Herbert van der Kooij De onderzoeksvraag is “kan de IT auditor assurance verstrekken in een Cloud Computing omgeving.” Hierbij zijn de verschillende aspecten van Cloud Computing onderzocht. Vervolgens zijn de voorwaarden van assurance-opdrachten afgezet tegen deze verschillende Cloud Computing aspecten. Hoofdconclusie is dat het geven van redelijke mate van zekerheid zeer lastig is gezien de complexiteit van de verschillende aspecten van Cloud Computing.
Vrije Universiteit Amsterdam Postgraduate IT Audit Opleiding Referaat juli 2012 Versie 1.0
De IT Auditor “in de wolken” Liberalisatie van IT geeft de afnemer nieuwe mogelijkheden en de IT Auditor nieuwe uitdagingen.
Voorwoord
Dit referaat is geschreven als afstudeeropdracht van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam. In het referaat dient een actueel vraagstuk uit de IT Audit wereld op een academisch verantwoorde wijze behandelt te worden. Dit referaat heeft als onderwerp “Assurance in the Cloud”. De toename van IT diensten in de Cloud leidt tot een grote vraag naar zekerheid omtrent deze diensten. Dit brengt voor de IT Auditor grote vraagstukken en uitdagingen met zich mee. Het referaat heeft als doelstelling om inzicht te geven in welke mate een IT Auditor zekerheid kan geven over Cloud diensten en welke middelen hij daarbij ter beschikking heeft. Om hier antwoord op te geven ligt een literatuurstudie ten grondslag van Cloud Computing en assurance opdrachten. Daarnaast zijn er interviews afgenomen met verschillende professionals die bij hun dagelijkse werkzaamheden direct betrokken zijn bij Cloud oplossingen. Via deze weg wil ik mijn afstudeerbegeleider dr. A. (Abbas) Shahim RE bedanken voor de prettige en interessante conversaties en het vakkundige inzicht welke tot een verdere verdieping en verrijking van dit referaat heeft geleid. juli 2012 Herbert van der Kooij
Inhoudsopgave Inleiding............................................................................................................................. 6 1.1
Achtergrond .......................................................................................................... 6
1.2
Onderzoeksvraag ...................................................................................................... 7
1.2.1
Subvragen ..................................................................................................... 7
1.2.2
Scope van het referaat .................................................................................... 7
1.3
Aanpak, indeling en structuur onderzoek .................................................................. 8
1.3.1
Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? ...... 8
1.3.2
Waaraan moet een Assurance-opdracht voldoen?................................................ 9
1.3.3 Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven van Assurance binnen een Cloud omgeving ............................................................................ 9 2.
Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? .................. 10 2.1
Inleiding .............................................................................................................. 10
2.2
Wat is Cloud Computing? ....................................................................................... 10
2.2.1
Definitie traditionele IT oplossing (hosting / ASP omgeving) ................................ 10
2.2.2
Definitie en essentiële aspecten van Cloud Computing ........................................ 10
2.2.3
Definitie Cloud Computing: ............................................................................. 11
2.2.4
Service modellen van Cloud Computing ............................................................ 11
2.2.5
Delivery modellen van Cloud Computing ........................................................... 11
2.2.6
Vijf kenmerken van Cloud Computing ............................................................... 13
2.2.7
Verschillen Cloud Computing ten opzichte van hosting en ASP ............................. 14
2.3
De techniek virtualisatie ........................................................................................ 15
2.3.1
Definitie en aanbieders ................................................................................... 15
2.3.2
Complexe technieken van virtualisatie .............................................................. 16
2.3.3
Wat betekent virtualisatie voor de IT Auditor ..................................................... 18
2.4
Business model .................................................................................................... 19
2.4.1
Inleiding ....................................................................................................... 19
2.4.2
Verschillende partijen in de Cloud .................................................................... 19
2.4.3
Van kopen naar huren .................................................................................... 22
2.5
Wet en regelgeving ............................................................................................... 22
2.5.1
Nederlandse regelgeving ................................................................................. 22
2.5.2
Amerikaanse wetgeving .................................................................................. 23
2.6.6 Betekenis privacy wetgeving voor de IT Auditor ...................................................... 24 2.6
Overige risico‟s ..................................................................................................... 24
2.6.1
De invloed op de Cloud diensten van de afnemer is beperkt ................................ 24
2.6.2
Right to audit is randvoorwaarde ..................................................................... 24
2.6.3
Afhankelijkheid van de aanbieder (Vendor lock-in) ............................................. 24
2.6.4
Verschillende afnemers in dezelfde Cloud .......................................................... 24
2.6.5 2.7 3.
Exitstrategie .................................................................................................. 25
Conclusie verschillen tussen Cloud Computing en traditionele IT oplossingen. .............. 26
Waaraan moeten assurance-opdrachten voldoen?............................................................ 28 3.1
Inleiding .............................................................................................................. 28
3.2
Definitie en doelstelling van een assurance-opdracht ................................................. 28
3.3
Soorten assurance-opdrachten ............................................................................... 29
3.4
Type en vormen van assurance-opdrachten ............................................................. 30
3.4.1
Type assurance-opdrachten............................................................................. 30
3.4.2
Audit domeinen ............................................................................................. 30
3.4.3
Vormen van assurance-opdrachten .................................................................. 31
3.4.4
Service Organization Control (SOC) Rapport ...................................................... 33
3.4.5
SOC 1........................................................................................................... 33
3.4.6
SOC 2........................................................................................................... 33
3.4.7
SOC 3........................................................................................................... 34
3.5
De vijf elementen van een assurance-opdracht ......................................................... 34
3.5.1
Drie partijen .................................................................................................. 34
3.5.2
Object van onderzoek ..................................................................................... 34
3.5.3
Toetsingsnormen ........................................................................................... 35
3.5.4
Geschikte informatie ...................................................................................... 35
3.5.5
Het assurance rapport .................................................................................... 36
3.6 Conclusie waaraan moeten assurance opdrachten voldoen en de invloed voor assurance van Cloud Computing ...................................................................................................... 37 4.
Instrumenten van de IT Auditor bij Cloud Computing opdrachten ...................................... 42 4.1
Inleiding .............................................................................................................. 42
4.2
Niet Cloud dienst specifieke standaarden ................................................................. 42
4.3
Cloud dienst specifieke standaarden ........................................................................ 43
4.4
Tools ................................................................................................................... 45
4.5
Externe deskundigen ............................................................................................. 46
4.6
Conclusie instrumenten van de IT Auditor bij Cloud Computing opdrachten .................. 46
5.
Conclusie .................................................................................................................... 48
6.
Literatuurlijst .............................................................................................................. 50
7.
Bijlage ....................................................................................................................... 52 7.1
Bijlage 1 .............................................................................................................. 52
7.2
Bijlage 2 .............................................................................................................. 53
7.3
Bijlage 3 .............................................................................................................. 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Inleiding 1.1
Achtergrond
Hoe kan de IT Auditor in een wereld met toenemende virtualisatie en Cloud computing assurance verstrekken? De IT Auditor verstrekt tot op heden diverse vormen van zekerheid / assurance in een veelal nog traditionele1 IT wereld. De IT Auditor wordt in twee rollen geconfronteerd met cloud computing:
als IT Auditor van gebruikers van cloud computing (al dan als onderdeel van een audit team van een externe financial Auditor); als IT Auditor van een aanbieder van cloud computing (die dan eventueel weer gebruik maakt van onderaannemers).
Figuur 1 - Actoren model Assurance in de Cloud
In figuur 1 zijn vier betrokken partijen van een assurance-opdracht ten aanzien van een Cloud dienst weergegeven. De Cloud afnemer betreft de afnemer van de Cloud dienst. Vanuit deze partij komt de vraag naar zekerheid omtrent de geoutsourcete IT omgeving. De Cloud service provider verstrekt een opdracht aan onafhankelijke derde partij, te weten de External IT Auditor. De External IT Auditor zal onderzoek verrichten naar de IT omgeving van de Cloud service provider, waarbij hij gebruik maakt waar mogelijk van de werkzaamheden en bevindingen van de Internal IT Auditor. Onder de Cloud Service Provider wordt de aanbieder van de Cloud dienst bedoelt inclusief eventuele subcontracters (Housing, Iaas, Paas dienstverleners). Dit maakt de audit werkzaamheden complex, een nadere toelichting wordt gegeven in paragraaf 2.4.2 verschillende partijen
1
Met trad itionele IT omgeving worden IT omgevingen bedoeld die geen gebruik maken van virtualisatie of Cloud diensten.
Pagina 6 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
in de Cloud. Nadat de External IT Auditor het onderzoek heeft afgerond wordt een rapport met een oordeel over de Cloud dienst van de Cloud Service Provider afgegeven aan de Service Organisation. Deze verstrekt het assurance rapport aan de Cloud afnemer en indien gewenst verstrekt de gebruikers organisatie het assurance rapport aan de user auditor. De vraag is of de IT Auditor in een wereld met IT virtualisatie en cloud computing, welke onzichtbaar zijn voor de gebruiker ook kan verstrekken en welke middelen hij hierbij kan hanteren. Vanuit het onderwerp Cloud Computing en Assurance is dan ook de volgende onderzoeksvraag gedefinieerd:
1.2
Onderzoeksvraag
“Op welke wijze en met welke instrumenten kan de IT Auditor Assurance verstrekken in een Cloud Computing omgeving?” 1.2.1
Subvragen
Om antwoord te kunnen geven op de hoofdvraag is de aanpak gekozen om de hoofdvraag onder te verdelen in drie subvragen. 1. Wat zijn de verschillen tussen Cloud Computing en traditionele IT omgeving? 2. Waaraan moet een Assurance-opdracht voldoen? 3. Welke instrumenten heeft de IT Auditor tot zijn beschikking om Assurance te verschaffen in een Cloud omgeving? Deze subvragen, relevante deelaspecten en de aanpak zijn schematisch weergegeven in figuur 2. Per subvraag wordt in paragraaf 1.3.1 t/m 1.3.3 een verkorte toelichting gegeven en benoemd in welk hoofdstuk de onderwerpen worden behandeld. Dit alles samengevat beschrijft de gehele aanpak van het onderzoek. 1.2.2
Scope van het referaat
Dit referaat richt zich op Assurance-opdrachten welke betrekking hebben op de Cloud omgevingen waarbij Multi-tenancy (door meerdere partijen gedeelde infrastructurele componenten) van toepassing is, dus de Public Cloud. De Private Cloud, Community Cloud en Hybrid Cloud vallen derhalve buiten beschouwing. In paragraaf 2.2.4 worden de verschillende service modellen van Cloud Computing toegelicht. De onderzoeksvraag gaat in op de mogelijkheid voor een IT Auditor om Assurance te geven ten aanzien van Cloud diensten. Daarom worden opdrachten welke een IT Auditor kan uitvoeren ten aanzien van Cloud diensten waarbij geen Assurance wordt gegeven buiten scope gelaten. Het onderzoek heeft zich alleen gericht op de risico‟s, processen en beheersmaatregelen bij de Cloud service provider. De beheersmaatregelen welke de Cloud afnemer dient te treffen, ten einde voldoende controle te houden over zijn uitbestede systemen en gegevens, zijn buiten scope. Daarnaast gaat het onderzoek voornamelijk in op infrastructuur- en applicatie- Cloud diensten. Het outsourcen van een geheel business proces (Business As A Service) is eveneens buiten scope.
Pagina 7 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
1.3
Aanpak, indeling en structuur onderzoek
Het begin van het onderzoek heeft vooral betrekking gehad op het vinden van relevante theorie. Door middel van een intensieve literatuurstudie is voldoende informatie gevonden om een beeld te krijgen over de verschillende aspecten van Cloud Computing en de vereisten van assurance-opdrachten. Tevens is gesproken met auditors, juristen en zijn eigen ervaringen bij klanten meegenomen. De drie subvragen zoals benoemd in paragraaf 1.2.1 zijn opgenomen in de onderzoeksaanpak, waarbij per deelvraag relevante deelaspecten zijn gedefinieerd. Vervolgens wordt per deelvraag een conclusie en samenvatting gegeven welke als input dienen voor de eindconclusie. Hoofdstuk 2
Hoofdstuk 3
Hoofdstuk 5
Hoofdstuk 4
Figuur 2: Schematisch onderzoeksaanpak 1.3.1
Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen?
In hoofdstuk 2 wordt de hoofdvraag „Wat is Cloud Computing?‟ beschreven. Hierbij zijn sub onderwerpen vastgesteld die relevant zijn voor dit referaat. Om de verschillen van Cloud computing ten opzichte van traditionele IT omgevingen inzichtelijk te maken wordt in hoofdstuk 2 eerst de traditionele IT omgeving kort getypeerd. Daarna volgt een verkenning van het begrip Cloud Computing. Vervolgens wordt de techniek van virtualisatie behandeld. Deze techniek is elementair om Cloud diensten aan te kunnen bieden. Het Business model in paragraaf 2.4 nader toegelicht waarbij de rollen die de verschillende partijen binnen Cloud Computing spelen worden behandeld en in paragraaf 2.5 wordt in gegaan op wet- en regelgeving en juridische bedrijfsbelangen. Tot slot zal antwoord gegeven worden op de vraag waarin Cloud Computing verschilt van traditionele IT omgevingen.
Pagina 8 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Op basis van de bovenstaande paragrafen, waarbij de aspecten van Cloud Computing zijn beschreven, worden de elementaire verschillen ten opzichte van een “traditionele IT omgeving” in paragraaf 2.7 weergegeven. 1.3.2
Waaraan moet een Assurance-opdracht voldoen?
