Een model voor de beheersing en controle van ICT-ketens Het Chain Content, Context & Control (C4-) model (Gepubliceerd in de IT-Auditor Q4, 2012) Het belang van (de beheersing van) ICT-ketens neemt sterk toe. Bestaande modellen voor ICT-beheersing en 4 controle van zijn veelal intra-organisatorisch, en niet gericht op ICT-ketens. Dit artikel introduceert het C -model als hulpmiddel voor het inrichten van kwaliteitsbeheersing in ICT-ketens gericht op het verkrijgen van keten assurance. Harrie Bastiaansen, Ype van Wijk In de maatschappij neemt het belang van ICT-ketens sterk toe. Bij ICT-ketens gaan ICT-diensten en infrastructuren over de grenzen van bedrijven en bedrijfsonderdelen heen. Niet alleen neemt het aantal ICTketens sterk toe, ook worden ze steeds complexer: ze ondersteunen meer functionaliteit en er zijn steeds meer partijen (ketenpartners) betrokken. Doordat ICT-ketens in belang toenemen wordt het steeds meer noodzakelijk dat deze ketens robuust zijn. Dit brengt de noodzaak mee om de ICT-ketens goed te beheersen en de kwaliteit ervan te auditen. Getuige hiervan zijn de Norea werkgroep voor ketenauditing [NORE12], onderzoeksinitiatieven bijvoorbeeld in de EU [ENIS09] en Nederland [SEQU12] en eerdere publicaties in het Norea tijdschrift ‘de IT-auditor’ over ICTketenauditing [MEER05], [BRUI06-1], [BRUI06-2], [MOLL10]. Het Nederlands onderzoeksproject TTISC [TTIS12] werkt aan een Assurance-raamwerk voor ICTketenbeheersing en -controle. Als resultaat daarvan presenteren we in dit artikel het Chain Content, Context & 4 Control model (het C -model). Dit model bestaat uit drie delen: (1) de content, gericht op wat het te beheersen object in de ICT-keten inhoudt; (2) de context, gericht op het perspectief van waaruit beheersing (of beoordeling) van de ICT-ketens plaatsvindt; (3) de control, gericht op de wijze waarop beheersing in ICT-ketens wordt vormgegeven. 4
Dit artikel is het eerste deel van een drieluik. In dit artikel ligt de nadruk op het C -model voor integrale ICTketenbeheersing. Zoals wordt beschreven in de afsluitende paragraaf van dit artikel, geven de andere twee delen hier vervolg aan door te beschouwen hoe hiermee de governance van ICT-ketens verder kan worden geoptimaliseerd. Dit artikel is als volgt opgebouwd: de volgende twee paragrafen lichten de doelstelling van een model voor de integrale beheersing van ICT-ketens toe en schetsen de opzet voor zo’n model. De daaropvolgende paragrafen gaan achtereenvolgens in op de individuele componenten van het model: de content, context en control. Het artikel wordt afgesloten met een concluderende paragraaf die de voorgaande paragrafen samenvat in een 4 integrale weergave van het C -model, aangevuld met een beknopte beschrijving van de twee vervolgartikelen die onderdeel uitmaken van eerdergenoemd drieluik. DOELSTELLING VOOR EEN MODEL VOOR INTEGRALE ICT-KETENBEHEERSING Zoals in de inleiding aangegeven, staat het onderwerp van beheersing en controle van ICT-ketens volop in de belangstelling. Het onderwerp kan daarbij vanuit een groot aantal verschillende oogpunten bekeken worden, hetgeen eenduidige communicatie hierover lastig maakt. Uit de praktijk is dan ook de behoefte ontstaan aan een gedegen model om de diverse perspectieven op ICT-ketenbeheersing in beeld te brengen. Dit model dient het volledige speelveld af te dekken ten einde van integrale ICT-ketenbeheersing te kunnen spreken. Deze behoefte aan een integraal model is ook bekend uit de literatuur (citaat [RAVA07], bladzijde 49/50):
Page | 1
