Generiek Framework voor Assurance in ICT-ketens Assurance typologie, distributie, determinant, profiel, patroon Keten-Governance
Harrie Bastiaansen Dr. ir. H.J.M. (Harrie) Bastiaansen Senior Business Consultant Business Information Systems T +31 (0)88 866 77 92 M +31 (0)65 129 55 27 E
[email protected]
Ype van Wijk Drs. Y.W. van Wijk RE RA Rijksuniversiteit Groningen Business & ICT – IT Audit T +31 (0)50 363 39 82 M +31 (0)65 157 26 75 E
[email protected]
Trends TTISC service chains (1) • • • • • • •
Change of the internal ICT function Focus on ICT supported services with mutual dependency risk-control Increasing application development, new functionality Coupled services means increased dependencies and vulnerability Various sources mean new risks and threats SaaS en Cloud computing function as distribution method Current applications often replaced by chains of external networks of applications
Paradigm change to Virtual Organization Current Frameworks for organizations, not for chains Need for Assurance in total service chain New business approach for assurance
TTISC Towards Trustworthy ICT-enabled service chains De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen de business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service (SaaS) en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen worden door ketens van gekoppelde externe netwerken van applicaties. Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele applicaties gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet als een enkele applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen.
Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico’s en bedreigingen. Vele toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in de leveranciers van de leveranciers, ad infinitum. In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreëerd zal moeten worden in de kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode noodzakelijk voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteit niveau binnen de keten van services en applicaties, en gericht is op een adequate niveau van assurance in de totale keten. Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service ketens, zowel ten aanzien van het ICT service delivery network als de inhoudelijke service content network, gericht op betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader ontwikkeld gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een generalisering te komen in een geïntegreerd framework voor ICT ondersteunde service ketens.
Assurance Framework for ICT-enabled service chains
•
De ‘Wat?’ vraag: •
•
De ‘Hoe?’ vraag: • • • •
•
Het Chain Content, Context & Control (C4-) model
Het generiek Assurance framework voor ICT-ketens ICT Keten Optimalisatie Risk-control in de ICT-keten m.b.v. distributies en profielen ICT-Keten Governance
Testen en valideren van het framework
Artikelen: Part I Part II Part III
Het Chain Content, Context & Control (C4-) model Assurance Analyse voor betrouwbare ICT-Ketens Chain Governance en Assurance
Aanvullend artikel: De trust audit voor kwaliteitsbeheersing van uw ICT-keten
Status: Geaccepteerd voor ‘de IT-Auditor’ Status: Ter review bij ‘de IT-Auditor’ Status: Ter review bij ‘de IT-Auditor’ Status: Gepubliceerd in ‘Informatiebeveiliging’
WAT: Het Chain Content, Context & Control (C4-) model
Relatie C4-model en Assurance framework voor ICT-ketens
HOE: Het generiek Assurance framework voor ICT-ketens Doel: •
•
Methodiek voor beheersing en Assurance in ICT-ketens •
Generiek: want toepasbaar voor grote diversiteit aan business en kwaliteitsdoelstellingen
•
Hoe: Beheersing van en sturing op risico- en control-distributies
Inbedden in een ICT-keten Governance proces
•
ICT-keten
•
Risk management en Control in de keten
•
Distributie Risk-Control over de ICT-keten
•
Keten analyse
•
Typologie keten – Distributie – Determinant – Profiel - Patroon
•
Keten initiëren en optimaliseren door Assurance Plotting
•
Fundamenten ICT-keten Governance
Vanuit de basis van de ICT service keten De opbouw van de ICT-service keten
Service Chain
A
de partij die de keten initieert en het service request uitstuurt;
Content network service
A
request
B
request Add value
C
Risk Control Enactment Enforcement
B
de partij die waarde toevoegt aan het service request waardoor het mogelijk wordt dat C de service kan leveren;
C
de partij die de service levert via partij B aan partij A
service Delivery network
Service Chain
Enactment Enforcement
het ontwerp van de service keten de (bij)sturing van de service keten
Risk-Control in de ICT-service keten • De risico-distributie beschrijft hoe voor elke schakel in de ICT-keten zijn risico afhankelijk is van (propageert naar) aanpalende ketenschakels: Hoog, Medium of Laag gedistribueerd risico. • De control-distributie beschrijft hoe elke schakel de verantwoordelijkheid voor het nemen van compenserende (mitigerende) maatregelen verdeelt over andere (aanpalende) ketenschakels in de ICT-keten: orkestratie, recursie en transparantie.
