HET BEOORDELEN VAN DE GEAUTOMATISEERDE VERWERKING VAN LEADCLICKS

HET BEOORDELEN VAN DE GEAUTOMATISEERDE VERWERKING VAN LEADCLICKS

Figuur 0.1. Advertiser measuring received click (IAB 2009b).

Vrije Universiteit Amsterdam

Post Graduate IT-auditopleiding Martine van de Merwe Teun Woord groep 904 Begeleider VU: Jan van der Kaaij Bedrijfsbegeleider BDO IT Auditors & Consultants: Ruud Kerssens April 2009

Afstudeerscriptie Vrije Universiteit Amsterdam

Het beoordelen van de geautomatiseerde verwerking van leadclicks

Post Graduate IT-auditopleiding

INHOUDSOPGAVE

SAMENVATTING..............................................................................................................4 HOOFDSTUK 1 AANLEIDING VAN HET ONDERZOEK EN PROBLEEMSTELLING .................5 1.1 Inleiding .............................................................................................................5 1.2 Probleemstelling..................................................................................................6 1.3 Onderzoeksvragen...............................................................................................7 1.4 Opbouw scriptie ..................................................................................................7 HOOFDSTUK 2 BESCHRIJVING VAN DE GEAUTOMATISEERDE VERWERKING VAN LEADCLICKS 8 2.1 Inleiding .............................................................................................................8 2.2 Rollen.................................................................................................................8 2.3 Vierlagenmodel ...................................................................................................9 2.4 Organisatiestructuur .......................................................................................... 10 2.5 Bedrijfsprocessen .............................................................................................. 11 2.5.1 Registreren leadclicks ........................................................................................ 11 2.5.2 Filteren en aggregeren van leadclicks.................................................................. 12 2.5.3 Rapporteren gerealiseerde leadclicks................................................................... 12 2.6 Informatiesystemen........................................................................................... 13 2.7 Technische infrastructuur................................................................................... 13 2.8 Samenhang processen, informatiesystemen en technische componenten ............... 15 HOOFDSTUK 3 RISICO’S BIJ VERWERKING VAN LEADCLICKS...................................... 16 3.1 Inleiding ........................................................................................................... 16 3.2 Model voor risicobeoordeling .............................................................................. 17 3.3 Risico’s bij verwerking van leadclicks................................................................... 17 3.3.1 Risico’s registratie van leadclicks........................................................................ 18 3.3.2 Risico’s filtering en aggregatie van leadclicks ....................................................... 19 3.3.3 Risico’s rapportage gerealiseerde clicks ............................................................... 21 HOOFDSTUK 4 NORMEN........................................................................................... 22 4.1 Inleiding ........................................................................................................... 22 4.2 Code voor informatiebeveiliging.......................................................................... 22 4.3 IAB Guidelines .................................................................................................. 23 4.4 Beheersdoelstellingen en beheersingsmaatregelen ............................................... 23 4.4.1 Inleiding ........................................................................................................... 23 4.4.2 Samenvatting risico’s met betrekking tot de geautomatiseerde verwerking van leadclicks...................................................................................................................... 23 4.4.3 Specifieke beheersdoelstellingen en beheersingsmaatregelen ................................ 24 HOOFDSTUK 5 CERTIFICERING EN RANDVOORWAARDEN .......................................... 29 5.1 Inleiding ........................................................................................................... 29 5.2 Third Party Mededeling (TPM) ............................................................................ 29 5.3 Certificaat ......................................................................................................... 29 5.4 Certificeringstraject ........................................................................................... 30 HOOFDSTUK 6 MODELBESCHRIJVING ....................................................................... 32 6.1 Inleiding ........................................................................................................... 32 6.2 Kenmerken van modellen................................................................................... 32 6.3 Doel van het model en relevante kwaliteitsaspecten ............................................. 33 6.4 Scope............................................................................................................... 33 6.5 Primaire processen (auditraamwerk) ................................................................... 34 6.6 Deelprocessen registreren .................................................................................. 34 6.7 Deelprocessen filteren en aggregeren ................................................................. 35 6.8 Deelproces rapporteren...................................................................................... 36 6.9 Rollen en koppeling rollen aan processen ............................................................ 37 6.10 Doelstellingen bedrijfsprocessen ......................................................................... 38 6.11 Informatiesysteem............................................................................................. 38 6.12 Technische infrastructuur................................................................................... 38 6.13 Risicoanalyse .................................................................................................... 39 6.14 Beheersdoelstellingen en beheersingsmaatregelen ............................................... 41

2/66




PRAKTIJKTOETSING .......................................................................... 42 HOOFDSTUK 7 7.1 Beschrijving onderzoeksopzet ............................................................................. 42 7.2 Praktijkcasussen................................................................................................ 42 7.2.1 Bedrijf A ........................................................................................................... 42 7.2.2 Bedrijf B ........................................................................................................... 42 7.2.3 Toepasbaarheid model en maatregelen ............................................................... 43 7.3 Toetsing bij IT-auditor ....................................................................................... 43 7.4 Conclusies praktijktoetsing ................................................................................. 44 HOOFDSTUK 8 CONCLUSIE....................................................................................... 45 8.1 Inleiding ........................................................................................................... 45 8.2 Beschrijving conclusie ........................................................................................ 45 8.3 Persoonlijke reflectie.......................................................................................... 47 LITERATUURLIJST ........................................................................................................ 48 Bijlage 1 Marktpenetratie browsers en Flash .................................................................... 50 Bijlage 2 Gespreksverslagen interviews ........................................................................... 51 Bijlage 3 Legenda Bizzdesigner....................................................................................... 57 Bijlage 4 Normenkader .................................................................................................. 59

3/66




SAMENVATTING Het bedrag dat betaald moet worden voor een advertentie op een internetsite is vaak afhankelijk van het aantal gerealiseerde clicks. De adverteerder zal in deze situatie alleen bereid te zijn om te betalen voor werkelijke gerealiseerde clicks èn kwalitatief goede clicks die waarde hebben voor de adverteerder. Clicks die bijvoorbeeld zijn gerealiseerd door geautomatiseerde robots hebben voor de adverteerder geen waarde. De meting van de clicks vindt veelal plaats op de website van de exploitant. De exploitant rapporteert vervolgens aan de adverteerders het aantal gerealiseerde clicks. Deze rapportage dient veelal als basis voor het te factureren bedrag aan de adverteerder. Vanuit met name de adverteerders ontstaat steeds meer behoefte aan een onafhankelijk oordeel over de betrouwbaarheid van dergelijke rapportages. In deze scriptie is onderzocht in hoeverre het mogelijk is, uitgaande van de theorie, een hanteerbaar model te ontwikkelen dat gebruikt kan worden voor de certificering van de verwerking van leadclicks. In het uitgevoerde onderzoek ligt de nadruk op de juistheid van de gerealiseerde clicks, zodat er sprake is van kwalitatieve goede clicks die voldoen aan de hieraan te stellen kwaliteitscriteria. Bij beantwoording van de probleemstelling zijn de volgende kwaliteitsaspecten als uitgangspunt genomen: continuïteit, integriteit, vertrouwelijkheid en controleerbaarheid. Om de onderzoeksvraag te kunnen beantwoorden is eerst een beschrijving gemaakt van het algemene concept voor de geautomatiseerde verwerking van leadclicks. Hierbij worden rollen onderkend voor de bezoeker, de adverteerder en de exploitant. Vervolgens is met behulp van het vierlagenmodel (Christiaanse et al. 2005) een beschrijving gemaakt van de organisatiestructuur, de bedrijfsprocessen, de informatiesystemen en de technische infrastructuur. De belangrijkste bedrijfsprocessen met betrekking tot de geautomatiseerde verwerking van leadclicks zijn: het registeren van leadclicks, filteren en aggregeren van leadclicks en het rapporteren over de gerealiseerde clicks. Vervolgens is er voor de beschreven objecten een risicoanalyse uitgevoerd die gericht is op risico’s die specifiek zijn voor een systeem voor de geautomatiseerde verwerking van leadclicks. Voor de risicoanalyse is gebruik gemaakt van het model voor risicobeoordeling zoals deze is opgenomen in de door het NIST (2002) uitgegeven ‘Risk Management Guide for Information Technology Systems’. De uitkomst van deze risicoanalyse is een twaalftal risico’s. Eén van de belangrijkste risico’s is dat ongeldige clicks worden meegeteld. Dit zijn bijvoorbeeld clicks die worden gegenereerd door robots. Uit de Code voor Informatiebeveiliging (NEN 2005a) en de Guidelines van het Amerikaanse Interactive Advertising Bureau (IAB 2009a en b) zijn beheersingsdoelstellingen en – maatregelen geselecteerd die de door ons onderkende risico’s afdekken. Dit heeft geresulteerd in een normenkader. Het onderzoek heeft geresulteerd in een model dat door een auditor gebruikt kan worden bij de certificering van de geautomatiseerde verwerking van leadclicks. In dit model zijn alle in deze scriptie beschreven bouwstenen in hun onderlinge samenhang samengevoegd. Vervolgens is het model in de praktijk getoetst vanuit het gezichtspunt van IT-beheerders en IT-auditors. Uit de praktijktoetsing blijkt dat het in het model beschreven concept aansluit met de praktijk van de geïnterviewde IT-beheerders. De beschreven objecten, processen en processtappen zijn aanwezig, maar de plaatsing daarvan kan afwijken van die in het model. Voor de IT-auditors is het model hanteerbaar. De buiten de scope geplaatste objecten, waaronder systeemontwikkeling, internetrisico’s en general IT-controls, hebben een grote invloed op de betrouwbare werking van een systeem voor de geautomatiseerde verwerking van leadclicks. Het model moet daarom altijd onderdeel zijn van een meer omvattende audit. Bij een door de IT-auditor verstrekte mededeling moet duidelijk zijn op welke onderdelen van het systeem dit betrekking heeft. Samenvattend kan worden vastgesteld dat het mogelijk is om vanuit de theorie een model te ontwikkelen dat hanteerbaar is voor een vaste scope, namelijk het gedeelte dat specifiek is voor een systeem voor de geautomatiseerde verwerking van leadclicks.

4/66




HOOFDSTUK 1 AANLEIDING PROBLEEMSTELLING 1.1

VAN

HET

ONDERZOEK

EN

Inleiding

Eén van onze klanten is exploitant van een op internet geplaatste bedrijvenzoekmachine. Door als bedrijf op de site van de exploitant te adverteren wordt de vindbaarheid van het bedrijf vergroot. Er is er sprake van een leadgarantie met een gegarandeerd aantal minimum clicks van potentiële klanten. Als het minimum aantal leadclicks niet wordt gehaald, krijgt de adverteerder korting in een volgende periode. De prijs die de adverteerder betaalt is afhankelijk van het aantal gerealiseerde leadclicks. Op deze wijze heeft de exploitant belang bij een hoog aantal clicks. Ter verantwoording naar de adverteerders wil de exploitant de geautomatiseerde verwerking van leadclicks certificeren. Het belang van de adverteerder hierbij is dat hij alleen bereid is om te betalen voor werkelijk gerealiseerde clicks èn kwalitatief goede clicks die waarde hebben voor de adverteerder. Clicks die bijvoorbeeld zijn gerealiseerd door geautomatiseerde robots en verkeersbronnen, hebben voor de adverteerder geen waarde, en zijn derhalve van lage kwaliteit. ClickForensics (2009a) is een bedrijf dat zich bezighoudt met kwaliteitsmanagement, waarbij segmentatie wordt aangebracht in het aantal gerealiseerde clicks. Hierbij streeft men naar minimalisatie van het aantal kwalitatief slechte clicks en maximalisatie van het aantal kwalitatief goede clicks. Hierbij wordt onderstaand model, zoals is weergegeven in figuur 1.1., als uitgangspunt genomen.

Figuur 1.1. traffic segmentation (ClickForensic 2009a).

Volgens recent onderzoek van ClickForensics (2009b) was in het vierde kwartaal van 2008 17% van de clicks bij online advertentiecampagnes toe te schrijven aan klikfraude. ClickForensics beheert een “Click Fraud Network”, waarin adverteerders en exploitanten van websites samenwerken. Uit de metingen binnen dit netwerk wordt de “Click Fraud Index” samengesteld. ClickForensics geeft geen gegevens vrij over op welk gedeelte van de gehele advertentiemarkt zij hun cijfers baseren. Volgens ClickForensics is 31% van de klikfraude door botnets gegenereerd. In opdracht van derden zetten cybercriminelen deze botnets in. Hiermee kunnen de advertentie-inkomsten worden verhoogd, kunnen de advertentiekosten voor de adverteerder worden opgedreven, of kan de plaats van de eigen advertentie op de site van de exploitant verbeteren ten koste van die van de concurrent. Exploitanten zullen maatregelen moeten nemen om dergelijke clicks te ondervangen en te elimineren, zodat er alleen clicks overblijven van voldoende kwaliteit en die waarde hebben voor de adverteerder. In de loop van ons onderzoek kwamen Guidelines van het Amerikaanse Interactive Advertising Bureau (IAB) beschikbaar. IAB is een internationale organisatie die actief is in online adverteren en interactieve marketing, en die optreedt als onafhankelijk kennisplatform.

5/66




In 2008 en 2009 brachten zij Guidelines uit met richtlijnen waaraan het meten van online adverteren en advertentieclicks zou moeten voldoen. Bovendien adviseren zij ‘third party audits’ en certificering voor alle applicaties die het bereik van advertenties meten. Het verschijnen van de Guidelines ondersteunde ons idee dat er behoefte is aan richtlijnen om te kunnen vaststellen of een registratie betrouwbaar is. De Guidelines van IAB bevatten alleen richtlijnen en hebben daardoor een beperkte rol gespeeld. Ons onderzoek was breder opgezet en bevatte het doorlopen van een aantal stappen om te komen tot een model. Onze klant met de bedrijvenzoekmachine en de actualiteit van het onderwerp zijn voor ons aanleiding geweest om hier als toekomstig IT-auditor nader onderzoek naar te doen.

1.2

Probleemstelling

Bovenstaande heeft geleid tot de volgende probleemstelling:

Is het mogelijk, uitgaande van de theorie, een hanteerbaar model te ontwikkelen, dat gebruikt kan worden voor de certificering van de verwerking van leadclicks? Bij

het beantwoorden van de probleemstelling richten wij ons op de kwaliteitsaspecten: continuïteit integriteit vertrouwelijkheid controleerbaarheid

Voor het definiëren van het begrip kwaliteit wordt vaak de volgende definitie aangehaald (NEN 1989): “het geheel van eigenschappen en kenmerken van een product of dienst, dat van belang is voor het voldoen aan vastgestelde of vanzelfsprekende behoeften”. Echter deze definitie is geformuleerd op een vrij hoog abstractieniveau. Daarom hebben wij aansluiting gezocht bij de definities van de kwaliteitsaspecten zoals deze binnen de context van de NOREA-normen en standaarden worden gehanteerd (NOREA 2002). Continuïteit (NOREA 2002): de mate waarin het object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben. Integriteit (NOREA 2002): de mate waarin het object (gegevens en informatie-, technischeen processystemen) in overeenstemming is met de afgebeelde werkelijkheid. Vertrouwelijkheid: hiervoor sluiten we aan bij Exclusiviteit (NOREA 2002): de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruikmaken van IT-processen. Controleerbaarheid (NOREA 2002): de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. De exploitant heeft belang bij een continue verwerking van leadclicks. Bij storingen komt de volledigheid van de registratie in gevaar en dat kan inkomstenderving met zich meebrengen. In ons onderzoek zal de nadruk liggen op de juistheid van de vastgelegde gegevens. Het gaat erom dat de vastgelegde clicks juist zijn, en het gevolg zijn van clicks die voldoen aan de hieraan te stellen kwaliteitscriteria. De exploitant heeft belang bij een hoog aantal clicks, hetgeen leidt tot hogere opbrengsten. Voor hem is de volledigheid van belang. De adverteerder daarentegen heeft er belang bij dat alle geregistreerde en verwerkte clicks juist zijn en voldoen aan de hieraan gestelde kwaliteitscriteria.

6/66




Controleerbaarheid is van belang omdat het voor certificering mogelijk moet zijn om achteraf vast te stellen dat de werking van het systeem heeft plaatsgevonden in overeenstemming met de hieraan gestelde kwaliteitseisen. Definitie leadclick (IAB 2009b) In deze scriptie verstaan wij onder een leadclick een click in de vorm van een ‘Click-Through’ of een ‘In-Unit Click’ die wordt geregistreerd op de site van de exploitant van de website.

‘Click’ or ‘Click-Through’ (klik doorvoeren)

Een ‘Click-Through’ is een click die wordt gemeten op het moment dat een bezoeker klikt op een advertentie(-element) op de site van de exploitant, en de bezoeker door middel van een redirect wordt doorgestuurd naar een andere website (meestal die van de adverteerder).

‘In-Unit Click’ (in de eenheid klikken)

Een ‘In-Unit Click’ is een click die wordt gemeten op het moment dat een bezoeker klikt op een advertentie(-element) zonder dat er een redirect plaatsvindt naar een andere weblocatie. Meestal wordt er na deze click meer informatie getoond over de adverteerder.

1.3

Onderzoeksvragen

Bovenstaande probleemstelling heeft geleid tot de volgende onderzoeksvragen: a) wat is het algemene concept voor de geautomatiseerde verwerking van leadclicks? b) welke risico’s zijn er te onderkennen voor de geautomatiseerde verwerking van leadclicks? c) welke normen zijn te formuleren voor het beoordelen van de geautomatiseerde verwerking van leadclicks? d) wat is certificering en wat zijn de hierbij behorende randvoorwaarden? e) hoe dient een model dat gebruikt kan worden bij de certificering van de geautomatiseerde verwerking van leadclicks er uit te zien? f) is het vanuit de theorie ontwikkelde model toepasbaar in de praktijk, vanuit het gezichtspunt van IT-auditors en van IT-beheerders?

1.4

Opbouw scriptie

scope

risico’s

normen

randvoorwaarden certificering

subvraag a hoofdstuk 2

subvraag b hoofdstuk 3

subvraag c hoofdstuk 4

subvraag d hoofdstuk 5

model

conclusie / hoofdstuk 8

subvraag e / hoofdstuk 6

praktijktoetsing subvraag f / hoofdstuk 7

7/66




HOOFDSTUK 2 BESCHRIJVING VERWERKING VAN LEADCLICKS 2.1

VAN

DE

GEAUTOMATISEERDE

Inleiding

In dit hoofdstuk wordt antwoord gegeven op onderzoeksvraag a: wat is het algemene concept voor de geautomatiseerde verwerking van leadclicks? Om antwoord te kunnen geven op deze onderzoeksvraag wordt met behulp van het vierlagenmodel een beschrijving gemaakt van de organisatie voor de geautomatiseerde verwerking van leadclicks. De beschrijving heeft betrekking op een advertentiemodel dat kan worden ingezet op een zoekmachine of een website, waarbij voor de adverteerder automatisch wordt geregistreerd hoeveel leadclicks er voor de betreffende adverteerder op de advertentiesite zijn gerealiseerd. De registratie van de leadclicks dient hierbij ter verantwoording door de exploitant van het aantal gerealiseerde clicks op de door de adverteerder geplaatste advertenties.

