Identity Management
Risico’s en kansen binnen het kader van de jaarrekeningcontrole
Drs. J. Visser Drs. M.P. Hof
1667521 1662058
Amsterdam 31 maart 2008 Versie 1.0 [definitief]
Afstudeerbegeleiders: Rudi Selhorst - PricewaterhouseCoopers Paul Harmzen - Fortis
Inhoud Managementsamenvatting
3
1
Inleiding 1.1 Aanleiding en doelstelling 1.2 Onderzoeksvraag 1.3 Onderzoeksaanpak
5 5 6 6
2
Identity Management 2.1 Definitie Identity Management 2.2 Business drivers voor Identity Management 2.3 Onderdelen Identity Management 2.4 Verschijningsvormen Identity Management 2.5 Samenvatting
8 8 9 10 12 12
3
Identity management en de jaarrekeningcontrole 3.1 Doelstelling van de jaarrekeningcontrole 3.2 Gegevensgerichte en systeemgerichte controleaanpak 3.3 Beoordeling van geautomatiseerde beheersmaatregelen 3.4 IDM, IT General Controls en application controls 3.5 Samenvatting
13 13 14 14 17 17
4
Kansen voor de jaarrekeningcontrole 4.1 Beperking van het aantal te controleren relaties 4.2 Betrouwbare beheersing autorisatieproces 4.3 Automatische confrontatie van SOLL en IST 4.4 Samenvatting
18 18 20 22 22
5
Risico’s voor de jaarrekeningcontrole 5.1 Betrouwbaarheid van interfaces 5.2 Centraal beheer autorisaties 5.3 Samenvatting
23 23 24 24
6
Conclusie 6.1 Conclusie en aanbevelingen 6.2 Persoonlijke reflectie
25 25 26
Bijlage 1: Literatuurlijst
28
2
Managementsamenvatting Teneinde een efficiënter beheer van identiteiten en autorisaties binnen een steeds complexer wordende automatiseringsomgeving te realiseren implementeren veel organisaties een Identity Management systeem. Onder Identity management wordt in dit onderzoek het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen verstaan dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren. Aangezien in de huidige literatuur niet of nauwelijks is beschreven wat Identity Management betekent voor de jaarrekeningcontrole en het op dit moment bij ons en de accountants onvoldoende bekend is welke risico’s en kansen Identity Management met zich meebrengt, staat in deze scriptie de volgende onderzoeksvraag centraal: “Welke risico’s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole?” Op basis van een literatuurstudie en diverse interviews is gebleken dat Identity Management een drietal kansen en een tweetal risico’s met zich meeneemt voor de jaarrekeningcontrole. De mate waarin deze kansen en risico’s aanwezig zijn is afhankelijk van de verschijningsvorm. In dit onderzoeksrapport zijn een drietal verschijningsvormen van Identity Management gedefinieerd: 1. De doelsystemen hebben een eigen authenticatie- en autorisatieadministratie. User management en provisioning kunnen worden toegepast om nieuwe, gewijzigde en verwijderde identiteitsgegevens naar de doelsystemen door te zetten; 2. De doelsystemen beschikken over een eigen autorisatieadministratie en voor de authenticatie wordt gesteund op de centraal opgeslagen wachtwoordgegevens in het IDM-systeem; 3. De doelsystemen steunen voor zowel de toewijzing van autorisatie en de authenticatie volledig op de IDM-oplossing. De geïdentificeerde kansen en risico’s zijn in onderstaande tabellen opgenomen. Kansen Beperking van het aantal te controleren relaties met behulp van RBAC Betrouwbare beheersing autorisatieproces door user-provisioning Geautomatiseerde confrontatie ist- en sollpositie
Verschijningsvorm 1
Verschijningsvorm 2
Verschijningsvorm 3
√
√
√
√
√
√ √
3
Risico’s Ten gevolgen van een onbetrouwbare interface worden: identiteiten niet verwijderd autorisaties te ruim ingesteld Beheerder kent zichzelf rechten toe ten gevolge van gecentraliseerd autorisatiebeheer
Verschijningsvorm 1
√
Verschijningsvorm 2
√
Verschijningsvorm 3
√ √ √
Doordat de gedefinieerde kansen bijdragen aan de juistheid van de inrichting van de autorisaties en de betrouwbaarheid van het autorisatieproces kan, in plaats van een gegevensgerichte controleaanpak, een systeemgerichte aanpak worden gehanteerd. Dit hangt tevens samen met de inrichting van de IT General Controls en het samenspel tussen application controls en de handmatige beheersmaatregelen. De mate waarin voor de jaarrekening toegevoegde waarde kan worden geleverd is afhankelijk van de mate waarin de betrouwbare werking van de geautomatiseerde beheersmaatregelen kan worden vastgesteld gedurende het controlejaar. Om de werking te kunnen vaststellen is het een voorwaarde dat logging aanwezig en betrouwbaar is.
4
1
Inleiding
1.1
Aanleiding en doelstelling
Vanuit ons perspectief als IT auditors zien wij dat organisaties moeite hebben met het beheersen van autorisaties binnen systemen. Taken, verantwoordelijkheden en bevoegdheden om de digitale identiteiten en de bijbehorende autorisaties te beheersen zijn vaak op meerdere plekken belegd. Procedures om autorisaties aan te vragen, te muteren, te verwijderen en te beheren zijn vaak niet (formeel) aanwezig of werken niet. Het risico is dat autorisaties en bevoegdheden actief blijven terwijl deze verwijderd hadden moeten worden. Dit kan tot gevolg hebben dat ongeautoriseerde personen gebruik maken van deze accounts en daarbij toegang tot kritische systemen kunnen verkrijgen. Een ander risico is dat gebruikers teveel rechten hebben en hierdoor ongeautoriseerde wijzigingen kunnen doorvoeren. Om deze problematiek aan te pakken worden met name bij grotere bedrijven Identity Management systemen geïmplementeerd. IDM (hierna: IDM) kan op verschillende manieren worden beschreven, in onze optiek geeft Emmens (2007) de beste definitie van IDM: “Identity management is het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren” 1 De doelstelling die organisaties voor ogen hebben met de implementatie van een IDMsysteem is hetzelfde, namelijk een efficiënter beheer van identiteiten en autorisaties binnen een steeds complexer wordende automatiseringsomgeving. De “driver” om de problematiek van autorisatiebeheer op te pakken verschilt per organisatie. Veelgenoemde redenen zijn het reduceren van kosten en het voldoen aan relevante wet- en regelgeving, zoals de Sarbanes-Oxley (SOx)-wetgeving. De controle van de jaarrekening door de accountant wordt niet als driver genoemd. Dit is echter wel het perspectief van waaruit wij met deze ontwikkeling worden geconfronteerd. In deze scriptie zullen wij de relatie leggen tussen deze ontwikkeling en de wijze waarop deze de controle van de jaarrekening zou kunnen beïnvloeden. In het kader van de jaarrekeningcontrole is op dit moment bij ons en bij de accountant in onvoldoende mate bekend welke risico’s IDM met zich meebrengt en welke kansen IDM kan bieden voor het realiseren van een efficiëntere controleaanpak. Deze scriptie heeft als doelstelling om de risico’s en kansen van Identity management in het kader van de jaarrekeningcontrole in kaart te brengen.
1
Emmens, 2007 5
1.2
Onderzoeksvraag
De hoofdvraag van deze scriptie is als volgt: “Welke risico’s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole?” Deze hoofdvraag wordt uiteengesplitst in verschillende deelvragen:
Wat is Identity Management?
Identity management is een veelomvattend begrip. In de literatuur worden diverse definities gehanteerd voor IDM. Het is daarom van belang een omschrijving te geven van wat wij in het kader van het onderzoek verstaan onder IDM. Wij zullen hiertoe de eerder aangegeven definitie verder uitwerken en aangeven wat de business drivers zijn om IDM in te voeren. Daarnaast worden de verschillende onderdelen van IDM nader toegelicht en worden de drie verschijningsvormen van IDM behandeld.
Wat is de relatie tussen Identity Management en de jaarrekeningcontrole?
Om een conclusie te kunnen trekken over de risico’s en kansen van IDM voor de jaarrekeningcontrole is het van belang inzicht te krijgen in de wijze waarop een jaarrekening gecontroleerd kan worden. Tevens zal worden aangegeven welke rol automatisering en specifiek de inrichting en beheer van autorisaties hierbij kunnen spelen. Tenslotte zal de relatie van de jaarrekeningcontrole met IDM worden uitgewerkt.