• Het assurance profiel bevat de ordinale waarden (Hoog, Medium, Laag) van de assurance determinanten voor het ‘achterliggende deel’ van de ICT-keten. Triplet van risk, control en profiel geeft de transference of obligations in de keten weer Triplet Assurance
A NA
A
NB Triplet TA,B [ RA,B ,CA,B, ,PA,B]
B
Schakel (partij) in de ICT-keten
Legenda
Nx
Mate van beheersing over node x
TA,B
Triplet voor relaties tussen nodes A en B, bestaande uit: RA,B Risico Distributie tussen nodes A en B CA,B Control Distributie tussen nodes A en B
PA,B Assurance Profiel tussen nodes A en B
Distributie van Risk-Control in de ICT-keten
C
H
Orkestratie
Recursie
I
Transparantie
service
A
Transparantie
B
Recursie
D
Hoog gedistribueerd risico Medium gedistribueerd risico Laag gedistribueerd risico
F Transparantie
Recursie Orkestratie
E
A
Triplet TA,B
G
B
[ RA,B ,CA,B, ,PA,B]
Profile D1 D2 D3 …. Dn V1 V2 V3 … Vn
NA
NodeA (chain participant)
RA,B
Risk Distribution
CA,B
Control Distribution
PA,B
Assurance Profile
Transference of obligations risk-control
ICT-keten optimalisatie
Keten optimalisatie initiële opzet
ICT-service chain structure Assurance Typology and Type
Transference of Obligation
• Nature of the IT-chain: • Define control objective • Distinguishing types
• Risk-distribution: divide risks • Control-distribution: divide responsibilities Policy
Triplet TA,B = RA,B , CA,B , PA,B
Assurance Plotting
Assurance Determinant and Profile
Assurance Determinant D1
• Assurance Determinant: generic • Assurance profile: specific quantified chain unit optimized enactment
Value V1
Optimizing determinant enactment
Assurance Determinant D2
Assurance Determinant DN
Value V2
Assurance Profile n,m,q Dn : Assurance determinant Vn : Ordinale kwantificatie norm voor assurance profiel
Implementation
Assurance Pattern • Enactment pattern for distribution • Standard pattern (re)use • Generic implementation standards
Pattern: - Risk distribution - Control-distribution
Pattern: distribution patroon patroon - Riskpatroon - Control-distribution
Value VN
[ RB,C ,CBC, ,PB,C]
TB,C
Assurance Plotting for service content and delivery networks
NA
A
D [ RB,D ,CB,D ,PB,D]
[ RA,B ,CA,B, ,PA,B] NB
Objective
Typologie
ND
B
Profile PA,B Determinant D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm-value
Policy
TX,Y TB,D
TA,B
A
An assurance plot presents an optimal allocation of the riskdistribution RX,Y , the control distribution CX,Y and the assurance profile PX,Y (Triplet TX,Y from node Nx to node Ny ), over the IT chain.