‘For a complete and comprehensive solution to its control needs, a business needs a systemic framework for control system development. Without an overarching model (a framework), it would be almost impossible to prove risks are managed well and as completely as necessary. Frameworks permit us to define the scope of control and security systems within a business.’ Er bestaan allerlei modellen, raamwerken en richtlijnen, onder meer voor ICT-beheersing, auditing, assurance en governance. Deze zijn onder meer opgesteld vanuit de internationale accountantspraktijk (IFAC, www.ifac.org), de IT-audit professie (ISACA, www.isaca.org) en de ISO standaardisatie-omgeving (www.iso.org). Nagenoeg al deze modellen en richtlijnen zijn echter opgesteld vanuit intra-organisatorisch perspectief. Soortgelijke modellen en richtlijnen ontbreken nog voor automatisering in ICT-ketens. Een aantal aspecten maakt de beheersing van ICT-ketens anders dan intra-organisatorische beheersing van ICT. In ICT-ketens is sterke governance niet een ‘gegeven’. Er is veelal geen (strikte) ‘line of command’. De span of control voor individuele organisaties is beperkt. Vaak moeten beslissingen middels consensus worden genomen. Daarnaast definiëren de verschillende ketenpartners kosten, baten en doelstellingen niet eenduidig en zijn kosten en baten ook niet noodzakelijkerwijs evenredig verdeeld over alle ketenpartners. Tot slot kunnen er communicatie- en cultuurverschillen zijn tussen ketenpartners. Zelfs binnen hetzelfde land kunnen verschillende sectoren specifieke terminologie hanteren. Een gedeeld begrip en afstemming in de communicatie zijn van groot belang. Het onderzoeksproject TTISC wil tegemoetkomen aan de behoefte aan een model voor integrale ICTketenbeheersing en heeft daarom het initiatief genomen om zo’n model op te stellen, daarbij zoveel mogelijk hergebruik makend van bestaande modellen. Dit model wordt in het vervolg van dit artikel beschreven. DE OPZET VAN HET MODEL VOOR INTEGRALE ICT-KETENBEHEERSING Een basiseis aan een model voor integrale ICT-ketenbeheersing is dat het zowel de verschillende onderwerpen van ICT-ketenbeheersing (ofwel de ‘content’) benoemt, de verschillende perspectieven beschouwt van waaruit beheersing en beoordeling van ICT-ketens plaatsvindt (ofwel de ‘context’) als de methoden omvat waarop control kan worden uitgeoefend (ofwel de ‘control’). 4
Het C -model omvat deze onderwerpen content, context en control. Het model beschrijft elk van de onderwerpen op twee assen, waardoor voor elk van de drie onderwerpen een vlak ontstaat. Het content-vlak wordt gedefinieerd door de as ‘beheersingsniveau’ en de as ‘beheersingsobject’, het context-vlak door de as ‘ketentypologie’ en de as ‘ketenperspectief’, en het control-vlak door de as ‘afspraken’ en de as ‘implementatie’. In de volgende paragrafen wordt elk van de vlakken met hun assen verder toegelicht, uitmondend in een 4 detaillering van het C -model. 4
HET CONTENT-VLAK VAN HET C -MODEL Het content-vlak wordt gedefinieerd door de assen ‘beheersingsobject’ en ‘beheersingsniveau’, zoals weergegeven in
Figuur 1: Het content-vlak.
Page | 2
De as ‘Beheersingsobject’ Deze as geeft aan of het object van beheersing de (financiële) waarde van de ICT-keten betreft, de functionele onderdelen (de te leveren ‘service’) per ketenpartner, of de kwaliteit waarmee deze diensten en dienstonderdelen aan elkaar worden geleverd. Waarde: De bijdrage aan strategische doelstellingen, baten en kosten van het werken en afstemmen van ketens. Functioneel: Afstemming van servicecomponenten, baten en kosten met individuele ketenpartners. Kwalitatief: De mate waarin aan de (kwalitatieve) verplichtingen van de serviceverlening wordt voldaan. De term kwaliteit is hierbij een breed begrip. Het kan een breed palet aan kwaliteitseigenschappen voor software systemen aanduiden, zoals bijvoorbeeld uitgewerkt in het Quint-model [QUIN96] (afgeleid van de ISO/IEC norm 9126-1 [ISO01]) dat is weergegeven in Figuur 2.
Figuur 2: Kwaliteitsaspecten volgens het Quint-model. De as ‘Beheersingsniveau’ Deze as geeft het bestuurlijke niveau aan waarop de beheersing van toepassing is. Drie beheersingsniveaus worden onderscheiden, zoals bekend uit het KAD+ model [HART10] gericht op de beheersing van intraorganisatorische administratieve dienstverlening. Deze drie niveaus zijn: Strategische beheersing: De strategische uitgangspunten en aansturing voor de ICT-keten. Organisatorische beheersing: De vertaling van de strategische uitgangspunten naar het organisatorische beheerskader van de ICT-keten. Operationele beheersing: De inrichting en de beheersing van de werkprocessen.