In hoofdstuk 3 wordt de definitie en de vereisten van een Assurance-opdracht beschreven. Bij het beschrijven van de definitie en de vereisten van een Assuranceopdracht zijn de volgende paragrafen opgesteld:
Definitie en doelstelling van een Assurance-opdracht; Soorten Assurance-opdrachten; Type en soorten van Assurance-opdrachten; De vijf elementen van een Assurance-opdracht; Cloud Computing normenkaders.
Op basis van de vastgestelde vereisten en kenmerken van een Assurance-opdracht wordt in paragraaf 2.7 de beschreven aspecten van Cloud Computing hiertegen afgezet, waarbij vervolgens een conclusie wordt gegeven. 1.3.3 Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven van Assurance binnen een Cloud omgeving In hoofdstuk 4 worden de tools beschreven welke een IT Auditor tot zijn beschikking heeft bij het geven van Assurance binnen een Cloud omgeving. De volgende onderverdeling wordt behandeld;
Niet Cloud dienst specifieke standaarden Cloud dienst specifieke standaarden Tools Externe deskundigen
Waarna een conclusie wordt gevormd over de middelen van de IT auditor bij Cloud Computing opdrachten. Na het beantwoorden van de drie subvragen wordt in hoofstuk 5 een mening gevormd ten aanzien van de hoofdvraag ”Kan de IT Auditor zekerheid verschaffen in een Cloud omgeving”.
Pagina 9 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
2. Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? 2.1
Inleiding
Bij het zoeken naar de definitie van Cloud Computing worden in artikelen verschillende definities weergegeven. De aspecten van Cloud Computing die generiek wordt beschreven in de verschillende artikelen zijn de service modellen, de delivery modellen en de specifieke kenmerken van Cloud Computing. Hieronder zijn de verschillende modellen en kenmerken van cloud computing schematisch weergegeven. Vervolgens wordt in paragraaf 2.2 de onderdelen van figuur 3 toegelicht. Vervolgens worden in paragraaf 2.3 t/m 2.6 andere belangrijke aspecten van cloud computing nader toegelicht. Tot slot wordt in paragraaf 2.7 een conclusie gegeven op de eerste subvraag, wat de verschillen tussen een traditionele IT omgeving en een cloud omgeving.
Figuur 3 - Cloud Computing
2.2
Wat is Cloud Computing?
2.2.1
Definitie traditionele IT oplossing (hosting / ASP omgeving)
De traditionele IT omgeving waarbij in dit referaat wordt uitgegaan is een omgeving waarbij de IT omgeving in eigendom is van de eigen organisatie, intern beheerd wordt en vooral IT diensten levert aan de eigen organisatie. Daarnaast zijn deze IT oplossingen beperkt flexibel en schaalbaar omdat o.a. virtualisatie niet of beperkt wordt toegepast. 2.2.2
Definitie en essentiële aspecten van Cloud Computing
Bij het zoeken naar de definitie van Cloud Computing in artikelen worden veel verschillende definities weergegeven. Onderstaande definitie bevat de verschillende essentiële aspecten van Cloud Computing zoals weergegeven in figuur 3.
Pagina 10 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
2.2.3
Definitie Cloud Computing:
“Cloud Computing is een IT service model, gebaseerd op virtualisatie, waarbij de diensten in de vorm van infrastructuur, data en applicaties via het internet worden aangeboden als een gedistribueerde service via één of meerdere service providers. Deze diensten worden door verschillende afnemers gedeeld, zijn eenvoudig schaalbaar en wordt betaald per gebruikte eenheid.” gebaseerd op: [Böhm10] en [NIST11]
De verschillende aspecten van deze definitie bevatten:
de verschillende service modellen van Cloud Computing die via internet worden aangeboden; de verschillende delivery modellen waarop diensten worden aangeboden; de kenmerken van Cloud Computing (afhankelijk van het service model).
Hieronder worden deze onderwerpen verder toegelicht. Het aspect dat de service via één of meerdere service providers wordt aangeboden wordt verder toegelicht bij het hoofdstuk business model (paragraaf 2.4). 2.2.4
Service modellen van Cloud Computing
Er worden vier verschillende service modellen onderkend bij Cloud Computing
[Soge10]:
Private cloud
Een private cloud is een cloud infrastructuur die uitsluitend wordt geëxploiteerd voor een bepaalde organisatie. Een private cloud kan worden beheerd door de organisatie zelf of door een derde partij, waarbij de organisatie zelf of de derde partijen de eigenaar van de middelen kunnen zijn. Community Cloud
Eén Cloud Infrastructuur wordt gedeeld door verschillende organisaties uit een specifieke gemeenschap of met dezelfde belangen. Deze vorm heeft vergelijkbare eigenschappen als een Private Cloud. Public Cloud
De Cloud Infrastructuur is algemeen beschikbaar voor de hele wereld. Deze infrastructuur is eigendom van de leverancier en de afnemers van de dienst zijn geen eigenaar van de middelen. Hybrid Cloud
Een hybride model, ontstaat zodra twee of meer van bovenstaande cloud infrastructuren (private, community, public) worden gekoppeld. De scheiding tussen de verschillende service modellen is niet altijd zo scherp als hierboven beschreven en van sommige vormen, zoals private cloud, kan worden afgevraagd of het nog wel een Cloud model is. Tegenwoordig als iets via internet wordt aangeboden noemt men dit al snel Cloud. Daarom is het belangrijk om de verschillende kenmerken duidelijk tegen de geboden diensten aan te houden om te bepalen of het wel een Cloud dienst is.
2.2.5
Delivery modellen van Cloud Computing
Er zijn drie belangrijke delivery modellen [Böhm10] van Cloud Computing te onderscheiden. Deze drie modellen, IAAS, PAAS en SAAS kunnen worden samengevat als de lagen van Pagina 11 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
IT. Figuur 4 is onderverdeeld door middel van een stippellijn in twee segmenten. Aan de linkerzijde wordt de samenhang weergegeven tussen de verschillende vormen van Cloud Computing en de daarbij behorende componenten. Aan de rechterzijde is de mate van invloed op de componenten weergegeven in relatie tot het delivery model. Hoe minder invloed de afnemer heeft op de dienst, des temeer is de afnemer afhankelijk van de Cloud dienst aanbieder. Intrastructure as a Service (IaaS)
IaaS is een dienst waarbij IT-infrastructuurvoorzieningen gevirtualiseerd worden aangeboden via het internet. De hardware laag die onder meer servers, netwerkapparatuur en de storageapparatuur bevat, is eigendom van de service provider. De afnemer geeft vaak zelf aan over hoeveel geheugen, processor capaciteit en dataopslag hij wil beschikken en welk besturingssysteem hierop moet draaien. Vervolgens wordt deze configuratie gevirtualiseerd aangeboden. Het opschalen van recources is, doordat de recources gevirtualiseerd zijn, eenvoudig en meestal geheel automatisch (zonder tussenkomst van de service provider) te realiseren. Platform as a Service (PaaS)
PaaS is een dienst bovenop de infrastructuur laag waarbij via applicatiehosting voorzieningen als platform wordt aangeboden via het internet. Als toevoeging op IaaS worden zaken als databases, portals en Enterprise Service Bus (ESB) vooraf geconfigureerd door de service provider. Vaak gebruiken de afnemers de PaaS diensten voor ontwikkel en testwerkzaamheden. Tevens wordt PaaS toegepast voor Hybrid omgevingen waarbij de afnemer over integratiefaciliteiten beschikt voor het koppelen van een eigen omgeving aan de Cloud omgeving. Software as a service (SaaS)
SaaS is een dienst waarbij applicatiefunctionaliteit wordt aangeboden via het internet. Deze laag draait boven op de IAAS en PAAS laag. Deze lagen zijn niet altijd ondergebracht bij één service provider. Het kan voorkomen dat de SaaS aanbieder onderliggende lagen afneemt bij andere providers (bijvoorbeeld Amazon VPC). De invloed van de afnemer zoals weergegeven in figuur 4, is bij Cloud Computing diensten beperkt. De service provider investeert, levert de dienst, voert beheertaken uit en ontwikkelt de dienst. De klant heeft bij de IaaS dienst meer invloed dan bij de SaaS dienst, omdat de klant bij IaaS zelf verantwoordelijk is voor het beheren en ontwikkelen van de applicaties. Elke organisatie heeft zijn eigen definities van Cloud Computing en de scheiding van IaaS, PaaS en SaaS delivery modellen. Wat bij het ene bedrijf wordt aangeboden als IaaS dienst is bij het andere bedrijf al een PaaS dienst. Hierbij bestaat het risico dat appels met peren worden vergeleken. Niet alleen voor de afnemers, maar ook voor de IT Auditor is het van belang om de objecten van onderzoek duidelijk in beeld te krijgen en vast te stellen uit welke onderdelen de definitie bestaat.
Pagina 12 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Figuur 4 - Delivery model Cloud Computing gebaseerd op
2.2.6
[CSAv2.1 09]
Vijf kenmerken van Cloud Computing
Afhankelijk van het service model zijn onderstaande vijf kenmerken in meer of mindere mate van toepassing op Cloud Computing services. Bij het Public Cloud service model zijn ze allen van toepassing. [Clou09] Gebaseerd op diensten
De Cloud oplossingen worden als diensten geleverd (as a Service). Klant- en leverancier zijn van elkaar gescheiden via een „service interface'. Die interface verbergt de implementatiedetails en maakt een geautomatiseerde respons mogelijk.
Figuur 5 - Schaalbaarheid Cloud Computing
[Chun10]
Schaalbaar en elastisch
De capaciteit van de dienst kan op verzoek van de klant geautomatiseerd omhoog of
Pagina 13 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
omlaag worden bijgesteld. Een Cloud Computing service is daardoor schaalbaar en elastisch.
Schaalbaarheid:
Dit is een kenmerk van de onderliggende infrastructuur en softwareplatformen. Doordat Cloud Computing als een dienst wordt geleverd kan onderscheid gemaakt worden tussen functionaliteit en techniek. De klant ziet de functionaliteit en de aanbieder bepaalt de techniek. Door deze scheiding is de aanbieder in staat om standaardisatie verder door te voeren. De virtualisatie software zorgt ervoor dat er eenvoudig virtuele hardware componenten aan de infrastructuur kunnen worden toegevoegd, zodat de klant on-demand meer resources tot zijn beschikking krijgt. Door het te delen met meerdere afnemers wordt de overcapaciteit of tekorten met de gehele groep van afnemers gedeeld. De verschillende tijdszones zorgen ervoor dat de kantoortijdpieken niet gelijk vallen. Door de steeds grotere bandbreedtes kan de aanbiedlocatie steeds verder worden gedeeld waardoor steeds meer afnemers wereldwijd gebruik kunnen maken van Cloud Computing diensten.
Elasticiteit:
Dit is een kenmerk van het economische model: het betekent dat het er niet of nauwelijks economische sancties staan op het veranderen van de hoeveelheid capaciteit die wordt afgenomen. Gedeeld met meerdere afnemers
Diensten delen een verzameling hard- en softwarebronnen voor meerdere afnemers. ICT middelen kunnen daardoor efficiënt worden benut, waardoor Cloud diensten relatief goedkoop kunnen worden aangeboden door Cloud providers. De hardware wordt bij elk delivery model gedeeld. Bij PAAS en SAAS diensten wordt ook de middleware laag en respectievelijk de applicatie gedeeld. Betalen per gebruikseenheid
Het gebruik van de Cloud diensten wordt geautomatiseerd bijgehouden om verschillende betalingsmodellen mogelijk te maken. Deze modellen zijn gebaseerd op gebruik in termen van bijvoorbeeld tijdseenheden of datahoeveelheden, niet op de kosten van de apparatuur. Internettechnologie
De dienst wordt geleverd via breedband gebruik makend van internetformaten en protocollen, zoals http en IP. De Cloud diensten zijn niet gebonden aan een apparaat of locatie. Bij sommige Cloud diensten wordt de dienst vanaf meerdere locaties (elke locatie een deel van de service of roulerend) geleverd. 2.2.7
Verschillen Cloud Computing ten opzichte van hosting en ASP
Er kan een nuance worden aangebracht waarin Cloud diensten zich onderscheiden van hosting en web applicaties (ASP). De invloed op en de controle over de IT omgeving wordt sterk verminderd wanneer men kiest om dit in de cloud te plaatsen. Dit komt voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van hardware en/of software welke door meerdere klanten worden afgenomen. De security instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op. Dit wordt weergegeven in tabel 1 waarbij de kenmerken van Cloud computing afgezet worden tegen de traditionele hosting en ASP omgeving. De invulling is op basis van generieke
Pagina 14 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
dienst eigenschappen. De verschillende oplossingen worden in de praktijk soms ook anders aangeboden. Bij de kolom “gedeeld” van tabel 1 wordt aangegeven dat de inrichting van de dienst generiek is voor alle klanten. Bijvoorbeeld wanneer nieuwe ontwikkelingen (functionaliteit, patches, etc.) worden doorgevoerd ten aanzien van een applicatie, die als SaaS dienst wordt aangeboden, worden deze wijzigingen direct voor alle afnemers van deze SaaS dienst in één keer doorgevoerd. Alleen de data en de inrichting van de applicatie is gescheiden opgeslagen. Deze scheiding kan zijn aangebracht in verschillende databases of in verschillende tabellen van de database.