Welke kansen biedt een identity management oplossing voor de auditaanpak?
In dit onderdeel zullen wij nader ingaan op de kansen die IDM biedt om een betere controleaanpak tot stand te brengen onder andere aan de hand van een cijfermatig model. Wij zullen de kansen tevens in relatie brengen met de verschillende gedefinieerde verschijningsvormen.
Wat zijn de belangrijkste risico’s van een Identity Management oplossing voor de jaarrekeningcontrole?
In een eerder stadium van ons onderzoek hebben wij aangegeven wat de meest voorkomende verschijningsvormen zijn van IDM. Wij zullen aangeven wat de mogelijke risico’s zijn die bij elke inrichtingsvorm van toepassing zijn en op welke wijze deze risico’s beheerst kunnen worden.
1.3
Onderzoeksaanpak
Onze onderzoeksresultaten zijn gebaseerd op de volgende onderzoeksmethodieken: a) Literatuurstudie teneinde een beeld te krijgen van het concept identity management, de jaarrekeningcontrole en de gerelateerde problematiek. b) Interviews met verschillende personen die kennis hebben van de praktische invulling van Identity Management. De volgende personen zijn in het kader van het onderzoek geïnterviewd:
6
Wim Hutten Partner Systems & Process Assurance Middle Market bij PricewaterhouseCoopers
Otto Vermeulen Director Security & Technology group bij PricewaterhouseCoopers
Maarten Stultjens Directeur BHOLD-company, leverancier van rolgebaseerde autorisatiemanagementsoftware
Ron Bregman en Jurriaan Rijnbeek IT auditors bij Fortis Nederland
Frans van Buul Zelfstandig ondernemer, consultant computer and network security
7
2
Identity Management
In dit hoofdstuk wordt antwoord gegeven op de eerste onderzoeksvraag: “Wat is Identity Management”? Ten eerste wordt de in dit onderzoek toegepaste definitie nader toegelicht. Daarnaast wordt aangegeven wat de business drivers zijn om Identity Management in te voeren binnen een organisatie. Vervolgens worden de verschillende onderdelen van IDM nader toegelicht en tot slot worden een drietal veelgebruikte verschijningsvormen van IDM geïdentificeerd en uitgewerkt.
2.1 Definitie Identity Management Uit literatuuronderzoek is gebleken dat een eenduidige definitie van Identity management niet aanwezig is. Zoals in de inleiding is toegelicht wordt in dit onderzoeksrapport de volgende definitie van Identity management gehanteerd: “Identity management is het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren”2 Wij hebben gekozen voor deze definitie omdat het naar onze mening een aantal essentiële elementen omvat, waaronder het onderscheid tussen identificatie, authenticatie (toegang tot systemen) en autorisatie (gebruik van systemen). Deze drie elementen zijn toepassing op elke vorm van toegangsbeveiliging van applicaties. Daarnaast wordt logging gebruikt om toegang tot systemen te controleren. De definities van deze begrippen zijn als volgt3:
Identificatie:
Authenticatie:
Autorisatie:
Rapportering:
het systeem van toegangsbeveiliging moet kunnen vaststellen wie de gebruiker is (bijvoorbeeld met behulp van een gebruikersnaam) de gebruiker moet kunnen aantonen dat hij ook degene is die de gebruiker via zijn identificatie beweert te zijn (bijvoorbeeld met gebruik van een wachtwoord of een ander middel). het systeem moet over de mogelijkheid beschikken de gebruiker die bevoegdheden te geven die hij op grond van zijn functie nodig heeft. het systeem moet over faciliteiten beschikken om het gebruik van het systeem te kunnen controleren. Het proces van het opslaan van deze gegevens wordt logging genoemd. Wij zullen in het onderzoeksrapport de term logging hanteren.
In de literatuur wordt voor deze definitie ook de aanduiding “Identity and Access management” gebruikt. In deze scriptie zal het begrip “Identity Management” worden gehanteerd.
2 3
Emmens (2007) Van Praat/Suerink (2005), pp. 281. 8
2.2 Business drivers voor Identity Management Volgens Hermans4 is het belang van IDM voor organisaties toegenomen doordat in vergelijking met het verleden: -
het aantal resources met elk een eigen authenticatie- en autorisatiemodule is toegenomen; zowel medewerkers als partners, klanten en leveranciers toegang moeten krijgen tot resources; het aantal autorisaties per gebruiker toeneemt; het aantal administratoren toeneemt, veelal georganiseerd per platform en/of toepassing; de invloed van wet- en regelgeving is toegenomen. Hierdoor is de bewustwording voor interne beheersing alsmede informatiebeveiliging toegenomen; de noodzaak van kostenbeheersing is toegenomen.
In verschillende artikelen worden de volgende redenen geïdentificeerd om IDM in te voeren5. Reduceren risico’s Gartner6 stelt dat gemiddeld 30 – 60% van de gebruikersaccounts zijn toegewezen aan medewerkers die niet meer in dienst zijn. Het risico hiervan is dat de medewerkers nog steeds toegang hebben tot gevoelige informatie en mogelijkheid hebben om ongeautoriseerde mutaties door te voeren. Andere risico’s zijn dat gebruikers toegang hebben tot functies en/of informatie die zij in hun functie niet nodig hebben, medewerkers bij uitdiensttreding informatie meenemen naar de concurrent en gebruikers wachtwoorden opschrijven omdat ze voor elk systeem een andere gebruikersnaam en wachtwoord moeten gebruiken. Volgens de literatuur draagt IDM bij aan het reduceren van deze risico’s. Operationele efficiency Met name voor de kleinere ondernemingen is operationele efficiency de primaire reden voor het invoeren van IDM. Hierbij spelen drie factoren een rol, namelijk het realiseren van kostenbesparingen, het verbeteren van de beheeromgeving en de verbetering in gebruikersgemak: Door de ontwikkeling van onder andere web-based applicaties en toegang tot applicaties door externe partijen (bijvoorbeeld klanten en leveranciers) is de complexiteit van het beheer van identiteiten en de bijbehorende rechten toegenomen. In de praktijk maken personen van meerdere applicaties gebruik waarvoor verschillende identiteiten benodigd zijn. Het beheer van de rechten van een bepaalde persoon wordt hierdoor tevens bemoeilijkt. Uit onderzoek is gebleken dat de helpdesk 50% van de tijd bezig is met het beheren van gebruikerstoegang. De beheeromgeving kan worden ontlast door het automatiseren van arbeidsintensieve taken (aanmaken, wijzigen en verwijderen accounts en autorisaties). Deze taken kunnen vanuit één centrale IDM-omgeving worden uitgevoerd. Indien een gebruiker bijvoorbeeld uit dienst treedt wordt door middel van het IDM-systeem zorggedragen dat de gebruiker in de gekoppelde applicaties
4
Hermans (2005) Hermans (2007), van der Staaij (2008), Emmens (2007) en Jurg (2004) 6 Emmens (2007) 5
9
geen toegang meer heeft. Daarnaast is gebleken dat gebruikers voorzichtiger omgaan met de authenticatiemiddelen naarmate daarmee toegang tot meer toepassingen kan worden verkregen. IDM vergroot het gebruikersgemak aangezien gebruikers na de invoering meestal nog maar één inlogmoment en één authenticatiemiddel hebben waarna ze toegang verkrijgen tot een groot aantal applicaties.
Voldoen aan interne en externe wet- en regelgeving Het voldoen aan wet- en regelgeving is met name voor de beursgenoteerde ondernemingen een belangrijke motivatie om een IDM-oplossing in te voeren. Met de komst van SOx, Basel II en Code Tabaksblat is transparantie en het aantoonbaar in control zijn voor veel organisaties een eis geworden. Deze eisen zijn terug te voeren op richtlijnen voor de opzet van autorisatiemodellen binnen de organisaties evenals het proces van beheer van toegang tot data. Met de steeds complexer wordende IT-omgeving en eisen van de gebruikers ten aanzien van IT is het voor organisaties een continue uitdaging om autorisaties op orde te krijgen en te houden. Uit onderzoek7 is gebleken dat de meeste organisaties een handmatige aanpak hanteren voor het verifiëren van controls ten aanzien van autorisaties. Volgens de literatuur wordt het met de inzet van IDM-tooling mogelijk om de ‘in control’ status op een effectieve en efficiënte manier te bereiken.