2.2

Rollen

Bij de geautomatiseerde verwerking van leadclicks onderscheiden wij de rollen voor de bezoeker, de adverteerder en de exploitant. De bezoeker ontvangt via de site van de exploitant informatie over de adverteerder. Als de informatie aansluit bij de informatiebehoefte van de bezoeker, klikt de bezoeker op een advertentie-element van de advertentie en krijgt vervolgens meer informatie te zien. Zodra een bezoeker daadwerkelijk op de gegevens van de adverteerder klikt, wordt er een leadclick geregistreerd. De bezoeker houdt zich alleen bezig met het bezoeken van internetpagina’s, bijvoorbeeld omdat hij op zoek is naar informatie. Hij heeft geen belang bij de kosten of opbrengsten van het adverteren. De adverteerder plaatst of laat een advertentie plaatsen door de exploitant op de site van de exploitant. De adverteerder betaalt een bedrag aan de exploitant voor het tonen van zijn advertentie en/of bedrijfsgegevens, en voor het doorsturen van de bezoeker (na een leadclick) naar meer gegevens over zijn bedrijf of naar de site van de adverteerder zelf. De adverteerder wil een product of dienst verkopen en zoekt daarvoor kopers. Eén van de marketing-instrumenten hierbij is adverteren op internet. De adverteerder heeft er belang bij dat zijn gegevens aan zoveel mogelijk mensen worden getoond, maar hij zal alleen willen betalen voor kwalitatief goede clicks. Hieronder verstaan wij clicks van bezoekers, die waarde hebben voor de adverteerder. Met betrekking tot de geautomatiseerde verwerking van leadclicks is de exploitant primair verantwoordelijk voor de betrouwbare verwerking van leadclicks. De exploitant stelt op zijn site op internet advertentieruimte beschikbaar aan adverteerders. Dit kan op verschillende manieren, zoals op een resultatenpagina bij een zoekmachine of als advertentie bij een informatieve pagina. De exploitant brengt hiervoor een bedrag in rekening. Aangezien het door exploitant te ontvangen bedrag aan opbrengsten veelal gerelateerd is aan het gerapporteerde aantal leadclicks, heeft de exploitant (financieel) belang bij het aantal geregistreerde clicks.

8/66




2.3

Vierlagenmodel

Volgens Christiaanse en Van Praat (2005) kan een organisatie worden gezien als een samenstel van aan elkaar gerelateerde processen. Via het onderstaande model, zoals is weergegeven in figuur 2.1, kunnen deze aan elkaar gerelateerde processen inzichtelijk worden gemaakt.

Figuur 2.1. vierlagenmodel (Christiaanse en Van Praat 2005).

In het vierlagenmodel wordt onderscheid gemaakt tussen: organisatiestructuur: de verdeling van taken, bevoegdheden en De verantwoordelijkheden, en afdelingen in de organisatie, en de relaties die daartussen worden gelegd. De bedrijfsprocessen: een gestructureerde en weloverwogen groep van activiteiten zodanig ontworpen om een specifieke prestatie te leveren. De informatiesystemen: het toepassingsprogramma dat erop gericht is gegevens te verwerken, op te slaan, te veredelen en te verstrekken aan de gebruiker van die informatiesystemen. De technische infrastructuur: het geheel van technische hulpmiddelen die ervoor zorgen dat de informatiesystemen adequaat kunnen functioneren ten behoeve van de organisatie.

9/66




2.4

Organisatiestructuur

De organisatiestructuur heeft betrekking op de verdeling van taken, bevoegdheden en verantwoordelijkheden, en afdelingen in de organisatie en de relaties die daartussen worden gelegd (Christiaanse en Van Praat 2005). Met betrekking tot de geautomatiseerde verwerking van leadclicks worden binnen de organisatie-eenheid van de exploitant de volgende taken en verantwoordelijkheden onderkend met betrekking tot de in hoofdstuk 2.5 genoemde processen.

Afdeling Verkoop. De afdeling Verkoop is verantwoordelijk voor de verkoop van advertentieruimte op de website en onderhoudt de contacten met de klant. De afdeling verkoop bepaalt de verkoopvoorwaarden, dus wat geleverd wordt en tegen welke prijs. Het verwerkingsproces van leadclicks moet volgens deze voorwaarden worden ingericht. De afdeling Verkoop heeft een beschikkende functie.

Financiële administratie. Deze afdeling draagt zorg voor de facturering van de

Systeembeheer. Het systeembeheer is verantwoordelijk voor het structureren, in stand houden en onderhouden van de beheerobjecten binnen de geautomatiseerde omgeving om een adequate geautomatiseerde informatievoorziening te kunnen waarborgen (Van Praat 2004).

gerealiseerde leadclicks. Deze afdeling heeft een registrerende en controlerende functie.

De systeembeheerder is verantwoordelijk voor de goede werking van de computersystemen of meerdere systemen. Binnen het systeembeheer worden met betrekking tot de geautomatiseerde verwerking van leadclicks de volgende beheerobjecten onderkend: o Het beheer van de databases met advertenties, logdata en de database met gefilterde en geaggregeerde data. o Het beheer van de webapplicaties (en de website) en het beheer van de backoffice-applicaties. o Het beheer van de verwerkingsapparatuur zoals de webservers, (web)applicatieservers en de databaseservers. o Het beheer van de besturingsprogrammatuur zoals de besturingssystemen, netwerkbesturingssystemen, databasemanagementsystemen en datacommunicatievoorzieningen. o Het beheer van de communicatieverbindingen (inclusief componenten) zoals het interne en externe netwerk.

Systeemontwikkeling. De afdeling systeemontwikkeling is verantwoordelijk voor het ontwikkelen en onderhouden van het systeem voor de geautomatiseerde verwerking van leadclicks. Systeemontwikkeling blijft in deze scriptie buiten de scope. Er wordt verondersteld dat systeemontwikkeling adequaat is georganiseerd en deze functioneel is gescheiden van de verwerkingsorganisatie.

De organisatiestructuur voor de geautomatiseerde verwerking van leadclicks is weergegeven in figuur 2.2.

10/66




management

financiële administratie systeembeheer

verkoop

automatisering

systeemontwikkeling

verwerkingsorganisatie

Figuur 2.2. organisatiestructuur voor de geautomatiseerde verwerking van leadclicks.

2.5

Bedrijfsprocessen

De bedrijfsprocessen zijn een gestructureerde en weloverwogen groep van activiteiten zodanig ontworpen om een specifieke prestatie te leveren (Christiaanse en Van Praat 2005). Ten behoeve van de geautomatiseerde verwerking van leadclicks worden binnen de organisatie de volgende primaire bedrijfsprocessen onderkend: registreren leadclicks filteren en aggregeren leadclicks rapporteren gerealiseerde leadclicks

2.5.1 Registreren leadclicks Doelstelling proces

Het juist, tijdig en volledig registreren van de op de site gegenereerde leadclicks.

Procesbeschrijving

Om toegang te verkrijgen tot de website van de exploitant maakt de bezoeker gebruik van een webbrowser. De bezoeker ziet op de internetsite van de exploitant de gegevens van de adverteerder. Op het moment dat een bezoeker op de gegevens van de adverteerder klikt, wordt er automatisch een leadclick geregistreerd voor de betreffende adverteerder. Leadclicks kunnen bijvoorbeeld zijn een klik op de contactgegevens of een doorklik naar de website van de adverteerder. De geregistreerde leadclicks alsmede de gegevens die de bezoeker (onbewust) op website achterlaat, zoals IP-adres, datum, http-headerinformatie en cookie-informatie worden gelogd. De gelogde gegevens worden opgeslagen in een logdatabase.

11/66




2.5.2 Filteren en aggregeren van leadclicks Doelstelling proces

Het filteren van de gelogde data op ongeldige clicks en het juist, tijdig en volledig aggregeren en vastleggen van de gefilterde data.

Procesbeschrijving

Alvorens de data kunnen worden geaggregeerd dient er eerst een filtering plaats te vinden op de gelogde data. De filtering is nodig om er voor te zorgen dat alleen die clicks in de rapportage ten behoeve van de adverteerders (externe rapportage) worden meegenomen die voldoen aan de vooraf ingestelde kwaliteitscriteria. Over de clicks die niet voldoen aan de vooraf ingestelde criteria kan ook worden gerapporteerd. Echter deze rapportage is normaliter alleen bestemd voor interne doeleinden (interne rapportage). Filtering vindt normaliter plaats op vastgestelde tijden, bijvoorbeeld eens per dag om 0.00 uur. Ten behoeve van het filteren wordt handmatig of met behulp van een jobscheduler een applicatie gestart die de in logdatabase opgeslagen data inleest en vervolgens de data filtert op basis van de ingestelde filtercriteria. In onze beschrijving van het concept gaan wij uit van filtering achteraf. Het is ook mogelijk dat filtering plaatsvindt vóórdat de click wordt geregistreerd. Deze werkwijze gaat uit van hetzelfde principe als filtering achteraf. Daarom gaan wij er verder niet expliciet op in. Nadat de filtering heeft plaatsgevonden worden de data per adverteerder en per soort leadclick geaggregeerd naar periodes, zoals per dag, per week, per maand en per jaar. Deze gegevens dienen als basis voor de rapportage over de gerealiseerde clicks die voldoen aan de ingestelde kwaliteitscriteria. De gegevens worden opgeslagen in de database met geaggregeerde data en dienen als basis voor de rapportage over de gerealiseerde leadclicks die voldoen aan de ingestelde kwaliteitscriteria.

2.5.3 Rapporteren gerealiseerde leadclicks Doelstelling proces

Het verzorgen van juiste, tijdige en volledige rapportages over de gerealiseerde leadclicks.

Procesbeschrijving

Met betrekking tot de rapportage van leadclicks wordt onderscheid gemaakt tussen rapportages voor intern gebruik en rapportages ten behoeve van de adverteerder (extern). De interne rapportages zijn specifiek ten behoeve van de exploitant en dienen veelal als basis voor het bedrag dat aan de adverteerders in rekening wordt gebracht. Dit proces wordt hier verder niet uitgewerkt, omdat dit buiten de scope van deze scriptie valt. De externe rapportages zijn gericht op de afzonderlijke adverteerder, waarbij de exploitant aan de adverteerder verantwoording aflegt over het aantal gerealiseerde clicks (statistieken). Ten behoeve van de rapportage over de gerealiseerde leadclicks wordt gebruik gemaakt van een rapportageapplicatie die gebruik maakt van de database met geaggregeerde data. De rapportage kan via een webapplicatie op internet beschikbaar worden gesteld aan de adverteerder, zodat deze de statistieken over de gerealiseerde leadclicks kan raadplegen. Het is ook mogelijk dat de exploitant rapportages uitdraait en (digitaal) verstuurt naar de adverteerder.

12/66




2.6

Informatiesystemen

De derde laag van het vierlagenmodel heeft betrekking op de informatiesystemen die de bedrijfsprocessen ondersteunen. Volgens O’Brien en Marakas (2008) produceert een dergelijk systeem voor operationele ondersteuning uiteenlopende informatieproducten voor intern en extern gebruik. De functie van systemen voor operationele ondersteuning van een bedrijf is het efficiënt verwerken van zakelijke transacties, het aansturen van bedrijfsprocessen en het ondersteunen van de communicatie en de samenwerking binnen het bedrijf en het actualiseren van bedrijfsdatabases. In deze scriptie wordt onder een informatiesysteem een systeem verstaan dat gegevens als invoer accepteert en deze verwerkt tot informatieproducten als uitvoer (O’Brien en Marakas 2008). Het informatiesysteem dat dient ter ondersteuning van de in hoofdstuk 2.5 genoemde bedrijfsprocessen wordt in deze scriptie aangeduid als de Backoffice. Binnen dit operationele informatiesysteem worden de volgende toepassingen onderkend:

de advertenties kunnen via webapplicatie 1 door de bezoekers worden opgevraagd en worden getoond. Tevens is in webapplicatie 1 code opgenomen die zorgt voor de registratie van de leadclicks; webapplicatie 2 die door de adverteerders via de website kan worden benaderd voor het opvragen van de statistieken; applicatie die gebruikt wordt ten behoeve van de aggregatie; applicatie die gebruikt wordt voor de filtering; applicatie die gebruikt wordt voor interne rapportagedoeleinden.

2.7

Technische infrastructuur

In het kader de bouwsteenbenadering van het vierlagenmodel bestaat de technische infrastructuur uit de volgende componenten (Christiaanse en Van Praat 2005): de verwerkingsapparatuur: de apparatuur die nodig is om de toepassingen te laten functioneren; de opslagapparatuur: de apparatuur die nodig is om de gegevensverzamelingen op te slaan; de communicatieverbindingen tussen verwerkingsapparatuur onderling en tussen verwerkingsapparatuur en opslagapparatuur. Met betrekking tot de geautomatiseerde verwerking van leadclicks onderkennen wij de volgende specifieke componenten uit de technische infrastructuur:

Verwerkingsapparatuur

Webserver ten behoeve van de advertentiesite; Applicatieserver(s) ten behoeve van de Backoffice-applicaties; Webapplicatieserver ten behoeve van de webapplicaties.

Opslagapparatuur

Databaseservers voor de volgende databases: o database met advertenties; o database met logdata; o database met gefilterde en geaggregeerde data;

Communicatieverbindingen (inclusief componenten)

Extern netwerk (internet) Intern netwerk (Local Area Network)

13/66




Om deze apparatuur en communicatieverbindingen met elkaar te laten samenwerken is programmatuur nodig. Het betreft hier de besturingsprogrammatuur waarbij weer een onderverdeling wordt gemaakt tussen: besturingsystemen; netwerkbesturingsystemen; databasemanagementsystemen; datacommunicatievoorzieningen. In figuur 2.3. is een overzicht weergegeven van een aantal componenten van de technische infrastructuur die kunnen worden onderscheiden bij de geautomatiseerde verwerking van leadclicks.

Figuur 2.3.: onderligggende technische infrastructuur met betrekking tot de geautomatiseerde verwerking van leadclicks

Zoals blijkt uit figuur 2.3. speelt de webserver een belangrijke rol. De webserver handelt de via het netwerk ontvangen aanvragen voor informatie af (http-verzoeken) en stuurt response naar de webbrowser van de bezoeker. De (web)applicatieserver verschaft programmatuur die instructies interpreteert en functies uitvoert tussen de webserver en de databases die zich bevinden op de databaseservers. Het netwerksegment dat zich tussen het interne netwerk en het externe netwerk (meestal internet) bevindt, met daarin de componenten voor externe communicatie, wordt aangeduid als een DMZ (demilitarized zone). Op het netwerksegment van de DMZ zijn meestal servers aangesloten die diensten verlenen die zowel vanuit het interne als het externe netwerk kunnen worden aangevraagd. De firewalls voorkomen dat ongewenst verkeer van het externe netwerk in het interne netwerk terechtkomt en andersom.

14/66




2.8 Samenhang processen, informatiesystemen en technische componenten In figuur 2.4 is een overzicht weergegeven van de in dit hoofdstuk genoemde processen in relatie tot de onderliggende informatiesystemen en technische componenten. Processen Registeren

Filteren & aggregeren

Rapporteren

Informatiesystemen Backoffice Webapplicatie 1

Applicatie tbv filtering

Webapplicatie 2 (externe rapportage)

Applicatie tbv aggregatie

Applicatie (interne rapportage)

Database advertenties

Database gefilterde data

Database logdata

Database geaggregeerde data

Webserver

Database geaggregeerde data

Technische componenten Webserver

(Web)applicatieservers Extern / Intern netwerk Databaseserver(s) PC bezoeker

PC bezoeker

Figuur 2.4 samenhang processen, informatiesystemen en technische componenten.

15/66




HOOFDSTUK 3 3.1

RISICO’S BIJ VERWERKING VAN LEADCLICKS

Inleiding

In dit hoofdstuk wordt antwoord gegeven op de onderzoeksvraag: welke risico’s zijn er te

onderkennen voor de geautomatiseerde verwerking van leadclicks?

Om antwoord te kunnen geven op deze onderzoeksvraag wordt gebruik gemaakt van de ‘Risk Management Guide for Information Technology Systems’ die is uitgegeven door het Amerikaanse ‘National Institute of Standards and Technology’ (NIST); en van de Code voor informatiebeveiliging van het Nederlands Normalisatie-instituut. Het begrip risico wordt gedefinieerd door NIST (2002) als “een functie van de kans op het optreden van een negatieve gebeurtenis en de hieruit voorvloeiende schade”. Risico’s zijn er

in vele categorieën, zoals strategische, financiële, imago-, milieu- en aansprakelijkheidsrisico’s (Fijneman et al. 2005). Deze risico’s worden in belangrijke mate beïnvloed door factoren buiten ons model. In onze risicoanalyse richten wij ons dan ook op de categorieën risico’s die betrekking hebben op de gekozen kwaliteitsaspecten: continuïteit, integriteit, vertrouwelijkheid en controleerbaarheid. Binnen de IT wordt ook vaak de onderverdeling gemaakt naar risico’s in de verschillende fasen van de levenscyclus van systemen (system development life cycle) (NIST 2002). Ons model richt zich op het beoordelen van een systeem in operationele fase, zodat wij bij het benoemen van de risico’s de andere fasen buiten scope laten. Voordat een systeem voor de geautomatiseerde verwerking van leadclicks gecertificeerd kan worden is het noodzakelijk dat de aanwezige risico’s door de organisatie worden beheerst. De beoordeling van de organisatie kan zich richten op: a) de wijze waarop de organisatie omgaat met risicomanagement; of b) de beheersingsmaatregelen die de organisatie heeft getroffen om de door de auditor onderkende risico’s voor een systeem voor geautomatiseerde verwerking van leadclicks te mitigeren. Voor de beoordeling hoe de organisatie omgaat met risicomanagement (punt a) kan gebruik worden gemaakt van het in de Code voor informatiebeveiliging opgenomen ‘Plan-Do-CheckAct’ (PDCA)-model (NEN 2005a). Uit dit model kunnen normen worden afgeleid voor het structureren van het proces rond een managementsysteem voor informatiebeveiliging. Het is een goed model om het cyclisch proces rond risicomanagement te structureren. Hiermee is namelijk continue aandacht voor actualiteit en kwaliteitsverbetering gewaarborgd. De beoordeling van het risicomanagement laten wij buiten beschouwing. Wij kiezen ervoor om zelf een risicoanalyse uit te voeren (punt b). Fijneman et al. (2005) maken onderscheid tussen kwalitatieve en kwantitatieve risicoanalyses. Bij een kwantitatieve analyse worden de risico’s uitgedrukt in concrete cijfers, bij een kwalitatieve analyse is het risico meer abstract en relatief, bijvoorbeeld hoog, midden of laag. Een kwantitatieve analyse is alleen mogelijk voor een specifiek object, waarbij kwantitatieve gegevens beschikbaar zijn. In een model zijn zulke specifieke gegevens niet beschikbaar. Daarom zal voor ons model gebruik worden gemaakt van een kwalitatieve risicoanalyse. Deze risicoanalyse richt zich op de objecten in een systeem voor de verwerking van leadclicks, die in hoofdstuk 2 naar voren zijn gekomen. Wij richten ons hierbij alleen op die risico’s, die specifiek zijn voor het systeem voor de geautomatiseerde verwerking van leadclicks. De exploitant dient uiteraard wel de algemene risico’s die samenhangen met de (internet)omgeving mee te nemen binnen het risicomanagement.