IT component / laag
Hosting
ASP
Legenda
Cloud € / gebruik
Locatie
Gedeeld
€ / gebruik
Locatie
Gedeeld
€ / gebruik
Locatie
Gedeeld
Gedeeld Klant specifiek Gedeeld / Multi-tenancy soms Locatie onafhankelijk 1 locatie meerdere locaties soms
Applicatie Middleware
Betalen per gebruikseenheid ja nee soms
Besturingssysteem Virtuele infrastructuur Fysieke
n.v.t.
Tabel 1 - Cloud verschillen ten opzichte vant.o.v ASP en Hosting
2.3
De techniek virtualisatie
2.3.1
Definitie en aanbieders
Virtualisatie kent net als Cloud Computing vele definities. Een definitie van virtualisatie is: Virtualisatie is de simulatie van software en/of hardware waarop andere software draait. [NIST11]
Door het toevoegen van deze extra laag kunnen meerdere virtuele systemen op één fysiek systeem draaien. Hierdoor worden de genoemde eigenschappen van cloud computing (multi-tenancy, schaalbaarheid) behaald. Daarom is virtualisatie de enabler van cloud diensten. De scheiding tussen operating system en onderliggende hardware laag betreft niet alleen server virtualisatie maar ook onderstaande soorten van virtualisatie: Soorten virtualisatie
Netwerk virtualisatie; Applicatie virtualisatie; Operating System virtualisatie; Storage virtualisatie.
Binnen virtualisatie wordt onderscheid gemaakt tussen het host systeem waarop de virtuele systemen komen te draaien en de gevirtualiseerde systemen zelf (de "guest").
Pagina 15 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
De bekendste aanbieders van virtualisatie producten zijn:
Figuur 6 - VMware placed in the leaders quadrant of Gartner 2.3.2
Complexe technieken van virtualisatie
Op basis van in figuur 6 weergegeven virtualisatie producten wordt hieronder van boven naar beneneden kort de werking van virtualisatie producten van VMware toegelicht, welke onder andere gebruikt worden om cloud diensten te kunnen aanbieden. Hieruit blijkt de technische complexiteit elke direct impact heeft op de kennis van de IT Auditor.
Figuur 7 - VMware producten
Pagina 16 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Gevirtualiseerd applicaties
Momenteel biedt VMware een omgeving aan waar software ontwikkelaars applicaties kunnen ontwikkelen voor SaaS applicaties. Daarnaast worden er standaard bedrijfsapplicaties aangeboden in samenwerking met bekende leveranciers waaronder: Exchange, SQL, SharePoint, Oracle en SAP. Vmware vShield Manager
Dit is een nieuwe dienst waarin VMware enkele beveiligingscomponenten virtualiseert en de verschillende virtuele datacenter (vShere) segmenteert (Post groep isolation). De gevirtualiseerde componenten bestaan onder andere uit Firewall, VPN, Load balancing. Daarnaast biedt deze dienst functionaliteit om op de virtualisatie laag antivirus en antimalware diensten te draaien. Door ook de beveiligingscomponenten te virtualiseren pretendeert VMware dat policy‟s en security rules van de verschillende Virtuele omgevingen beter zijn te integreren en te monitoren. VMware Center Suite
Deze dienst is de management laag van VMware vSphere waarin de verschillende virtuele clusters kunnen worden ingericht (o.a. templates) en gemonitord. De diensten zoals vMotion, HA, SRM, DRS, etc. worden hier ingericht en beheerd. Met VMware VMotion kunnen virtuele machines zonder onderbreking verhuizen naar een andere ESX server. Dit kan overigens niet over de datacenters heen. Met VMware HA worden bij uitval van een ESX server alle virtuele machines die hierdoor geraakt worden automatisch weer opgestart op een andere ESX server. Met VMware DRS worden de virtuele machines op basis van de benodigde systeemresources automatisch verdeeld over de beschikbare ESX systemen binnen een cluster en met VMware SRM kunnen virtuele machines verhuisd worden naar een tweede datacenter. Hierbij wordt de onderliggende storage meeverhuisd. Een andere dienst van VMware is de “VMware Compliance Checker for vSphere” waarbij een overzicht wordt gegeven van de inrichting van policy en security. VMware vSphere
Dit is de virtualisatie laag die de fysieke resources (computing, storage, network) virtueel aanbiedt aan de bovenlaag. Door middel van VMcenter kunnen de daarbij beschreven functionaliteiten c.q. diensten worden toegevoegd. Fysieke laag
In de onderste laag van figuur 7 is de fysieke hardware symbolisch weergegeven. Dienst voor de Cloud
Momenteel richt VMware zich ook op cloud inrichtingen, waarbij o.a. complete omgevingen van private Cloud naar public Cloud omgevingen kunnen worden getransporteerd. Daarnaast kunnen virtuele datacenters worden ingericht waarbij verschillende levels van dienstverlening virtueel kan worden gesegmenteerd. Hierbij is bijvoorbeeld de performance, security en policy‟s en beschikbaarheid per virtuele datacenter ingericht.
Pagina 17 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
2.3.3
Wat betekent virtualisatie voor de IT Auditor
Uit bovenstaande beschreven diensten en producten van een gevirtualiseerde omgeving blijkt duidelijk de complexiteit van deze techniek. Met een muisklik kunnen hele omgevingen worden verplaatst, gekopieerd of verwijderd. Afhankelijk van de beschikbaarheid van de recources worden automatisch servers verplaatst van het ene naar het andere cluster of van het ene datacenter naar het andere datacenter. Vragen als:
waar staat mijn data; waar wordt mijn data uitgevoerd; wie kunnen bij mijn data?
worden moeilijke vragen om te beantwoorden, zowel voor de IT Auditor als voor de beheer partijen. Google kiest er bijvoorbeeld bewust voor om met klanten geen afspraken te maken over de locatie van de data. De data wordt meerdere malen op verschillende plaatsen wereldwijd opgeslagen en op basis van de beschikbare capaciteit wordt de data vanuit een bepaalde plek (land, datacenter) aangeboden. Een onder meer technisch fenomeen, is de toewijzing van geheugen aan de diverse guest OS's. Die toewijzing moet er overigens niet toe leiden dat data van de ene guest door een andere guest kunnen worden gelezen als gevolg van het delen van geheugenadressen zoals genoemd door Michael Hoesing [HOES06]. De genoemde diensten van VMware om inzage te krijgen in compliance van beveiligingsbeleid en de beschikbaarheid en monitoring functies van alle virtuele platvormen zijn goede ontwikkelingen. Daarnaast komen steeds meer virtuele platformen (servers en componenten) beschikbaar op basis van best practices. Echter door gebruik te maken van voorgeïnstalleerde VM‟s om nieuwe klantomgevingen in te richten bestaat het risico dat „exploits‟ direct op alle omgevingen binnen de Cloud omgeving effect hebben. Dit kan onder andere tot gevolg hebben dat systemen van alle klanten niet meer beschikbaar zijn of dat ongeautoriseerde toegang verkregen kan worden tot de data van alle klanten. Door de toenemende complexiteit bestaat steeds meer de behoefte assurance te krijgen over de data in de Cloud. Voor de IT Auditor betekent virtualisatie een samensmelting van de verschillende audit domeinen (tabel 3) en een complexe techniek welke specialisme vergt van virtualisatie. Door de snel veranderende technieken en omgevingen zal de verstandige opdrachtgever de IT Auditor vaker vragen om zich te richten op het vaststellen van het CMM level (Capability Maturity Model) van de IT organisatie (aanbieder dienst) en de beheersprocessen meer geënt op de virtuele laag dan op de “point in time situatie.” Het vaststellen of de omgeving gedurende een bepaalde periode heeft voldaan aan de gestelde normen is immers lastiger te bepalen omdat de IT omgeving met virtualisatie zeer dynamisch is ingericht. Belangrijk voor de IT Auditor is om de IT omgeving van zowel fysieke als virtuele objecten goed inzichtelijk te hebben. Voor de virtuele objecten geldt dat de IT Auditor over voldoende kennis binnen zijn team moet beschikken of deskundige moet betrekken. Welke objecten van onderzoek binnen de opdracht vallen kan bijvoorbeeld worden bepaald met een risico analyse (ISO 27005). Vervolgens kan opzet en bestaan worden onderzocht tegen het te toetsen normenkader, dit eventueel in combinatie van het onderzochte CMM level van de aanbieder geeft de beoogde gebruiker meer zekerheid ook naar de toekomst, iets wat IT Auditors momenteel nog niet doen.
Pagina 18 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
2.4
Business model
2.4.1
Inleiding
Cloud computing kan dus worden beschouwd als een verdere doorontwikkeling van een reeks van vele reeds bestaande en goed onderzochte concepten zoals Grid computing, virtualisatie of Application Service Provider (ASP). Hoewel, veel van de concepten niet nieuw lijken te zijn, ligt de echte innovatie van cloud computing in de manier waarop het diensten levert aan de klant. Verschillende bedrijfsmodellen zijn geëvolueerd in de afgelopen tijd om op verschillende abstractie niveaus diensten te verlenen. Deze diensten omvatten softwaretoepassingen, programmeerplatforms, data-opslag of computing infrastructuurdiensten. „Het business model bepaalt wat Cloud Computing is niet de techniek‟ Het is niet ondenkbaar dat op termijn het verschil voor de afnemer in opslag, rekencapaciteit, connectiviteit en software verdwijnt. De ultieme vorm is dat een afnemer betaalt voor de hoeveelheid gebruik (ICT, inclusief hardware, software, diensten, etc.). De klant wordt afgerekend op daadwerkelijk gebruik, zoals een ieder afrekent met de watermaatschappij of de energiemaatschappij. De klant betaalt een voorschot en aan het einde van het jaar volgt de eindafrekening. ICT zoals het gebruik van water en elektra ofwel de liberalisatie van IT [ACCO10] Het business model bestaat uit een aantal aspecten waarbij in dit referaat wordt ingegaan op de verschillende partijen van Cloud Computing, de verschuiving van kopen naar huren, de invloed van de afnemer op de dienst, wet- en regelgeving en de risico‟s voortkomend uit het business model. Tot slot worden de verschillen ten opzichte van traditionele IT omgeving uiteengezet. 2.4.2
Verschillende partijen in de Cloud
In de traditionele IT outsourcing had de afnemer meestal te maken met één provider die de hosting dienst of ASP dienst aanbood. Bij het Cloud Computing model is het een netwerk van verschillende service providers geworden waarbij de afnemer direct of indirect diensten afneemt.
Figuur 8 - bron
[BOHM10]
Naast de partijen die in figuur 8 worden getoond zijn er meer partijen die in het Cloud Computing model kunnen worden onderkend. In onderstaande tabel worden de verschillende partijen weergegeven.
Pagina 19 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Tabel 2 - Partijen in de Cloud gebaseerd op
[BOHM10 2]
De afstemming tussen de actoren in de keten, de communicatie en de kennisoverdracht behoeven hierbij veel meer aandacht. In figuur 9 wordt een voorbeeld gegeven van meerdere partijen in de Cloud. De aggregator voegt twee diensten van aanbieder A en één dienst van aanbieder C samen tot één dienst. Aanbieder C neemt vervolgens weer diensten af voor aanbieder B. Daarbij kunnen alle aanbieders in verschillende landen zijn gevestigd en zaken zoals back-up omgevingen weer ergens anders hebben ondergebracht. Indien een IT Auditor assurance moet geven over bijvoorbeeld de vertrouwelijkheid van de gegevens aan de klanten van aanbieder D kan dit tot gevolg hebben dat alle partijen in scope zijn.
Figuur 9 - verschillende partijen in de Cloud (bijlage 3)
Pagina 20 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Door de complexiteit zoals weergegeven in dit voorbeeld vormen de volgende elementen aandachtspunten voor de IT Auditor bij het uitvoeren van een assurance-opdracht binnen een dergelijke omgeving:
Service Level Agreements (SLA) moeten op elkaar aansluiten (Sub contractors); Informatiebeveiliging van verschillende partijen moet consistent zijn en op elkaar zijn afgestemd (toegangsbeheer, policy‟s); Verschillende landen met verschillende wet- en regelgeving; Opdracht kan qua omvang zeer groot worden waardoor deze mogelijk niet meer economisch rendabel is; Bij de verschillende providers moet the „right to audit‟ door zelf onderzoek uit te mogen voeren zijn overeengekomen; Indien reeds verklaringen beschikbaar zijn bij verschillende aanbieders moeten deze volgens dezelfde standaarden zijn uitgevoerd of de een moet de ander qua scope afdekken; Afgesproken moet worden welke medewerkers van de verschillende providers toegang hebben tot de klantdata; Scheiding in of afstemming van taken en verantwoordelijkheden van de verschillende dienstverleners.
Generiek kan gesteld worden dat de afstemming tussen de actoren in de keten, de communicatie en de kennisoverdracht hierbij veel meer aandacht behoeven, met volstrekte duidelijkheid over “RACI” aspecten. (Responsible, Accountable, Consulted, Informed) Bijzonder punt van aandacht vormt de scope en interpretatie van reeds afgegeven verklaringen, zoals bijvoorbeeld een ISAE 3000 heeft natuurlijk betrekking op een standaard verklaring. Maar ook als gevolg van het uitvoeren van een dergelijke audit opdracht door IT Auditors van verschillende landen kunnen verschillen ontstaan. De CISA zal een opdracht mogelijk anders uitvoeren dan een Nederlandse IT Auditor. Verschillen in opleiding en wijze van aanpak kunnen zich voordoen. Waarbij in aanmerking dient te worden genomen of een opdracht Risk based (NL) of rule based (US) is uitgevoerd. In andere landen verschillen de standaarden waarschijnlijk nog meer.