2.3 Onderdelen Identity Management Bij IDM staat de identiteit van een individu binnen een digitale omgeving centraal. IDM omvat een aantal onderdelen welke hieronder worden toegelicht8. Een aantal van deze onderdelen werden al binnen systemen toegepast voordat het begrip IDM bekendheid kreeg. Wij zullen binnen het kader van dit onderzoek deze begrippen onder de noemer IDM scharen. User provisioning Dit betreffen de activiteiten die gericht zijn op het beheer van de gehele levenscyclus van een identiteit binnen de digitale omgeving. De levenscyclus start bij indiensttreding waarbij een nieuwe digitale identiteit met bijbehorende autorisaties wordt aangemaakt. Gedurende de diensttijd wijzigt de persoon van functie dat tot gevolg heeft dat de autorisaties die aan de identiteit zijn toegewezen aangepast moeten worden. De levenscyclus eindigt met uitdiensttreding en zijn identiteit zal uit alle systemen verwijderd dienen te worden. In de praktijk krijgt user provisioning invulling doordat een medewerker wordt ingevoerd in het HR-systeem van een organisatie. Via een interface wordt een nieuwe medewerker automatisch doorgestuurd naar een centraal IDM systeem waar zijn autorisaties verder worden ingericht en worden gedistribueerd naar de doelsystemen. Wanneer de uitdiensttreding in het HR-systeem wordt gemeld, wordt de identiteit via dezelfde weg binnen het IDM-systeem op non-actief gesteld of verwijderd. Authenticatiemanagement Authenticatie van een gebruiker kan met verschillende mate van betrouwbaarheid worden vastgesteld. Normale authenticatie omvat uitsluitend de invoer van een persoonsgebonden wachtwoord ter controle. Sterke authenticatie is het op minimaal tweevoudige wijze
7 8
Ponemom Institute (2007) Hermans (2005) en van der Staaij (2008) 10
vaststellen van de authenticiteit van een gebruiker die zich aanmeldt bij een applicatie. Het controleren van een identiteit kan op basis van wat iemand weet (bijvoorbeeld een wachtwoord of pincode), wat iemand in zijn bezit heeft (bijvoorbeeld een token) en/of wat van de persoon zelf is (bijvoorbeeld een vingerafdruk of iris). Autorisatiemanagement Hieronder worden de activiteiten verstaan die zijn gericht op de inrichting en het beheer van autorisaties van gebruikers. Autorisaties zijn de handelingen die een medewerkers binnen één of meerdere systemen kan uitvoeren. Autorisatiemanagement kan worden omschreven als: “Het geheel van technische, procedurele en organisatorische maatregelen die de organisatie toepast ten einde de logische toegangsverlening tot de objecten van de informatievoorziening te beheersen, zodanig dat deze overeenkomen met het daartoe gedefinieerde beleid” 9. Beheer van autorisaties wordt arbeidsintensief en foutgevoelig wanneer medewerkers rechtstreeks aan autorisaties binnen elke applicatie worden gekoppeld. Een medewerker bezit voor elke applicatie een identiteit, waar autorisaties aan zijn gekoppeld. De juistheid van autorisaties moet per medewerker worden gecontroleerd om de belangrijkste doelstelling van beheer (risico van teveel rechten) vast te kunnen stellen. Om de inrichting en controle van toegangsrechten te structureren en te vereenvoudigen, wordt in toenemende mate Role-based access control (RBAC) toegepast. Hierbij worden toegang tot en binnen applicaties op basis van rollen verleend. Een medewerker is aan een rol gekoppeld. Deze rol bevat vervolgens de autorisaties. Een rechtstreekse koppeling tussen medewerker en autorisatie wordt op deze manier vermeden. Een RBAC-rol is een verzameling van activiteiten die is gebaseerd op de organisatiestructuur, bedrijfsprocessen, een bepaald beleid of een combinatie hiervan. Aan deze activiteiten worden vervolgens de juiste rollen binnen de automatisering gekoppeld. Om te komen van een bestaand autorisatiemodel naar een op rollen gebaseerd autorisatiemodel zijn twee aanpakken mogelijk, te weten:
een top-down benadering waarbij vanuit de administratieve organisatie wordt bepaald welke privileges bij welke rollen zouden moeten horen (soll-positie). Deze conceptuele rollen worden vervolgens vertaald naar de automatiseringsomgeving. een bottom-up benadering waarbij gebruik wordt gemaakt van role-mining. Met gebruikmaking van software wordt getracht patronen in de bestaande autorisaties binnen de automatiseringsomgeving te onderkennen, afwijkingen te identificeren en op basis hiervan rollen te definiëren.
In hoofdstuk 4 zullen wij ingaan op wat voor praktische consequenties de traditionele inrichting en RBAC hebben voor de controle van de jaarrekening. Single Sign On
9
Tellegen (2005) 11
Een gebruiker wordt in het geval van Single Sign On in staat gesteld om na eenmalige invoer van gebruikersnaam en wachtwoord toegang te verkrijgen tot meerdere systemen en applicaties. Monitoring In de context van IDM dient, om goede controle mogelijk te maken, vastgesteld te worden dat geen ongeautoriseerde wijzigingen in rollen worden doorgevoerd. Daarnaast dient te worden vastgesteld dat het proces van toevoegen en verwijderen van identiteiten en autorisaties betrouwbaar verloopt. Logging en rapportages zijn van belang om een goed inzicht in en oordeel over betreffende activiteiten en gebruikers te kunnen krijgen.
2.4 Verschijningsvormen Identity Management In de IDM-systematiek wordt onderscheid gemaakt tussen bronsystemen waarin de primaire registratie van de identiteit plaatsvindt (bijvoorbeeld het HR-systeem of een CRMsysteem), het IDM-systeem waar de rollen zijn gedefinieerd en de doelsystemen waar de geregistreerde identiteiten via provisioning procesmatig en geautomatiseerd naar worden doorgezet. Een IDM-systeem faciliteert de mogelijkheid biedt identiteiten en de bijbehorende rollen en rechten centraal te beheren. De functionaliteiten die IDM-systemen bieden, verschillen onderling. De literatuur identificeert de volgende drie verschijningsvormen van Identity Management10: 1. De doelsystemen hebben een eigen authenticatie- en autorisatieadministratie. Deze systemen authenticeren en autoriseren gebruikers op basis van data die in de applicatie zelf zijn opgeslagen. User management en provisioning kunnen worden toegepast om nieuwe, gewijzigde en verwijderde identiteitsgegevens naar de doelsystemen door te zetten en een efficiënt en consistent gebruikersbeheer te bewerkstelligen. 2. De doelsystemen beschikken over een eigen autorisatieadministratie en autoriseren gebruikers op basis van data die in de applicatie zelf zijn opgeslagen. Voor de authenticatie wordt echter gesteund op de centraal opgeslagen wachtwoordgegevens in het IDM-systeem. Het voordeel hiervan is dat authenticatiedata centraal beheerd kan worden. 3. De doelsystemen steunen voor zowel de toewijzing van autorisatie en de authenticatie volledig op de IDM-oplossing. De applicatie kent een elektronisch ticket toe aan de gebruiker waarmee deze kan inloggen op het doelsysteem. Het verschil tussen deze drie IDM-oplossingen heeft betrekking op de plaats (decentraal in het doelsysteem c.q. centraal in het IDM-systeem) waar de beslissing genomen wordt om de authenticatie goed te keuren en autorisatie toe te kennen.
2.5 Samenvatting In dit hoofdstuk is een toelichting gegeven op wat in dit onderzoeksrapport onder IDM wordt verstaan. Hierbij wij het begrip gedefinieerd en aangegeven welke onderdelen IDM omvat en in welke verschijningsvormen IDM voorkomt. Deze onderwerpen zullen wij in de volgende hoofdstukken nader uitwerken. In het volgende hoofdstuk wordt de relatie van IDM met de jaarrekeningcontrole toegelicht.
10
Hermans (2005) 12
3 Identity management en de jaarrekeningcontrole In dit hoofdstuk wordt dieper ingegaan op de wijze waarop een jaarrekening tot stand komt, en de rol die administratieve systemen bij de totstandkoming van de benodigde financiële gegevens spelen. Daarnaast zullen wij onderzoeken hoe de accountant gebruik kan maken van geautomatiseerde beheersmaatregelen binnen deze administratieve systemen, met doel een efficiëntere en effectievere controleaanpak tot stand te brengen. Wij zullen hier tevens de relatie leggen tussen de controleaanpak waarin geautomatiseerde beheersmaatregelen een belangrijke rol spelen, en Identity Management.