16/66




Het door ons gehanteerde model om de aanwezige risico’s te beoordelen zal verder worden beschreven in paragraaf 3.2. Wij voeren in dit hoofdstuk een risicoanalyse uit, waarbij we uitgaan van het algemene concept van een systeem voor de verwerking van leadclicks. Als een auditor ons model gaat toepassen in een praktijksituatie, zal hij onze risicoanalyse moeten valideren. Bovendien moet hij vaststellen of er in die specifieke situatie nog sprake is van aanvullende risico’s.

3.2

Model voor risicobeoordeling

Voor de uitvoering van de risicobeoordeling zal gebruik worden gemaakt van het model voor risicobeoordeling zoals deze is opgenomen in de door het NIST uitgegeven ‘Risk Management Guide for Information Technology Stystems’. Met betrekking tot de risicobeoordeling onderkent NIST (2002) de volgende negen stappen: • • • • • • • • •

Stap Stap Stap Stap Stap Stap Stap Stap Stap

1: Systeembeschrijving 2: Identificatie van bedreigingen 3: Identificatie van kwetsbaarheden 4: Analyse van beheersingsmaatregelen 5: Bepalen van de kans 6: Impactanalyse 7: Bepalen van het risico 8: Aanbevelingen voor beheersing 9: Documenteren van de resultaten.

Voor stap 1 (systeembeschrijving) wordt verwezen naar hoofdstuk 2 waarin een beschrijving is opgenomen van het systeem voor de geautomatiseerde verwerking van leadclicks. De stappen 2 (identificatie van bedreigingen) en 3 (identificatie van kwetsbaarheden) dragen bij aan het inventariseren van de risico’s die onderkend kunnen worden bij de geautomatiseerde verwerking van leadclicks. Deze stappen zijn opgenomen in paragraaf 3.3. In hoofdstuk 4 zal stap 4 (analyse van beheersingsmaatregelen) aan de orde komen. Bij stap 5 (bepalen van de kans) wordt in een praktijksituatie rekening gehouden met de reeds aanwezige beheersingsmaatregelen die zijn geïnventariseerd bij stap 4 (analyse van beheersingsmaatregelen). Aangezien wij een theoretische situatie behandelen, kunnen wij de kans niet bepalen. Deze stap zal daarom niet verder worden behandeld. Ook de overige stappen (vanaf stap 6) zullen in deze scriptie niet worden behandeld, omdat deze van toepassing zijn op onderzoek in de praktijk. Stap 7 bij NIST is “Bepalen van het risico”. NIST verstaat hier onder “risico” het uiteindelijke risico dat bestaat door de combinatie van een dreigingsbron en een kwetsbaarheid, gegeven de kans dat de kwetsbaarheid geëxploiteerd wordt, de impact van eventuele exploitatie en de adquaatheid van de getroffen maatregelen. In de Nederlandse auditpraktijk is gebruikelijk de term “risico’s” te gebruiken, waar in de terminologie van NIST “kwetsbaarheden” gebruikt zou moeten worden. Wij kiezen ervoor om in dit verband te spreken van “risico’s”.

3.3

Risico’s bij verwerking van leadclicks

Stap 2 van de risicobeoordeling gaat over identificatie van bedreigingen. De uitkomst van deze stap is een overzicht van bedreigingsbronnen die kwetsbaarheden van het systeem kunnen benutten. NIST (2002) onderscheidt hierbij de volgende bronnen van bedreigingen: a) natuurlijke bedreigingen (overstromingen, storm, aardbevingen e.d.);

17/66




b) menselijke bedreigingen: opzettelijke bedreigingen (zoals hacking, fraude, malware e.d.); niet opzettelijke bedreigingen (bijvoorbeeld onoplettendheid van mensen); en c) bedreigingen uit de omgeving (zoals langdurige stroomuitval, chemicaliën en waterlekkage). De natuurlijke bedreigingen (a) en de bedreigingen uit de omgeving (c) zijn niet specifiek voor de objecten die kunnen worden onderscheiden bij de verwerking van leadclicks, en worden dus verder niet behandeld. In de tabel 3.1 is een overzicht weergegeven van menselijke bedreigingen met hun motivatie en mogelijke acties met betrekking tot de geautomatiseerde verwerking van leadclicks. Tabel 3.1. overzicht menselijke bedreigingen.

dreigingsbron insider exploitant insider adverteerder insider (voormalig) personeel of relatie van adverteerder concurrenten hacker insider exploitant

motivatie Geld Geld wraak, ego, sabotage

dreigingsactie fraude (ophogen tellers) fraude (verlagen tellers) fraude

spionage / concurrentievoordeel ego, uitdaging, opstandigheid menselijke fout

ongeautoriseerde toegang/ clickgeneratie clickgeneratie programmeerfout of fout in uitvoering proces

De volgende stap in de risicobeoordeling volgens NIST (2002) is de identificatie van kwetsbaarheden. De uitkomst van deze stap is een overzicht van kwetsbaarheden, die benut zouden kunnen worden door potentiële dreigingsbronnen. Ten aanzien van de processen en objecten, die beschreven zijn in hoofdstuk 2, hebben wij door middel van risicoanalyse risico’s benoemd die het bereiken van de doelstellingen kunnen verhinderen.

3.3.1 Risico’s registratie van leadclicks De beheersdoelstelling van het proces voor het registreren van leadclicks is het juist, tijdig en volledig registreren van de op de site gegenereerde leadclicks. Met betrekking tot de realisatie van deze doelstelling worden op basis van de door ons uitgevoerde risicoanalyse de hierna genoemde risico’s onderkend.

Processtap 1: tonen van de webpagina met de advertentie

In deze processtap is het risico aanwezig van het tonen van de onjuiste advertentie. Dit risico valt echter buiten de leadclickregistratie en het wordt dus verder niet meegenomen.

Processtap 2: klikken op de advertentie

De gegevens die voor de registratie van een leadclick worden vastgelegd worden verstuurd over internet. Zonder maatregelen is dit een onveilig medium. Het risico is dat de gegevens onderweg worden verminkt.

Processtap 3: vastleggen van de clickgegevens

Bij het ontwikkelen van websites en internetadvertenties wordt vaak gebruik gemaakt van programmeertalen en hulpmiddelen als JavaScript en Flash. Om deze code uit te voeren is bepaalde ondersteuning vereist op de computer van de bezoeker. Als deze ondersteuning niet is geïnstalleerd, kan de code niet worden uitgevoerd. Het niet-installeren kan een bewuste of onbewuste keuze van de bezoeker of zijn netwerkbeheerder zijn. Als het registreren van de click gebruik maakt van code die ondersteuning op de client-computer nodig heeft, bestaat het risico dat als gevolg van het ontbreken van deze ondersteuning er geen registratie van de leadclick kan plaatsvinden.

18/66




Om de gerealiseerde leadclicks te kunnen verwerken dient het geautomatiseerde systeem van leadclickregistratie continu beschikbaar te zijn. In geval één of meer van de in hoofdstuk 2 beschreven objecten niet beschikbaar zijn bestaat het risico dat de registratie van de click niet of slechts gedeeltelijk kan plaatsvinden en dat hierdoor de registratie niet juist, tijdig en volledig is. De uiteindelijke rapportage geeft dan niet het werkelijke aantal gerealiseerde clicks met de juiste informatie weer. Bovendien is de opbrengst voor de exploitant meestal gekoppeld aan het aantal clicks. Bij een onvolledige registratie loopt hij in dat geval opbrengsten mis. Een site op internet is wereldwijd bereikbaar. Dit betekent dat bezoekers uit verschillende tijdzones kunnen komen. Als gevolg hiervan kan de tijdsregistratie plaatsvinden in verschillende tijdszones. Zo kunnen clicks die op het zelfde moment worden geregistreerd op verschillende tijden worden vastgelegd. Als geen rekening wordt gehouden met de verschillende tijdzones kunnen, bij de rapportage, bezoeken aan de verkeerde periode worden toegerekend. De vastlegging van de clicks gebeurt (over het algemeen) door per click een regel toe te voegen aan een (log-)bestand. Het is gebruikelijk logbestanden bij het bereiken van een bepaalde grootte of na een bepaalde duur op te schonen. Als dit gebeurt, vóórdat de gegevens verwerkt zijn in de aggregatie, missen er clicks in de geaggregeerde gegevens. Hierdoor kan de rapportage niet meer het werkelijke aantal gerealiseerde leadclicks weergeven. Daarnaast kan achteraf niet meer worden gecontroleerd of de input ten behoeve van de aggregatie juist en volledig is geweest. Als het logbestand niet goed is afgeschermd, kan dit bestand ongeautoriseerd worden gewijzigd. Bijvoorbeeld de exploitant zou de telling kunnen verhogen om zijn inkomsten te verhogen, of de adverteerder zou de telling kunnen verlagen om zijn kosten te verlagen. Samenvattend kunnen met betrekking tot het registreren van leadclicks de volgende risico’s worden onderkend. Achter de risico’s zijn tevens de van toepassing zijnde kwaliteitsaspecten vermeld en een verwijzing naar het overzicht van alle risico’s in tabel 4.1.

Een click wordt niet, of niet juist/tijdig/volledig geregistreerd. (integriteit en controleerbaarheid) (1) Het niet kunnen tellen van bezoekers door niet-beschikbaarheid van (delen van) het systeem. (continuïteit en integriteit) (2) Het niet-tellen van een bezoeker, omdat zijn computer (een deel van) de applicatie niet kan uitvoeren. (continuïteit en integriteit) (3) Aantasting van de integriteit van het internetverkeer. (integriteit) (4) Het toerekenen van bezoeken aan de onjuiste periode.(integriteit) (5) Het te vroeg opschonen van het logbestand. (integriteit en controleerbaarheid) (6) Het ongeautoriseerd wijzigen van het logbestand en/of andere telbestanden. (integriteit, vertrouwelijkheid en controleerbaarheid) (12)

3.3.2 Risico’s filtering en aggregatie van leadclicks De beheersdoelstelling van het proces voor het filteren en aggregeren van leadclicks is het filteren van de gelogde data op ongeldige clicks en het juist, tijdig en volledig aggregeren van de gefilterde data. Met betrekking tot de realisatie van deze doelstelling worden op basis van de door ons uitgevoerde risicoanalyse de hierna genoemde risico’s onderkend.

Procestrigger: jobscheduler

Het filteren aggregatieproces zal op vastgestelde tijden worden gestart, bijvoorbeeld dagelijks. Het starten gebeurt handmatig of met behulp van een zogenaamde jobscheduler.

19/66




Bij het opstarten moeten parameters worden meegegeven, zoals de te verwerken periode en de plaats van de in te lezen bestanden. Als hierin fouten worden gemaakt, bijvoorbeeld dat een periode niet of dubbel verwerkt wordt, of dat een verkeerd bestand wordt ingelezen, zijn de gegevens in de database met gefilterde en geaggregeerde data niet meer juist en volledig.

Processtap 1: inlezen gelogde gegevens

In het filteren aggegatieproces wordt gebruik gemaakt van de gegevens in het logbestand. Het bij het registratieproces beschreven risico, dat de logging te vroeg geschoond wordt, is dus ook hier aanwezig.

Processtap 2: filteren

Adverteerders zijn alleen bereid om te betalen voor werkelijk gerealiseerde clicks en kwalitatief goede clicks die waarde hebben voor de adverteerder. Er kunnen echter clicks komen van allerlei bronnen, die geen waarde hebben voor de adverteerder. Dit noemen wij “ongeldige clicks”. Onder ongeldige clicks verstaan wij: geautomatiseerde clicks (robot, clickgenerator): om allerlei redenen kunnen mensen dit soort programmatuur maken en activeren, zoals geld, wraak, ego, sabotage, spionage, uitdaging en opstandigheid; clicks van onethische gebruikers: hierbij gaat het om dezelfde redenen als bij het vorige punt, maar dan niet geautomatiseerd; clicks direct of indirect afkomstig van de exploitant met als doel het oneigenlijk ophogen van de teller; een bepaald aantal clicks van één gebruiker binnen een vastgestelde periode: als een bezoeker heen en weer surft kan zijn bezoek diverse malen worden vastgelegd; clicks bij bijzonder ongebruikelijk gedrag van een bezoeker (in bepaalde gevallen); clicks met vaste intervaltijd van een gebruiker: dit duidt op geautomatiseerd klikken; andere verdachte activiteiten: ter definitie van exploitant en adverteerder. Het klikken op advertenties door interne gebruikers van de site-beheerder en eigenaar kan nodig zijn voor bijvoorbeeld het testen van de applicatie. Dit heet intern verkeer. Deze clicks komen niet van bezoekers van de website. Daarom moeten ze niet meetellen bij het bepalen van het aantal clicks op de advertentie.

Processtap 3: aggregeren

In de applicatie worden de gegevens geaggregeerd naar periode. Ook hier moet dus (net als beschreven bij het registratieproces) rekening worden gehouden met de verschillende tijdzones. Als bij aggregatie gebruik gemaakt wordt van bijvoorbeeld modellering of extrapolatie van gegevens (de meting van een bepaalde periode wordt geëxtrapoleerd naar een langere periode), of andere procedures om gegevens aan te passen tijdens het verwerkingsproces, bestaat het risico dat de uitkomst van de telling niet het werkelijke aantal clicks weergeeft.

Voor het gehele proces geldt:

In dit proces wordt gebruik gemaakt van het logbestand, tussenbestanden en van het bestand met geaggregeerde gegevens. Als deze bestanden niet goed zijn afgeschermd, kunnen deze ongeautoriseerd worden gewijzigd. Samenvattend kunnen met betrekking tot het filteren en aggregeren van leadclicks de volgende risico’s worden onderkend. Achter de risico’s zijn tevens de van toepassing zijnde kwaliteitsaspecten vermeld en een verwijzing naar het overzicht van alle risico’s in tabel 4.1.

Foutief verwerken. (integriteit en vertrouwelijkheid) (7) Het te vroeg opschonen van het logbestand. (integriteit en controleerbaarheid) (6) Het toerekenen van bezoeken aan de onjuiste periode. (integriteit) (5) Het meetellen van ongeldige clicks. (integriteit) (8) Het meetellen van intern verkeer. (integriteit) (9)

20/66




Het onjuist extrapoleren of anderszins bewerken van meetgegevens. (integriteit) (11) Het ongeautoriseerd wijzigen van het logbestand en/of andere telbestanden. (integriteit, vertrouwelijkheid en controleerbaarheid) (12)

3.3.3 Risico’s rapportage gerealiseerde clicks De beheersdoelstelling van het rapportageproces is het verzorgen van juiste, tijdige en volledige rapportages over de gerealiseerde leadclicks. Met betrekking tot de realisatie van deze doelstelling worden op basis van de door ons uitgevoerde risicoanalyse de hierna genoemde risico’s onderkend. Het rapporteren kan zowel schriftelijk, als door het toegankelijk maken van de informatie via internet. Wij gaan hier uit van deze laatste mogelijkheid.

Procestrigger: opvragen rapportage

De adverteerder kan na inloggen informatie opvragen uit de database met geaggregeerde loggegevens.

Processtap 1: weergeven rapportage

Dit betreft vertrouwelijke informatie. Een bedrijf zal niet willen dat zijn concurrent weet wat het bereik van een advertentie is. Als het verzenden van deze gegevens via internet onbeveiligd plaatsvindt, bestaat het risico dat vertrouwelijke informatie (informatie uit de database, toegangsinformatie) ter beschikking komt van onbevoegden. De database met geaggregeerde gegevens is ook de basis voor de te factureren bedragen. Het risico is dat de database ongeautoriseerd gewijzigd wordt, met onjuiste facturering als gevolg. Samenvattend kunnen met betrekking tot de rapportage de volgende risico’s worden onderkend. Achter de risico’s zijn tevens de van toepassing zijnde kwaliteitsaspecten vermeld en een verwijzing naar het overzicht van alle risico’s in tabel 4.1.

Aantasting van de integriteit van het internetverkeer. (integriteit) (4) Onbevoegden hebben inzage in vertrouwelijke gegevens. (vertrouwelijkheid) (10) Het ongeautoriseerd wijzigen van het logbestand en/of andere telbestanden. (integriteit, vertrouwelijkheid en controleerbaarheid) (12)

21/66




HOOFDSTUK 4 4.1

NORMEN

Inleiding

In dit hoofdstuk wordt antwoord gegeven op de onderzoeksvraag: welke normen zijn te

formuleren voor het beoordelen van de geautomatiseerde verwerking van leadclicks?

Normen zijn vaak afgeleid van een algemeen aanvaarde standaard, die in overleg met de opdrachtgever is toegespitst op de situatie. In een standaard zijn beheersdoelstellingen geformuleerd, die kunnen worden gezien als norm op een hoog niveau. Deze worden specifiek gemaakt tot beheersingsmaatregelen. Ook deze zijn nog niet gedetailleerd. Er kan op verschillende manieren worden voldaan aan de norm, en het is aan de organisatie om daarin een keuze te maken. De meeste in deze scriptie opgenomen beheersingsmaatregelen zijn ontleend aan de algemeen aanvaarde standaard “Code voor informatiebeveiliging” (NEN 2005a), de “IAB Audience Reach Measurement Guidelines” (IAB 2008) en de “IAB Click Measurement Guidelines” (IAB 2009b). Bij de in dit hoofdstuk geformuleerde beheersdoelstellingen wordt ervan uitgegaan dat er sprake is van “behoorlijk IT-gebruik”. Op dat niveau wordt verondersteld dat ook de afdoende maatregelen zijn getroffen inzake: logische toegangsbeveiliging (uitsluitend door daartoe geautoriseerde personen en/of applicaties); wijzigingsbeheer (ten aanzien van de web- en backoffice-applicaties); continuïteit (back-up en uitwijk); de beveiliging voor een internetomgeving.

4.2

Code voor informatiebeveiliging

De Code voor informatiebeveiliging (NEN 2005a, hierna te noemen: Code) vermeldt zelf dat het de status heeft van Nederlandse norm. De Code is de vertaling van de internationale norm ISO/IEC 27001:2005. De internationale norm is afkomstig van de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) die zijn gespecialiseerd in wereldwijde normalisatie. De Code is niet speciaal voor auditors opgesteld. Zo kunnen organisaties de Code ook gebruiken bij ontwerp en beheer van informatiesystemen. Wij zien de Code als richtlijn, waar normen van kunnen worden afgeleid. De Code hanteert een procesbenadering voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van het managementsysteem voor informatiebeveiliging van een organisatie. Een groot deel van de Code beschrijft dan ook hoe een organisatie het proces in moet richten. In bijlage A van de Code zijn alle beheersdoelstellingen en beheersingsmaatregelen weergegeven. Deel 2 van de Code (NENISO/IEC 17799, sinds 2007 ook wel ISO/IEC 27002 genaamd) (NEN 2005b) sluit hierop aan. Hierin worden meer in detail beveiligingsbeheersingsmaatregelen beschreven.