Figuur 10 -land specifieke standaarden -
[KPMG10]
Pagina 21 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
2.4.3
Van kopen naar huren
Bij het afnemen van Cloud Computing diensten verschuiven de ICT kosten van kopen naar huren. Waar de klant organisatie eerst moest investeren in faciliteiten (housing), hardware, software, licenties, opleidingen, etc. worden deze kosten nu als verbruik per eenheid doorberekend. Hierbij kan bijvoorbeeld betaald worden voor de verbruikte recources (CPU, storage, netwerkbandbreedte) of per ingelogde gebruiker. Dit brengt voor de klantorganisatie natuurlijk voordelen zoals:
Geen initiële aanschaf kosten; Geen overcapaciteit of onder capaciteit dus allen betalen voor de benodigde ICT (zie figuur 5); Geen eigen beheerders met steeds meer specialistische kennis; Meeliften op ontwikkelingen van alle afnemers; Geen aanschaf en bijhouden van licenties; Veel specialistische kennis door schaalvoordeel en standaardisatie; Hoge standaardisatie op basis van best practices.
Maar de diensten van Cloud Computing hebben ook weer nadelen:
De invloed (change, security) op de Cloud diensten is beperkt; Afhankelijkheid van de aanbieder (Vendor lock-out); Verschillende afnemers in dezelfde Cloud; Roerige markt met nieuwe aanbieders; Verschillende wet- en regelgeving.
Het punt wet- en regelgeving wordt in onderstaande paragraaf verder behandeld. De rest van bovenstaande punten worden in paragraaf 2.6 verder toegelicht.
2.5
Wet en regelgeving
Als klantorganisatie blijf je zelf volledig verantwoordelijk om aan alle wettelijke bepalingen, die de wetgever oplegt, te voldoen. De IT kan worden geoutsourced in de Cloud, maar de verantwoordelijkheid hierover niet. Binnen Nederland zijn een aantal wetten van toepassing met betrekking tot ICT. Hieronder volgt een kort overzicht. 2.5.1 Nederlandse regelgeving Nederlandse grondwet
Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel het briefgeheim is in alle gevallen onschendbaar alsook het telefoon- en telegraafgeheim. Wet bescherming persoonsgegevens
De wet bescherming persoonsgegevens gebaseerd op richtlijn 95/46/EG heeft als doel
Pagina 22 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
het beschermen van persoonsgegevens welke geregistreerd worden (privacy wetgeving). Het CBP is het Europees toeziend orgaan op de uitvoering van deze wetgeving. Auteurswet
De Auteurswet bevat artikelen over het auteursrecht. Telecommunicatiewet
De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger betreffende elke vorm van digitale communicatie. Wet Computercriminaliteit
Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer gepleegd worden waarbij het gebruik van ICT moet een wezenlijke rol spelen bij het misdrijf. Wet elektronische handtekeningen
De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik meer hoeft te maken van papier. Voor de meeste van bovenstaande wetten geldt dat deze alleen in Nederland van kracht zijn. De wetgeving bijvoorbeeld met betrekking tot elektronische handtekening is binnen Europa nog niet volledig op elkaar afgestemd. Alleen de wet met betrekking tot de Privacy richtlijn is in Europees verband vastgesteld. De Europese Unie heeft sinds oktober 1998 een Privacy richtlijn die het exporteren van persoonsgegevens naar landen buiten de EU verbiedt, tenzij het land in kwestie een minstens even strenge privacy wetgeving kent. 2.5.2
Amerikaanse wetgeving
Dat de Europese privacy wetgeving zeer streng is blijkt wel uit het feit dat zelfs de VS niet aan de eisen van de EU voldoet. Dit heeft onder andere te maken met de Amerikaanse Patriot Act, ingevoerd na de aanslagen van 11 september. Deze Patriot Act geeft de Amerikaanse overheid vergaande bevoegdheden als het gaat om toegang tot elektronisch opgeslagen data. De afspraken met de leveranciers van Cloud diensten moeten dan ook op individuele basis worden gemaakt tussen afnemer en aanbieder. Door de keten van diensten in de Cloud is dit niet altijd even eenvoudig. Er worden een aantal zaken aangegeven waarop de afnemer van Cloud diensten kan letten.
Allereerst is er de Safe Harbor Certificering (SHC). Dit raamwerk is ontwikkeld door het US Department of Commerce om de verschillen in privacy wetgeving tussen de EU en de VS te overbruggen, en is in 2000 goedgekeurd door de EU. Afspraken locatie datacenter
Daarnaast kan bij sommige aanbieders van cloud computing diensten waaronder Microsoft en Amazon, bepaalt worden in welke regio (Europa, Azië, Noord Amerika) de applicaties en gegevens van de afnemer worden gehost. Dit is nog geen absolute zekerheid in juridische zin. Ketenafspraken
Tenslotte kan de afnemer een contract sluiten met een cloud computing provider, waarbij de afspraken die met de Cloud dienst leverancier gemaakt wordt ook door hen contractueel kunnen worden afgedwongen bij leveranciers verderop in de keten.
Pagina 23 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Dataownership
Naast de Privacy wetgeving zullen door de afnemer ook afspraken gemaakt moeten worden over het eigendom van data en op welke wijze deze data bij een geschil aangeleverd worden. De naleving van deze afspraken is natuurlijk sterk afhankelijk van het specifieke land waar de Cloud dienst leverancier gevestigd is. Wat legaal is in het ene land is mogelijk verboden in het andere land. 2.6.6 Betekenis privacy wetgeving voor de IT Auditor
Kortom betekent dit voor de IT Auditor dat met name voor het kwaliteitsaspect vertrouwelijkheid de wetgeving voor privacy alleen binnen Europa geregeld is en op basis van SHC certificering de US hieraan ook voldoet. Met de overige landen zullen individuele afspraken moeten worden beoordeeld, hierbij zou de IT Auditor een deskundige moeten inschakelen.
2.6
Overige risico’s
2.6.1
De invloed op de Cloud diensten van de afnemer is beperkt
Doordat Cloud diensten voor een groot aantal afnemers worden ingericht zijn de klant specifieke inrichtingseisen beperkt. Hierbij kunnen wensen ten aanzien van toegangsbeheer en policy‟s mogelijk niet conform intern geldende beveiligingseisen bij de service provider worden ingericht. Wijzigingen die worden doorgevoerd ten aanzien van IaaS, PaaS of SaaS diensten gelden vrijwel altijd voor alle afnemers. Dus bijvoorbeeld de invloed op het changemanagement proces is beperkt. Daarnaast wordt voor de keten van aanbieders identiteitsmanagement (IDM) steeds belangrijker. Single sign on is niet altijd te realiseren, losstaand van de verschillende informatiebeveiligingsstandaarden van de verschillende partijen in de keten. 2.6.2
Right to audit is randvoorwaarde
Bij het uitvoeren van een assurance-opdracht waarbij meerdere partijen betrokken zijn moet het “Right to audit” mogelijk zijn. 2.6.3
Afhankelijkheid van de aanbieder (Vendor lock-in)
Indien de afnemer eenmaal de (strategische) keuze heeft gemaakt voor Cloud Computing diensten, wordt de afhankelijkheid van de Cloud dienst leverancier erg groot. Een goede exit migratie strategie moet daarom vooraf worden opgesteld en vervolgens moet deze periodiek worden herzien. Enkele aandachtspunten hierbij zijn:
2.6.4
welke data, gegevens, informatie kunnen worden meegenomen (contractuele afspraken) en wat kan de afnemer zelfstandig met deze gegevens. Voornamelijk bij SaaS diensten kan de inrichting erg specifiek zijn; “Backsourcing” is erg moeilijk omdat de middelen maar vooral de kennis en bemensing niet meer aanwezig is. Verschillende afnemers in dezelfde Cloud
Een Cloud dienst leverancier kan meerdere diensten aanbieden (IaaS, SaaS), daarbij is meestal het aantal afnemers omvangrijk. Door het groot aantal (wisselende) afnemers is de baseline voor de informatiebeveiliging lastig vast te stellen door de klant. De klant weet namelijk niet wie er in de Cloud zitten. Hieronder twee voorbeelden van afnemers bij een Cloud leverancier: a) 1000 handelsondernemingen van middelgrote omvang;
Pagina 24 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
b) 900 handelsondernemingen van middelgrote omvang en de staatsloterij of een bank. Het risico profiel van Cloud omgeving a is natuurlijk heel anders dan van omgeving b. Daarnaast loopt een organisatie door de omvang van de Cloud omgeving (centralisatie van data) standaard al meer risico om doelwit te worden van aanvallen (virus, hacking, etc.) dan dat de klant de omgeving in eigen beheer heeft. Voor het uitvoeren van een audit zal dit risico van verschillende afnemers in dezelfde Cloud een belangrijke factor zijn om te bepalen wat de minimale baseline van de audit opdracht zal moeten zijn. Daarnaast zal de SLA belangrijke input geven aan welke voorwaarden voldaan moet worden door de aanbieder. 2.6.5
Exitstrategie
Door het meeliften van ontwikkelingen van Cloud Computing diensten zal het risico van een vendor lock-in groter worden dan bij de huidige vormen van hosting. Het opstellen van een migratiestrategie vanuit de Cloud naar een andere omgeving, ofwel backsourcing ofwel naar een andere Coud omgeving, is derhalve een elementair onderdeel van de afweging door de beoogde gebruiker voordat een Cloud dienst afgenomen wordt. Het eenduidig vastleggen van deze opgestelde exit strategie en de maatregelen doorvoeren in de SLA welke met de cloud provider wordt overeengekomen is daarna de volgende uitdaging.
Pagina 25 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
2.7
Conclusie verschillen tussen Cloud Computing en traditionele
IT oplossingen. Op basis van de voorgaande paragrafen wordt hieronder per onderdeel een conclusie weergegeven waarin de traditionele IT omgeving verschilt van de cloud omgeving. Dit alles wordt overzichtelijk weergegeven en samengevat in tabel 3. Kenmerken cloud
Een groot verschil zit in het dynamische karakter van de Cloud ICT omgeving door middel van virtualisatie. Dit brengt de grote voordelen van schaalbaarheid en beschikbaarheid met zich mee. Echter deze dynamische kant van Cloud Computing heeft ook nadelen. Dit kunnen nadelen zijn zoals de vermindering van invloed op de IT omgeving. Dit komt voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van hardware en/of software welke door meerdere klanten worden afgenomen. De security instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op. Business model cloud
In de traditionele omgevingen heeft de klant contacten en contracten met een aantal partijen ten aanzien van de ondersteuning van haar IT omgeving. Ten aanzien van cloud diensten zijn de betrokken partijen minder inzichtelijk voor de cloud afnemer. Om zekerheid te krijgen over de cloud dienst zal de klant maar ook de IT Auditor zich bewust moeten zijn van de verschillende partijen en gecombineerde delivery en service modellen van Cloud Computing. Bij het geven van assurance zal de scope van het onderzoek een belangrijk element spelen. Naast het feit dat de scope meerdere aanbieders (keten) kan betreffen zal door de vergaande technische complexiteit (virtualisatie) en de schaalgrote van de Cloud Computing aanbieders de omvang van de IT audit onderzoeken beduidend toenemen. Dit kan tot gevolg hebben dat IT assurance-opdrachten mogelijk economisch niet meer rendabel zijn. Goede communicatie over de complexiteit van de opdracht, waaronder de scope met de daarbij behorende objecten van onderzoek, naar opdrachtgever en aanbieders van de Cloud Computing diensten spelen hierbij een belangrijke rol. Virtualisatie
Door de techniek van virtualisatie, wat de enabler is van cloud diensten, wordt de controleerbaarheid van de IT omgeving in de Cloud een stuk lastiger. Dit komt onder andere omdat hele IT omgevingen (server, opslag, netwerk) door middel van één muisklik verplaatst kunnen worden naar een ander datacenter in een ander land. Daarnaast kan op eenvoudige wijze de IT omgeving worden gekopieerd waarbij het lastig is om vast te stellen welke omgeving de juiste is. Daarnaast staan meerdere klantomgevingen in het data centrum en zijn door middel van virtualisatie van elkaar gescheiden. Deze omgevingen kunnen elkaar beïnvloeden of klanten kunnen elkaars data benaderen indien de scheiding niet goed is ingericht. Tevens is het risicoprofiel lastig vast te stellen omdat de klanten individueel verschillende risicoprofielen hebben. (bijv. handelsondernemer en staatsloterij). Dit is echter wel bepalend voor het informatiebeveiligingsbeleid van de Cloud provider. Kortom virtualisatie vergt specialistische kennis voor beheerders en IT Auditors.