Page | 3
HET CONTEXT-VLAK VAN HET MODEL Het context-vlak wordt gedefinieerd door de assen ‘ketentypologie’ en ‘ketenperspectief’, zoals weergegeven in
Figuur 3: Het context-vlak. De as ‘Ketentypologie’ De typologie geeft de wijze weer waarop de samenwerkings- en afstemmingsrelaties in een ICT-keten zijn ingevuld. Het basisonderscheid is de mate waarin er een overkoepelend gezag in de keten is dat eisen aan ketenpartners kan opleggen over de wijze van invulling van ICT-voorzieningen. We onderscheiden drie typen: Ketenkoppeling: Bij ketenkoppeling werken ketenpartners met elkaar samen op basis van afspraken over hun koppelvlak, zonder daarbij afstemming te hebben over de geleverde functionaliteit of de (kwaliteit van) de technische implementatie. Deze situatie treedt bijvoorbeeld op wanneer een organisatie diensten op dynamische wijze via service oriëntatie van een andere ketenpartner afneemt. Ketenafstemming: Bij ketenafstemming stemmen ketenpartners wel de functionaliteit en de kwaliteit van de technische implementatie op elkaar af. Op basis van consensus kunnen daarbij beslissingen worden genomen. Een voorbeeld hiervan is de situatie waarin ketenpartners op vanuit een gedeeld belang met elkaar de kwaliteit van hun technische implementatie bespreken, risico’s en zwakheden identificeren en eventueel tot (technische of procesmatige) compenserende maatregelen besluiten, zoals bijvoorbeeld in [BAST11] beschreven is voor het kwaliteitsaspect continuïteitsmanagement. Als speciale uitingsvormen hiervan kunnen het sluiten van een Service Level Agreement (SLA) of afgeven van een Third Party Mededeling (TPM) worden genoemd. Ketensturing: Bij ketensturing is er sprake van een ketenpartner met voldoende overkoepelend gezag om eisen aan ketenpartners op te kunnen leggen over de wijze van invulling van hun ICTvoorzieningen. Dit zowel bijvoorbeeld doordat er een ketenpartner is met een dominante marktpositie of doordat de wet- en regelgeving eisen oplegt. In zijn algemeenheid zullen ICT-ketens hybride van aard zijn: één van bovenstaande types zal niet voor alle relaties in de keten van toepassing zijn. De as ‘Ketenperspectief’ Het ketenperspectief beschrijft de optiek van waaruit de ICT-keten wordt beschouwd. De volgende perspectieven worden daarbij onderscheiden:
Page | 4
Het toezichtperspectief: In dit perspectief wordt de gehele ICT-keten van ‘buitenaf’ beschouwd ten einde over de compliance met wet- en regelgeving te kunnen oordelen. Het ketenperspectief: In dit perspectief wordt de gehele ICT-keten (van ‘buitenaf’) beschouwd ten einde te kunnen oordelen over een beheersingsaspect van de ICT-keten in zijn geheel, bijvoorbeeld de eind-tot-eind beheersing van business continuïteit, zowel organisatorisch als operationeel. Het partnerperspectief: In dit perspectief wordt een beheersingsaspect beschouwd vanuit de positie van een specifieke partij en ketenpartner binnen de ICT-keten. Niet de gehele ICT-keten wordt beschouwd maar het belang van slechts één enkele schakel hierin. HET CONTROL-VLAK VAN HET MODEL Het control-vlak wordt gedefinieerd door de assen ‘afspraken’ en ‘implementatie’, zoals weergegeven in Figuur 4.