22/66




4.3

IAB Guidelines

Het Interactive Advertising Bureau (IAB) is een internationale organisatie met afdelingen in vele landen, waaronder Nederland (IAB 2009a). Het heeft een hoofdkantoor in New York en is opgericht in 1996. Een belangrijke doelstelling van het IAB is het brengen van helderheid in het tellen van het bereik. Een van de activiteiten is het uitbrengen van standaarden en richtlijnen met betrekking tot online adverteren. In december 2008 is de eerste (“draft”-) versie van de “Audience Reach Measurement Guidelines” uitgebracht, en in februari 2009 de eerste versie van de “Click Measurement Guidelines”. Aan de totstandkoming van beide documenten hebben veel bedrijven meegewerkt, waaronder Media Rating Council (Amerikaanse equivalent van het Nederlandse HOI – Het Oplage Instituut), grote adverteerders, grote spelers op internet (AOL, CNN.com, Google, Microsoft) en drie van de ‘Big Four’-accountantskantoren. Op beide publicaties is feedback gevraagd van uitgevers en adverteerders. Er is geen feedback gevraagd van auditors. Dat is dan ook onze feedback: het auditorsperspectief is beperkt meegenomen. Het opnemen van een duidelijke omschrijving van de scope en een normenkader zou de bruikbaarheid verhogen. In de Guidelines zijn beheersingsmaatregelen opgenomen voor risico’s die samenhangen met online adverteren.

4.4

Beheersdoelstellingen en beheersingsmaatregelen

4.4.1 Inleiding Wij geven nu een overzicht van de onderdelen van de Code voor informatiebeveiliging (NEN 2005a) en de beide IAB Guidelines (IAB 2008 en 2009b) die relevant zijn voor het door ons in hoofdstuk 2 beschreven systeem voor de geautomatiseerde verwerking van leadclicks. Met behulp van de Code voor informatiebeveiliging en de IAB Guidelines is nagegaan in hoeverre er maatregelen zijn die verband houden met de door ons onderkende risico’s zoals deze per proces zijn beschreven in hoofdstuk 3. Een aantal risico’s kan zowel voorkomen bij het ene proces als bij het andere proces.

4.4.2 Samenvatting risico’s met betrekking tot de geautomatiseerde verwerking van leadclicks In tabel 4.1 is een samenvatting opgenomen van de door ons onderkende risico’s met betrekking tot de geautomatiseerde verwerking van leadclicks. Met betrekking tot deze risico’s is in de hierboven genoemde Code en richtlijnen nagegaan in hoeverre er maatregelen aanwezig zijn met betrekking tot deze risico’s. Tabel 4.1 samenvatting risico’s 1. Een click wordt niet, of niet juist/tijdig/volledig geregistreerd. (integriteit en controleerbaarheid). 2. Het niet kunnen tellen van bezoekers door niet-beschikbaarheid van (delen van) het systeem. (continuïteit en integriteit) 3. Het niet-tellen van een bezoeker, omdat zijn computer (een deel van) de applicatie niet kan uitvoeren. (continuïteit en integriteit) 4. Aantasting van de integriteit van het internetverkeer. (integriteit) 5. Het toerekenen van bezoeken aan de onjuiste periode. (integriteit) 6. Het te vroeg opschonen van het logbestand. (integriteit en controleerbaarheid) 7. Foutief verwerken. (integriteit en vertrouwelijkheid) 8. Het meetellen van ongeldige clicks. (integriteit) 9. Het meetellen van intern verkeer. (integriteit) 10. Onbevoegden hebben inzage in vertrouwelijke gegevens. (vertrouwelijkheid) 11. Het onjuist extrapoleren of anderszins bewerken van meetgegevens. (integriteit) 12. Het ongeautoriseerd wijzigen van het logbestand en/of andere telbestanden. (integriteit, vertrouwelijkheid en controleerbaarheid)

23/66




4.4.3 Specifieke beheersdoelstellingen en beheersingsmaatregelen Als controle op de maatregelen adviseert IAB certificering van systemen voor het meten van clicks. Dit zou minimaal jaarlijks moeten plaatsvinden, en bij belangrijke wijzigingen. Auditing moet plaatsvinden van de telmethodes, de processen en beheersingsmaatregelen en de filterprocedures. (IAB 2008, pagina 24/25, 2009b, pagina 17). Verder zouden exploitanten een “Beschrijving van gebruikte methodes” (Description of Methodology, DOM) aan afnemers beschikbaar moeten stellen, met een beschrijving van de scope van de audit, de meetmethode, de filtermethode, en de wijze van rapporteren (IAB 2009b, pagina 19, en 24 en verder). Risico 1: Een click wordt niet, of niet juist/tijdig/volledig geregistreerd. Risico 7: Foutief verwerken. Met betrekking tot de risico’s 1 en 7 zijn door ons de beheersdoelstellingen onderkend:

volgende

relevante

Code

bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen (NEN 2005a, A.12.1 Beveiligingseisen voor informatiesystemen); voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen (NEN 2005a, A.12.2 Correcte verwerking in toepassingen); voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen (NEN 2005a, A.15.1 Naleving van wettelijke eisen); bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie (NEN 2005a, A.15.2 Naleving van

beveiligingsbeleid en -normen, en technische naleving).

IAB Guidelines

als bij de verwerking wijzigingen aan de vastgelegde gegevens plaatsvinden, moeten deze wijzigingen worden gedocumenteerd, en er moet zorg worden betracht om het meetproces niet te verstoren. Als gegevens worden verwerkt, die betrekking hebben op meerdere websites, moet dit op beheerste wijze gebeuren (IAB 2008, pagina 19); er vindt controle plaats of het aantal gerapporteerde geldige clicks kleiner dan, of gelijk aan, het aantal gemeten clicks is; als ook gemeten wordt bij de adverteerder vindt controle plaats of het aantal ontvangen clicks bij de adverteerder kleiner dan, of gelijk aan, het aantal ongefilterde clicks is (IAB 2009b, pagina 5 en 16).

Verder dient volgens ons

het verwerkingsproces zoveel mogelijk geautomatiseerd plaats te vinden, met waar mogelijk geautomatiseerde controles. Handmatige verwerking vindt plaats volgens vastgestelde procedures.

Risico 2: Het niet kunnen tellen van bezoekers door niet-beschikbaarheid van (delen van) het systeem. Risico 3: Het niet-tellen van een bezoeker, omdat zijn computer (een deel van) de applicatie niet kan uitvoeren. De risico’s 2 en 3 hebben betrekking op de beschikbaarheid van informatiesystemen. Met betrekking tot de beschikbaarheid zijn door ons de volgende relevante beheersdoelstellingen onderkend:

24/66




Code

het risico van systeemstoringen tot een minimum beperken (NEN 2005a, A.10.3 systeemplannen- en acceptatie); het onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen (NEN 2005a, A.14.1 informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer).

Verder gaat het volgens ons

bij risico 3 in feite om het niet-beschikbaarheid zijn van programmatuur op de computer van de bezoeker. Het is mogelijk in de webapplicatie te controleren op de aanwezigheid van de ondersteunende programmatuur, en bij afwezigheid vervangende programmatuur in de webapplicatie toe te voegen. Inmiddels is het gebruik van JavaScript en Flash wijd verbreid (zie bijlage 1), dus het gaat hier om een laag risico. De exploitant kan besluiten dit risico te accepteren. Bij gebruik van andere ondersteunende programmatuur moet de exploitant het risico afwegen, dat het onderdeel niet kan worden uitgevoerd op de computer van de bezoeker.

Risico 4: Aantasting van de integriteit van het internetverkeer. Voor het risico 4 zijn door ons de volgende beheersdoelstellingen onderkend:

Code:

bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur (NEN 2005a, A.10.6 beheer van netwerkbeveiliging); het handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit (NEN 2005a, A.10.8 Uitwisseling van informatie).

Verder is er volgens ons:

binnen het registratrieproces sprake van sprake van niet-vertrouwelijke gegevens, derhalve zou de exploitant kunnen besluiten om het risico te accepteren. Binnen het rapportageproces gaat het daarentegen wel om vertrouwelijke gegevens, waarbij passende maatregelen vereist zijn.

Risico 5: Het toerekenen van bezoeken aan de onjuiste periode. Met betrekking tot risico 5 zijn door ons de volgende beheersdoelstellingen onderkend:

Code

voor risico’s met betrekking tot tijdgebonden registraties geeft de Code aan dat de klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron (NEN 2005a, A.10.10.6 synchronisatie van systeemklokken).

IAB Guidelines

stelt dat in verband met het rapporteren over afgebakende periodes de vastlegging van datum en tijd noodzakelijk is (IAB 2008, pagina 17). bij rapportage moet de gebruikte tijdzone bekend worden gemaakt (IAB 2009b, pagina 18).

Risico 6: Het te vroeg opschonen van het logbestand. Met betrekking tot risico 6 zijn door ons de volgende relevante beheersdoelstellingen onderkend:

25/66




Code

belangrijke registraties moeten worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen (NEN 2005a, A.15.1.3 bescherming van bedrijfsdocumenten); activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen moeten worden vastgelegd in audit-logbestanden (NEN 2005a, A.10.10.1 aanmaken van audit-logbestanden). Hoewel deze beheersingsmaatregel meer is gericht op controle en ontdekken van onbevoegde informatieverwerkingsactiviteiten is deze wel bruikbaar, omdat logbestanden gedurende een overeengekomen periode moeten worden bewaard, ten behoeve van toekomstig onderzoek en om toegangscontrole te kunnen toepassen.

IAB Guidelines

vastleggingen moeten worden bewaard voor een redelijke periode, bij voorkeur minimaal twaalf meetperioden, of voor de wettelijk toegestane termijn. Verder schrijft IAB dat geschikte gegevensopslag moet plaatsvinden (IAB 2008, pagina 19); de exploitant moet in overleg met belanghebbenden de periode vaststellen waarin detailgegevens worden bewaard. Dit om de volgende gegevens te kunnen opleveren: (1) dat transacties daadwerkelijk hebben plaatsgevonden, (2) om te kunnen vaststellen om welke bezoeker, advertentie en adverteerder het gaat, en (3) om te kunnen vaststellen dat de click uniek was. Na deze periode kunnen de gegevens worden geanonimiseerd (IAB 2009b, pagina 16).

Risico 8: Het meetellen van ongeldige clicks. Risico 9: Het meetellen van intern verkeer. De belangrijkste risico’s in een systeem voor de geautomatiseerde verwerking van leadclicks hebben betrekking ongeldige clicks. Het kan hier gaan om opzettelijke handelen zoals klikfraude of om onopzettelijk handelen als gevolg van onoplettendheid. Met betrekking tot deze risico’s worden door ons de volgende beheersdoelstellingen onderkend:

Code

gegevens die worden ingevoerd in toepassingen moeten worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn (NEN 2005a, A.12.2.1 validatie van invoergegevens); er moeten validatiecontroles worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken (NEN 2005a, A.12.2.2 beheersing van interne gegevensverwerking).

IAB Guidelines

Een click is alleen geldig als één van de volgende twee telmethodes is gebruikt (IAB 2009b, pagina 6/7): één click per vertoning van de advertentie; of meer clicks per vertoning van de advertentie, waarbij de exploitant bekend maakt hoeveel tijd tussen de clicks moet zitten om meer clicks per vertoning als geldig te tellen. Naast bovenstaande moet aan de volgende twee voorwaarden zijn voldaan (IAB 2009b, pagina 6/7): de tijd tussen het vertonen van de advertentie en de click is kleiner dan een door de exploitant bekend gemaakte tijdsinterval; en de click is geïnitieerd, doorgestuurd naar informatie over, of de site van de adverteerder,

en gefilterd.

Filtering moet gericht zijn op het identificeren en uitsluiten van materiële ongeldige clickactiviteit (IAB 2009b, pagina 12): passende vastleggingen moeten worden onderhouden, met daarin identificerende gegevens die nodig zijn voor het filteren (bijvoorbeeld http-headerinformatie, IP-adres, datum/tijd e.d.).

26/66




Verder beschrijft IAB verschillende methoden waarmee kan worden vastgesteld welk verkeer aan één bezoek is toe te rekenen, zoals unieke cookies, unieke browser, unieke gebruikers of via registratietechnieken (IAB 2008, pagina 17, pagina 11 en verder); een browser of gebruiker moet eenmalig worden geteld, ook al zijn er meer bezoeken binnen de verslagperiode. Als er gebruik wordt gemaakt van registratie van gebruikers (met uitgifte van ID’s) moet de organisatie inspanningen verrichten om problemen als het gebruik van meerdere ID’s door één gebruiker of het gebruik van één ID door meerdere gebruikers te vermijden. De methodes die worden gebruikt om unieke bezoeken te bepalen moeten bekend worden gemaakt aan de afnemers van de meetinformatie (IAB 2008, pagina 18); materieel intern verkeer, dat kwalitatief niet gelijk is aan niet-intern verkeer, moet verwijderd worden; hieronder valt ook materieel “test”-verkeer gegenereerd door de adverteerder, waarbij het de verantwoordelijkheid van de adverteerder is deze activiteiten aan te melden (IAB 2009b, pagina 14); filtering op data moet plaatsvinden. De gelogde data wordt hierbij als volgt gefilterd (IAB 2008, pagina 21, 2009b, pagina 12): 1. filtering gebaseerd op specifiek geïdentificeerde of verdachte niet-menselijke activiteiten; 2. filtering gebaseerd op de (overige) activiteiten die hebben plaatsgevonden; 3. filtering volgens interne richtlijnen van de exploitant. De tweede filtering vindt plaats op basis van de activiteiten. Dit om nog mogelijk verdachte robotactiviteiten te identificeren en om verdachte ongeldige activiteiten te elimineren. Om filtering op basis van activiteiten uit te voeren dienen één of meerdere analyses plaats te vinden. Er kan een analyse plaatsvinden op: veel opeenvolgende activiteiten, zoals een bepaald aantal clicks in een bepaald tijdsbestek per gebruiker; uitschieters ten opzichte van normale clickpatronen; interne gerealiseerde clicks door exploitant; andere verdachte activiteiten. Volgens het IAB moeten exploitanten hun filtermethodes bekend maken aan adverteerders, zodanig dat adverteerders de methodes goed begrijpen, maar dat de beveiliging van het filtersysteem niet in gevaar komt (IAB 2009b, pagina 15). IAB geeft ook aan dat exploitanten periodiek hun filtercriteria moeten beoordelen, om ervoor te zorgen dat bescherming zo goed mogelijk plaatsvindt, maar met minimaal verlies van registraties van echte bezoekers; en dat zij hun filterprocedures actueel moeten houden (IAB 2009b, pagina 15/16).

Risico 10: Onbevoegden hebben inzage in vertrouwelijke gegevens. Risico 10 heeft betrekking op toegangsbeveiliging. Met betrekking tot dit aspect hebben wij de volgende beheersdoelstelling onderkend:

Code

toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt overeenkomstig het vastgestelde toegangsbeleid (NEN 2005a, A.11.6.1 beperking van toegang tot informatie). Uiteraard moeten ook andere maatregelen worden genomen om vertrouwelijkheid te beschermen, maar deze zijn niet specifiek voor een systeem voor verwerking van leadclicks. Ze zullen daarom hier niet worden behandeld.

Risico 11: Het onjuist extrapoleren of anderszins bewerken van meetgegevens. Met betrekking tot risico 11 wordt de volgende beheersingsmaatregel onderkend:

27/66




IAB Guidelines

de organisatie moet adequaat empirisch bewijs hebben voor de gebruikte techniek. Dit bewijs en de technieken moeten worden geaudit, en moeten voor dat doel bewaard en beschikbaar blijven (IAB 2008, pagina 20).

Risico 12: Het ongeautoriseerd wijzigen van het logbestand en/of andere telbestanden. Voor het laatste risico onderkennen wij de volgende beheersingsmaatregelen:

Code

bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen (NEN 2005a, A.12.1 Beveiligingseisen voor informatiesystemen); voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen (NEN 2005a, A.12.2 Correcte verwerking in toepassingen); voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen (NEN 2005a, A15.1 Naleving van wettelijke eisen); bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie (NEN 2005a, A.15.2 Naleving van

beveiligingsbeleid en -normen, en technische naleving).

Voortkomend uit dit hoofdstuk hebben wij een normenkader geformuleerd, dat is opgenomen in bijlage 4. De hierin opgenomen normen moeten bij een audit specifiek gemaakt worden voor de betreffende organisatie.

28/66




HOOFDSTUK 5 5.1

CERTIFICERING EN RANDVOORWAARDEN

Inleiding

In dit hoofdstuk wordt antwoord gegeven op de onderzoeksvraag:wat is certificering en wat

zijn de hierbij behorende randvoorwaarden?

Met betrekking tot de geautomatiseerde verwerking van leadclicks is de exploitant primair verantwoordelijk voor de betrouwbare registratie van leadclicks. De adverteerder heeft er belang bij dat zijn advertentie aan zoveel mogelijk bezoekers wordt getoond, maar zal uiteindelijk alleen bereid te zijn om te betalen voor kwalitatief goede clicks die waarde hebben voor de adverteerder. Vanuit dit oogpunt is het logisch dat adverteerders graag zekerheid willen hebben dat er inderdaad sprake is van een betrouwbare registratie van leadclicks en dat uiteindelijk alleen kwalitatief goede clicks door de exploitant in rekening worden gebracht. Om het kwaliteitsniveau vooraf aan de adverteerders aan te tonen kan het systeem voor de geautomatiseerde verwerking van leadclicks worden beoordeeld. Hiertoe kan een onafhankelijke IT-auditor worden ingezet die de kwaliteit van het geautomatiseerde systeem beoordeelt en op basis hiervan een mededeling doet ten behoeve van (potentiële) adverteerders. De mededeling kan worden gedaan in de vorm van een Third Party Mededeling (TPM). Dit is een mededeling van de IT-auditor die door de beoordeelde exploitant aan ‘derden’ (zoals adverteerders) kan worden verstrekt. Een meer voor de hand liggende mogelijkheid is een mededeling te doen in de vorm van een certificaat.