Pagina 26 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Impact wet en regelgeving
Daar waar in een traditionele IT omgeving de klant volledige controle heeft over waar de data wordt verwerkt zal met het oog op wet- en regelgeving contractuele afspraken gemaakt moeten worden voor cloud diensten. Hierbij zal worden moeten worden vastgelegd waar de data wordt verwerkt, opgeslagen en geback-upt. Daarnaast is de privacy wetgeving alleen binnen Europa en US (SHC) eenduidig vastgelegd. De IT Auditor zal door een deskundige moeten laten beoordelen of de contractuele afspraken voldoende zekerheid bieden van de afgenomen Cloud diensten in de keten. De privacy en het data eigendomsrecht van de klant is per land anders geregeld. Dit geldt met name als de data centra voor de Cloud Computing diensten buiten Europa zijn gevestigd. De standaarden voor privacywetgeving is onder de juristen een hot item maar een eenduidige oplossing laat nog wel even op zich wachten. Vraag
Traditioneel
Cloud
nee
ja
Betal en per gebrui ks eenhei d?
nee
ja
Gebrui k i nternettechnol ogi e?
beperkt
ja
Kenmerken Cloud IT omgevi ng s cha a l ba a r en el a s tis ch?
Business model cloud Aa ntal pa rtijen voor 1 di ens t?
1
mogel i jk 4
Ri s i co profi el bekend?
ja
dyna mi s ch
Aa ns cha fkos ten?
eenma l i g
nee
Ins tal l a tie kos ten?
eenma l i g
ja
Beheerkos ten?
ja
nee
Invl oed opera tioneel beheer?
ja
nee
Audi t s tanda a rd? (ui tvoeri ng en verkl a ri ng)
ja
nee (l a nd a fha nkel i jk)
nee
ja
Virtualisatie Eenvoudi ge ha ndel i ngen verga a nde gevol gen? Standa a rd da tal oca tie? Meerdere pa rtijen bi j da ta? (s ervi ce provi ders , externe beheerpa rtijen) Schei di ng da ta va n a ndere kl a nten? Snel vera nderende IT omgevi ng? Objecten va n onderzoek a s s ura nce
ja
nee
nee
ja
fys i ek fi rewa l l
vi rtueel
nee
ja
s tatis ch
dyna mi s ch
Wet en regelgeving Nederl a nds e wet en regel gevi ng?
ja
Standa a rden reeds opges tel d?
ja
Tabel 3 - traditionele IT omgeving versus Cloud Computing omgeving
Pagina 27 van 54
mogel i jk meerdere l a nden nee
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
3. Waaraan moeten assurance-opdrachten voldoen? 3.1
Inleiding
Om vast te kunnen stellen of een IT Auditor assurance kan geven in Cloud Computing omgevingen moet worden vastgesteld waaraan assurance-opdrachten moeten voldoen. In dit hoofdstuk wordt op basis van de door de NOREA opgesteld raamwerk “Raamwerk voor assurance-opdrachten door IT-Auditors” [ASSU07] en in het EDP handboek van Kluwer vastgelegde hoofdstuk “Assurance services” [EDPH08] een uiteenzetting gegeven van de belangrijkste elementen waaraan een assurance-opdracht moet voldoen. Met het raamwerk voor assurance-opdrachten conformeren IT-Auditors zich aan het „International Framework for Assurance Engagements' van de IFAC (International Federation of Accountants). Dit wordt ook onderstreept met het IFAC-lidmaatschap dat onlangs aan de NOREA is verleend. [NORE08] IT-Auditors die assurance-opdrachten uitvoeren zijn behalve aan dit Raamwerk en Richtlijnen voor Assurance-opdrachten ook gebonden aan het Reglement Gedragscode voor IT-Auditors („Code of Ethics') waarin onderstaande fundamentele ethische uitgangspunten voor IT-Auditors zijn vastgelegd.
3.2
Integriteit: duidelijk en eerlijk zijn in alle beroepsmatige en zakelijke relaties; Objectiviteit: geen beïnvloeding door vooroordelen, belangenverstrengeling of
bovenmatige invloed van anderen bij de professionele en zakelijke oordeelsvorming, ofwel onafhankelijkheid; Deskundigheid en zorgvuldigheid: het op peil houden van vakkennis door middel van actuele ontwikkelingen in de praktijk, de wetgeving en de vaktechniek; Geheimhouding: het betrachten van geheimhouding ten aanzien van informatie die voortvloeit uit beroeps -matige en zakelijke relaties; Professioneel gedrag: naleven van relevante weten regelgeving en zich onthouden van handelingen die het beroep in diskrediet brengen.[RFIJ06]
Definitie en doelstelling van een assurance-opdracht
Een "assurance-opdracht" is een opdracht waarbij een IT-Auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de toetsingsnormen, te versterken. Daarnaast moet een assurance-opdracht onder andere voldoen aan onderstaande criteria:
er er er er er
zijn drie partijen (verschaffer van informatie, assurance provider en gebruiker); is een geschikt object van onderzoek; zijn criteria waaraan het object getoetst kan worden; is voldoende en geschikte informatie beschikbaar; wordt een schriftelijk assurance rapport opgeleverd.
Bovenstaande vijf elementen van een assurance-opdracht worden verderop in dit hoofdstuk nader toegelicht.
Pagina 28 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
3.3
Soorten assurance-opdrachten
Op grond van het raamwerk voor assurance-opdrachten mogen twee soorten van assurance-opdrachten door een IT-Auditor worden uitgevoerd: 1. de assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid. De doelstelling van een assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid is het reduceren van het opdrachtrisico tot een aanvaardbaar laag niveau rekening houdend met de omstandigheden van de opdracht als basis voor een positief geformuleerde conclusie van de IT-Auditor; 2. de assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid. De doelstelling van een assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid is het reduceren van het opdrachtrisico tot een niveau dat aanvaardbaar is rekening houdend met de omstandigheden van de opdracht, maar waarbij het risico groter is dan voor een opdracht tot het verkrijgen van een redelijke mate van zekerheid, als basis voor een negatief geformuleerde conclusie van de IT-Auditor. Assurance-opdrachten kunnen op twee verschillende manieren, afhankelijk van de type opdracht, worden uitgevoerd als een „assertion based-opdracht' of als een „direct reporting-opdracht'. In figuur 12 wordt de soorten en uitvoeringen schematisch weergegeven.
Figuur 12 - Soorten assurance-opdrachten
Pagina 29 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
3.4
Type en vormen van assurance-opdrachten
3.4.1
Type assurance-opdrachten
Aan de NOREA-brochure 'IT-assure, Zekerheid over uw IT' [ITAS08] kan worden ontleend dat IT-Auditors de volgende type van IT-assurance-opdrachten onderkennen:
Outsourcing assurance; Project assurance; IT-organisatie assurance; Applicatie assurance; IT Due Diligence; Privacy assurance; Web assurance; Revenue assurance; Licentie assurance.
In het algemeen vallen de door de NOREA onderkende soorten van IT-assurance onderzoeken onder assurance-opdrachten ten behoeve van systemen en processen. 3.4.2
Audit domeinen
Daarnaast worden door de NOREA [NORE98] zes auditdomeinen gehanteerd zoals weergegeven in onderstaande tabel 4:
Pagina 30 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Domeinen Informatiestrategie
Onderwerp Doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan van informatie voorziening Informatie Voorwaarden voor ontwikkeling, beheer, management en gebruik van geautomatiseerde systemen, IT-management alsmede de besturing van deze processen, zodat getoetst kan worden door management of aan de informatie strategie wordt voldaan. InformatieGeautomatiseerde processen die primair systemen ontworpen zijn om de mens te voorzien van gegevens en de organisatie en hulpmiddelen die dienen voor het ontwikkelen en gebruik van informatiesystemen.
Technischesystemen
Objecten van onderzoek Beleidvormingsprocessen, het beleid, informatieplan en informatiearchitectuur Planning, organisatie, budgettering, bemanning, het besluitvormingsproces, coördinatie, rapportage, innovatie, communicatie, controle, besturing, motivaties en kennisvergaring.
Applicaties, ontwikkelorganisaties, projectorganisatie, kwaliteitsfunctie, planning en control, project management, technische beheer, versiebeheer, distributie, tools, applicatie-architectuur, databases, operationeel gebruik en functioneel beheer. Systemen die deel uit maken van de ITDe systemen zelf, ontwikkelorganisatie, infrastructuur en ontworpen zijn om onderhoudsorganisatie kwaliteitscontrole geïmplementeerd te worden in hardware en van technisch beheer en ook systeemprogrammatuur met het doel de beheersprocessen zoals hardware en systeemprogrammatuur aan te configuratiebeheer, versiebeheer, sturen. Zoals hardware, besturingssystemen, capaciteitsbeheer, probleembeheer, systemen voor acces control, netwerken, beveiligingsbeheer etc. database management systemen etc.
Processystemen
Systemen die ontworpen zijn om elektrische interfaces aan te sturen en daarmee apparaten zoals robots. Tevens horen tot dit domein alle organisaties met een primaire verantwoordelijkheid van deze systemen. Operationele activiteiten van organisaties gericht op het automatiserings beheren en beschikbaar houden van de IT ondersteuning infrastructuur en de onder beheer zijnde processen conform de overeengekomen Service Level Agreements alsook de administratie hiervan. De operationele werkzaamheden bestaan uit installatie, beheer en onderhoud van automatiseringsmiddelen inclusief de geleverde programma's.
ontwikkelorganisatie, onderhoudsorganisatie, kwaliteitscontrole van technisch beheer en ook beheersprocessen zoals configuratiebeheer, versiebeheer, capaciteitsbeheer, probleembeheer, etc. Operationeel beheer, interne controle, beveiliging, autorisatie, risicomanagement, en de overige beheersprocessen.
Tabel 4 -De zes audit domeinen 3.4.3
Vormen van assurance-opdrachten
De vormen van IT assurance-opdrachten die op bovenstaande domeinen van toepassing kunnen zijn is een ISAE 3000 opdracht, certificeringen tegen ISO 27001, in bepaalde gevallen een accountantscontrole volgens COS 800 of een ISAE3402/SSAE 16 verklaring welke de opvolger is van de SAS 70 verklaring.
Pagina 31 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
De ISAE 3402 standaard is primair bedoeld voor processen die relevant zijn voor de financiële verantwoording. Assurance over niet financiële onderdelen zoals continuïteit van de uitvoeringsorganisatie, de accuraatheid van de informatiestromen tussen uitvoerder en opdrachtgever en de vertrouwelijke omgang met data kunnen beter worden uitgevoerd volgens de ISAE 3000 standaard. De ISAE 3000 standaard biedt meer vrijheidsgraden en de mogelijkheden om ook processen die geen invloed hebben op de financiële verantwoording in de scope op te nemen. De standaard is „vormvrij‟, zolang een aantal verplichte onderdelen maar wordt behandeld. Een kwaliteitscertificaat op basis van ISO 27001 zegt ook iets over de manier waarop processen worden beheerst, al gaat het om een geheel ander product aangezien er geen accountantscontrole plaatsvindt. Een accountantsverklaring bij historische financiële informatie op basis van ISA 800 kan in bepaalde gevallen ook voorzien in de assurance behoefte van een gebruiker. Zo‟n rapport stelt de informatie in een verantwoording centraal in plaats van de processen die leiden tot de financiële verantwoording. De IT Auditor maakt dan integraal deel uit van het controle team. [bovenstaande informatie is gebaseerd op KMPG10]
Vergelijking 1 - standaarden voor assurance
[KPMG10]
Pagina 32 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
3.4.4
Service Organization Control (SOC) Rapport
Naast de genoemde standaarden van paragraaf 3.4.3. zijn er ook standaarden opgesteld door de American Institute for Certified Public Accountants. Zij geven zekerheid ten aanzien van service organisaties. Dit doen ze onder andere middels Service Organization Control (SOC) rapporten. SOC rapporten zijn interne controle rapporten ten aanzien van de diensten welke door (Cloud) dienstaanbieders worden aangeboden. Deze rapporten bieden belangrijke informatie voor eindgebruikers om risico‟s met betrekking tot een uitbestede dienst te onderkennen en te kunnen beheersen. De SOC rapporten zijn te onderkennen in drie varianten. Deze staan hieronder per variant toegelicht. 3.4.5
SOC 1
De SOC 1 rapportages zijn rapportages van audits die zijn uitgevoerd op service organisaties welke diensten aanbieden met betrekking tot financiële processen. De standaard die hiervoor gehanteerd wordt in de Verenigde Staten en Canada is de SSAE16, de standaard die hiervoor in Europa wordt gebruikt is de ISAE3402. De controls die hiervoor gehanteerd kunnen worden zijn niet voorgeschreven en zijn door de auditor op basis van de objecten van onderzoek vast te stellen. Bij een SSAE16 en een ISAE3402 opdracht wordt als uitgangspunt een verklaring van het management genomen. Op basis van deze verklaring wordt een audit uitgevoerd. Bij een SSAE16 en een ISAE3402 worden twee typen verklaringen onderkend, namelijk: Type 1 – Deze verklaring heeft betrekking op de fairness of presentation en de suitability of design. Bij fairness of presentation stelt de auditor vast of de beschrijving helder is beschreven en of de scope toereikend is in relatie tot de verklaring van het management. Tevens wordt gekeken of de in opzet beschreven beheersmaatregelen voldoende zijn ingebed in de organisatie. Daarnaast stelt de auditor vast of met de opgestelde beheersingsmaatregelen een redelijke mate van zekerheid gehaald kan worden. Type 2 – Bij een type 2 verklaring wordt gekeken naar de operating effectiveness. Hierbij stelt de auditor middels verschillende bewijsstukken vast of de beheersingsmaatregel in een bepaalde periode effectief hebben gefunctioneerd overeenkomstig met de in opzet beschreven beheersingsmaatregelen. 3.4.6
SOC 2
Soc 2 rapportages zijn bedoeld voor partijen die deskundig en bekend zijn met de dienstverlenende organisaties en informatie behoeven omtrent de beheersingsmaatregelen met betrekking tot beveiliging, beschikbaarheid, vertrouwelijkheid en integriteit ten aanzien van de systemen van de service organisatie. Anders dan de SOC 1 verklaring heeft deze rapportage geen betrekking op financiële processen. Derhalve worden hiervoor ook gestandaardiseerde normenkaders gehanteerd, te weten de “Trust Services Principles” en GAPP (Generally Accepted Privacy Principles). SOC 2 rapportages kunnen onder andere van belang zijn bij:
Het inzicht verkrijgen in de organisatie; Leverancier selectie- en beoordelingstrajecten; Interne governance en risico management processen; Overheidstoezicht.