3.1 Doelstelling van de jaarrekeningcontrole Doelstelling van de jaarrekeningcontrole door de externe accountant is vast te stellen, dat de financiële verantwoording zoals vastgelegd in de jaarrekening, een getrouw beeld geeft van de werkelijkheid. Vanuit het perspectief van de accountant kan de wijze waarop een jaarrekening wordt gecontroleerd, variëren. De accountant zal zijn aanpak bepalen door uit te gaan van de posten die op de jaarrekening staan. Deze posten zijn uiteindelijk gebaseerd op de transacties die binnen de onderliggende financiële processen worden uitgevoerd. Eén van de mogelijkheden om de betrouwbaarheid van de post te beoordelen is het beoordelen van de betrouwbaarheid van het onderliggende financiële proces. Wij zullen deze werkwijze als uitgangspunt gebruiken. In de meeste organisaties vindt de administratie van transacties plaats binnen administratieve systemen zoals het financiële systeem, de personeels- en salarisadministratie. Als onderdeel van het onderzoek zal de accountant bepalen welke systemen gebruikt worden voor het verzamelen, bewerken, communiceren en rapporteren van transacties, en welke risico’s van toepassing zijn op de betrouwbaarheid van de transacties, en daarmee de jaarrekeningpost. Om risico’s te beheersen, implementeren organisaties beheersmaatregelen. Deze beheersmaatregelen kunnen door personen worden uitgevoerd (“handmatige beheersmaatregelen”) of door systemen (“geautomatiseerde beheersmaatregelen”). Om voor de jaarrekening van nut te kunnen zijn, dient te kunnen worden vastgesteld dat deze beheersmaatregelen gedurende het controlejaar aanwezig zijn geweest. Hierbij komen de begrippen opzet, bestaan en werking aan de orde. Onder de opzet verstaan wij de wijze waarop beheersmaatregelen zijn voorzien in plannen en documenten. Onder bestaan verstaan wij de wijze waarop de voorziene beheersmaatregelen ook zijn geïmplementeerd. Bestaan wordt vastgesteld met behulp van een eenmalige waarneming op één punt in de tijd. Onder werking verstaan wij of de beheersmaatregelen hebben gewerkt over de vastgestelde periode (het controlejaar). Werking wordt vastgesteld met behulp van een steekproef. De accountant zal in overleg met de IT auditor zich op de hoogte moeten stellen welke beheersmaatregelen aanwezig zijn, waar zij zich bevinden (in de AO/IC c.q. binnen de 13
automatisering), welke risico’s deze afdekken en welke bedreigingen van toepassing zijn op het betrouwbaar functioneren van de beheersmaatregel. De accountant en de IT auditor zullen gezamenlijk een oordeel moeten vormen of het samenspel van de handmatige en geautomatiseerde beheersmaatregelen voor het verwerken van transacties voldoende is om tot betrouwbare financiële informatie te kunnen leiden. Dit oordeel is bepalend voor de controleaanpak die wordt gekozen om een specifiek financieel proces te controleren. De hierbij voorkomende aanpakken zijn een systeemgerichte aanpak of een gegevensgerichte aanpak, of combinaties van beide. Deze begrippen zullen in de volgende paragraaf nader worden toegelicht.
3.2 Gegevensgerichte en systeemgerichte controleaanpak Onder gegevensgerichte en systeemgerichte aanpak wordt verstaan: Gegevensgerichte aanpak Hierbij wordt de betrouwbaarheid van data gecontroleerd door steekproefsgewijs de transacties binnen een financieel proces te controleren. Hierbij wordt gecontroleerd of de transacties in overeenstemming zijn met het daarvoor geldend interne beleid en externe regelgeving. In deze aanpak wordt niet gesteund op de betrouwbare werking van beheersmaatregelen binnen een applicatie. Systeemgerichte aanpak De systeemgerichte aanpak wordt gehanteerd wanneer de accountant zich een positief oordeel heeft gevormd over de betrouwbaarheid van beheersmaatregelen binnen een financieel proces. Dit oordeel houdt in, dat de beheersmaatregelen aanwezig zijn, dat deze de risico’s ten aanzien van de betrouwbaarheid van informatie voldoende afdekken en dat de risico’s om de betrouwbaarheid van deze beheersmaatregelen te beïnvloeden beperkt zijn. Hij zal zich tijdens de accountantscontrole met name richten op de vraag of de meest essentiële beheersmaatregelen gedurende het controlejaar betrouwbaar hebben gewerkt. Is dit het geval, dan verkrijgt hij een redelijke mate van zekerheid over de betrouwbaarheid van het proces en de informatie die door het proces wordt gegenereerd. Aanvullend wordt nog een steekproef op de transacties uitgevoerd, maar de omvang van deze steekproef is kleiner dan in het geval van een volledig gegevensgerichte controle. In de praktijk wordt voor een jaarrekeningcontrole veelal een combinatie van bovenstaande methoden gebruikt, waarbij de aanpak per financieel proces verschilt. Een systeemgerichte controle wordt als efficiënter beschouwd, met name wanneer de complexiteit van processen toeneemt. In ons onderzoek hebben wij als startpunt vastgesteld dat een systeemgerichte controle wenselijk is, en dat daarom een onderzoek naar de (geautomatiseerde) beheersmaatregelen een vereiste is voor elke jaarrekeningcontrole. In de volgende paragraaf zullen wij dieper ingaan op de wijze waarop geautomatiseerde beheersmaatregelen vanuit het perspectief van de jaarrekeningcontrole worden bezien en welke rol Identity management speelt binnen dit onderzoek.
3.3 Beoordeling van geautomatiseerde beheersmaatregelen Wanneer een systeemgerichte aanpak wordt gehanteerd, wordt in de meeste gevallen de betrokkenheid van de IT auditor gezocht. Een auditor kijkt naar beheersmaatregelen op verschillende lagen: 14
Processen Application Controls IT General Controls.
Deze begrippen worden in het volgende nader toegelicht. Processen In eerste instantie zal de IT auditor in overleg met de accountant bepalen wat de controledoelstellingen zijn voor een financieel proces of primair proces met financiële consequenties voor de jaarrekening. Een doelstelling kan zijn om een of meerdere kwaliteitsaspecten (juistheid, volledigheid, tijdigheid) van de invoer, verwerking, communicatie of rapportage van transacties vast te stellen. In overleg met de accountant zal de IT auditor onderzoeken, welke beheersmaatregelen deze juistheid, volledigheid en tijdigheid afdwingen. Een van de meest krachtige beheersmaatregelen die binnen een proces kan worden teruggevonden, is controletechnische functiescheiding. Het doel van functiescheiding is het creëren van tegengestelde belangen tussen personen. Functiescheiding betreft een zodanige scheiding van taken en bevoegdheden dat geen van de functionarissen binnen een proces alle schakels van het proces kan beïnvloeden. Bij kleinere organisaties is het soms lastig om functiescheiding te realiseren. In deze scriptie wordt als uitgangspunt gehanteerd dat de organisatie van voldoende omvang is. Aangezien processen met financiële consequenties in de huidige maatschappij voornamelijk binnen systemen worden uitgevoerd, heeft de IT auditor onder meer tot taak de aanwezigheid van deze functiescheidingen binnen de geautomatiseerde systemen vast te stellen. Zijn deze functiescheidingen niet aanwezig, dan heeft dit gevolgen voor de mate waarin de accountant systeemgericht kan controleren. Application Controls Application controls kunnen worden gedefinieerd als “…alle in applicaties opgenomen geprogrammeerde beheersmaatregelen…”11. Deze hebben tot doelstelling om voldoende functiescheiding binnen de applicatie te creëren en betrouwbare verwerking van gegevens door de applicatie te waarborgen. Application controls hebben directe invloed op de betrouwbaarheid van de transacties binnen een proces. De functiescheidingen die in het proces zijn gedefinieerd, dienen vertaald te worden naar de applicatie. Deze scheiding van functies binnen de applicatie gebeurt door alleen functionarissen die de applicatie voor hun werkzaamheden benodigd zijn, toegang te verschaffen. De handelingen die een persoon binnen de applicatie kan uitvoeren, dienen te worden beperkt tot wat hij voor de uitvoering van zijn werkzaamheden benodigd is, en vanuit het oogpunt van functiescheiding wenselijk is. Alle handelingen die binnen een applicatie door een persoon kunnen worden uitgevoerd zijn vastgelegd in autorisaties. Naast autorisaties kennen applicaties nog vele andere application controls die onder meer tot doel hebben de juiste en volledige invoer, verwerking, communicatie en rapportage van gegevens te waarborgen. Binnen het kader van deze scriptie zijn autorisaties echter het meest relevant.