5.2

Third Party Mededeling (TPM)

Een TPM is een mededeling van een onafhankelijke, externe IT-auditor (ook wel aangeduid als EDP-auditor) die aan de beoordeelde organisatie (in casu de organisatie van de exploitant) kan worden verstrekt. De waarde van de te verstrekken TPM is in grote mate afhankelijk van de eisen die hiervoor aan het geautomatiseerde systeem worden gesteld. De te stellen eisen zijn afhankelijk van de kwaliteitsaspecten waar de TPM een uitspraak over doet. Verder is de waarde van een TPM sterk afhankelijk van de kwaliteit van het beoordelingsproces. De beoordeling dient zowel deskundig als objectief te worden uitgevoerd. Een beroepsgroep in Nederland, die zich specifiek richt op het beoordelen van informatietechnologie, zijn de Register EDP-auditors (RE’s). De beroepsorganisatie van deze EDP-auditors is de Nederlandse Orde van Register EDP-Auditors (NOREA). De leden zijn afgestudeerd aan een erkende universitaire (postdoctorale) EDP-auditopleiding en voldoen aan stevige ervaringsvereisten. Verder dient de register-EDP-auditor zich bij de uitoefening van zijn beroep te houden aan diverse regels. Het beoordelingsproces door een register-EDPauditor voldoet met deze regels aan hoge eisen met betrekking tot het uitgevoerde onderzoek en de rapportage daarover (Sturm et al. 2002). Een TPM kan worden gebruikt voor een specifieke groep van afnemers om aan te tonen dat men voldoet aan de overeengekomen kwaliteitscriteria. Van een TPM wordt veelal gebruik gemaakt door organisaties die een deel van hun processen hebben uitbesteed aan een service-organisatie, waarbij de service-organisatie en de uitbestedende organisatie vrij zijn te bepalen welke beheersdoelstellingen en processen ze opnemen in het onderzoek. In casu is er feitelijk geen sprake van uitbesteding van (bedrijfs)processen. De adverteerder plaatst immers alleen een advertentie op de site van de exploitant. Derhalve ligt een mededeling in de vorm van een TPM in casu minder voor de hand.

5.3

Certificaat

Een andere rapportagemogelijkheid is in de vorm van een certificaat (of keurmerk). Een certificaat is met name bestemd voor openbaar en algemeen gebruik. Het verstrekken van een mededeling bij een systeem voor de geautomatiseerde verwerking van leadclicks in de vorm van een certificaat is dan ook de meest voor de hand liggende vorm van rapporteren.

29/66




De waarde van het certificaat wordt bepaald door de uitgevende instelling. Zo mag een officieel erkend certificaat alleen worden uitgegeven door een certificerende instelling die is geaccrediteerd door bijvoorbeeld de Raad van Accreditatie. Certificerende instellingen mogen ook certificaten verstrekken aan bedrijven zonder dat het om een wettelijke verplichting gaat. Bijvoorbeeld in het kader van de verhoging van de kwaliteit in een bepaalde branche (RvA 2009). Bij een algemeen (officieel) erkend certificaat behoort vaak een logo of keurmerk dat door degene die is gecertificeerd mag worden gebruikt op bijvoorbeeld briefpapier of op een website. Een niet officieel erkend certificaat kan in principe door iedereen worden uitgegeven. De waarde van een dergelijk certificaat is dan sterk afhankelijk van de kwaliteit van het beoordelingsproces. De beoordeling dient zowel deskundig als objectief te worden uitgevoerd. Dit kan worden bereikt door de beoordeling te laten uitvoeren door een IT-auditor die is ingeschreven in het register van EDP-auditors. Voor wat betreft het kunnen uitgeven van een certificaat dient er een duidelijke beschrijving te zijn waarop het certificaat betrekking heeft en dient de scope van de certificering goed te zijn afgebakend. Er dient sprake te zijn van een standaard normenkader dat in verschillende situaties kan worden toegepast. Daarnaast dient te worden vastgesteld in hoeverre de aanwezige situatie overeenkomt met het door ons beschreven model. Het model is immers gebaseerd op een algemeen concept voor wat betreft de geautomatiseerde verwerking van leadclicks. Indien je een systeem wilt certificeren met gebruik van een model, dient de aanwezige situatie wel overeen te komen met het model. Verder dienen de beperkingen van het te gebruiken model te worden onderkend. Zo heeft het door ons beschreven model alleen betrekking op de processen met betrekking tot de geautomatiseerde verwerking van leadclicks die zich binnen de organisatie van de exploitant afspelen en het heeft dus alleen betrekking op een deel van het geheel.

5.4

Certificeringstraject

Na invoering van de beheersingsmaatregelen met betrekking tot de geautomatiseerde verwerking van leadclicks kan de organisatie een eigen beoordeling uitvoeren om zich er van te verzekeren dat de beheersingsmaatregelen adequaat functioneren. Nadat de beheersingsmaatregelen zijn geïmplementeerd in overeenstemming met het model voor certificering, kan indien het model officieel is erkend een volgende stap zijn het laten certificeren van het stelsel door een geaccrediteerde certificatie-instelling. Met het certificaat kan de organisatie gebruik maken van de certificatie-instelling, het accreditatiemerk. Het voordeel voor de organisatie ligt vooral in het versterken van het vertrouwen tussen handelspartners en in een betere bescherming van de belangen van klanten. In geval het model voor certificering niet officieel erkend is, kan worden gekozen voor een niet officieel erkend certificaat of voor een TPM. In een certificeringstraject worden volgens Sturm et al. (2002) afhankelijk van de reeds aanwezige beheersingsmaatregelen binnen een organisatie de volgende stappen onderkend: 1. uitvoeren nulmeting; 2. beoordelen opzet; 3. beoordelen bestaan; 4. beoordelen werking; 5. afgeven certificaat (of TPM).

Nulmeting

Voor het vaststellen van de uitgangssituatie wordt gestart met een ‘nulmeting’. Deze nulmeting verschaft inzicht in de mate waarin de organisatie ‘rijp’ is voor certificering. Deze nulmeting wordt uitgevoerd aan de hand van een standaard toetsingskader op basis van de algemeen geaccepteerde criteria.

30/66




Indien hieruit blijkt dat het IT-beheer aan de hand van adequate beheersingsmaatregelen wordt uitgevoerd en controleerbaar is voor een onderzoek kan worden gestart met de beoordeling. Indien uit deze nulmeting hiaten blijken, worden gerichte verbeteracties door de auditors aanbevolen.

Beoordelen opzet, bestaan en werking

Bij het uitvoeren van een certificeringstraject wordt onderscheid gemaakt tussen de beoordeling van opzet, bestaan en werking van de beheersingsmaatregelen. De opzet beschrijft de wijze waarop een organisatie het proces wil uitvoeren; vaak is dit beschreven in handboeken. Het bestaan omvat de wijze waarop processen daadwerkelijk binnen een organisatie zijn geïmplementeerd. De werking is het bestaan van de processen gedurende een bepaalde periode. Hierbij wordt dus vastgesteld op welke wijze een organisatie een proces heeft uitgevoerd gedurende bijvoorbeeld een jaar of kwartaal. De opzet wordt beoordeeld tijdens de ontwerpfase, het bestaan tijdens de implementatiefase en de werking continu tijdens de uitvoering van de processen. De werking zal periodiek, veelal jaarlijks, worden vastgesteld. Elke keer voorafgaand aan de beoordeling van de werking zal de opzet opnieuw beoordeeld worden indien deze ten opzichte van de vorige beoordeling is gewijzigd. Het afgeven van een certificaat of TPM is dus een periodiek terugkerend proces.

Afgeven certificaat (of TPM)

Op basis van de beoordeling van opzet, bestaan en werking van de beheersingsmaatregelen wordt een mededeling verstrekt. Dit kan in de vorm van een afzonderlijk certificaat of een TPM. Het certificaat of TPM is gebaseerd op een auditrapport met de onderzoeksresultaten, die aan de beoordeling ten grondslag liggen.

.

31/66




HOOFDSTUK 6 6.1

MODELBESCHRIJVING

Inleiding

In dit hoofdstuk wordt antwoord gegeven op de onderzoeksvraag: hoe dient een model dat

gebruikt kan worden bij de certificering van de geautomatiseerde verwerking van leadclicks er uit te zien?

Alvorens antwoord wordt gegeven op de onderzoeksvraag wordt eerst een beschrijving gegeven van de belangrijkste kenmerken van het model. Daarna wordt het door ons ontwikkelde model beschreven, waarbij de bouwstenen van het model uit voorgaande hoofdstukken worden samengebracht. Om de afzonderlijke bouwstenen samen te voegen is gebruik gemaakt van het programma Bizzdesigner. Voor de verklaring van de gebruikte tekentechniek en symbolen in Bizzdesigner wordt verwezen naar bijlage 3: Legenda Bizzdesigner.

6.2

Kenmerken van modellen

Volgens Derksen en Noordam (2008) kunnen modellen, methodes en standaarden (hierna onder de noemer modellen) worden omschreven als hulpmiddelen die worden toegepast om organisaties, processen en producten te verbeteren. Hoe complexer het geheel van producten, processen, technologieën, organisaties, medewerkers et cetera is, hoe hoger de behoefte aan gebruik van modellen. Ten aanzien van modellen (inclusief methoden en standaarden) wordt door Derksen en Noordam (2008) een viertal kenmerken van modellen onderkend. De eerste kenmerken zijn de drie niveaus van gebruik: eigen model, veelal ontwikkeld binnen de organisatie om een probleem of mogelijkheid op te lossen of te realiseren; model als de-jure standaard: een groep organisaties, leveranciers of afnemers heeft een onderling geaccepteerd model; model als de-facto standaard, in dit geval wordt het model algemeen geaccepteerd en gebruikt. Het doel van het door ons ontwikkeld model voor certificering van leadclicks is dat dit zal gaan worden gebruikt door IT-auditors en/of certificerende instellingen die betrokken zijn bij certificering van clickregistraties. Het beoogd niveau van gebruik is de-facto standaard. Een ander kenmerk bij (kwaliteits-)modellen is het onderscheid dat wordt gemaakt in de breedte van een model en de diepte. De breedte geeft aan hoe groot het bereik of aandachtsgebied gaat. Zo kan een model gericht zijn op de gehele organisatie of alleen op bijvoorbeeld de IT-afdeling. De diepte geeft weer hoe gedetailleerd het model de bijgevoegde processen, procedures, bekwaamheden en dergelijke beschrijft. Het door ons beschreven model richt zich op een deel van de organisatie, namelijk alleen op die organisatieonderdelen die betrokken zijn bij de registratie, het filteren en aggregeren en het rapporteren van leadclicks. Het model gaat in hoofdlijnen in op de processen. Een derde kenmerk is die van volwassenheid versus bekwaamheid. Hoewel er tussen volwassenheid (maturity) en bekwaamheid (capability) een wederkerige relatie bestaat, is er ook een onderscheid te maken. Om een bepaalde volwassenheid te realiseren is een bepaalde bekwaamheid noodzakelijk. De bekwaamheid geeft weer of een organisatie of persoon in staat is een bepaalde activiteit te verrichten. Volwassenheid is een minder eenduidig begrip. Een mens wordt in Nederland als volwassen gezien wanneer de leeftijd van 18 jaar is bereikt. Echter in de volksmond wordt ook altijd gesteld dat vrouwen eerder ‘volwassen’ zijn dan mannen. Dit alles heeft te maken met geaccepteerde regels over volwassenheid.

32/66




In ons model wordt geen onderscheid gemaakt in volwassenheid en bekwaamheden. Wel wordt bij de beschrijving van het model verondersteld dat er sprake is van behoorlijk ITgebruik. Tenslotte beslaat het vierde kenmerk het inhoudelijke aspect. Derksen en Noordam (2008) onderkennen hierbij: Meten: het model is gericht op het meten; de organisatie kan het gebruiken om te meten en te vergelijken. Analyseren: analysemodellen zijn gericht op analyse en daarmee verbetering. Realiseren: deze modellen zijn gericht op het realiseren van duurzame of continue verbetering van de organisatie of onderdelen daarvan. Voorschrijvend: veel modellen zijn voorschrijvend van aard. Het voorschrijvende aspect betreft meestal ‘best practices’, waarbij het uitgangspunt is dat er een ‘beste werkwijze’ voor alle organisaties bestaat. Afdwingend: vooral modellen vanuit de wet- en regelgeving zijn afdwingend van aard. Tot slot wordt het door ons ontwikkelde model vooral gezien als een voorschrijvend model. Er is bij de ontwikkeling van het model aansluiting gezocht bij de algemeen aanvaarde standaard ‘Code voor informatiebeveiliging’ (NEN 2005a), de ‘IAB Audience Reach Measurement Guidelines’ (IAB 2008) en de ‘IAB Click Measurement Guidelines’ (IAB 2009b).

6.3

Doel van het model en relevante kwaliteitsaspecten

Het doel van het model is te komen tot een beschrijving van de belangrijkste processen met betrekking tot de geautomatiseerde verwerking van leadclicks met de daarin te onderkennen specifieke risico’s en te komen tot een normenset die gebruikt kan worden door een ITauditor, zodat die kan bepalen of de geautomatiseerde verwerking van leadclicks voldoet aan de eraan te stellen eisen. In het model worden de volgende relevante kwaliteitsaspecten onderkend: continuïteit; integriteit; vertrouwelijkheid; en controleerbaarheid.

6.4

Scope

Het model heeft alleen betrekking op de primaire bedrijfsprocessen binnen de organisatie van de exploitant die specifiek betrekking hebben op de geautomatiseerde verwerking van leadclicks. Het gaat hier om de volgende processen: 1. het registreren van leadclicks; 2. het filteren en aggregeren van leadclicks. Hierbij dient te worden opgemerkt dat filtering zowel preventief als repressief kan plaatsvinden. In het model gaan wij uit van filtering achteraf; 3. het rapporteren over de leadclicks. In het model wordt niet ingegaan op de algemene inherente internetrisico’s, zoals de OWASP top 10 kwetsbaarheden, die samenhangen met een internetomgeving. Verder blijft ook systeemontwikkeling buiten de scope. Verder wordt verondersteld dat er sprake is van een “behoorlijk IT-gebruik”. Hierbij wordt verondersteld dat er afdoende maatregelen zijn getroffen inzake: logische toegangsbeveiliging (uitsluitend door daartoe geautoriseerde personen en of applicaties); wijzigingsbeheer (ten aanzien van de web- en backoffice-applicaties en systemen); continuïteit (back-up en uitwijk); de beveiliging voor een internetomgeving.

33/66




Bovengenoemde zaken die niet in de scope zijn meegenomen, dienen bij een certificeringstraject uiteraard wel te worden meegenomen.

6.5

Primaire processen (auditraamwerk)

Figuur 6.1 bevat de drie primaire bedrijfsprocessen met betrekking tot de geautomatiseerde verwerking van leadclicks. Afhankelijk van de specifieke inrichting van de processen binnen de organisatie van de exploitant is dit raamwerk aan te passen. In het model wordt er namelijk vanuit gegaan dat filtering pas achteraf plaatsvindt. Echter het is ook mogelijk dat filtering zowel preventief als achteraf plaatsvindt. Voor een uitgebreide beschrijving van de processen wordt verwezen naar hoofdstuk 2.4. bedrijfsprocessen.

verwerken van leadclicks loggegevens clicks

vastgelegde click opvragen internetpagina

1. registreren bezoek afgerond

loggegevens clicks

jobscheduler

geaggregeerde loggegevens

2. filteren & aggregeren

aggregatie


opvragen rapportage

3. rapporteren

rapportage

Figuur 6.1: primaire bedrijfsprocessen met betrekking tot de geautomatiseerde verwerken van leadclicks.

6.6

Deelprocessen registreren

In figuur 6.2 is een overzicht weergegeven van de afzonderlijke deelprocessen die plaatsvinden binnen het primaire proces registreren. Het gaat hierbij om de volgende deelprocessen: 1.1. het tonen van de webpagina met de advertentie op de site van de exploitant; 1.2. het klikken van de bezoeker op een advertentie(element); 1.3. het vastleggen van de clickgegevens door de exloitant; 1.4. het uitvoeren van een vervolgactie; waarbij er sprake is van een 1.5. In-Unit Click; of een 1.6. Click-Through.

34/66




1. registreren loggegevens clicks

*

advertentie 1.3 vastleggen clickgegevens 1.1 tonen webpagina met advertentie

database met gegevens adverteerder 1.2 klikken op advertentie 1.5 In-Unit Click 1.4 uitvoeren vervolgactie 1.6 Click-through

webadres adverteerder

Figuur 6.2: deelprocessen binnen het primaire proces registreren

6.7

Deelprocessen filteren en aggregeren

In figuur 6.3 is een overzicht weergegeven van de afzonderlijke deelprocessen die plaatsvinden binnen het primaire proces filteren en aggregeren van leadclicks. Dit zijn: 2.1 het inlezen van de gelogde gegevens en clicks; 2.2 het filteren van de gegevens op basis van de ingestelde filtercriteria; 2.3 het aggregeren van de gegevens; 2.4 het opslaan van de geaggregeerde gegevens.

loggegevens clicks


2. filteren & aggregeren

* 2.1 inlezen gelogde gegevens

2.2 filteren

2.3 aggregeren

filtercriteria

Figuur 6.3: deelprocessen binnen het primaire proces filteren en aggregeren.

35/66

2.4 opslaan geaggregeerde gegevens




6.8

Deelproces rapporteren

In figuur 6.4 is een overzicht weergegeven van het afzonderlijke deelproces dat plaatsvindt binnen het primaire proces rapporteren. Het onderscheiden deelproces is: 3.1 het weergeven van de rapportage (extern).

3. rapporteren geaggregeerde loggegevens

3.1 weergeven rapportage

Figuur 6.4: deelproces binnen het primaire proces rapporteren.

36/66




6.9

Rollen en koppeling rollen aan processen

Bij de geautomatiseerde verwerking van leadclicks spelen de volgende actoren een rol. Dit zijn: 1. de adverteerder; 2. de site-eigenaar (exploitant); 3. de bezoeker. Voor een verdere omschrijving van deze rollen wordt verwezen naar hoofdstuk 2.2 rollen. In figuur 6.5 is de koppeling van de rollen aan de afzonderlijke processen weergegeven.

Figuur 6.5: koppeling van de rollen aan de afzonderlijke processen.

37/66




6.10 Doelstellingen bedrijfsprocessen Van de in figuur 6.1 genoemde primaire processen en de in figuur 6.2, 6.3 en 6.4 genoemde bedrijfsprocessen voor de verwerking van leadclicks dienen per proces doelstellingen te worden geformuleerd. Deze kunnen als volgt worden geformuleerd. Doelstelling registreren van leadclicks Het juist, tijdig en volledig registreren van de op de site gegenereerde leadclicks. Doelstelling filteren en aggregeren Het filteren van de gelogde data op ongeldige clicks en het juist, tijdig en volledig aggregeren van de gefilterde data. Doelstelling rapporteren Het verzorgen van juiste, tijdige en volledige rapportages over de gerealiseerde leadclicks.

6.11 Informatiesysteem De primaire processen en de afzonderlijke deelprocessen worden in belangrijke mate ondersteund door informatiesystemen. In het model wordt het informatiesysteem dat dient ter ondersteuning van de processen met betrekking tot de geautomatiseerde verwerking van leadclicks aangeduid als de Backoffice. Binnen dit systeem worden de volgende toepassingen onderkend: webapplicatie 1 zorgt ervoor dat de advertenties die door de bezoekers worden opgevraagd worden getoond. Tevens is in de webapplicatie code opgenomen die zorgt voor de registratie van de leadclicks; webapplicatie 2 die door de adverteerders via de website kan worden benaderd voor het opvragen van de statistieken; applicatie die gebruikt wordt ten behoeve van de aggregatie; applicatie die gebruikt wordt voor de filtering; applicatie die gebruikt wordt voor interne rapportagedoeleinden.