Overeenkomstig met SOC 1 rapporten zijn er 2 typen SOC 2 rapportages te onderscheiden.
Pagina 33 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
3.4.7
SOC 3
De beoogde gebruikers van de SOC 3 rapportages zijn partijen die zekerheid willen ten aanzien van de beheersingsmaatregelen die betrekking hebben op beveiliging, beschikbaarheid en integriteit van de systemen welke gebruikt worden door de service organisatie. Bij SOC 3 rapporten zijn de beoogde gebruikers onbekend. Deze rapporten mogen aan iedereen vrij beschikbaar worden gesteld. Derhalve worden deze rapportages onder andere voor marketing doeleinden van de service organisatie gebruikt.
3.5
De vijf elementen van een assurance-opdracht
3.5.1
Drie partijen
Bij een assurance-opdracht zijn drie afzonderlijke partijen betrokken: een IT-Auditor, een verantwoordelijke partij en beoogde gebruikers. Beroepsbeoefenaar
De auditor kan worden gevraagd assurance-opdrachten uit te voeren in een breed scala van onderwerpen. Sommige objecten van onderzoek kunnen specialistische kennis en ervaring vergen die uitgaan boven hetgeen van een individuele IT-Auditor normaal mag worden verwacht. Zoals aangegeven in paragraaf 17(a) van het assurance raamwerk zal een IT-Auditor een opdracht slechts aanvaarden wanneer zij bij het voorbereidend onderzoek de opgedane kennis omtrent de omstandigheden van de opdracht erop wijst dat aan ethische normen met betrekking tot professionele deskundigheid wordt voldaan. In sommige gevallen kan aan deze eis worden voldaan doordat de IT-Auditor gebruikmaakt van de werkzaamheden van personen uit andere beroepsgroepen, aangeduid als deskundigen. Tevens is de IT Auditor bij het uitvoeren van een assurance-opdracht verantwoordelijk voor de aard, de tijdsfasering en de omvang van de werkzaamheden. De verantwoordelijke partij
De verantwoordelijke partij is degene die bij een direct reporting-opdracht verantwoordelijk is voor het object van onderzoek en bij een assertion based-opdracht verantwoordelijk is voor de informatie omtrent het object van onderzoek en verantwoordelijk kan zijn voor het object van onderzoek. Beoogde gebruikers
De beoogde gebruikers bestaan uit de persoon, de personen of de groep van personen voor wie de IT-Auditor het assurance-rapport opstelt (soms is de eindgebruiker nog niet bekend). 3.5.2
Object van onderzoek
Het object van onderzoek en de informatie omtrent het object van onderzoek van een assurance-opdracht kunnen veel vormen aannemen zoals weergegeven in tabel 5. Object van onderzoek Niet-financiële resultaten of posities Fysieke kenmerken Systemen en processen
Voorbeeld prestaties van een entiteit omvang van een beschikbare capaciteit interne beheersingsysteem of het geautomatiseerd systeem
Tabel 5 - Objecten van onderzoek
Pagina 34 van 54
Informatie omtrent object van onderzoek indicatoren doelmatigheid en effectiviteit gedetailleerde beschrijving kenmerken bewering effectiviteit
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Een geschikt object van onderzoek:
3.5.3
Identificeerbaar en kan op eenduidige wijze worden geëvalueerd of worden getoetst aan de vastgestelde toetsingsnormen; Is van zodanige aard dat de informatie daarover onderworpen kan worden aan procedures voor het verzamelen van toereikende informatie om een conclusie te onderbouwen. Toetsingsnormen
Toetsingsnormen zijn de benchmarks die worden gebruikt voor het evalueren of toetsen van het object van onderzoek. Toetsingsnormen bestaan uit een bestaand kader voor interne beheersingsmaatregelen of uit individuele doelstellingen voor beheersing die specifiek zijn ontwikkeld ten behoeve van de opdracht. Of toetsingsnormen generiek dan wel specifiek ontwikkeld zijn is van invloed op de werkzaamheden die de IT-Auditor zal uitvoeren om de toepasbaarheid van de toetsingsnormen voor een bepaalde opdracht te beoordelen. Bij het opstellen van normenstelsels geeft “Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden” [NORE02] handvatten. In dit rapport wordt onder andere aangegeven dat nieuwe normenstelsels relatie moeten hebben met relevante referentiekaders zoals COSO, Cobit, ISO 27001/2, ITIL, ISO. Toepasbare toetsingsnormen zijn noodzakelijk voor een redelijk consistente evaluatie of toetsing van het object van onderzoek binnen de context van vakkundige oordeelsvorming. Toepasbare toetsingsnormen vertonen de volgende kenmerken:
Relevantie; Volledigheid; Betrouwbaarheid; Neutraliteit; Begrijpelijkheid; Toepasbaarheid.
Toetsingsnormen zijn in één of meer van de volgende vormen toegankelijk voor de beoogde gebruikers: 3.5.4
doordat ze door ze op door ze op doordat ze
openbaar zijn; duidelijke wijze op te nemen in de presentatie; duidelijke wijze op te nemen in het assurance-rapport; algemeen bekend zijn.
Geschikte informatie
Voor het goed kunnen uitvoeren van assurance-opdrachten is het verkrijgen van geschikte informatie onontbeerlijk. In het raamwerk worden de volgende richtlijnen gegeven voor het opstellen van een planning van een assuranceopdracht waarbij onder andere de omvang van de werkzaamheden en het verzamelen van toereikende informatie is opgenomen: De IT Auditor houdt rekening met het materieel belang en onjuistheden hiervan; Kwantiteit en de kwaliteit van de beschikbare informatie (voldoende en geschikt); Bij het verkrijgen van toereikende informatie is het in het algemeen moeilijker om zekerheid te verkrijgen over de informatie omtrent het object van onderzoek wanneer deze betrekking heeft op een periode (werking) dan wanneer deze betrekking heeft op een moment (opzet en bestaan);
Pagina 35 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
De IT-Auditor maakt een afweging tussen de kosten voor het verkrijgen van informatie en het nut van de verkregen informatie.
De volgende aandachtpunten worden gegeven voor het uitvoeren van een assuranceopdracht met een redelijke mate van zekerheid:
Het verkrijgen van kennis omtrent het object van onderzoek en andere omstandigheden rond de opdracht waaronder, afhankelijk van het object van onderzoek, het verkrijgen van kennis omtrent de interne beheersingsmaatregelen; het op basis van deze kennis inschatten van de risico's dat de informatie over het object van onderzoek materiële onjuistheden vertoont; het inspelen op de ingeschatte risico's, waaronder het ontwikkelen van een algehele aanpak, en het bepalen van aard, tijdsfasering en omvang van overige werkzaamheden; het uitvoeren van overige werkzaamheden die duidelijk zijn gekoppeld aan de gesignaleerde risico's, waarbij gebruik wordt gemaakt van een combinatie van verificatie, waarnemingen ter plaatse, bevestiging, opnieuw uitvoeren, analyse en inwinnen van inlichtingen. Deze overige werkzaamheden omvatten gegevensgerichte werkzaamheden, waaronder het verkrijgen van bevestigende informatie vanuit bronnen die onafhankelijk zijn van de entiteit en afhankelijk van de aard van het object van onderzoek, het testen van de daadwerkelijke effectiviteit van de beheersingsmaatregelen; en het evalueren van de toereikendheid van de informatie.
Wanneer de informatie omtrent het object van onderzoek bijvoorbeeld toekomstgericht is mag worden verwacht dat daarover minder objectieve informatie beschikbaar is dan wanneer het historische informatie betreft. 3.5.5
Het assurance rapport
Een schriftelijk rapport met een conclusie die de zekerheid tot uitdrukking brengt welke is verkregen over de informatie omtrent het object van onderzoek. Richtlijnen voor Assurance-opdrachten schrijven basiselementen voor assurance-rapporten voor. Daarnaast overweegt de IT-Auditor of er andere verantwoordelijkheden bestaan met betrekking tot de rapportering, waaronder de communicatie met de organen belast met governance indien dit van toepassing is.
Pagina 36 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
3.6
Conclusie waaraan moeten assurance opdrachten voldoen en
de invloed voor assurance van Cloud Computing De uitvoering van de type assurance-opdrachten, zoals in tabel 7 is weergegeven, kan worden gedaan in het kader van een jaarrekeningcontrole (COS 800) opdracht, een TPM, een ISAE 3402 of middels een ISAE 3000 assurance-opdracht. Daarnaast zijn er ook buitenlandse standaarden waaronder de SOC audit opdrachten zoals beschreven in paragraaf 3.4.4. Wat opvalt is dat veel van de type assurance-opdrachten zoals weergegeven in tabel 6 zijn te combineren tot één opdracht wanneer het een Cloud Computing dienst betreft. Bijvoorbeeld bij het uitvoeren van een assurance-opdracht waarbij het object van onderzoek een SaaS dienst zou betreffen kunnen de opdrachttypen outsource assurance, IT organisatie assurance, applicatie assurance en privacy assurance samengevoegd worden tot één assurance-opdracht. Type assurance opdrachten
Traditioneel
Cloud
Outs ourci ng a s s ura nce
n.v.t.
Beoordel en Ia a S, Pa a S of Sa a S
Project a s s ura nce
ERP i mpl ementa ti e
mi gra ti e tra ject
IT-orga ni s a ti e a s s ura nce
Beoordel en IT beheers proces s en
Appl i ca ti e a s s ura nce
Beoordel en a ppl i ca ti on Comtrol s
IT Due Di l i gence
Beoordel en IT omgevi ng
Beoordel en beheerproces s en s ervi ce provi der en Sa a S di ens t of beoordel en Beoordel a freken a ppl i ca ti e di ens t. Beoordel en SLA en i nri chti ng.
Pri va cy a s s ura nce
Ui tvoeren pri va cy a udi t
a fha nkel i jk pa rti jen en l oca ti e (l a nden).
Web a s s ura nce
Beoordel en e-commerce a ppl i ca ti e
Beoordel en Sa a S di ens t + Pa a S
Revenue a s s ura nce
Beoordel i ng s el f reporti ng i nri chti ng. (regi s tra ti e verkopen) Beoordel en l i centi es
Beta a l modul e voor Ia a S, Pa a S of Sa a S. (ISAE 3402) Al s gebrui ker va n Cl oud di ens ten ni et meer vera ntwoordel i jk.
Li centi e a s s ura nce
Tabel 6 - type assurance-opdrachten
Dit komt doordat een Cloud dienst meerdere audit of assurance domeinen (tabel 4) bestrijken. Doordat een Cloud dienst betrekking heeft op meerdere audit domeinen heeft dit natuurlijk direct impact op de complexiteit van de opdracht. Hierbij is de communicatie met de opdrachtgever en kennis van de verschillende audit domeinen een aandachtspunt voor de auditor. Om vast te stellen in hoeverre het geven van assurance bij een cloud opdracht afwijkt ten aanzien van een asssurance opdracht bij een traditionele omgeving zijn de kenmerken van cloud computing beschreven in hoofdstuk 2 afgezet tegen de assurance voorwaarden zoals beschreven in hoofdstuk 3.
Pagina 37 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Figuur 13 - onderzoeksaanpak
De uitkomsten hiervan worden per onderdeel toegelicht en zijn vervolgens overzichtelijk weergegeven in tabel 8. Soorten assurance-opdrachten
Er zijn twee soorten assurance-opdrachten namelijk: 1. Een opdracht met redelijke mate van zekerheid
Hierbij wordt de hoogste mate van zekerheid gegeven die een IT Auditor mag verstrekken. In een Cloud Computing omgeving kan deze mate van zekerheid gegeven worden, maar is wel afhankelijk van enkele belangrijke aspecten zoals complexiteit en omvang van de objecten van onderzoek (virtualisatie), de differentiatie van de verantwoordelijke partijen (Cloud keten), beschikbare toetsingsnormen en de eenduidigheid van afgegeven verklaringen bij subcontractors. 2. Een opdracht met beperkte mate van zekerheid.