11
Groen, P. “Application controls in een breed perspectief”, Informatiebeveiliging, november 2006 15
IT General Controls IT General Controls kunnen worden omschreven als de beheersing van de IT omgeving, waarin de applicaties en de bijbehorende application controls functioneren. Een goede beheersing van de IT General Controls is een voorwaarde voor het betrouwbaar functioneren van de application controls. Binnen de IT General Controls wordt onderscheid gemaakt tussen een aantal beheerprocessen12:
Change Management. Dit proces heeft tot doel te borgen dat alleen goedgekeurde programmatuur in productie wordt gebracht. Dit houdt onder meer in dat de aanwezigheid en betrouwbare werking van application controls wordt vastgesteld voordat deze in productie worden gebracht. Computer Operations. Dit proces heeft tot doel de integriteit en beschikbaarheid van programmatuur en gegevens in de productieomgeving te borgen, door bijvoorbeeld de mogelijkheid te bieden om verloren gegevens te herstellen en operationele problemen te voorkomen of op te lossen. System Development. Dit proces heeft tot doel te borgen dat in nieuw te ontwikkelen applicaties voldoende application controls worden ingebouwd. Access to programs and data. Dit proces heeft tot doel de scheiding tussen de gebruikers-, IT beheer- en ontwikkelingsorganisatie te borgen, voor wat betreft de logische en fysieke toegang tot programmatuur, gegevens en fysieke middelen.
Om de relatie tussen Identity Management en de jaarrekening te kunnen leggen, is Access to programs and data het meeste van belang, omdat het proces autorisatiebeheer als onderdeel van dit beheerproces wordt onderzocht. Het proces autorisatiebeheer heeft als doelstelling de functiescheidingen, zoals deze vanuit de AO/IC naar autorisaties zijn vertaald, in stand te houden door wijzigingen op gecontroleerde wijze door te voeren en periodiek te controleren, dat de autorisaties binnen het systeem de werkelijke situatie weergeven. Het proces autorisatiebeheer omvat in de meeste gevallen tevens het beheer van digitale identiteiten. Het proces autorisatiebeheer heeft niet alleen betrekking op de autorisaties binnen applicaties, maar ook op fysieke toegang tot een gebouw, toegang tot het netwerk en eventueel servers en databases die de applicatie ondersteunen. Eisen die aan een adequaat proces autorisatiebeheer worden gesteld: Aanvraag en formele goedkeuring van de autorisatieaanvraag door een geautoriseerd persoon (bijvoorbeeld een afdelingshoofd, die voor zijn medewerker een autorisatie aanvraagt) of systeem. Mutatie van autorisaties bij wijziging van functie en verwijdering bij uitdiensttreding leiden ook tot aanpassing van autorisaties. Vastlegging van autorisatieaanvragen in een “SOLL”-positie. Dit is een normpositie die weergeeft hoe de autorisaties binnen een systeem ingericht zouden moeten zijn. Scheiding van beheer van autorisaties binnen een systeem en de normale verwerkingsorganisatie. Dit is een gevolg van de constatering dat de autorisatiebeheerder de rechten heeft om autorisaties in te richten en er voor de
12
Groen, P. “Application controls in een breed perspectief”, Informatiebeveiliging, november 2006 16
beheerder binnen de applicatie nauwelijks functiescheidingen worden afgedwongen, omdat hij deze beheert. Periodieke controle van de juistheid van de autorisaties binnen het systeem (de “ IST”-positie) met de “SOLL”-positie. Deze controles worden bij voorkeur door een persoon onafhankelijk van de beheerder uitgevoerd. De controleerbare vastlegging van goedkeuring, verwerking en controle binnen het autorisatiebeheerproces. Dit kan betekenen dat aanvraagformulieren worden gearchiveerd, maar ook dat de handelingen van de functioneel applicatiebeheerder in de vorm van logging wordt vastgelegd. Deze logging kan niet worden gemuteerd door de persoon wiens handelingen met behulp van deze logging gecontroleerd wordt.
Indien dit proces niet betrouwbaar wordt toegepast heeft dit als risico dat autorisaties door ongeautoriseerde personen in productie kunnen worden gebracht, met als gevolg dat autorisaties te ruim worden ingesteld. Daarnaast bestaat het risico dat autorisaties na uitdiensttreding niet worden gedeactiveerd wat kan resulteren in misbruik door andere gebruikers.
3.4 IDM, IT General Controls en application controls In hoofdstuk 2 is de toepassing van Identity Management uitgewerkt door de verschillende onderdelen (waaronder autorisatiemanagement) te introduceren. In hoofdstuk 3 is gebleken dat vanuit het perspectief van de jaarrekeningcontrole het beheer van autorisaties (opgenomen in de IT General Controls) en de inrichting van autorisaties (opgenomen in de application controls en afgeleid van de AO/IC) in grote mate overlappen met de onderdelen van Identity Management voor de inrichting en beheer van autorisaties. Wanneer een organisatie IDM heeft ingevoerd, en deze van toepassing is op de systemen die in het kader van de jaarrekeningcontrole van belang zijn, dient een IT auditor deze in zijn onderzoek mee te nemen. De IT auditor dient in zijn onderzoek zowel de kansen (door de mogelijkheid van een meer systeemgerichte aanpak te onderzoeken) en de risico’s (doordat er in hogere mate gebruik wordt gemaakt van automatisering) te beoordelen.
3.5 Samenvatting In dit hoofdstuk worden de onderdelen van Identity Management en de relatie met de jaarrekeningcontrole samengebracht. Samengevat kan worden gesteld dat Identity Management de beheersing en inrichting van autorisaties omvat, en dat deze elementen van belang zijn voor de jaarrekeningcontrole, indien deze steunt op de beoordeling van financiële processen. Het belang van autorisaties komt tot uitdrukking omdat deze functiescheidingen op de meest effectieve wijze afdwingen. In hoeverre IDM kansen biedt of risico’s vormt voor de controleaanpak, zal in hoofdstuk 4 worden toegelicht.
17
4 Kansen voor de jaarrekeningcontrole Zoals in hoofdstuk twee is beschreven biedt IDM volgens de literatuur diverse voordelen voor bedrijven. Zoals uit hoofdstuk drie is gebleken, zijn in het kader van de jaarrekeningcontrole de aspecten beheersing en inrichting van autorisaties de belangrijkste aandachtspunten. Geschetst is tevens dat de IT auditor in zijn onderzoek de risico’s voor de jaarrekeningcontrole dient te beoordelen. In dit hoofdstuk zullen de kansen van IDM voor de jaarrekeningcontrole worden beschreven. In dit hoofdstuk zullen wij tevens de verschijningsvormen van Identity Management (zie hoofdstuk twee) in relatie brengen tot de mate waarin de kansen van Identity Management van toepassing zijn.
4.1 Beperking van het aantal te controleren relaties In hoofdstuk twee hebben we RBAC geïntroduceerd als één van de onderdelen van IDM. In hoofdstuk drie is vastgesteld dat de IT auditor binnen het kader van de jaarrekeningcontrole zich met name zal richten op het vaststellen van de betrouwbare vertaling van de AO/IC (en hierbinnen functiescheidingen) naar autorisaties binnen de doelsystemen die voor de jaarrekening van belang zijn. In deze paragraaf zullen we aantonen dat, om de juistheid van de autorisaties voor medewerkers vast te stellen, het aantal te controleren relaties ten gevolge van RBAC afneemt.
4.1.1 Beschrijving kans Om de toegevoegde waarde van RBAC voor de jaarrekeningcontrole te illustreren maken wij gebruik van een rekenmodel, waarin de traditionele situatie, waarin medewerkers rechtstreeks aan rechten worden gekoppeld wordt vergeleken met een situatie waarin gebruikers aan rollen en rollen aan systeemrechten worden gekoppeld. In figuur 4.1 zijn de twee situaties naast elkaar gezet. Aan de rechterzijde wordt de traditionele situatie weergegeven waarbij een medewerker over verschillende identiteiten beschikt en waarbij aan iedere identiteit vervolgens systeemrechten zijn gekoppeld. Aan de linkerzijde wordt de situatie geschetst waarbij een medewerker over één identiteit beschikt waar verschillende rollen en rechten aan zijn gekoppeld.