6.12 Technische infrastructuur Met betrekking tot de geautomatiseerde verwerking van leadclicks worden de volgende technische componenten onderscheiden. 1. pc van de bezoeker van de site; 2. het externe netwerk en; de webserver(s); de applicatieserver(s); 3. het interne netwerk en; de databaseserver(s). Voor een verdere beschrijving van de technische omgeving wordt verwezen naar hoofdstuk 2.7 Technische infrastructuur. In figuur 6.6 is zichtbaar gemaakt in hoeverre de afzonderlijke technische componenten kunnen worden gekoppeld aan de afzonderlijke deelprocessen.

38/66




Figuur 6.6: koppeling technische componenten aan de afzonderlijke processen.

6.13 Risicoanalyse Met betrekking tot het geautomatiseerde systeem voor de verwerking van leadclicks dient de IT-auditor na te gaan in hoeverre er risico’s aanwezig zijn in relatie tot de onderkende kwaliteitsaspecten zoals deze zijn genoemd in paragraaf 6.3. In het model is een aantal risico’s onderkend, waarbij is uitgegaan van het algemene concept voor de verwerking van leadclicks. De auditor zal bij toepassing van het model de risicoanalyse moeten valideren. Bovendien moet hij vaststellen of er in zijn specifieke situatie nog sprake is van aanvullende risico’s. Met betrekking tot de geautomatiseerde verwerking van leadclicks dienen volgens het model de volgende risico’s te worden geïdentificeerd. Achter de genoemde risico’s zijn relevante kwaliteitsaspecten genoemd.

39/66




1. Een click wordt niet, of niet juist/tijdig/volledig geregistreerd. (integriteit en controleerbaarheid). 2. Het niet kunnen tellen van bezoekers door niet-beschikbaarheid van (delen van) het systeem. (continuïteit en integriteit) 3. Het niet-tellen van een bezoeker, omdat zijn computer (een deel van) de applicatie niet kan uitvoeren. (continuïteit en integriteit) 4. Aantasting van de integriteit van het internetverkeer. (integriteit) 5. Het toerekenen van bezoeken aan de onjuiste periode. (integriteit) 6. Het te vroeg opschonen van het logbestand. (integriteit en controleerbaarheid) 7. Foutief verwerken. (integriteit en vertrouwelijkheid) 8. Het meetellen van ongeldige clicks. (integriteit) 9. Het meetellen van intern verkeer. (integriteit) 10. Onbevoegden hebben inzage in vertrouwelijke gegevens. (vertrouwelijkheid) 11. Het onjuist extrapoleren of anderszins bewerken van meetgegevens. (integriteit) 12. Het ongeautoriseerd wijzigen van het logbestand en/of andere telbestanden. (integriteit, vertrouwelijkheid en controleerbaarheid) Voor een verdere beschrijving van de risico’s wordt verwezen naar hoofdstuk 3: Risico’s bij verwerking van leadclicks. Om per deelproces de relevante beheersdoelstellingen te kunnen formuleren dienen de geïdentificeerde risico’s te worden gekoppeld aan de afzonderlijke processen. In figuur 6.7 is een overzicht gegeven van de risico’s gekoppeld aan de afzonderlijke processen.

40/66




Figuur 6.7: koppeling risico’s aan de afzonderlijke processen.

6.14 Beheersdoelstellingen en beheersingsmaatregelen Nadat de geïdentificeerde risico’s zijn gekoppeld aan de afzonderlijke processen dienen de afzonderlijke beheersdoelstellingen en beheersingsmaatregelen te worden geformuleerd die nodig zijn om de aanwezige risico’s te mitigeren. In bijlage 4 van hoofdstuk 4 is een normenkader opgenomen dat door de IT-auditor kan worden gebruikt voor de certificering van geautomatiseerde verwerking van leadclicks. In dit normenkader zijn de normen in relatie met de onderkende processen, relevante kwaliteitsaspecten en de geïdentificeerde risico’s opgenomen.

41/66




HOOFDSTUK 7 7.1

PRAKTIJKTOETSING

Beschrijving onderzoeksopzet

In dit hoofdstuk wordt antwoord gegeven op de onderzoeksvraag: is het vanuit de theorie ontwikkelde model toepasbaar in de praktijk, vanuit het gezichtspunt van IT-auditors en van IT-beheerders? Om vast te stellen of het model aansluit bij de praktijk en of door ons geformuleerde beheersingsmaatregelen worden toegepast hebben wij interviews gehouden bij een tweetal bedrijven waar advertentieclicks worden gemeten. Ook wilden wij vaststellen of een ITauditor ons model en geformuleerde maatregelen hanteerbaar acht voor gebruik bij een audit. Hiervoor hebben wij een interview gehouden met een ervaren IT-auditor. De uitgewerkte gespreksverslagen zijn opgenomen in bijlage 2.

7.2

Praktijkcasussen

7.2.1 Bedrijf A In de werkwijze van bedrijf A zijn vier partijen te onderscheiden: de bezoeker, de exploitant, de adverteerder en bedrijf A. Bedrijf A is tussenpersoon tussen exploitanten van websites en adverteerders. Adverteerders adverteren op één of meer sites, exploitanten tonen op hun site één of meer advertenties. Meestal gaat het om vele verschillende advertenties op vele verschillende sites. Als een bezoeker op een advertentie klikt, wordt hij via bedrijf A doorgestuurd naar de site van de adverteerder. Telling vindt in ieder geval plaats bij bedrijf A. Aanvullend kan worden geteld bij de exploitant en/of de adverteerder. Er zijn dus één tot drie tellingen. Afrekening vindt plaats als percentage van de aankoop die een bezoeker doet op de site van de adverteerder of per click. Een bezoeker wordt geïdentificeerd aan IP-adres en browserinformatie. De telling is door exploitanten en adverteerders realtime via internet in te zien. Hiervoor beschikken zij over een inlognaam met wachtwoord. Eens per dag wordt het rapportageproces gestart, waarbij aggregatie op dagen maandniveau plaatsvindt. De uitkomsten hiervan zijn ook ter inzage via internet.

7.2.2 Bedrijf B Bedrijf B heeft een zoekmachine-website, waarop na een zoekopdracht bedrijfsgegevens getoond worden. Er komt een lijst met zoekresultaten, waarbij adverteerders bovenaan vermeld staan, en daaronder gratis vermeldingen. Bezoekers komen ook via partnerwebsites (zoals Startpagina) of algemene zoekmachines (zoals Google) op de site van bedrijf B terecht. Bedrijf B garandeert aan adverteerders een vast aantal clicks. Dit aantal is afhankelijk van de branche en vestigingsplaats van de adverteerder. Bij een hoger aantal gegarandeerde clicks is de prijs van de advertentie ook hoger. Als het aantal gegarandeerde clicks niet wordt gehaald, krijgt de adverteerder korting op het te betalen bedrag in een volgende periode. Bij 3% van de adverteerders wordt het gegarandeerde aantal niet gehaald.

Er zijn verschillende soorten clicks: verschillende soorten in-unitclicks, voor bijvoorbeeld click op telefoonnummer of route; click-throughs, naar de website van de adverteerder.

42/66




Dagelijks loopt een batchproces voor filtering en aggregatie. Voor rapportage kunnen adverteerders via internet inloggen en de database met geaggregeerde gegevens inzien.

7.2.3 Toepasbaarheid model en maatregelen De situatie van bedrijf A is afwijkend van het model: zij zijn tussenpersoon. Deze rol hebben wij niet eerder onderkend. De belangen komen hierdoor anders te liggen, omdat degene die registreert niet de exploitant is. Echter, ook een deel van de inkomsten van de tussenpersoon is afhankelijk van het aantal geregistreerde clicks. De in het model bij de exploitant opgenomen objecten en processen worden in deze situatie verdeeld over de exploitant en de tussenpersoon. Een auditor zal bij gebruik van het model moeten vaststellen wat de verdeling is. De afsprakenset tussen exploitant en tussenpersoon is een nieuw element. De werkwijze van bedrijf B komt overeen met de processen in het model. In de situatie van bedrijf A komt het voor dat er aanvullende tellingen worden gedaan bij de exploitant en/of de adverteerder. Dit levert een aanvullend controlemiddel. De in ons model onderkende activiteiten vinden bij beide bedrijven plaats, maar niet altijd in het proces waar wij ze geplaatst hadden. Beide bedrijven filteren preventief. Dit is niet expliciet in het model opgenomen. Bij bedrijf A is er geen apart proces “filteren en aggregeren”. Filtering vindt plaats in zowel het registratie- (preventief) als het rapportageproces (repressief). Tellingen zijn direct opvraagbaar. In het rapportageproces wordt geaggregeerd. Beide bedrijven onderkennen het tellen van ongeldige clicks als risico, waarvoor zij beide maatregelen hebben genomen. De accenten die zij hierin leggen zijn verschillend. Bedrijf A vindt intern verkeer meetellen acceptabel, bedrijf B filtert hierop. Bedrijf A maakt gebruik van algemene zwarte lijsten, bedrijf B doet dat niet. Ook de omgang met unieke bezoekers is verschillend. Bedrijf A heeft hiervoor filtering ingericht. Bedrijf B zegt niet te kunnen bepalen wat een unieke bezoeker is, en onderneemt pas actie als er vijfhonderd clicks van één IPadres binnen 24 uur zijn geregistreerd. De filtering zoals geadviseerd door IAB (bijvoorbeeld door middel van unieke cookies) is in de Nederlandse situatie moeilijk, danwel onmogelijk, in verband met de privacywetgeving. Zoekmachines doorzoeken websites, om deze op te kunnen nemen in zoekresultaten. Bedrijf B laat daarom IP-nummers van bekende zoekmachines door bij de filtering. Beide bedrijven maken hun filtermethodes niet actief bekend aan adverteerders. Eén van de bedrijven ziet toegevoegde waarde in certificering. Hiermee kunnen zij aantonen dat de delen van het systeem waar zij wel invloed op kunnen uitoefenen betrouwbaar werken. De verantwoording naar de klant heeft op deze wijze grotere waarde. Bovendien kunnen bedrijven zich onderscheiden van concurrenten die niet gecertificeerd zijn. Het andere bedrijf ziet geen vraag naar certificering uit de markt. Ook ziet hij diverse beperkingen, waardoor de waarde van een eventuele certificering vermindert.

7.3

Toetsing bij IT-auditor

Wij hebben een interview gehouden met een IT-auditor bij de afdeling Technology and Security Risk Services van een groot accountantskantoor. Hij is verantwoordelijk voor de aansturing van alle technische opdrachten waaronder internetgerelateerde werkzaamheden. Hij heeft geen ervaring met het certificeren van een systeem voor de verwerking van leadclicks. Hij is van mening dat het certificeren van een internetgerelateerd systeem niet mogelijk is. Zijn argument hiervoor is dat het onmogelijk is de inherente internetrisico’s te mitigeren.

43/66




Het certificeren van een deel van het systeem geeft volgens hem “schijnzekerheid”. Dat IAB wel adviseert te certificeren heeft te maken met de Amerikaanse verhoudingen, waarin meer en eerder gecertificeerd wordt dan in Europa. In verband met de beschikbare tijd konden we het model en de maatregelen niet in detail bespreken. De IT-auditor kan zich in grote lijnen vinden in het beschreven model. Wel wijst hij op de noodzaak de scope goed te beschrijven.

7.4

Conclusies praktijktoetsing

Uit de praktijktoetsing blijkt dat het in het model beschreven concept aansluit met de praktijk van de onderzochte bedrijven. De objecten, processen en processtappen zijn aanwezig, maar de plaatsing kan afwijken van die in het model. Bij gebruik van het model moet de auditor de specifieke plaatsing vaststellen en de audit daarop aanpassen. Het belang van filtering wordt in de praktijk onderkend, maar de invulling is heel verschillend. Algemeen aanvaarde richtlijnen hiervoor zouden meer transparantie voor adverteerders geven. De interesse van klanten van de onderzochte bedrijven in werking en betrouwbaarheid van een systeem voor de verwerking van leadclicks is op dit moment niet groot. Mede daarom wordt verschillend gedacht over de toegevoegde waarde van certificering van zo’n systeem. Voor auditors is het model hanteerbaar, maar voor een beperkte scope. De buiten scope geplaatste objecten, waaronder systeemontwikkeling, internetrisico’s en general IT-controls, kunnen grote invloed uitoefenen op de betrouwbaarheid van een systeem voor de verwerking van leadclicks. Het model moet daarom altijd onderdeel zijn van een meer omvattende audit. Bij een oordeel op basis van het model moet duidelijk zijn waarover een uitspraak wordt gedaan. De waarde die aan een dergelijke beperkte uitspraak wordt gehecht is verschillend.

44/66




HOOFDSTUK 8 8.1

CONCLUSIE

Inleiding

Het onderwerp van deze scriptie is ingegeven door een specifieke vraag van een klant. Deze klant wilde zijn advertentieclick-telling laten certificeren. De markt voor online adverteren is inmiddels groot. Na een inventarisatie van de relevante auditaspecten rond dit onderwerp hebben wij scope, reikwijdte en diepgang van het onderzoek bepaald. Ons onderzoek richtte zich op de onderdelen die specifiek zijn voor een systeem voor de geautomatiseerde verwerking van leadclicks. Hierbij wilden wij een model ontwikkelen met behulp waarvan met redelijke mate van zekerheid een oordeel gegeven kan worden over opzet, bestaan en werking, gericht op de kwaliteitsaspecten continuïteit, integriteit, vertrouwelijkheid en controleerbaarheid. Voorgaande heeft geleid tot de volgende probleemstelling:

Is het mogelijk, uitgaande van de theorie, een hanteerbaar model te ontwikkelen, dat gebruikt kan worden voor de certificering van de geautomatiseerde verwerking van leadclicks? Om tot beantwoording van de probleemstelling te kunnen komen hebben wij de volgende subvragen geformuleerd: a) wat is het algemene concept voor de geautomatiseerde verwerking van leadclicks? b) welke risico’s zijn er te onderkennen voor de geautomatiseerde verwerking van leadclicks? c) welke normen zijn te formuleren voor het beoordelen van de geautomatiseerde verwerking van leadclicks? d) wat is certificering en wat zijn de hierbij behorende randvoorwaarden? e) hoe dient een model dat gebruikt kan worden bij de certificering van de geautomatiseerde verwerking van leadclicks er uit te zien? f) is het vanuit de theorie ontwikkelde model toepasbaar in de praktijk, vanuit het gezichtspunt van IT-auditors en van IT-beheerders? Het te verwachten resultaat van het onderzoek was een model ten behoeve van de auditor voor het beoordelen van het specifieke gedeelte van een systeem voor de geautomatiseerde verwerking van leadclicks. In dit hoofdstuk komen wij via de subvragen tot beantwoording van de probleemstelling.

8.2

Beschrijving conclusie

Om de objecten binnen de scope te kunnen benoemen was als eerste een beschrijving nodig van het algemene concept voor de geautomatiseerde verwerking van leadclicks (subvraag a). Wij hebben dit concept weergegeven met behulp van het vierlagenmodel. Hierin hebben wij de organisatiestructuur, de bedrijfsprocessen, de informatiesystemen en de technische infrastructuur opgenomen. Samengevat hebben wij de volgende primaire bedrijfsprocessen onderkend: registreren leadclicks filteren en aggregeren leadclicks rapporteren gerealiseerde leadclicks De rollen die wij onderscheiden zijn de bezoeker, de adverteerder en de exploitant. Om als auditor een uitspraak te kunnen doen over een systeem is het van belang de risico’s te onderkennen die het bereiken van de doelstellingen in de weg kunnen staan.

45/66




Subvraag b is daarom: welke risico’s zijn er te onderkennen voor de geautomatiseerde verwerking van leadclicks? Door toepassing van de risicoanalysemethode van NIST kwamen wij tot twaalf risico’s, die specifiek zijn voor een systeem voor de verwerking van leadclicks. Er spelen ook andere risico’s, die niet specifiek zijn voor een dergelijk systeem. Deze hebben wij buiten scope van ons onderzoek geplaatst, omdat hiervoor al beoordelingskaders beschikbaar zijn. Om te kunnen toetsen of de maatregelen de onderkende risico’s voldoende compenseren hebben wij een normenkader geformuleerd. Dit gaf het antwoord op subvraag c: welke normen zijn te formuleren voor het beoordelen van de geautomatiseerde verwerking van leadclicks? Hiervoor hebben wij gebruik gemaakt van beheersdoelstellingen en –maatregelen uit de Code voor informatiebeveiliging (NEN 2005a) en de richtlijnen van IAB (2008 en 2009b). De richtlijnen van IAB gaan over het meten van advertentieclicks en advertentiebereik. Ze zijn met name gericht op de Amerikaanse markt. De richtlijnen zijn opgesteld in een samenwerking van een brede groep bedrijven, waaronder exploitanten van advertentiewebsites en grote accountantskantoren. Al het materiaal dat verzameld is om de subvragen a, b en c te beantwoorden is samengebracht in een model, waarin processen, technische objecten, rollen, risico’s en normen opgenomen zijn, met hun onderlinge relaties. In hoofdstuk 6 hebben wij het model beschreven en hoe een auditor dit model kan toepassen. Dit model en de voorwaarden voor het gebruik vormen het antwoord op subvraag e: hoe dient een model dat gebruikt kan worden bij de certificering van de geautomatiseerde verwerking van leadclickregistratie er uit te zien? De vertaling van theorie naar praktijk moest antwoord geven op subvraag f: is het vanuit de theorie ontwikkelde model toepasbaar in de praktijk, vanuit het gezichtspunt van IT-auditors en van IT-beheerders? Uit de praktijktoetsing bij twee bedrijven met een systeem voor de geautomatiseerde verwerking van leadclicks is gebleken dat het in het model beschreven concept aansluit met de praktijk van de onderzochte bedrijven. De objecten, processen en processtappen zijn aanwezig, maar de plaatsing kan afwijken van die in het model. Om de hanteerbaarheid van het model in de auditpraktijk te toetsen is een ervaren IT-auditor geïnterviewd. Hieruit bleek dat voor auditors het model hanteerbaar is. De buiten scope geplaatste objecten, waaronder systeemontwikkeling, internetrisico’s en general IT-controls, kunnen echter grote invloed uitoefenen op de betrouwbaarheid van een systeem voor de verwerking van leadclicks. Het model zou daarom altijd moeten worden aangepast aan de situatie en onderdeel moeten zijn van een meer omvattende audit. De oorspronkelijke vraag van de klant ging expliciet over certificering. Daarom hebben wij ook subvraag d beantwoord: wat is certificering en wat zijn de hierbij behorende randvoorwaarden? Voor certificering moet sprake zijn van een vaststaande scope en een standaard normenkader, die in verschillende situaties toegepast worden. Wordt voldaan aan het standaard normenkader, naar oordeel van een daartoe gerechtigd persoon, dan kan een certificaat worden uitgereikt. IAB beveelt certificering tegen hun richtlijnen aan. Net als in ons model, wordt dan alleen een uitspraak gedaan over het specifieke voor een systeem voor de verwerking van leadclicks. Nu komen wij tot de beantwoording van onze probleemstelling:

Is het mogelijk, uitgaande van de theorie, een hanteerbaar model te ontwikkelen, dat gebruikt kan worden voor de certificering van de geautomatiseerde verwerking van leadclicks? Wij hebben uitgaande van de theorie een model ontwikkeld. Dit model is hanteerbaar voor een vaste scope, namelijk het gedeelte dat specifiek is voor een systeem voor de geautomatiseerde verwerking van leadclicks. Aan de voorwaarden voor certificering is voldaan.

