gereed is voor veranderingen en op wijzigingen kan reageren. De IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Career crossover Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam

39

Voor dit aspect wordt de mate waarin het mogelijk is om binnen de organisatie van functie te veranderen beoordeeld. De IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Education, Cross-training In Education, cross-training wordt bepaald in hoeverre er van elkaar geleerd wordt binnen de organisatie. De IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten. Social, Political, Trusting Environment In de factor Social, Political, Trusting environment wordt de sociale en politieke cultuur van de organisatie geclassificeerd. De IT-security aspecten hebben hier geen invloed op. De mate van IT-business alignment is niet van invloed op de mate IT security aspecten.

Model van Van Grembergen

Customer orientation Dit onderdeel van de Balanced scorecard beoordeelt IT door de ogen van de directie, Raad van Bestuur en aandeelhouders van een organisatie. Beoordeelt wordt de mate waarin IT het


40

realiseren van de organisatiedoelstellingen ondersteunt, de mate waarin de inzet van IT leidt tot kostenvoordelen en de financiële impact van IT voor de organisatie. De mate waarin IT bijdraagt aan het realiseren van de organisatiedoelstellingen wordt beïnvloed door de beschikbaarheid, integriteit en vertrouwelijkheid van de geautomatiseerde informatievoorziening. Tevens dragen de IT-security aspecten bij aan de mate waarin IT leidt tot kostenvoordelen. Customer satisfaction Centraal bij dit onderdeel staat de mate waarin de business tevreden is over de geleverde diensten door IT. Deze klanttevredenheid kan gemeten worden door het uitvoeren van een klanttevredenheidsonderzoek onder een aantal managers van de business. De IT security aspecten hebben invloed op de klanttevredenheid. IT/Business partnership Beoordeeld wordt of er op gestructureerde wijze overleg plaats vindt tussen de IT en de business. De mate waarin er sprake is van partnership beïnvloed de mate waarin IT diensten realiseert die aansluiten bij de wensen van de business. Application development performance In dit onderdeel wordt beoordeeld de kwaliteit van de geleverde applicaties, de mate waarin door IT binnen het budget en de afgesproken tijdsplanning geleverd wordt. Voor het aspect kwaliteit van de applicaties geldt dat de IT security aspecten invloed hebben op de realisatie. Service level performance In dit onderdeel wordt beoordeeld de mate waarin de IT middelen de prestaties leveren die afgesproken zijn met de business. De beschikbaarheid en performance zijn key indicatoren hiervoor. Van de IT security aspecten is met name de beschikbaarheid van invloed op de realisatie van de prestaties door IT. Corporate contribution In dit onderdeel van de Balanced scorecard wordt de IT gezien vanuit het interne klant perspectief, door het beoordelen van de interne klanttevredenheid, IT-business partnership, de prestaties op het gebied van applicatie ontwikkeling en de mate waarin het afgesproken serviceniveau behaald wordt. De beschikbaarheid heeft gevolgen ten aanzien van de mate waarin het afgesproken serviceniveau wordt gehaald en de interne klanttevredenheid. Tevens wordt de IT-business partnership beïnvloedt door de beschikbaarheid, integriteit en vertrouwelijkheid.


41

Strategic contribution In dit onderdeel wordt beoordeeld de mate waarin IT bijdraagt aan het behalen van de strategische organisatiedoelstellingen. De IT security aspecten zijn van invloed op de mate waarin IT bijdraagt aan het behalen van de organisatiedoelstellingen. Synergy achievement In dit onderdeel wordt beoordeeld de mate waarin gebruik gemaakt wordt van generieke applicaties en systemen. De IT security aspecten zijn niet van invloed op het behalen van de synergy achievement. Business value of IT projects In dit onderdeel wordt beoordeeld de mate waarin IT projecten waarde toevoegen voor de organisatie. De IT security aspecten zijn niet van invloed op de mate waarin IT projecten waarde toevoegen voor de organisatie. Management of IT investments Hierin wordt beoordeeld de mate waarin gerealiseerde uitgaven van IT investeringen binnen de vastgestelde budgetten blijven. De IT security aspecten zijn niet van invloed op de mate waarin de gerealiseerde IT investeringen beheerst worden. Operational excellence Vanuit dit perspectief wordt beoordeeld vanuit het gezichtspunt van het IT management, audits en overige toezichthouders. Beoordeeld wordt de wijze waarop de IT organisatie en de IT processen ingericht zijn, de tijdigheid waarmee IT instaat is om producten en diensten te leveren aan de business en de mate waarin IT in staat is om risico’s in nieuwe en bestaande technologieën te identificeren en af te dekken. De IT-security aspecten hebben hier geen invloed op. Future orientation In dit onderdeel van de Balanced scorecard wordt de prestatie van de IT organisatie beoordeeld vanuit het gezichtspunt van de IT organisatie. Beoordeeld worden de procesverbeteringen, de mate waarin kwalitatief goed personeel voor de organisatie behouden blijft en zich verder kan ontwikkelen en de mate waarin nieuwe technologieën ingezet kunnen worden in de organisatie. De IT-security aspecten hebben hier geen invloed op.


42

De waarde van IT Security

Recommend Documents