18
RBAC
Traditioneel
1000
1000
4.000
1.000 4000
1000
User
User 100.000 Business Role
100 8.000.000
100.000 Business Task 2.000.000 Systeemrollen
1000
2000
Systeemrollen
Permissies
Permissies
2.201.000
8.004.000
2000
Figuur 4.1 Traditionele versus RBAC inrichting
De wijze waarop een identiteit aan rechten zijn gekoppeld heeft direct impact op het door de IT-auditor te controleren aantal relaties. We hebben hier aangenomen dat de rechten op detailniveau alle van belang zijn voor de jaarrekeningcontrole. Dit is een hypothetische situatie die niet is gebaseerd op een organisatie die we in de praktijk zijn tegengekomen. Traditionele situatie Uit het rekenmodel blijkt, dat in de traditionele situatie, de rechten van alle gebruikers moeten worden gecontroleerd. Het betreffen hier 1000 personen, die in totaal in het bezit zijn van 4000 digitale identiteiten, aangezien medewerkers in de praktijk elk toegang hebben tot meerdere applicaties. In totaal zijn er 2000 systeemrollen van belang voor de jaarrekening. Het totaal aantal te controleren relaties is afhankelijk van een aantal dingen:
Ten eerste dient voor elke persoon vastgesteld te worden welke digitale identiteiten hij gebruikt. Hiervoor dient voor 4000 identiteiten te worden vastgesteld welke medewerker bij de identiteit hoort. Wanneer een identiteit aan een medewerker is gekoppeld hoeft niet verder te worden gezocht naar andere combinaties dus er zijn 4000 te controleren relaties. Daarnaast dient per digitale identiteit vastgesteld te worden welke rechten deze bezit. Daarnaast is het vanuit het oogpunt van functiescheiding van belang te weten dat een identiteit rechten niet bezit. Dit maakt een controle van alle autorisaties noodzakelijk. Dit zijn in totaal 4000 (users) x 2000 (systeemrollen) = 8.000.000 combinaties. In totaal dienen er in de traditionele situatie dus 4.000 + 8.000.000 = 8.004.000 relaties gecontroleerd te worden.
19
Rolgebaseerd autoriseren Rolgebaseerd autoriseren gebaseerd op het gebruik van rollen heeft als gevolg dat het aantal te controleren relaties kan worden beperkt.
Binnen het concept Identity Management is het van belang dat een medewerker slechts één digitale identiteit heeft. Concreet betekent dit dat 1000 personen in het bezit zijn van in totaal 1000 digitale identiteiten. Hiervan dient de 1-op-1 relatie vastgesteld te worden. Daarnaast moet voor elke digitale identiteit worden vastgesteld, aan welke business role deze is gekoppeld, bijvoorbeeld ‘medewerker financiële administratie A’. Vastgesteld dient te worden dat een medewerker ten eerste is gekoppeld aan de business roles die bij de functie behoren en ten tweede dat de medewerker niet is gekoppeld aan business roles die niet bij de functie behoren. Het aantal te controleren combinaties betreft 1000 (identiteiten) x 100 (business roles) = 100.000. Daarnaast moet voor elke business role worden vastgesteld, welke business tasks hier aan zijn gekoppeld, bijvoorbeeld muteren crediteuren stamgegevens en tevens dat de business role niet is gekoppeld aan business tasks die in conflict zijn met de al gekoppelde business tasks. De relaties tussen de identiteiten en de business tasks hoeft niet voor alle identiteiten te worden vastgesteld aangezien de relatie tussen business role en business tasks gelijk blijft ongeacht het aantal identiteiten. Er zijn 100 (business roles) x 1000 (business tasks) = 100.000 combinaties mogelijk. Tot slot worden de business tasks vertaald naar systeemrollen binnen de automatiseringsomgeving. Hier zijn 1000 (business tasks) x 2000 (systeemrollen) = 2.000.000 combinaties mogelijk. De onderlinge relatie tussen business tasks en systeemrollen is relatief statisch, ongeacht of er meer of minder identiteiten of business roles worden gedefinieerd. Binnen dit rekeningmodel zijn er met gebruikmaking van RBAC 1.000 + 100.000 + 100.000 + 2.000.000 = 2.201.000 relaties die van belang zijn voor de jaarrekening.
Uit dit rekenmodel blijkt dat het gebruik van RBAC het aantal door de IT auditor te controleren combinaties wordt beperkt. De oorzaak moet worden gezocht in het beperken van het aantal digitale identiteiten per persoon, en de groepering van business roles, business tasks en system roles.
4.1.2 Relatie met verschijningsvormen In het onderzoek hebben wij geen aanwijzingen gevonden dat de verschijningsvorm van invloed is op het aantal te controleren combinaties. Het onderscheid tussen de verschijningsvormen heeft met name betrekking op de plaats waar de beslissing wordt genomen om een bepaalde rol toe te wijzen aan een identiteit, in het IDM-systeem of in het doelsysteem. RBAC kan in alle drie situaties in dezelfde mate worden doorgevoerd.
4.2 Betrouwbare beheersing autorisatieproces In hoofdstuk 3 is vastgesteld dat een betrouwbaar beheer van autorisaties een voorwaarde is voor de juistheid van de autorisaties. In deze paragraaf wordt toegelicht dat userprovisioning dit proces automatiseert en daarmee de risico’s van een handmatig proces vermindert.
20
4.2.1 Beschrijving kans Traditionele situatie In de traditionele situatie worden gebruikers (identiteiten) aan doelsystemen toegevoegd middels een geformaliseerde procedure, waarbij in een ideale situatie een geautoriseerd persoon (in de meeste gevallen een afdelingshoofd) via een geaccordeerd formulier de autorisaties voor een van zijn medewerkers aanvraagt. Wijziging en verwijdering van autorisaties zouden op dezelfde wijze moeten worden aangevraagd. In de praktijk blijkt dat het aanvraagproces voor nieuwe autorisaties conform procedure verloopt, omdat een medewerker zonder autorisaties zijn werkzaamheden niet kan uitvoeren. Er is dus een duidelijk belang bij het afdelingshoofd om deze procedure te doorlopen. In het geval van verandering van functie of uitdiensttreding blijkt dat afdelingshoofden vaak vergeten deze procedure te doorlopen, aangezien hij geen directe hinder ondervindt van te ruim ingestelde autorisaties. Dit heeft tot gevolg dat doelsystemen identiteiten bevatten van medewerkers die al uit dienst zijn getreden, of dat de inrichting van autorisaties niet aansluit bij de werkzaamheden die een medewerker uitvoert. In de meeste gevallen zullen de autorisaties ruimer staan ingesteld dan voor de uitvoering van werkzaamheden noodzakelijk is. User-provisioning In het geval van user-provisioning wordt het proces van het toevoegen en verwijderen van identiteiten in doelsystemen geïnitieerd op basis van wijzigingen in een van de bronsystemen. In de meeste gevallen zal dit het HR-systeem zijn. Medewerkers van de personeelsadministratie zullen een wijziging van de dienstbetrekking (indiensttreding c.q. uitdiensttreding) in het HR-systeem doorvoeren. Uitgangspunt is dat op de datum van inen/of uitdiensttreding de betreffende medewerker in het HR-systeem een statuswijziging krijgt die ervoor zorgt dat de user-provisioning functionaliteit wordt geactiveerd. De organisatie heeft belang bij een betrouwbare invoer van deze wijzigingen, mede om te voorkomen dat een medewerker een onjuist salaris krijgt uitbetaald, of salaris krijgt uitbetaald terwijl hij al uit dienst is getreden. Aangenomen dat de technische inrichting van het toevoegen en verwijderen van identiteiten naar doelsystemen betrouwbaar is ingericht, zal dit tot gevolg hebben dat medewerkers uit doelsystemen worden toegevoegd c.q. verwijderd wanneer de dienstbetrekking inhoudelijk wijzigt. In ons onderzoek hebben wij binnen de gesprekken geconstateerd dat user provisioning op deze wijze bijdraagt aan de betrouwbaarheid van het autorisatiebeheerproces. We hebben dit echter niet met praktijkgegevens kunnen onderbouwen, aangezien geen van de door ons onderzochte organisaties heeft gemeten dat identiteiten met behulp van user-provisioning betrouwbaarder worden verwijderd dan in de traditionele situatie het geval was.