46/66




Hieruit concluderen wij dat het antwoord op de probleemstelling is:

Ja, het is mogelijk, uitgaande van de theorie, een hanteerbaar model te ontwikkelen, dat gebruikt kan worden voor de certificering het specifieke gedeelte van de geautomatiseerde verwerking van leadclicks. De vraag is nu of dit daadwerkelijk een oplossing biedt die voldoende zekerheid verschaft. Gezien de beperking van de scope is er sprake van zekerheid over slechts een deel van het systeem. Daarom hebben wij als aanbeveling voor verder onderzoek: welke objecten moeten nog in de scope worden opgenomen om voldoende zekerheid te verschaffen? Wij onderkennen dat het bieden van zekerheid over een internetomgeving op problemen stuit. Wij zijn echter van mening dat het certificeren van dat deel van het systeem, dat wel beïnvloedbaar is, toegevoegde waarde biedt. Onze tweede aanbeveling is het uitbreiden van het model met het opnemen van relevante beheersdoelstellingen uit Cobit. Dit omdat de waarde van het model toeneemt als het ook een algemeen aanvaard raamwerk als Cobit afdekt. De brede groep van ondernemingen die meewerkt aan het opstellen van de richtlijnen van IAB geeft aan dat het certificeren een levende vraag vanuit de markt is. Ook in Nederland is hier vraag naar. Ons model maakt het mogelijk het specifieke gedeelte van het systeem op meer te beoordelen dan alleen het voldoen aan de richtlijnen van IAB. Het model is namelijk tot stand gekomen met behulp van risicoanalyse en met gebruik van de Code voor informatiebeveiliging.

8.3

Persoonlijke reflectie

Gezien de steeds maar groeiende markt van zaken doen en adverteren op internet is ons onderwerp actueel. Het is een bedrijfstak die volop in ontwikkeling is en waar standaardisering nog niet aan de orde is. Dit maakte het onderwerp interessant, maar het was soms moeilijk de goede weg te vinden. Ons is gebleken dat verschillende waarde wordt gehecht aan een betrouwbare clickregistratie. Enerzijds zijn er adverteerders die, bijvoorbeeld als zij adverteren bij Google, vertrouwen op de grote naam van dat bedrijf. Het gaat maar om kleine bedragen, dus “het zal wel goed zijn”. Toch zijn er ook adverteerders die openlijk twijfelen aan de ondoorzichtige werkwijze van Google en andere exploitanten. Uit het feit dat Google meewerkt aan de totstandkoming van richtlijnen van IAB blijkt dat zij algemene afspraken toch nuttig vinden. Ook is er de kwestie “certificeren”. In gesprekken met verschillende IT-auditors blijkt dat er geen eenduidige definitie is van wat nu wel of niet “certificaat” mag heten. Ook is er discussie over in welke situatie certificeren zinvol is. Echter, de markt vraagt erom. Dit is een kans om hier als beroepsgroep op in te spelen en te laten zien waar ons vak voor staat.

47/66




LITERATUURLIJST Adobe, 2009. Adobe Flash Player Version Penetration [online]. Plaats onbekend: Adobe Systems Incorporated. Beschikbaar op: http://www.adobe.com/products/player_census/flashplayer/version_penetration.html [Geraadpleegd 8-2-2009]. Christiaanse, R.M.J. en van Praat, J.C., 2005. Inrichten en beheersen van organisaties. Utrecht/Zutphen: ThiemeMeulenhoff. ClickForensics, 2009a. What We Do [online]. Austin: Click Forensics, Inc. Beschikbaar op: http://www.clickforensics.com/whatwedo.html [Geraadpleegd op 15-2-2009]. ClickForensics, 2009b. Click Fraud Index [online]. Austin: Click Forensics, Inc. Beschikbaar op: http://www.clickforensics.com/resources/click-fraud-index.html [Geraadpleegd op 15-22009]. Derksen, B. en Noordam, P., 2008. Modellen die werken. Plaats onbekend: Business & IT Trends Institute. Fijneman, R., Roos Lindgreen, E. en Veltman, P., 2005. Grondslagen IT-auditing. Den Haag: SDU Uitgevers bv. IAB, 2008. Audience Reach Measurement Guidelines Version 1.0. New York: Interactive Advertising Bureau. IAB, 2009a. About the IAB [online]. New York: Interactive Advertising Bureau. Beschikbaar op: http://www.iab.net/about_the_iab [Geraadpleegd op 7-2-2009]. IAB, 2009b. Click Measurement Guidelines Version 1.0. New York: Interactive Advertising Bureau. NEN, 1989. Kwaliteit; termen en definities. Delft: Nederlands Normalisatie-instituut (NEN-ISO 8402). NEN, 2005a. Nederlandse norm NEN-ISO/IEC 27001 (nl) Informatietechnologie Beveiligingstechnieken Managementsystemen voor informatiebeveiliging – Eisen. Delft: Nederlands Normalisatie-instituut (ISO/IEC 27001:2005,IDT).

NEN, 2005b. Nederlandse norm NEN-ISO/IEC 17799 (nl) Informatietechnologie Beveiligingstechnieken - Code voor informatiebeveiliging. Delft: Nederlands Normalisatie-

instituut (ISO/IEC 17799:2005,IDT, sinds 2007 ISO/IEC 27002:2005,IDT).

Nichols, A., 2002. A Perspective on Threats in the Risk Analysis Process. Bethesda: SANS Institute. NIST, 2002. Risk Management Guide for Informations Technology Systems. Falls Church: National Institute of Standards and Technology (Special Publication 800-30). NOREA, 1997. Een kwaliteitsmodel voor Register EDP-auditors. Nederlandse Orde van Register EDP-Auditors (Studierapport nr. 2). NOREA, 1998. IT-auditing aangeduid. Amsterdam: Nederlandse Orde van Register EDPAuditors (NOREA Geschrift No. 1).

48/66




NOREA, 2002. Raamwerk voor ontwikkeling normenstelsels en standaarden. Amsterdam: Nederlandse Orde van Register EDP-Auditors (Studierapport 3). O’Brien, J. en Marakas, G., 2008. Leerboek ICT-toepassingen. Den Haag: Academic Service. van Praat, J. en Suerink, H., 2004. Inleiding EDP-auditing. 5e druk. Plaats onbekend: ten Hagen & Stam uitgevers. RvA, 2009. Over accreditatie [online]. Utrecht: Raad voor Accreditatie. Beschikbaar op: http://www.rva.nl/home [Geraadpleegd op 18-3-2009]. Refsnes Data, 2009. Browser Statistics Month by Month [online]. Plaats onbekend: Refsnes Data. Beschikbaar op http://www.w3schools.com/browsers/browsers_stats.asp [Geraadpleegd op 8-2-2009]. Sturm RE, ing. J.W.J., Lensink RE RA, G.J., Heintjes RE, A.W.J. , 2002. Certificering ITbeheerorganisatie. Utrecht: Ernst & Young. Beschikbaar op: http://www.ey.nl/download/overig/outsourcing/artikel_certificering_it-beheerorganisatie.pdf [Geraadpleegd op 25-3-2009].

49/66




Bijlage 1 Marktpenetratie browsers en Flash Het gebruik van verschillende internetbrowsers volgens Refsnes Data (2009):

2009

IE7

IE6

IE8

Fx

Chrome

S

O

January

25.7%

18.5%

0.6%

45.5%

3.9%

3.0%

2.3%

In Internet Explorer en Mozilla Firefox wordt JavaScript meegeleverd. Het is mogelijk dat de gebruiker dit uitzet. De penetratie van Flash volgens Adobe (2009): Worldwide Ubiquity of Adobe Flash Player by Version - December 2008 Flash Player 7 Flash Player 8 Flash Player 9 Flash Player 10 Mature Markets1

99.1%

99.0%

98.6%

US/Canada

99.1%

99.1%

98.9%

54.5%

Europe2

99.1%

98.9%

98.2%

56.5%

Japan

99.0%

98.8%

98.3%

59.3%

Emerging Markets3

98.7%

98.6%

98.1%

55.9%

50/66

55.9%




Bijlage 2 Gespreksverslagen interviews A. Gespreksverslag interview praktijktoetsing scriptie VU IT-auditopleiding bij

Bedrijf A

Aanwezig: de heer AA (CTO bedrijf A), Teun Woord (FoedererDFK Accountants & Consultants/student VU), Martine van de Merwe (BDO IT Auditors & Consultants/student VU; verslag) Amsterdam, 11 maart 2009. Dit verslag is afgestemd met de geïnterviewde op 24 maart 2009. Het gesprek is bedoeld om het model dat Teun en Martine ontwikkeld hebben voor gebruik bij de beoordeling van een geautomatiseerd systeem voor de verwerking van leadclicks te toetsen aan de praktijksituatie bij bedrijf A. Werking systeem De heer AA legt in het kort de werkwijze van bedrijf A uit. Hierbij onderscheidt hij vier partijen: de bezoeker, de exploitant, de adverteerder en bedrijf A. Bedrijf A is tussenpersoon tussen exploitanten van websites en adverteerders. Adverteerders adverteren op één of meer sites, exploitanten tonen op hun site één of meer advertenties. Meestal gaat het om vele verschillende advertenties op vele verschillende sites. Als een bezoeker op een advertentie klikt, wordt hij via bedrijf A doorgestuurd naar de site van de adverteerder. Telling vindt in ieder geval plaats bij bedrijf A. Aanvullend kan worden geteld bij de exploitant en/of de adverteerder. Er zijn dus één tot drie tellingen. Als de bezoeker iets koopt op de site van de adverteerder telt dit als een lead, en betaalt de adverteerder een percentage van het aankoopbedrag aan bedrijf A, die dit afdraagt aan de exploitant, na afhouden van een afgesproken tarief voor bedrijf A zelf. Gaat het niet om leads, maar alleen om doorklikken naar de site van de adverteerder, dan wordt er betaald per click. Dit afrekenen per click is voor bedrijf A veel minder van belang dan het afrekenen als percentage van het aankoopbedrag. Daarom heeft bedrijf A naar eigen zeggen ook geen groot belang bij hogere aantallen clicks. Zij streven juist naar zo min mogelijk clicks voor zo veel mogelijk verkopen. Een bezoeker wordt geïdentificeerd aan IP-adres en browserinformatie. Volgens de heer AA is dit niet herleidbaar naar een persoon, en valt de vastlegging dus niet onder de Wet Bescherming Persoonsgegevens. De telling is door exploitanten en adverteerders realtime via internet in te zien. Hiervoor beschikken zij over een inlognaam met wachtwoord. Na de bewaartermijn van honderd dagen gaan de tellingen naar het archief. Eens per dag wordt het rapportageproces gestart, waarbij aggregatie op dagen maandniveau plaatsvindt. De uitkomsten hiervan zijn ook ter inzage via internet. Risico’s De heer AA onderkent de volgende risico’s:

Klikfraude door exploitanten (met gefakete IP-adressen).

Dit wordt gedetecteerd bij het “boefjes vangen” en/of bij het beoordelen van bezoekersaantallen (zie bij maatregelen). Aankopen/leads kunnen niet vervalst worden. Als het geen daadwerkelijke koop blijkt, wordt de lead afgekeurd. Als er veel afgekeurde leads zijn, moet de adverteerder dit signaleren en melden aan bedrijf A. De betreffende exploitant wordt dat geblokkeerd. Ook bij andere activiteiten die niet overeenkomen met de voorwaarden wordt de exploitant geblokkeerd, bijvoorbeeld door clicks te genereren met misleidende advertenties (een aantrekkelijk aanbod dat niet juist blijkt te zijn).

51/66




Afwijkingen in de tellingen bij bedrijf A/exploitant/adverteerder.

Een afwijking van 10% is acceptabel. Dit kan veroorzaakt worden door: gefilterde clicks; een onderbroken proces (bijvoorbeeld de gebruiker heeft op “stoppen” geklikt voordat de site van de adverteerder is aangeroepen, maar nadat de click is geteld bij bedrijf A); Maatregelen

Filtering preventief

Bij binnenkomst van de click wordt direct gefilterd op de volgende kenmerken: een vervolgbezoek binnen tien seconden; als het IP-nummer voorkomt op een lijst met niet-vertrouwde IP-adressen; als uit de headerinformatie blijkt dat de click afkomstig is van een botagent. In deze gevallen wordt de click niet geregistreerd, de bezoeker wordt wel doorgestuurd naar de site van de adverteerder. Als het contract met de adverteerder beëindigd is, worden de clicks geblokkeerd.

Filtering repressief

In het rapportageproces is een filtering opgenomen. Dit heet “Boefjes vangen”. Hierbij worden IP-nummers met clicks buiten normale patronen gesignaleerd, o.a. grote aantallen clicks. Van deze IP-nummers wordt gecontroleerd of ze bij een proxy-server horen. In dat geval worden ze wel doorgelaten, zo niet, dan komen ze op de lijst met niet-vertrouwde IPnummers.

De filtercriteria zijn niet openbaar, dus ook niet beschikbaar voor de adverteerder. Er wordt niet gefilterd op intern verkeer van exploitant, adverteerder of bedrijf A. Het aandeel hiervan vindt men verwaarloosbaar.

Vergelijking verschillende tellingen

Als er ook geteld wordt bij de exploitant en/of de adverteerder worden deze tellingen vergeleken. Als er een grotere afwijking is dan 10%, wordt de oorzaak hiervan onderzocht. Meestal ligt de oorzaak in een verschillende definitie van unieke bezoekers of het hanteren van een andere lijst met proxyservers.

Beoordelen bezoekersaantallen Bedrijf A voert een cijferbeoordeling uit op bezoekersaantallen. Bij het afsluiten van het

contract zijn afspraken gemaakt over de te verwachten aantallen en de te verwachten verhouding tussen aantal views en aantal clicks. Er zijn automatische signaleringen geïmplementeerd en er wordt een visuele inspectie uitgevoerd op rapportages van bezoekersaantallen. Certificering De heer AA verwacht niet dat certificering een grote rol gaat spelen. Er is geen vraag naar bij de klanten van bedrijf A en er zijn de volgende bezwaren: bedrijven kunnen bezwaar hebben tegen het aansluiten bij een standaard; het definiëren van een “unieke bezoeker” is lastig, mede door snelle technische ontwikkeling; als de filtermethoden algemeen bekend worden, kunnen mensen wegen vinden die te omzeilen. B. Gespreksverslag interview praktijktoetsing scriptie VU IT-auditopleiding bij

bedrijf B

Aanwezig: de heer BB (CTO bedrijf B), de heer BC (Manager Search Marketing & Site Analytics bedrijf B), Teun Woord (FoedererDFK Accountants & Consultants/student VU), Martine van de Merwe (BDO IT Auditors & Consultants/student VU; verslag). Amersfoort, 19 maart 2009. Dit verslag is afgestemd met de geïnterviewden op 20 maart 2009.

52/66




Het gesprek is bedoeld om het model dat Teun en Martine ontwikkeld hebben voor gebruik bij de beoordeling van een geautomatiseerd systeem voor de verwerking van leadclicks te toetsen aan de praktijksituatie bij bedrijf B. Werking systeem Bedrijf B heeft een zoekmachine-website, waarop na een zoekopdracht bedrijfsgegevens getoond worden. Er komt een lijst met zoekresultaten, waarbij adverteerders bovenaan vermeld staan, en daaronder gratis vermeldingen. Bezoekers komen ook via partnerwebsites (zoals Startpagina) of algemene zoekmachines (zoals Google) op de site van bedrijf B terecht.

Bedrijf B garandeert aan adverteerders een vast aantal clicks. Dit aantal is afhankelijk van de

branche en vestigingsplaats van de adverteerder. Bijvoorbeeld: een restaurant in Amsterdam krijgt een hoger aantal clicks gegarandeerd dan een bakker in een klein dorp. Bij een hoger aantal gegarandeerde clicks is de prijs van de advertentie ook hoger. Als het aantal gegarandeerde clicks niet wordt gehaald, krijgt de adverteerder korting op het te betalen bedrag in een volgende periode (bijvoorbeeld 10% minder clicks dan gegarandeerd -> 10% korting in de volgende periode). Bij 3% van de adverteerders wordt het gegarandeerde aantal niet gehaald.

Er zijn verschillende soorten clicks: verschillende soorten in-unitclicks, voor bijvoorbeeld click op telefoonnummer of route; click-throughs, naar de website van de adverteerder. Bij

een click van een bezoeker worden de volgende gegevens vastgelegd: type click; IP-nummer (niet altijd aanwezig); partner-id (website die doorverwijst naar bedrijf B, bijv. Startpagina of Google); datum/tijd; identificatie van de adverteerder of gratis vermelding waarop geklikt is.

Dagelijks loopt een batchproces voor filtering en aggregatie. Voor rapportage kunnen adverteerders via internet inloggen en de database met geaggregeerde gegevens inzien. Hiervan wordt niet veel gebruik gemaakt. De heren BB en BC geven aan dat het voornemen is de interface gebruikersvriendelijker te maken en daarna beter met adverteerders te communiceren over de mogelijkheden. De weergave van de processen in het model sluit aan bij de situatie van bedrijf B. Risico’s De heren BB en BC onderkennen de volgende risico’s: Systeemontwikkeling en wijzigingsbeheer zijn niet goed beheerst; hierdoor ontstaat het risico dat niet goed werkende programmatuur in productie genomen wordt. Dit is voorgekomen, met als gevolg dat er verkeerde tellingen werden bijgehouden. Inmiddels worden grote projecten wel goed beheerst, maar kleinere wijzigingen nog niet. De toegang tot productiesystemen is onvoldoende beperkt. Het risico is dat, bedoeld of onbedoeld, gegevens en programmatuur ongeautoriseerd kunnen worden aangepast. Verder kan de performance van productiesystemen negatief worden beïnvloed, bijvoorbeeld door het draaien van een zware query. Het beheer van stambestanden is niet goed geregeld. Er wordt niet bijgehouden door wie en wanneer (bijvoorbeeld) klantgegevens gewijzigd zijn. Het is mogelijk dat mensen vaak klikken op de advertentie van een concurrent, met de bedoeling deze op kosten te jagen. Bij andere sites is het ook mogelijk door vaak klikken te zorgen dat de advertentie van een concurrent zijn dagtotaal gehaald heeft, waardoor deze niet meer getoond wordt.

53/66




Bij bedrijf B is dit mechanisme nog niet in werking. Het is wel de bedoeling om in te gaan stellen, dat een advertentie die zijn gegarandeerde aantal bereikt heeft, minder prominent getoond wordt dan een advertentie, waarvoor nog clicks nodig zijn voor het bereiken van het garantie-aantal. Dan zal dit risico ook bij bedrijf B ontstaan. Als de adverteerder zelf ook een meting van het aantal clicks doet, is er het risico dat de tellingen een verschillend aantal aangeven. Deels kan het verschil verklaard worden door de in-unitclicks, die wel bij bedrijf B tellen, maar die niet op de site van de adverteerder terechtkomen. Crawling: andere bedrijven proberen gegevens over te nemen voor hun eigen doeleinden, door de database vele malen te bevragen.