Gezien de complexiteit van de hierboven benoemde aspecten ligt het geven van een oordeel met beperkte mate van zekerheid voor de IT Auditor wellicht meer voor de hand. De vraag blijft echter of de klant/afnemer van de Cloud dienst hiermee voldoende zekerheid krijgt. Het gaat tenslotte wel om een geheel geoutsourcete omgeving waarop de afnemer maar zeer beperkt grip heeft. er drie partijen zijn (verschaffer van informatie, assurance provider en gebruiker);
Zoals weergeven in figuur 1 zijn voor de Cloud Computing omgeving de drie partijen van een assurance-opdracht te definiëren. Voor de IT Auditor (hetzij van de gebruiker, hetzij van de aanbieder) geldt dat hij over voldoende kennis moet beschikken in persoon of in zijn auditteam om een audit in de Cloud te kunnen uitvoeren. Daarnaast kan de omvang van de opdracht zeer uitgebreid zijn doordat subcontractors binnen de scope van het onderzoek vallen en zoals eerder beschreven meerdere assurance domeinen binnen de opdracht vallen. Communicatie over scope, objecten van onderzoek en verantwoordelijke partijen is dan een zeer belangrijk aandachtspunt voor de IT Auditor, zowel naar de klant als ook naar de verschillende subcontractors. er een geschikt object van onderzoek is;
De objecten van onderzoek kunnen met een cloud opdracht zeer omvangrijk (zie drie partijen) zijn. Daarnaast vergt de techniek van virtualisatie specifieke kennis. Zowel voor de verantwoordelijke partij(en) alsook voor de IT Auditor. Door de dynamische
Pagina 38 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
kenmerken van virtualisatie bestaat de vraag of de werking wel in alle gevallen getoetst kan worden. De inrichting van beheersprocessen geënt op de virtuele omgeving is daarom ook een belangrijk aspect van een Cloud Computing audit. Daarnaast moeten Cloud diensten die door een combinatie van verschillende subcontractors (zie figuur bijlage 3) worden geleverd naast de diensten ook het informatiebeveiligingsbeleid, de verschillende beheersprocessen (Changemanagement, Identiteitsmanagement, etc.) voldoende op elkaar laten aansluiten. er criteria zijn waaraan het object getoetst kan worden;
Normenkaders voor Cloud Computing worden ontwikkeld door verschillende partijen (tabel 5), echter deze ontwikkelde normenkaders gaan beperkt in op virtualisatie aspecten en daarnaast zijn de normenkaders nog niet geheel uitgekristalliseerd. Een ander aandachtspunt is dat de Cloud omgeving buiten Europa kan zijn gesitueerd, waardoor andere audit standaarden kunnen zijn toegepast en de wet en regelgeving per land verschild. Dit heeft invloed op de criteria welke de auditor (ander land) zal hanteren om de objecten tegen te toetsen. De SLA‟s zullen als belangrijk uitgangspunt dienen voor het vast stellen van de criteria waaraan het object van onderzoek getoetst kan worden. De kwaliteit van de overeengekomen SLA‟s en de eenduidigheid is derhalve van groot belang. Tevens is het risicoprofiel een belangrijk aandachtspunt om vast te stellen door de IT Auditor (paragraaf 2.6.4) met een dynamische omgeving met veel verschillende afnemers. er voldoende en geschikte informatie beschikbaar is;
Het bepalen van of voldoende informatie van adequaat niveau is verzameld om een juist oordeel af te geven is op basis van bovenstaande aspecten een moeilijke opgave binnen dergelijke omvangrijke en complexe audit opdrachten. Mede door het aspect van de dynamische virtuele omgevingen is de vraag of alle benodigde informatie beschikbaar. De informatie ten aanzien van de beheersprocessen en met name het change managementproces van alle lagen (tabel 2) is hiervoor een essentieel aspect. er een schriftelijk assurance rapport is.
Een aandachtpunt voor het opstellen van het rapport (en natuurlijk ook het uitvoeren van de audit) is dat vooraf niet altijd de beoogde gebruiker bekend is. Door de dynamische kenmerken van Cloud Computing kunnen afnemers ook alleen tijdelijk (voornamelijk IaaS en SaaS) diensten afnemen. Dit alles kort samengevat wordt nogmaals weergegeven in onderstaande tabel 7. Elementen assurance opdrachten
Traditionele IT opdracht
Cloud Computing kenmerken
Redelijke mate van zekerheid
Goed mogelijk
Soorten assurance Beperkte mate van zekerheid opdrachten
Goed mogelijk
Mogelijk maar afhankelijk van meerdere aspecten* Mogelijk maar bied dit de afnemers de gewenste mate van zekerheid?
Pagina 39 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Pagina 40 van 54
Elementen assuranceAmsterdam opdrachten - Postgraduate IT Audit Traditionele IT opdracht Cloud Computing kenmerken Vrije Universiteit Opleiding – H. van der Kooij Beroepsbeoefenaar: specialistische IT auditor IT auditor met kennis van virtualisatie kennis en Cloud aspecten* er drie partijen zijn (verschaffer van informatie, Aard, de tijdsfasering en de omvang assurance provider en gebruiker); De verantwoordelijke partij
er een geschikt object van onderzoek is;
Goed mogelijk interne IT afdeling
Mogelijk lastig in te schatten door meerdere aspecten Service provider (IaaS, PaaS of SaaS)
Beoogde gebruikers
Financial Accountant
Afnemer of Financial Accountant
Identificeerbaar
Statische objecten van onderzoek en bijbehorende beheersprocessen
Virtuele objecten van onderzoek, dynamische samenstelling IT omgeving, beheersprocessen incl. virtualisatie.
Vastgestelde toetsingsnormen
Algemeen geaccepteerde standaarden.normenkaders
Normenkaders niet geheel uitgekristalliseerd.
Bestaand kader
Meerdere bestaande kaders
Enkele kaders, beperkt op beheersing virtuele omgevingen in de Cloud
Specifiek ontwikkeld ten behoeve van de opdracht
Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden. Uitgevoerd op basis van NOREA standaarden
Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden. (per land verschillend) Per land verschillend
standaarden NOREA
Subjectief, focus verschillend
Eenvoudiger vast te stellen
Lastiger vast te stellen Afhankelijk van scope en uit te voeren audit partij Afhankelijk van scope en uit te voeren audit partij
Op eenduidige wijze worden geëvalueerd
Consistente evaluatie of toetsing er criteria zijn waaraan het object Vakkundige oordeelsvorming. getoetst kan · Relevantie; worden; · Volledigheid;
er voldoende en geschikte informatie beschikbaar is;
·
Betrouwbaarheid;
Goed
·
Neutraliteit;
Goed
·
Begrijpelijkheid;
Goed
·
Toepasbaarheid.
Eenvoudiger
Opstellen van een planning van een assurance-opdracht o.a. omvang van de werkzaamheden voor het verzamelen van toereikende informatie. De IT auditor houdt rekening met het materieel belang en onjuistheden hiervan. Vast stellen werking
Meer ontwikkelde standaarden en minder complexe omgeving
Specifieke kennis nodig van business model en techniek Lastiger i.v.m. weging complexe factoren Mogelijk teveel informatie nodig (meerdere partijen) waardoor economisch niet rendabel
Eenvoudiger in te schatten
Lastiger vast te stellen of alle materieel zijnde elementen in kaart zijn gebracht. statische omgeving eenvoudiger vast Dynamische omgeving lastiger vast te te stellen. stellen. (inrichting omgeving mogelijk totaal verschillend, beheersprocessen en CMM level belangrijk)
Een schriftelijk rapport met een Eenvoudiger op te stellen Complexiteit afhankelijk van er een schriftelijk conclusie die de zekerheid tot meerdere aspecten* assurance rapport uitdrukking brengt welke is verkregen is. over de informatie omtrent het object van onderzoek. *Meerdere aspecten zijn onder andere: partijen business model, wet en regelgeving, locatie datacenters, mate van dynamische omgeving.
Tabel 7 - elementen assurance-opdracht versus Cloud
Pagina 41 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
4. Instrumenten van de IT Auditor bij Cloud Computing opdrachten 4.1
Inleiding
Zoals in paragraaf 3.4 en 3.5 is beschreven zijn er verschillende opdrachtvormen waarin een IT auditor zekerheid verstrekt. Hierbij heeft de IT Auditor verschillende hulpmiddelen of instrumenten tot zijn beschikking om hem of haar te ondersteunen bij het uitvoeren van een audit opdracht. Frameworks en best practices zijn hier een goed voorbeeld van. Het voordeel van frameworks en best practices is dat deze door de tijd heen ontwikkeld zijn door meerdere professionals en onderhevig zijn geweest aan peer reviews. Hierdoor wordt de kwaliteit van dergelijke hulpmiddelen beter gewaarborgd. Echter een risico van het gebruiken van best practices is dat het kopiëren kan leiden tot slechte werkprogramma‟s waarbij niet op de echte issues wordt ingegaan. Daarom dient de IT Auditor te allen tijde de toepasselijkheid van een framework of best practice te beoordelen in relatie tot de opdracht en de daarbij behorende onderzoeksobjecten.
4.2
Niet Cloud dienst specifieke standaarden
Aangezien cloud diensten opgebouwd zijn uit elementen (figuur 9) die ook in de traditionele omgevingen worden gebruikt zijn onderstaande frameworks en best practices natuurlijk ook van toepassing bij het uitvoeren van een IT audit opdracht met betrekking tot een cloud computing dienst aangevuld met maatregelen die ingaan op de specifieke cloud dienst risico‟s.
ISO-27001 (Information Security Management System ISMS) ; ISO-27002 ("Code voor Informatiebeveiliging") ; NEN-7510 (Informatiebeveiliging in de "zorg") ; BS-25999 ("Business Continuity Management") ; ISO-9001; ISO-20000; NIST - 800-30, Risk Management Guide for Information Technology Systems - 800-53, Security Controls and Assessment Procedures for Federal Information Systems and Organizations - 800-92, Guide to Computer Security Log Management - 800-94, Guide to Intrusion Detection - 800-144 Guidelines on Security and Privacy in Public Cloud Computing ITIL; Cobit; Coso; PCI DSS.
Ten aanzien van ISO 27001 opdrachten geldt ook voor cloud computing diensten dat de IT beheersingsprocessen in control moeten zijn. Daarbij is het goed opzetten van een Information Security Management System essentieel. Ook de ISO normen ten aanzien van de kwaliteitssystemen voor de organisaties en de branche specifieke normen zoals de NEN 7510 zijn afhankelijk van de cloud dienst goed toepasbaar. De standaarden ontwikkeld door de National Institute of Standards and Technology (NIST) zijn zeker relevant voor cloud computing. Enkele voorbeelden van best practices van de NIST zijn in bovenstaande opsomming weergegeven. Om te komen tot een goed werkprogramma is het uitvoeren van een risico analyse op de cloud dienst een goed begin om de echte Pagina 42 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
issues inzichtelijk te krijgen om vervolgens de scope en de objecten van onderzoek vast te stellen. De andere normen van de NIST kunnen goed dienen als input van de verschillende onderdelen (domeinen) voor het werkprogramma. Naast deze standaarden zijn de bekende frameworks als Cobit en Coso een goede kapstok om de IT organisatie in te richten en vervolgens te toetsen. COBIT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). Het benoemen van de doelen en deperformance indicatoren om te komen tot een gecontroleerde IT omgeving is natuurlijk ook van belang op cloud diensten. Het verschil van een cloud dienst ten opzichte van een traditionele omgeving is dat onderstaand schema moet worden ingericht op meerdere niveaus van de dienst met mogelijk meerdere onderaannemers. Dus zowel voor de housing als voor de infrastructuur (IAAS) en de overige lagen PAAS en SAAS.
Figuur 14 Cobit 4.1 [Isaca09]
Tot laatste wordt in voorgaande opsomming PCI Data Security Standard (PCI DSS) genoemd. Deze standaard gaat anders dan de voorgaande frameworks meer in detail in aan welke inrichtingseisen componenten vanbetalingssystemen moeten voldoen. Echter al deze reeds jaren bekende standaarden gaan niet specifiek in op de kenmerken van Cloud computing en de daar bijbehorende mogelijke risico‟s. In de volgende paragraaf wordt een overzicht gegeven van meer specifieke Cloud dienst standaarden.
4.3
Cloud dienst specifieke standaarden
Ten aanzien van Cloud omgevingen zijn wereldwijd een aantal initiatieven voor het ontwikkelen van standaarden, dan wel werkgroepen opgezet om na te denken over de specifieke risico‟s omtrent cloud en middels welke maatregelen deze beheerst kunnen
Pagina 43 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
worden. Voorbeelden van deze initiatieven zijn onder andere de Cloud Security Alliance (CSA), de Cloud Management Working Group (CMWG) en de Cloud Auditing Data Federation Working Group (CADFWG). Deze werkgroepen hebben een aantal cloud specifieke frameworks en best practices opgesteld welke zowel betrekking hebben op de implementatie van cloud omgevingen als het auditen hiervan. Daarnaast heeft ook de eerder genoemde organisatie National Institute of Standards and Technology (NIST) vrij recent een standaard opgesteld voor public cloud computing _NIST 800-144). Deze “Special Publication” beschrijft voornamelijk aandachtspunten en risico‟s van cloud diensten maar bevat geen concrete normen. In tabel 8 wordt een overzicht gegeven van standaarden gericht op cloud computing. Per organisatie wordt de standaard weergegeven met daarbij welke methodiek als basis is gebruikt. Aangezien de techniek virtualisatie een belangrijke grondslag vormt voor cloud computing is ook de relevantie van de verschillende standaarden ten opzichte van virtualisatie opgenomen in de tabel. Vervolgens wordt in de laatste kolom de bruikbaarheid voor de verschillende service modellen weergegeven. Organisatie Cloud Security Alliance
Naam normenkader / whitepaper Top Threats to Cloud Computing V1.0
Datum Gebruikte methodiek 03-2010 ISO 27001/2
Virtualisatie Partijen Beperkt verwijst naar IaaS, PaaS, SaaS, normenkader 8. tenant
ENISA
Benefits, risks and recommendations for information security
11-2009 ISO 27001/2 (42), (43) and BS25999 (44) standards.