4.2.2 Relatie met verschijningsvormen In de praktijk is user-provisioning en hiermee de kans van een betrouwbare beheersing van het autorisatieproces op alle gedefinieerde verschijningsvormen van toepassing
21
4.3 Automatische confrontatie van SOLL en IST In hoofdstuk drie is aangegeven dat met behulp van een periodieke controle onjuiste autorisaties kunnen worden gesignaleerd. Voorwaarde hierbij is dat een betrouwbare, door het management geaccordeerde norm aanwezig is. In deze paragraaf zal blijken dat een aantal IDM-systemen de functionaliteit bieden om deze controle geautomatiseerd uit te voeren.
4.3.1 Beschrijving kans Traditionele situatie In de praktijk blijkt dat periodieke controles op de juistheid van de autorisaties vaak niet worden uitgevoerd. Zelfs wanneer dit wel het geval is, wordt aan de voorwaarde van een betrouwbare norm vaak niet voldaan. Indien in dit geval controles worden uitgevoerd, kunnen kanttekeningen worden geplaatst bij de effectiviteit, aangezien zonder een normpositie de controleur zich zal moeten baseren op zijn eigen kennis. De effectiviteit van deze controle neemt af naar mate het aantal gebruikers van het systeem groter wordt. Automatische vergelijking SOLL-IST In onze gesprekken is naar voren gekomen dat een aantal IDM-systemen de functionaliteit bieden om de werkelijk ingestelde autorisaties (de ist-positie) tot op een gedetailleerd niveau met de norm (de soll-positie) geautomatiseerd te vergelijken. Dit is mogelijk omdat in het IDM-systeem de rollen zeer gedetailleerd zijn vastgelegd. Deze geautomatiseerde controle kan periodiek worden uitgevoerd waarbij de verschillen in rapportages naar voren worden gebracht. Aan de hand van deze rapportages kan de ist-situatie worden aangepast naar de soll-positie. De soll-positie is gebaseerd op een vertaling van de AO/IC naar rollen binnen het IDM-systeem.
4.3.2 Relatie met verschijningsvormen De functionaliteit zoals we deze in de praktijk hebben aangetroffen is nog slechts een uitzondering. De functionaliteit van het systeem is bedoeld om de derde verschijningsvorm van IDM te faciliteren. Deze automatische controle zou wellicht ook van toepassing kunnen zijn op de eerste en tweede verschijningsvorm, maar de controle zou zich dan uitsluitend beperken tot het niveau van identiteiten. Centraal wordt dan bepaald naar welke doelsystemen identiteiten worden doorgestuurd, maar niet welke autorisaties deze identiteiten binnen de doelsystemen zouden moeten bezitten. Om deze reden kan in de eerste en tweede verschijningsvorm uitsluitend worden vastgesteld of een identiteit terecht binnen een doelsysteem aanwezig is.
4.4 Samenvatting Voor de jaarrekeningcontrole dragen de beperking in het aantal te controleren relaties door RBAC, de automatische toevoeging en verwijdering van identiteiten en de automatisering van de controle op de juistheid van autorisaties bij aan de betrouwbaarheid van het autorisatiebeheerproces. Indien een gegevensgerichte aanpak wordt gehanteerd, bijvoorbeeld omdat de controle van autorisaties in de traditionele situatie te veel van het beschikbare budget zou vergen, bestaat door deze toename in efficiëntie en betrouwbaarheid de mogelijkheid een verschuiving plaats te doen vinden van een gegevensgerichte naar een systeemgerichte aanpak. 22
5 Risico’s voor de jaarrekeningcontrole De mogelijkheid om de systeemgerichte aanpak te kunnen hanteren is afhankelijk van de vraag of de verschillende verschijningsvormen van IDM inherente risico’s met zich meebrengen, die in de traditionele situatie niet van toepassing zijn. In dit hoofdstuk worden de risico’s geïdentificeerd en nader toegelicht. Daarnaast wordt beoordeeld in hoeverre de risico’s beheerst kunnen worden.
5.1 Betrouwbaarheid van interfaces In het voorgaande hoofdstuk is beschreven dat aan IDM praktisch invulling wordt gegeven door het IDM-systeem via interfaces te koppelen aan de bron- en doelsystemen. In deze paragraaf zullen we uitwerken welke risico’s dit mee zich meebrengt.
5.1.1 Beschrijving risico Traditionele situatie In de traditionele situatie is er geen sprake van een interface die identiteiten of autorisaties toevoegt. Koppelingen In hoofdstuk twee is toegelicht dat IDM-systemen zijn gekoppeld aan bron- en doelsystemen. Gebruik van interfaces heeft als risico dat de gegevensuitwisseling niet betrouwbaar is. In de praktijk kan dit tot gevolg hebben dat autorisaties onjuist worden doorgegeven en dat identiteiten onvolledig en niet tijdig worden verwijderd.
5.1.2 Relatie met verschijningsvormen In de beschreven verschijningsvormen wordt user-provisioning toegepast. Bij alle verschijningsvormen geldt daardoor het risico dat in het geval van uitdiensttreding of wijziging van functie deze informatie onbetrouwbaar naar de doelsystemen wordt gecommuniceerd. Dit heeft tot gevolg dat identiteiten niet worden verwijderd en ongeautoriseerde toegang kan plaatsvinden. Bij de derde verschijningsvorm is een aanvullend risico aanwezig. Aangezien autorisaties hierbij centraal vanuit het IDM-systeem worden beheerd geldt tevens het risico dat autorisaties niet juist worden overgezet naar de applicaties waardoor gebruikers over teveel rechten beschikken.
5.1.3 Beheersmaatregelen Teneinde te kunnen steunen op het IDM-systeem zijn betrouwbare koppelingen een voorwaarde. In het kader van de jaarrekeningcontrole dienen daarom de koppelingen tussen het IDM-systeem en het bronsysteem en het IDM-systeem en de kritische doelsystemen te worden beoordeeld om vast te stellen of voldoende (handmatige en geautomatiseerde) maatregelen zijn getroffen om een juiste, tijdige en volledige overdracht van gegevens te bewerkstelligen. Maatregelen die kunnen worden genomen om de betrouwbaarheid van de gegevensuitwisseling te borgen of te controleren zijn bijvoorbeeld adequate testwerkzaamheden, logging, encryptie en hashtotalen. 23
5.2 Centraal beheer autorisaties In hoofdstuk 2 is toegelicht dat autorisaties centraal beheerd kunnen worden vanuit het IDM-systeem. In deze paragraaf zullen we aangeven welke risico’s hiermee gepaard gaan.
5.2.1 Beschrijving risico Traditionele situatie In de traditionele situatie is het functioneel applicatiebeheer van doelsystemen decentraal belegd. Functioneel applicatiebeheerders hebben normaliter tot taak om autorisaties in te richten en te onderhouden. Uitgaande van de situatie dat elk doelsysteem een eigen functioneel applicatiebeheerder heeft, blijft de invloed van deze persoon op autorisaties beperkt tot de applicatie waar hij of zij verantwoordelijk voor is. Centraal beheer autorisaties In het geval dat gebruik gemaakt wordt van een IDM-systeem is de invloed van de functioneel applicatiebeheerders niet beperkt tot het systeem waar hij of zij verantwoordelijk voor is. In het bijzonder de beheerder van het IDM-systeem heeft de mogelijkheid om in meer of mindere mate alle gekoppelde systemen (applicaties, maar mogelijk ook servers, databases e.d.) te beïnvloeden. De mate waarin hij invloed kan uitoefenen, is afhankelijk van de hoeveelheid applicaties en andere objecten die aan het IDM-systeem zijn gekoppeld, en de mate waarin de toewijzing van autorisaties tot deze objecten door het IDM-systeem worden bepaald.
5.2.2 Relatie met verschijningsvormen Bij de eerste twee verschijningsvormen is het risico beperkt. Het risico heeft met name betrekking op de derde verschijningsvorm aangezien hierbij ook de autorisaties van diverse doelsystemen centraal worden beheerd in het IDM-systeem. De beheerder heeft hierdoor veel rechten en heeft de mogelijkheid om zichzelf binnen de verschillende doelsystemen autorisaties toe te wijzen. Het hiermee gepaarde risico is dat de beheerder zichzelf rechten toewijst die hem in staat stellen ongeautoriseerde handelingen binnen de doelsystemen uit te voeren. In het geval dat servers en databases doelsystemen zijn, dan zou hij tevens in staat zijn om logging te muteren en daarmee zijn sporen uit te wissen.