C
Profile PB, D Determinant D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm-value
Profile PX,Y Determinant D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm-value
Optimal
T A,B Assurance Patterns
Algorithm
TB,C
PB,D
TX,Y
TX,Y
TX,Y
Optimized Assurance plot in IT-chain
Chain participant
High distributed risk
Nx
Level of Control over node x
Medium distributed risk
TA,B
Triplet for relations between nodes A en B, consisting of:
Low distributed risk
RA,B Risk Distribution between nodes A en B CA,B Control Distribution between nodes A en B
Dn
Determinant
PA,B Assurance Profile between nodes A en B
Vn
Norm-value
Legend
ICT-keten Governance
Strategic Chain Policy
Chain Risk Management
Strategic objectives
Risk Maturity
Chain Risk distribution
Assessment
Chain Control distribution
Continuous based
Enactment and Enforcement
Governance ICT service chain Audit en Monitoring Continuous Chain Audit Maturity
Monitoring and Steering
Road path to Chain-Governance
Plan
2. Classification level of control: typology, type en assurance profiles
3. Define Risk-distribution, control-distribution en assurance profiles using assurance plotting
Do
6. Monitoring balance risk-control distribution in assurance plot
8. Evaluation and steering
7. Monitoring and enactment of controls )
Chain Enforcement
5. Initiation of the IT-chain: assurance plotting and monitoring
Check
4. Define method audit and monitoring
Act
Chain Enactment
1. Define control object IT chain
Governance - Strategic Chain Policy
Strategic Chain Objectives
Enactment & Enforcement
Transference of obligations
Chain Control Maturity
Chain Risk Tolerance
Chain Risk Management, Audit and Monitoring Based on the Transference of Obligations
Transference Process
TB,C
[ RB,C ,CBC, ,PB,C]
C
A NA
TA,B
ND TB,D
B
Profiel PX,Y Determinant D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm waarde
D [ RB,D ,CB,D ,PB,D]
[ RA,B ,CA,B, ,PA,B] NB
Norm set Tolerance
Normwaarde : P A,B
A
TX,Y
Profiel A,B D1 .. Dn V1 .. Vm
Normwaarde : P B,D Risk management
Profiel A,B D1 .. Dn V1 .. Vm
Norm set Tolerance
Continuous Audit Object Risk and Audit maturity
Normwaarde : P X,Y Audit planning
Legend
Chain participant
High distributed risk
Nx
Level of Control over node x
Medium distributed risk
Dn
Determinant
TA,B
Triplet for relations between nodes A en B, consisting of:
Low distributed risk
Vn
Norm-value
RA,B Risk Distribution between nodes A en B CA,B Control Distribution between nodes A en B PA,B Assurance Profile between nodes A en B
Norm set Tolerance
Chain audit norms
Chain audit tolerance
Overview ICT service chain Triplet Basic ICT-chain
Atom Basic ICT-service chain
Chain Assurance optimized plot service
NA
Y TX,Y
NB
B
request
A
B
[ RA,B ,CA,B, ,PA,B]
request
TA,B
C
TB,D
B
A
Add value
X
TB,C
Triplet TA,B
A
service
C
Service Content network Service Delivery network
Profile PA,B Determinant D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm value
Assurance
Risk Control
Legend Nx
Level of control over node x
TA,B Triplet for relations between nodes A en B, consisting of: RA,B Risk Distribution between nodes A en B CA,B Control Distribution between nodes A en B PA,B Assurance Profile between nodes A en B A
Participant in IT-chain
CE x
Enactment Chain X (A, B, C, D..X, Y)
CF N
Enforcement Chain X (A, B, C, D..X, Y)
Optimized Assurance Balancing Risk-Control Transference of Obligation Optimizing Profile and Obligations
Enactment Enforcement
Governance and Assurance ICT-chain computing Transference of Obligation Governance Domain
Assessment
Enactment Domain
CE 1
T A,B
T B,C
T B,D
T X,Y
CF 1
Enforcement Domain ICT-Chain governance - Risk- Control chain transference - Chain enactment and enforcement :transference of obligation - Chain Audit, Assurance and monitoring
Chain Governance Assessment Practice Based on the Transference of Risk-Control Obligations
Assessment
Norms & Tolerance
Assurance
Chain Enablers Proces Service Chain
Chain Policy
Service content network Information Quality
Enactment & Enforcement Service Chain
Risk Management
Culture, Ethics, Behavior Service Chain
Audit & Monitoring
Service delivery network Infrastructure & Applications
Skills & Competences Chain participants
Chain Resources
Profile Valuation Assurance Determinants