Beperkt (blz 55)
IaaS, PaaS, SaaS, tenant
Cloud Security Cloud Security Alliance
Guidance for Application Security V2.1 Cloud Controls Matrix (CCM)
Beperkt (blz 22) Beperkt (high level zowel statisch als VM)
IaaS, PaaS, SaaS IaaS, PaaS, SaaS, tenant
Cloud Security Alliance
Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
07-2010 ISO 27001 12-2010 COBIT 4.1, HIPAA / HITECH Act, ISO / IEC 27001-2005, NIST SP800-53, FedRAMP, PCI DSS v2.0, BITS Shared Assessments AUP v5.0 / SIG v6.0, GAPP (Aug 2009) 12-2009 ISO/IEC 27002
Beperkt (blz 68, 69)
IaaS, PaaS, SaaS, tenant
ISACA
Business Benefits With Security, Governance and Assurance Perspectives 800-144 Guidelines on Security and Privacy in Public Cloud Computing 22/ 28
NIST
NOREA
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
10-2009 n.v.t.
(white paper geen normen VM) 11-2011 n.v.t. Aandachtspunten geen normen (blz 22 t/m 28) 12-2007 ISO/IEC 27001:2005, Berperkt, Basisnormen Beveiliging en beheersprocessen Beheer ICT-infrastructuur Versie 1.0, CobiT 4.1, ISO/IEC 20000:2005, NIST Special Publication 800-53, Studierapport 3, Raamwerk voor ontwikkeling normenstelsels.
IaaS, PaaS, SaaS, tenant IaaS, PaaS, SaaS, tenant n.v.t.
Tabel 8 - Cloud computing normenkaders
De hierboven genoemde normenkaders zijn veelal toekomst gericht, waarbij wordt aangegeven waaraan server providers moeten voldoen of waarop klanten moeten letten voordat de stap naar Cloud Computing diensten wordt genomen. Virtualisatie wordt bij enkele normenkaders genoemd, maar handvatten om de complexe technieken van virtualisatie te beoordelen (paragraaf 2.3.) worden nauwelijks of niet beschreven. De standaardisatie van de normenkaders waarbij de verschillende partijen en service modellen aan bod komen met voldoende aandacht voor virtualisatie moeten nog verder uitkristalliseren. Gestandaardiseerde werkprogramma‟s die op uniforme wijze worden uitgevoerd zijn essentieel voor cloud computingdiensten zodat de onderkende aanbieders Pagina 44 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
(paragraaf 2.3), IT auditors en klanten geen appels met peren gaan vergelijken. Daarnaast zijn cloud diensten erg dynamisch (techniek en business model) waarbij het voor de afnemer van de cloud dienst zeker van belang is dat de frequentie van de audit en de rapportage hoger wordt dan momenteel voor de meeste certificeringen en audit cycli vereist is.
4.4
Tools
Bij het uitvoeren van de werkzaamheden kan de IT Auditor gebruik maken van tools. Wanneer dit geautomatiseerde tools zijn, worden deze ook wel CAAT‟s genoemd, dit staat voor Computer Assisted Auditing Techniques. Hierbij kan men denken aan dataanalyse software, zoals IDEA. Een groot voordeel van dergelijke tools is dat een IT Auditor relatief éénvoudig bepaalde analyses kan uitvoeren op complete data sets. Wanneer men dergelijke analyses zou willen doen zonder CAAT‟s dan zal de IT auditor enkele samples dienen te trekken en te beoordelen. Dit geeft minder zekerheid dan een totaal analyse op de volledige set van het object van onderzoek. In relatie tot cloud computing zou men hierbij kunnen denken aan analyses ten aanzien van logging bestanden, het uitlezen van logische toegangsbeveiliging systemen of CAAT‟s welke continious monitoring mogelijk maken. Bij het laatste voorbeeld zal de CAAT ervoor zorg dragen wanneer gegevens worden gewijzigd de CAAT tool automatisch hiervan een melding naar de verantwoordelijke functionaris zal sturen of naar de monitorings portal. Een voorbeeld van CAAT‟s gericht op cloud service is SureCloud tool waarbij vulnerabilities ten aanzien van operating systems, services en applicaties, firewalls, routers en switches worden gescand. Dit soort tools zouden door de cloud service provider kunnen worden ingericht waarbij de resultaten naar een dashboard worden gestuurd. Hierbij kunnen dan de operationeel verantwoordelijke de status monitoren maar ook de cloud afnemers en de auditors zouden toegang kunnen krijgen tot een dergelijk dashboard.
Figuur 15 - dashboard vulnerability´s surecloud
Pagina 45 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
4.5
Externe deskundigen
Wanneer de IT auditor bij een opdracht onderzoeksobjecten tegenkomt, waarvan hij onderkend dat hij ten aanzien daarvan over onvoldoende deskundigheid beschikt, is het mogelijk voor het de IT auditor om gebruik te maken van externe deskundigen. Bij het inhuren van externe deskundigen bij een opdracht dient de IT auditor zichzelf ervan te verwittigen dat de externe deskundige wel over voldoende kennis beschikt ten aanzien van het te onderzoeken object. Tevens dient de IT auditor deskundig genoeg te zijn om de werkzaamheden en de uitkomsten van de werkzaamheden van de externe deskundige te beoordelen. Een Cloud omgeving kan bestaan uit zeer veel en complexe componenten die allen van invloed kunnen zijn op de Continuity, Integrity, Availability en Auditability (CIAA) van de geautomatiseerde gegevensverwerking. Hierbij kan men denken aan de inrichting van SAN‟s, firewall‟s, VLAN‟s, virtualisatie, databases, verschillende operating systems. Het wordt voor de IT auditor steeds een grotere uitdaging om ten aanzien van al deze componenten over voldoende kennis te beschikken, met name bij Cloud omgevingen waar al deze technieken bij elkaar komen. Derhalve zal bij het auditen van een Cloud omgeving het inschakelen van een externe deskundige steeds vaker nodig en van grotere waarde zijn.
4.6
Conclusie instrumenten van de IT Auditor bij Cloud
Computing opdrachten Voor de IT auditor zijn er veel standaarden en tools ter ondersteuning bij assurance opdrachten beschikbaar. Standaarden die al langer beschikbaar zijn en voornamelijk worden toegepast op traditionele omgevingen zijn ook voor cloud computing assurance opdrachten goed toepasbaar. Het opstellen van bijvoorbeeld beheersingsprocessen en de audit van traditionele It omgevingen toont grote overeenkomsten met cloud diensten. De voornaamste moeilijkheid voor assurance voor cloud computing is dat de dienst veelal opgebouwd is uit meerdere onderaannemers. Het wordt dan erg lastig om de performance indicatoren op eenduidige wijze vast te stellen en te monitoren over de ketens heen. Voeren bijvoorbeeld alle partijen op dezelfde manier changes door, of sluit security management wel voldoende op elkaar aan? Wordt identity management eenduidig uitgevoerd door alle partijen en worden credentials doorgegeven tussen de partijen? Is singel sign on wel mogelijk etc.
Figuur 16 – Cloud dienst door meerdere partijen
Pagina 46 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Naast deze vragen en de moeilijkheid van de meerdere betrokken partijen in de keten zijn er momenteel een beperkt aantal normenkaders en tools welke volledig uitgekristalliseerd zijn. Daarnaast moeten ook nog steeds meerdere normenkaders worden samengevoegd tot één werkprogramma.
Pagina 47 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
5. Conclusie De IT Auditor kan in een wereld met toenemende virtualisatie en Cloud computing zeker assurance verstrekken.
Voor de leverancier van cloud diensten zal hij/zij op ISAE3402/SSA16 of op ISAE 3000-standaard gebaseerde onderzoeken, kunnen uitvoeren en daarover rapporteren. Voor afnemers van cloud diensten zal hij/zij de beschrijvingen van proces- en informatiestromen inclusief de application controls en general computer controls van geheel of gedeeltelijk op cloud diensten gebaseerde applicaties en infrastructuur (afhankelijk van het service model) kunnen beoordelen en toetsen, daarbij gebruik makend van door de leverancier verstrekte externe rapportages (bijv. ISAE3402) en/of the right to audit door zelf onderzoek uit te voeren.
Of een opdracht in de praktijk economisch rendabel en of technisch uitvoerbaar is hangt onder meer af van de volgende aspecten:
Aantal subcontractors; Verschillen in wet en regelgeving; Verschillen in informatiebeveiligingsbeleid subcontractors; Verschillende risicoprofielen van de afnemers; Volwassenheid (CMM level) van de service provider; De technische “kennis“ van de auditors; Impact op objecten van onderzoek en reikwijdte van een opdracht. Hierover goede communicatie met de opdrachtgever en met de verschillende partijen (Cloud keten); Opgestelde kwaliteit van de SLA‟s; Techniek op basis van baseline ingericht; Verdere standaardisatie Cloud Computing Normenkaders.
Kortom heel wat aspecten om rekening mee te houden alvorens een assurance-opdracht te aanvaarden in de Cloud. Voor de toekomst denk ik dat de Cloud Computing aanbieders zich kunnen onderscheiden door het kunnen aantonen van een goede interne controle van de essentiële beheersprocessen. Daarnaast initieert Cloud Computing een verdere uniformiteit van de werkzaamheden van IT Auditors wereldwijd en de verdere ontwikkelen van Cloud Computing assurance normenkaders. Door de vergaande dynamische IT omgevingen gebaseerd op virtualisatie wordt het steeds lastiger om de werking van bepaalde objecten van onderzoek vast te stellen. De focus van assurance-opdrachten zal daarom sterk gericht moeten zijn op de beheersprocessen waarbij het changemanagementproces zeer essentieel zal zijn. Daarnaast zal de volwassenheid (CMM level) van de organisatie een steeds belangrijkere rol gaan spelen bij het geven van assurance. Indien duidelijk is vast te stellen dat de service provider van Cloud Computing duidelijk in control is kan naar de gebruiker voldoende assurance worden afgegeven, waarbij deze assurance mogelijk ook meer toekomst gericht kan zijn.
Pagina 48 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Transparantie van de beheersprocessen de overeengekomen KPI‟s en beheersmaatregelen die door klanten realtime zijn te monitoren. Waardoor niet alleen assurance naar het verleden maar ook realtime zekerheid verkregen kan worden. (SekChek, Rechten en rollen tools, change aanvragen en verwerkingen, etc.) Daarnaast zijn er technische ontwikkelingen waardoor data van de eigenaar kan blijven zonder dat de provider bij de klant data kan. (Trend Micro, Deep defends). Uitdagingen genoeg voor de IT Auditor!
Pagina 49 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
6. Literatuurlijst [BOHM10] Böhm, Leimeister, Riedl, Prof. Krcmar, Cloud Computing - Outsourcing 2.0 or a new Business Model for IT Provisioning?, Technische Universität München (TUM), (2009) [NIST11] Final Version of NIST Cloud Computing Definition Published [NIST11 2] Guide to security for full virtualization technologies [BOHM10 2] Böhm, Riedl, Towards a Cloud Computing Value Network, 2010 [ChUN10] Mike Chung, Assurance in the Cloud, Compact, maart 2010. [CSAC09] Glenn Brunette, Rich Mogull, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1, Cloud Security Alliance ,December 2009 [ASSU07] NOREA, Raamwerk voor assurance-opdrachten door IT-Auditors, december 2007 [EDPH08] Ronald Jonker, Handboek EDP-auditing 9300. Assurance services, 2010 [NORE08] http://www.norea.nl/index.aspx?FilterId=2423&ChapterId=12177&ContentId=37183 [ITAS08] IT-assure zekerheid over uw IT, NOREA, 2008 [NORE02] Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden, 2002 [NORE98] NOREA-geschrift no. 1, NOREA, 1998 [RFIJ06] Rob Fijneman, IT-Auditor is meer dan controleur van informatietechnologie, 2006 [SOGE10] Ewald Roodenrijs, Point of View: Testing on the Cloud, Sogeti, 2010 [ClOU09]http://www.computable.nl/artikel/ict_topics/cloud_computing/2978520/233336 4/gartner-herziet-definitie-van-cloud-computing.html [HOEC06] Michael Hoesing, Virtualization Usage, Risks and Audit Tools, ISACA, 2006 [ACCO10] Henk Aardom, Housing, hosting ASP en SaaS, 2010? [COMP10] van Beek, Francken, SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording, Compact, 2010 [KPMG10] Praktijkgids SAS 70 deel III, 2010 [Biene96] Margaret E. van Biene-Hershey, IT Auditing an object oriented approach, 1996 [Isaca09] ISACA COBIT Overview, 2009
Pagina 50 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
Gebruikte internet bronnen: http://nvd.nist.gov/home.cfm https://www.pcisecuritystandards.org/security_standards/ http://www.vmware.com/nl/ http://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Pages/CompactMagazine.aspx http://www.norea.nl/ http://www.isaca.nl/ http://www.kluwer.nl/ https://cloudsecurityalliance.org/ http://cloud-standards.org http://www.surecloud.com/index.htm http://www.computable.nl/ http://computerworld.nl/ http://www.automatiseringgids.nl/
Pagina 51 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
7. Bijlage 7.1
Bijlage 1
Pagina 52 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
7.2
Bijlage 2
Pagina 53 van 54
Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding – H. van der Kooij
7.3
Bijlage 3
Pagina 54 van 54