Figuur 4: Het control-vlak. De as ‘Afspraken’ De afspraken omvatten de (contractuele) afspraken tussen de ketenpartners, zoals vastgelegd in een Service Level Agreement (SLA). De volgende aspecten zijn van belang bij beoordeling van de gemaakte afspraken: Volledigheid: Zowel de (technische) kwaliteitsaspecten als de procesinteracties dienen in de afspraken met voldoende detail te zijn benoemd. Als voorbeeld van een kwaliteitsaspect kan ‘beschikbaarheid’ worden genoemd, uitgedrukt in bijvoorbeeld zowel minimaal percentage beschikbaarheid, maximaal aantal incidenten per jaar en maximale duur van de verstoring per incident. Als voorbeeld van procesinteractie noemen we procesafspraken rondom business continuïteit [BAST10]. Betrouwbaarheid: De betrouwbaarheid van afspraken dienen een waarheidsgetrouwe afspiegeling te geven van de implementatie en de beheersingsmaatregelen die de aanbieder getroffen heeft. Hier komt het aspect ‘vertrouwen’ om de hoek kijken, met het instrument ‘trust audit’ [BAST12] ter beoordeling hiervan. Aaneenschakeling: Dit omvat de aaneenschakeling van de afspraken die tussen de diverse ketenpartners op de verschillende plaatsen in de ICT-keten zijn afgesproken. Zijn ze consistent? Hoe ‘tellen’ de verschillende afspraken bij elkaar op tot het vereiste niveau van beheersing van de gehele keten. Het is mogelijk hiervoor wiskundige modellen te ontwikkelen [SEQU12], waar zelfs de betrouwbaarheid van gemaakte afspraken in kan worden verdisconteerd. Hieraan wordt in het Nederlandse onderzoeksproject TTISC [TTIS12] gewerkt. De as ‘Implementatie’
Page | 5
De implementatie omvat de daadwerkelijke bestuurlijke en technische maatregelen die in de ICT-keten en door ketenpartners zijn genomen om beheersing van de ICT-ketens te realiseren, bijvoorbeeld de maatregelen om het kwaliteitsaspect ‘beschikbaarheid’ te verhogen. Zoals vertrouwd zal voorkomen in de audit professie, zijn de volgende aanpakken daarbij te onderscheiden: Systeemgericht: Dit betreft de besturings- en beheersingsprocessen en maatregelen. Deze dienen op zodanige wijze te zijn vormgegeven zodat de beheersing van de keten adequaat is. Gegevensgericht: De (uitwisseling en transformatie van) gegevens in de ICT-keten is hetgeen waar het uiteindelijk om gaat. Dit wordt ook wel aangeduid als het ‘content network’. De gegevensgerichte aanpak beschouwt derhalve of de ICT-keten zodanig is ingericht dat de uitwisseling van informatie en gegevens, binnen de waardeketen juist en controleerbaar is. Distributiegericht: De applicaties en ICT-systemen (zowel servers als operating systemen) in de ICT-keten vervullen de taak om de gegevens en informatie daadwerkelijk uit te wisselen tussen de verschillende partijen. Dit wordt ook wel aangeduid als het ‘delivery network’. De distributiegerichte aanpak beschouwt daarom de implementatiegerichte maatregelen die de kwaliteit hiervan moeten borgen. Hieronder vallen maatregelen zoals redundantie (om beschikbaarheid te verhogen), encryptie (om vertrouwelijkheid te verhogen) en informatievalidatie (om integriteit te borgen). CONCLUSIES In dit artikel hebben we een model voorgesteld en uitgewerkt voor de beheersing en controle van ICT-ketens. Het geeft een handvat om het totale speelveld van ICT-ketenbeheersing te overzien, hiaten hierin te identificeren en communicatie hierover te vergemakkelijken. Daarbij kan het model tevens dienen om de scope van ICT-ketenaudits te bepalen. De sterkte van model is dat het vanuit zowel een content, context als control perspectief is vormgegeven, waardoor het de grote diversiteit aan en wijze van kijken naar ICT-ketens afdekt. Daarmee is het model een goed hulpmiddel bij het beheersen en auditen van ICT-ketens. De gezamenlijke uitwerking van de content-, context- en control-vlakken op beide assen uit de voorgaande 4 paragrafen, kan visueel in het (kubusvormige) C -model voor integrale ICT-ketenbeheersing worden weergegeven, zie
Figuur 5
Page | 6