De reactie van de heren BB en BC op door ons onderkende risico’s: Risico 2: niet beschikbaar zijn. Het niet beschikbaar zijn van de clickregistratie is wel een risico, maar dit heeft een lage impact. Als de telling een dag niet beschikbaar is, is dat acceptabel. Het niet beschikbaar zijn van de site wordt wel ervaren als een risico met een hoge impact. Risico 3: het niet-tellen van een bezoeker. De juistheid van vastgelegde clicks is veel belangrijker dan volledigheid. Dit uiteraard binnen bepaalde grenzen, want als een substantieel aantal clicks niet wordt vastgelegd ontstaat het risico dat niet kan worden aangetoond dat de gegarandeerde aantallen zijn gehaald. Hiermee ontstaat ontevredenheid bij de adverteerders en mogelijke verlaging van de omzet. Risico 4: aantasten integriteit internetverkeer. Dit is een bijzonder klein risico, omdat de belangen niet groot zijn. Risico 5: toerekenen aan de onjuiste periode. Bij bedrijf B wordt een click vastgelegd met datum/tijd van de server in Nederland, onafhankelijk van de herkomst van de click. De bezoekers zijn voornamelijk afkomstig uit Nederland en België. Dit risico speelt niet. Risico 6 en 12: te vroeg opschonen van het logbestand/ongeautoriseerd wijzigen van bestanden. Dit is een reëel risico, ook omdat de afscherming van de productieomgeving niet goed geregeld is. Er zijn wel back-ups. De gegevens worden bewaard sinds de start van het bedrijf. Er is geen beleid vastgesteld hoe lang en op welke wijze gegevens bewaard zouden moeten blijven. Risico 8 en 9: ongeldige clicks/intern verkeer meetellen. Dit risico is onderkend. Er zijn diverse maatregelen (zie hieronder). Risico 10: ongeautoriseerd inzien van vertrouwelijke gegevens. Dit risico is onderkend. De huidige maatregelen worden ontoereikend geacht. Risico 11: onjuist bewerken van meetgegevens. Bij bedrijf B worden geen bewerkingen toegepast. Maatregelen

Filtering preventief

IP-nummers, die meer dan vijfhonderd maal binnen 24 uur de website benaderen, worden geblokkeerd. Deze krijgen bericht dat zij geen toegang meer tot de website krijgen. Zij kunnen verzoeken toegelaten te worden, bijvoorbeeld als het een IP-adres van een bedrijf is. Verder zijn hiervan uitgezonderd zoekmachines, die de bedrijf B-website doorzoeken om hem te kunnen opnemen in de zoekresultaten. De IP-nummers van deze zoekmachines zijn bekend, en worden wel doorgelaten. Het is voorgekomen dat achter elkaar met verschillende Turkse IP-adressen is geprobeerd te crawlen (website doorzoeken). Hierop zijn alle Turkse IP-adressen geblokkeerd. Het normale verkeer voor bedrijf B komt uit Nederland en België, zodat het afsluiten van alle Turkse adressen nauwelijks invloed heeft op de normale bezoeken.

Filtering repressief

De gelogde clicks worden in een batchverwerking gefilterd op: intern verkeer van bedrijf B; IP-nummers van door bedrijf B zelf geïdentificeerde “boefjes”.

54/66




Er wordt niet gefilterd op: meerdere bezoeken door een unieke bezoeker binnen een bepaalde periode (in de huidige werkwijze is een unieke bezoeker niet te identificeren); algemeen bekende zwarte lijsten. De filtermethodes worden niet actief bekend gemaakt aan de adverteerders. Op de pagina waar adverteerders na inloggen terechtkomen, is wel enige informatie opgenomen. Certificering De heren BB en BC zien de beperkingen door internetrisico’s, maar zij vinden dat certificering absoluut toegevoegde waarde heeft. Zij willen graag certificering van die delen van het systeem, waar zij wel invloed op kunnen uitoefenen. Dit om te gebruiken als unique selling point, om zich te onderscheiden van concurrerende sites. Op dit moment worden clicks geregistreerd om aan te tonen dat het gegarandeerde aantal clicks gerealiseerd is. Er zijn ontwikkelingen om de afrekenmethodiek te veranderen, zodat er per click betaald gaat worden. Dan worden de belangen anders, en wordt een betrouwbare registratie nog belangrijker. C. Gespreksverslag interview praktijktoetsing IT-auditor Aanwezig: De heer CC (IT-auditor werkzaam bij een groot accountantskantoor) Martine van de Merwe (BDO IT Auditors & Consultants en student IT-auditopleiding aan de Vrije Universiteit te Amsterdam) Teun Woord (FoedererDFK Accountants & Consultants en student IT-auditopleiding aan de Vrije Universiteit te Amsterdam; verslag) Utrecht, 10 maart 2008. Dit verslag is afgestemd met de geïnterviewde op 20 maart 2009. De heer CC is werkzaam op de afdeling Technology and Security Risk Services bij een groot accountantskantoor en is verantwoordelijke voor de aansturing van alle technische opdrachten waaronder internetgerelateerde werkzaamheden.

Certificeren van systeem voor leadclickregistratie

De heer CC heeft geen ervaring in het certificeren van systemen voor de registratie van leadclicks. Dit omdat volgens hem dergelijke systemen niet zijn te certificeren en internet nooit voor 100% dicht is te krijgen. Volgens hem is het met de huidige stand van de techniek niet mogelijk om te achterhalen of er achter de geregistreerde click een ‘echte’ gebruiker zit. Dit omdat internet als design een open structuur kent en in principe niet vertrouwd is. Wel ziet hij mogelijkheden om het proces vanaf de clickregistratie tot en met de database te certificeren. In dit geval heeft de certificering betrekking op het registratieproces van de clicks. Echter volgens hem geef je dan eigenlijk schijnzekerheid, omdat je geen oordeel kunt geven over het werkelijk aantal bezoekers achter de clicks.

Registreren van data

We hebben de heer CC verteld dat men met name in Amerika actief is op het gebied van certificering van clicks. Het IAB (International Advertising Bureau) is hiervan een voorbeeld. Deze geven richtlijnen voor het meten van clicks. De heer CC geeft aan dat er in Amerika meer en eerder wordt gecertificeerd dan in Nederland en dat we hierbij wel rekening moeten houden dat de Amerikaanse wetgever volgens hem veel minder stringent is voor wat betreft het vastleggen van gegevens. In Nederland is het zo dat indien vastleggingen zijn te herleiden naar één persoon, dat deze niet zonder meer mogen worden geregistreerd in verband met de Wet Bescherming Persoonsgegevens.

55/66




Momenteel is in Nederland de discussie nog niet beslecht over wat vertrouwelijk is dus dit verkeert op dit moment nog in een schemergebied. Een IP-click op zichzelf verwijst niet naar één persoon, maar in combinatie met de gegevens van de serviceprovider zijn deze gegevens wel vertrouwelijk. Om een unieke registratie van de bezoekers te krijgen kan volgens hem niet alleen worden volstaan met de registratie van een IP-adres. Zo maakt een kantoor naar buiten toe gebruik van één IP-adres. Als gevolg hiervan kunnen achter één IP-adres dus meerdere gebruikers zitten. Een optie is om bij de gebruikers onderscheid te maken tussen bedrijfsgebruikers en thuisgebruikers. Volgens hem moet je op zoek naar iets wat plaatsvindt op de pc van de gebruiker en dan kom je terecht bij de unieke session ID. Op zich is het technisch wel mogelijk om de gebruiker te identificeren, zoals bijvoorbeeld gebeurt bij een bank, maar de discussie is eigenlijk wat mogelijk is zonder de gebruiker te verstoren.

Belangrijke risico’s voor in een systeem voor de verwerking van leadclicks

Volgens de heer CC zijn de belangrijkste risico’s de inherente internetrisico’s. In onze afstudeerscriptie geven wij aan dat wij deze buiten de scope hebben gelaten. De heer CC adviseert om dan wel duidelijk aan te geven om welke risico’s het gaat. Algemene inherente risico’s zijn volgens hem bijvoorbeeld: Gebruikerstransacties automatiseren SQL injection Parametermanipulatie En verder de risico’s zoals die staan vermeld in de OWASP top 10. (The ten most critical web application security vulnerabilities). Verder onderkent de heer CC met betrekking tot het kwaliteitsaspect volledigheid de volgende risico’s. o De vraag is of mensen wel op het betreffende advertentie-element klikken. Er bestaat immers altijd de mogelijkheid dat de gebruiker niet clickt, maar via de URL op de site van de adverteerder terechtkomt; o Bepaalde browsers (voorbeeld FireFox) blokkeren bepaalde sites (redirect modules). o Het niet-tellen van bezoekers, doordat de bezoeker (delen van) de programmatuur niet kan, niet wil of niet mag uitvoeren. (clickregistratie kan wel, maar wat als je niet naar de site mag). Verder geeft hij aan dat veel risico’s wel gemitigeerd kunnen worden, maar dat dit niet ten koste dient te gaan van het gebruikersgemak. De beheersingsmaatregelen moeten volgens hem op de achtergrond plaatsvinden (invisibiltiy), zonder dat de gebruiker hiermee wordt lastig gevallen. Tot slot geeft hij aan dat bij certificering sprake is van een eenmalig certificaat, omdat er in de nieuwe periodes heel veel kan veranderen.

56/66



Bijlage 3 Legenda Bizzdesigner

57/66




58/66


Bijlage 4 Normenkader Risico

controleerbaarheid

vertrouwelijkheid

integriteit

continuïteit

Kwaliteitsaspect

3. rapporteren

2. filteren/aggregeren

1. registeren

Proces

IAB

Code v inf.beveiliging

Bron

1

2

3

4

5

6

7

8

9

10

11

12

Algemeen Het systeem wordt jaarlijks en bij belangrijke wijzigingen geaudit/gecertificeerd. De audit omvat ten minste: de telmethodes; de processen en beheersingsmaatregelen; de filterprocedures. Een “Beschrijving van gebruikte methodes” (Description of Methodology, DOM) is beschikbaar voor afnemers, met een beschrijving van de scope van de audit, de telmethode (click-through en inunitclick), de filtermethode, en de wijze van rapporteren

2008, p. 24/25, 2009b, p. 17

X

X

X

2009b, p. 6, 19, 24 e.v.

X

X

X

A.15.1

X

X

X

X

X

X

A.12.1

X

X

X

X

X

A.12.2

X

X

X

X

X

X

X

Compliance Schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen wordt voorkomen.

X

X

X

X

X

X

X

X

X

X

X

X

Beveiliging Beveiliging maakt integraal deel uit van informatiesystemen. Fouten, verlies, onbevoegde modificatie en misbruik van informatie in toepassingen worden




Kwaliteitsaspect

integriteit

vertrouwelijkheid

X

X

X

X

X

A.10.6

X

X

X

X

X

X

X

A.10.8

X

X

X

X

A.15.1.3

X

A.10.10.1

X

A.11.6.1

X

1. registeren X

IAB

A.15.2


continuïteit

Risico

3. rapporteren

controleerbaarheid

Proces 2. filteren/aggregeren

Bron

1

2

3

4

5

6

7

8

9

10

11

12

voorkomen. Systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie. Bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur wordt bewerkstelligd. Beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit wordt gehandhaafd. Belangrijke registraties worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen worden vastgelegd in auditlogbestanden. Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel wordt beperkt overeenkomstig het vastgestelde toegangsbeleid.

X

X

X

X

X

X

X

X

60/66

X

X

X

X

X

X

X

X

X




controleerbaarheid

vertrouwelijkheid

integriteit

continuïteit

Kwaliteitsaspect

3. rapporteren


IAB

1. registeren

Proces


Bron

Risico

1

2

3

4

5

6

7

8

9

10

11

Gegevensverwerking Het verwerkingsproces vindt zoveel mogelijk geautomatiseerd plaats, met waar mogelijk geautomatiseerde controles. Handmatige verwerking vindt plaats volgens vastgestelde procedures. Wijzigingen aan de vastgelegde gegevens bij de verwerking worden gedocumenteerd. Er wordt zorg betracht om het meetproces niet te verstoren. Als gegevens worden verwerkt, die betrekking hebben op meerdere websites, gebeurt dit op beheerste wijze. De organisatie heeft adequaat empirisch bewijs voor de gebruikte techniek voor het bewerken van meetgegevens. Dit bewijs en de technieken worden bewaard en blijven beschikbaar voor auditing. De gebruikte techniek wordt bekend gemaakt aan afnemers.

X

X

X

X

2008, p. 17 2008, p. 19

X

2008, p.20 2008, p.20 2008, p. 16

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

Vastlegging van datum en tijd De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein worden gesynchroniseerd met een overeengekomen nauwkeurige

A.10.10.6

X

X

61/66

X

12




controleerbaarheid

vertrouwelijkheid

integriteit

continuïteit

Kwaliteitsaspect

3. rapporteren


1. registeren

Proces

IAB


Bron

Risico

1

2

3

4

5

6

7

8

9

tijdsbron.

De vastlegging van datum en tijd is zodanig dat rapporteren over afgebakende periodes mogelijk is. De gebruikte tijdzone wordt bekendgemaakt bij rapportage.

2008, P. 17 2009b, p. 18

X

X X

X

X

X

X

Bewaartermijn Vastleggingen worden bewaard voor een redelijke periode, bij voorkeur minimaal twaalf meetperioden, of voor de wettelijk toegestane termijn. Geschikte gegevensopslag vindt plaats. Partijen stellen de periode vast waarin detailgegevens worden bewaard. Na deze periode kunnen de gegevens worden geanonimiseerd.

2008, p. 19

X

2009b, p.16

X

X

X

X

X

Filtering Gegevens die worden ingevoerd in toepassingen worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Er worden validatiecontroles opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken.

A.12.2.1

X

X

X

X

A.12.2.2

X

X

X

X

62/66

10

11

12




controleerbaarheid

vertrouwelijkheid

integriteit

continuïteit

Kwaliteitsaspect

3. rapporteren


1. registeren

Proces

IAB


Bron

Risico

1

2

3

4

5

6

7

8

9

Een geldige click voldoet aan de volgende voorwaarden: 1. voor de telmethode is gekozen tussen één click per vertoning of meer clicks per vertoning. 2. de tijd tussen het vertonen van de advertentie en de click is kleiner dan een door de exploitant bekend gemaakte tijdsinterval; 3. de click is geïnitieerd,

doorgestuurd naar informatie over, of de site van de adverteerder, en gefilterd.

Als gekozen is voor meer clicks per vertoning maakt de exploitant bekend hoeveel tijd tussen clicks moet zitten om meer clicks per vertoning als geldig te tellen. Passende vastleggingen worden onderhouden, met daarin identificerende gegevens die nodig zijn voor het filteren (bijvoorbeeld IP-adres, datum/tijd e.d.). Er wordt een methode gekozen, waarmee kan worden vastgesteld welk verkeer aan één bezoek is toe te rekenen. Als is gekozen voor één van de methodes uit IAB 2008, dan is voldaan aan de beschreven eisen. De methodes die worden gebruikt om unieke bezoeken te bepalen worden bekend gemaakt aan de afnemers van de meetinformatie.

2009b, p. 6.7

X

X

X

X

2009b, p. 6.7

X

X

X

X

X

X

X

X

X

2008, p. 17, p. 11 e.v.

X

2008, p. 15/16

X

2008, p. 18

X

X

63/66

X

10

11

12




De exploitant onderzoekt en onderhoudt de accuratesse van de gekozen methodes. Een bezoeker wordt eenmalig geteld, ook al zijn er meer bezoeken binnen een overeengekomen periode. Als er gebruik wordt gemaakt van registratie van gebruikers (met uitgifte van ID’s) verricht de organisatie inspanningen om problemen als het gebruik van meerdere ID’s door één gebruiker of het gebruik van één ID door meerdere gebruikers te vermijden. Materieel intern verkeer, dat kwalitatief niet gelijk is aan nietintern verkeer, wordt verwijderd. Hierbij inbegrepen materieel “test”verkeer gegenereerd door de adverteerder, waarbij het de verantwoordelijkheid van de adverteerder is deze activiteiten aan te melden. Filtering op data vindt als volgt plaats: 1. filtering gebaseerd op specifiek geïdentificeerde of verdachte niet-menselijke activiteiten (hierbij wordt gebruik gemaakt van robot instruction files en filtration lists); 2. filtering gebaseerd op de

controleerbaarheid

vertrouwelijkheid

integriteit

continuïteit

Kwaliteitsaspect

3. rapporteren


1. registeren

Proces

IAB


Bron

Risico

1

2

3

4

5

6

7

8

2008, p. 13

X

X

X

2008, p. 18

X

X

X

2009b, p. 14

X

X

X

2008, p. 21

X

X

X

64/66

9

X

10

11

12




controleerbaarheid

vertrouwelijkheid

integriteit

continuïteit

Kwaliteitsaspect

3. rapporteren


1. registeren

Proces

IAB


Bron

Risico

1

2

3

4

5

6

7

8

(overige) activiteiten die hebben plaats gevonden; 3. filtering volgens interne richtlijnen van de exploitant.

De filtering op basis van de activiteiten bevat o.a. filtering op: o veel opeenvolgende activiteiten, zoals een bepaald aantal clicks in een bepaald tijdsbestek per gebruiker; o uitschieters ten opzichte van normale klikpatronen; o andere verdachte activiteiten. Er vindt controle plaats of het aantal gerapporteerde geldige clicks kleiner dan, of gelijk aan, het aantal gemeten clicks is. Als ook gemeten wordt bij de adverteerder vindt controle plaats of het aantal ontvangen clicks bij de adverteerder kleiner dan, of gelijk aan, het aantal ongefilterde clicks is. De organisatie maakt filtermethodes bekend aan afnemers, zodanig dat afnemers de methodes goed begrijpen, maar dat de beveiliging van het filtersysteem niet in gevaar komt. De gebruikte filtercriteria worden

2008, p. 21/22

X

X

2009b, p.5, 16

X

X

2008, p. 22/23, 2009b, p. 15

X

2008, p.

X

X

X

X X

65/66

X X

9

10

11

12




X

X

X

A.14.1

X

X

X

X

X

integriteit

X

1. registeren X

actueel gehouden en periodiek geëvalueerd.

IAB

A.10.3


continuïteit

Risico

3. rapporteren

controleerbaarheid

Kwaliteitsaspect vertrouwelijkheid

Proces 2. filteren/aggregeren

Bron

1

2

3

22 2009b, p. 15/16

Continuïteit Het risico van systeemstoringen wordt tot een minimum beperkt. Het onderbreken van bedrijfsactiviteiten wordt tegengegaan en kritische bedrijfsprocessen worden beschermd tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen. Tijdig herstel wordt bewerkstelligd. In de webapplicatie wordt gecontroleerd op de aanwezigheid van de ondersteunende programmatuur, en bij afwezigheid wordt vervangende programmatuur in de webapplicatie toegevoegd.

X

X

X

66/66

4

5

6

7

8

9

10

11

12

HET BEOORDELEN VAN DE GEAUTOMATISEERDE VERWERKING VAN LEADCLICKS

Recommend Documents