5.2.3 Beheersmaatregelen Om vast te stellen dat er geen ongeautoriseerde wijzigingen binnen het IDM-systeem hebben plaatsgevonden is het van belang dat de handelingen van de functioneel applicatiebeheerder worden gelogd, dat deze niet door hem kunnen worden gewijzigd, en dat deze periodiek door een onafhankelijk persoon worden beoordeeld. Daarnaast gaat er van deze maatregel ook een preventieve werking uit. Als tweede maatregel zou het vierogen principe kunnen worden geïmplementeerd waarbij de betrouwbare uitvoering van de wijziging door een onafhankelijk persoon wordt gecontroleerd.
5.3 Samenvatting De risico’s die IDM ten opzichte van de traditionele situatie met zich meebrengt zijn gelegen in de mogelijke onbetrouwbaarheid van gegevensuitwisseling en het centrale beheer van autorisaties. Zoals in dit hoofdstuk is geschetst zijn naar onze mening de risico’s beheersbaar.
24
6
Conclusie
Zoals in de inleiding is gedefinieerd is de hoofdvraag van het onderzoek: “Welke risico’s en kansen zijn op identity management van toepassing binnen het kader van de jaarrekeningcontrole?” In de voorgaande hoofdstukken is een antwoord gegeven op de deelvragen. In dit hoofdstuk wordt de conclusie van het onderzoek beschreven.
6.1
Conclusie en aanbevelingen
Zoals in hoofdstuk 4 is beschreven biedt IDM kansen voor de jaarrekeningcontrole. De randvoorwaarde hierbij is dat de autorisaties zijn ingericht volgens RBAC aangezien hierdoor minder combinaties hoeven te worden gecontroleerd om een oordeel te kunnen vormen over de inrichting van de autorisaties. Daarnaast wordt de betrouwbaarheid van het autorisatieproces vergroot doordat door middel van user-provisioning wordt geborgd dat identiteiten worden verwijderd uit de doelsystemen zodra een medewerker uit dienst treedt. Tot slot bieden een aantal IDM-oplossingen de mogelijkheid om de soll- en de ist-situatie geautomatiseerd met elkaar te vergelijken. In hoofdstuk 5 zijn de risico’s geïdentificeerd waarbij is gebleken dat deze betrekking hebben op de betrouwbaarheid van de koppelingen en het centrale beheer van autorisaties in het IDM-systeem. Onbetrouwbaarheid van koppelingen kan tot gevolg hebben dat identiteiten niet worden verwijderd en dat autorisaties onjuist worden toegewezen. Centraal beheer van autorisaties heeft als inherent risico dat de functioneel applicatiebeheerder van het IDM-systeem de autorisaties in het IDM-systeem en gekoppelde doelsystemen kan beïnvloeden en zichzelf daarmee functiescheiding doorbrekende rechten kan toekennen. Bovengenoemde kansen en risico’s zijn in meer of mindere mate van toepassing op de verschillende verschijningsvormen die zijn geïdentificeerd. In onderstaande tabel zijn de risico’s en kansen voor iedere verschijningsvorm weergegeven. Kansen Beperking van het aantal te controleren relaties met behulp van RBAC Betrouwbare beheersing autorisatieproces door user-provisioning Geautomatiseerde confrontatie ist- en sollpositie
Verschijningsvorm 1
Verschijningsvorm 2
Verschijningsvorm 3
√
√
√
√
√
√ √
25
Risico’s Identiteiten worden niet verwijderd ten gevolge van onbetrouwbare interface Autorisaties worden te ruim ingesteld ten gevolge van onbetrouwbare interface Beheerder kent zichzelf rechten toe ten gevolge van gecentraliseerd autorisatiebeheer
Verschijningsvorm 1
√
Verschijningsvorm 2
√
Verschijningsvorm 3
√ √ √
Ongeacht de verschijningsvorm zijn wij geen risico’s tegengekomen die niet adequaat beheerst kunnen worden. Geconcludeerd kan worden dat de gedefinieerde kansen bijdragen aan de juistheid van de inrichting van de autorisaties en de betrouwbaarheid van het autorisatieproces. Dit kan zich vertalen naar de jaarrekeningcontrole doordat in plaats van een gegevensgerichte controleaanpak een systeemgerichte aanpak kan worden gehanteerd. Dit hangt natuurlijk niet alleen af van het autorisatiebeheerproces en de inrichting van autorisaties, maar ook van de inrichting van de IT General Controls en het samenspel tussen application controls en de handmatige beheersmaatregelen. De mate waarin voor de jaarrekening toegevoegde waarde kan worden geleverd is afhankelijk van de mate waarin de betrouwbare werking van de geautomatiseerde beheersmaatregelen kan worden vastgesteld gedurende het controlejaar. Om de werking te kunnen vaststellen is het een voorwaarde dat logging aanwezig en betrouwbaar is.
6.2
Persoonlijke reflectie
De keuze voor Identity Management als onderwerp van deze scriptie is gebaseerd op onze ervaring als IT auditor bij het accountantskantoor PricewaterhouseCoopers. Onze werkzaamheden bestaan voor een deel van het jaar uit het verlenen van ondersteuning tijdens de jaarrekeningcontrole. Hierbij worden de geautomatiseerde beheersmaatregelen die bij de controleklant aanwezig zijn beoordeeld. Onze ervaring is dat (binnen de industrieën waar wij werkzaam zijn) de klant ten aanzien van de IT General Controls en application controls risico’s loopt. Deze risico’s hebben met name betrekking op het beheer van autorisaties. De accountant zal in zijn controleaanpak rekening moeten houden met het feit dat hij mogelijk niet op de betrouwbaarheid van autorisaties kan steunen. Door middel van deze scriptie willen wij inspelen op de vraag in hoeverre Identity Management de mogelijkheden biedt om een meer betrouwbare vorm van autorisatiebeheer tot stand te brengen. Om dit in relatie te kunnen brengen met ons perspectief (de controle van de jaarrekening) hebben wij aangegeven op welke wijze de jaarrekening wordt gecontroleerd en welke invloed een betrouwbare Identity Management oplossing op de aanpak van de controle zou kunnen hebben. Wij hebben geprobeerd om de theorie met de praktijk te staven door interviews te houden met personen die regelmatig met deze materie te maken hebben. Als (voor ons vrij onverwachte) conclusie kan worden getrokken dat theorie precies dat is: theorie. 26
In hoeverre de geschetste business drivers, zoals meer kostenefficiëntie en meer control ten aanzien van het proces autorisatiebeheer, worden gerealiseerd kan niet met zekerheid worden gezegd. Wij hebben op basis van de theorie en de input vanuit de gesprekken de onderzoeksvragen zo juist en volledig mogelijk getracht te beantwoorden. De resultaten zijn niet kwantitatief gemeten. Naar onze mening is dit een onderzoeksgebied dat nog nader onderzocht dient te worden. Aanknopingspunten voor verdieping in dit onderzoeksveld zijn naar onze mening het verzamelen van empirische data over de betrouwbaarheid en efficiëntie van IDM oplossingen en het ontwikkelen van een NOREA handreiking voor het beoordelen van Identity Management oplossingen.
27
Bijlage 1: Literatuurlijst Boeken en tijdschriften
Bommel, C.F., Goor, H.M. van “IT-auditing in het kader van de jaarrekeningcontrole?”. Compact, februari 2004.
ECP.nl, Platform voor eNederland, Identity Management, november 2007.
Emmens, R. e.a., Identity & Access Management, Whitepaper Inter Access, 2007.
Groen, P. “Application controls in een breed perspectief”, Informatiebeveiliging, november 2006.
Heiden, P.R., Stultjens, M. en Hermans, J.A.M., Rolgebaseerd autoriseren: effectief sturen op ICT-gebruik, Compact, februari 2004.
Hermans, J.A.M. “Identity & Access Management”, presentatie, 2007.
Hermans, J.A.M. en Hart, ter, J., Identity and Access Management: operational excellence of ‘in control?', Compact, maart 2005.
Hermans, J.A.M., Ham, van der, D.B. en Hart, ter, J., In control ten aanzien van uw autorisatiemanagement, het huis op orde krijgen en houden op een effectieve en efficiënte wijze, Compact, februari 2007.
Jurg, P., Oplossingsrichtingen voor SURF en SURFnet op het vlak van Identity Management, Notitie, 30 juni 2006.
NIVRA “Elementaire kennis accountantscontrole”, z.j. (samenvatting beschikbaar op http://www.deaccountant.nl)
Van Praat, J.C., Suerink, J.M. “Inleiding EDP-auditing”, 4e druk, 2005.
Ponemom Institute, Survey on identity compliance, 2007.
Internet:
www.robverstaaij.nl
www.wikipedia.nl
28