Figuur 5: Gedetailleerde weergave van C4-model voor integrale ICT-ketenbeheersing. Zoals gezegd, het combineren van de drie vlakken tot een kubus in deze figuur is louter is bedoeld voor visualisatie. Om de kubus te gebruiken (voor bijvoorbeeld het positioneren van ICT-audits) zal veelal gebruik worden gemaakt van de individuele onafhankelijke vlakken (i.e. het content-vlak het context-vlak en het control-vlak), waarbij voor specifieke ICT-ketens per vlak de afweging kan worden gemaakt welke van de aspecten voor beheersing en controle als relevant worden beoordeeld. Wij roepen hierbij organisaties tevens op om samen met ons dit model voor het beheersen van ICT-ketens en het positioneren van ketenaudits voor hun (bedrijfs-) of ketensituatie te beproeven en verder te ontwikkelen. Het verder invullen van het model door de ontwikkeling van best practices en governance richtlijnen voor ketens zou hierbij een goede vervolgstap kunnen zijn. Het vervolg … Het Nederlands onderzoeksproject TTISC [TTIS12] werkt aan een Assurance-raamwerk voor ICTketenbeheersing, -besturing, -riskmanagement en -controle. Dit artikel is een resultaat van het project en is het eerste deel van een drieluik. De volgende twee delen hiervan, zoals ter publicatie in dit tijdschrift worden aangeboden, zijn: Assurance determinanten analyse voor optimale governance van ICT-ketens Dit deel beschrijft hoe vanuit Assurance-perspectief op adequate wijze de governance van ICT-ketens kan worden vormgegeven. Op basis van de analyse van risico, control en keten-inrichting worden determinanten van assurance gebruikt voor de initiële opzet van een controleerbare ICT-keten, aansluitend bij het organisatorisch beleid van de initiator van deze ICT-keten. Governance van ICT-ketens op basis van dynamisch (near) real time risicomanagement in ICT-ketens en technieken voor ‘continuous service based auditing’ Dit derde deel neemt deel twee als startpunt en gaat in op het dynamiseren van de governance van ICTketens door middel van (near) real-time risicomanagement in ICT-ketens en dynamische keten-auditing vanuit het organisatorische beleid van de initiator van de ICT keten. Dit heeft tot doel het realiseren van de opzet, bestaan en werking van adequate governance van ICT-ketens. LITERATUURVERWIJZINGEN [BAST11] Bastiaansen, H.J.M., Matthijssen, E., Schenk, M., Continuïteitsmanagement in vitale ICTketeninfrastructuren vergt nieuwe bestuurlijke aanpak, TIEM 2.0, nr. 42, najaar 2011. [BAST12] Bastiaansen, H.J.M., Trust audits en hun rol in het beoordelen van de robuustheid van ICT-ketens”, Informatiebeveiliging, nr. 6, 2012. [BRUI06-1] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: startpunt voor keteninrichting en ketenauditing, de EDP-Auditor, nr. 1, 2006. [BRUI06-2] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: ketensamenwerking binnen het publieke domein, de EDP-Auditor, nr. 2, 2006. [ENIS09] EU-initiave, ENISA - European Network and Information Security Agency, initiated in 2009, www.enisa.europa.eu.
Page | 7
[HART10] Hartog, P., Korte, de R., Otten J., Model voor het auditen van Management Control, Auditing.nl, April 2010. [ISO01] International Standard ISO/IEC 9126-1, Software engineering — Product quality — Part 1: Quality model, first edition, 2001. [MEER05] Meer, van der A.J., Dirks, L.G., Ketenauditing in de publieke sector, complex en daarom spannend!, de EDP-Auditor nr. 3, 2005. [MOLL10] Mollema, R.J., Welters, M.M.J.M., Vaktechnisch verantwoorde ketenaudits: optie of utopie?, de EDPAuditor nr. 3, 2010. [NORE12] Norea Werkgroep Ketenauditing, www.norea.nl. [QUIN96] SERC, Kwaliteit van softwareproducten - Praktijkervaringen met een kwaliteitsmodel, 1996. [RAVA07] Raval, V., Fichadia, A., Risks, Controls and Security – Concepts and Applications, Wiley, 2007. [SEQU12] IOP GenCom onderzoeksproject, SEQUAL (SErvice optimization and QUALity), www.agentschapnl.nl/content/project-service-optimization-and-quality-sequal. [TTIS12] IIP onderzoeksproject, TTISC (Towards Trustworthy ICT Service Chains), ICT-regie innovatieplatform, www.ict2030.nl/IIP-Cooperation-Challenge.html. PERSONALIA Dr. Ir. H.J.M. (Harrie) Bastiaansen is senior consultant bij TNO. Hij heeft veel ervaring in het adviseren over enterprise architectuur en over de organisatie, processen en techniek voor integratie omgevingen in grote en complexe omgevingen. In de recente jaren is zijn aandacht uitgebreid naar IT-besturing. Daarbij heeft hij recentelijk succesvol zijn opleiding tot IT-Auditor aan de Erasmus Universiteit Rotterdam afgerond. E-mailadres:
[email protected]. Drs Y.W. (Ype) van Wijk RE RA is werkzaam bij de Rijksuniversiteit Groningen voor het TTISC project. Daarnaast is hij werkzaam als promovendus op het gebied van assurance in IT service ketens, hetgeen gericht is op de ontwikkeling van het assurance raamwerk voor ICT-enabled service ketens. E-mailadres:
[email protected]
Page | 8
