w
v
•i
IN.1113519
Gemeente Oosterhout °ntan9en - 7 JUL 2011 ^ ^ ^
gemeente Q o S t e f h O U t
Aande gemeenteraad 31 Fysieke kopieën naar: Degemeeirfera^dsleden 18 Digitale kopieën naar: College van BenW, Secr, Directie,Griffier, BCA, Concernleden
Datum
^ " ^
^ , O ^ i ^ O I)
Uwkenmerk
Ons kenmerk
In behandeling bij
BCA/MA/27062011 (0162) 489520 Onderwerp ITaudit Equalit
Geachte raad, Door PriceWaterhouseCoopers (PWC) is inhetvoorjaar van2011 een IT-audit uitgevoerd bij Equalit. Het betreft een update van de nulmeting die in2009 isverricht naar de kwaliteit van de algemene IT-beheersmaatregelen. Netalsvorigjaar is hier een rapportage van opgesteld,dievoor de raadter inzage isgelegd inde raadsledenkamer.
Doelstellingen van de audit: Dejaarlijkse audit heefttwee doelen. Enerzijds dient bijdejaarlijkse auditvan de gemeente de kwaliteit van de ICT beheermaatregelen beschouwdteworden. Dit nietalleen voor Oosterhout maar voor alle gemeenten welke deelnemen aan Equalit. Anderzijds heeft Equalit een interne doelstelling omde inrichting vande beheerprocessen conform geldende standaards tedoen en hierbijeen ambitie naar hoge kwaliteit te hebben. Hiertoe iseen normenkader opgesteld,welke beduidend zwaardere eisen stelt dan noodzakelijk voor destandaard controle. Dedoelstelling voor deaccountantscontrole van Oosterhout isgehaald. De kwaliteit vande ICTen de beheerprocessen isvan voldoende kwaliteit om alsaccountant een uitspraak te doenover de kwaliteit vandegecontroleerde administraties. De interne ontwikkeldoelstellingen van Equalit zelf zijn in2010 niet bereikt. Deconclusie uit het rapport isvoor ons dan ook dat Equalitvoldoet aandewettelijke eisen en dat hetdoor aan het groeienisnaar een professionele ICTorganisatie.
postadres Postbus 10150,4900GB Oosterhout bezoekadres Slotjesveld 1 Oosterhout
telefoon U0162 fax (0162)423174
e-mail
[email protected] internet www.oosterhout.nl
Belangrijkste conclusies uit het rapport2010: Equalit heeft in2010weer stappen gezet naareen hoger kwaliteitsniveau. PWC heeft echter nog verschillende aandachtspunten die inde rapportage zijnweergegeven. Samengevat komen de volgende zaken in hetrapport naarvoren: 1. Deorganisatieisvolopinbeweging,het volwassenheidsniveauvandebeheersing blijftechter achterbij devoorgenomen ambitie. Ontwikkelgebieden blijven Security management, implementatie, testen en SLA-management (service levelagreement). Erzijn diverseverbeteracties gestart naar aanleiding van de vorige audit, maar devoorgenomen verbeteracties zijn nog nietafgerond. Degeplande kwalitatieve groei blijft hierdoor achter bijdevoorgenomen ambitie. 2.
Formalisereniseenrandvoorwaarde voorcertificering.
Nog nietalle procedures zijnformeelvastgelegd en voor een aantal beheersprocessen ontbreken de procedures ofzijndeze nog nietvoldoende uitgewerkt. Hetgaat hierbij om het autorisatiebeheer, configuration management, problem management enverlenen van externetoegang aan derden. De in2009 beschreven procedures hebben binnendeorganisatie onvoldoende draagkracht, waardoor de procedures statisch zijn geworden. Indien Equalitwil streven naarjaarlijkse certificering van haar IT-dienstverlening dan is hetessentieel dat processen eenformeler karakter krijgen.Alleen dan kan Equalitzichtbaar makendatzijvoldoende beheersmaatregelen heeft getroffen om een betrouwbare IT-dienstverlening aan derden te kunnengaranderen. 3.
Onduidelijkheidoverrollen verlaagtdeslagkracht.
Alsgevolg van deformatiewijzigingen zijn detaken,verantwoordelijkheden en bevoegdheden van kritische rollen nog onvoldoende uitgewerkt. Hierdoor is het niet mogelijk omactief te sturen op taken enverantwoordelijkheden. Het nieuwe functiehuis binnen Equalit zalop korte termijn bekrachtigd worden en dit kaneen belangrijke positieve bijdrage leveren. Het management wordt door PWC geadviseerd om actiefte sturen opdetaken en verantwoordelijkheden, alsmede om adequaat programmamanagementoptezetten. 4.
Groeivraagtomgrip.
Om uiteindelijk te komentot certificering van haar IT-processenzal Equalit de huidige beheersprocessen verder moeten uniformeren enformaliseren.Tevens is het noodzakelijk omde kritische rollen uittewerken ente beleggen binnen deorganisatie. Alleen dan kan de organisatie meer grip krijgen engroeien naar hetgewenste volwassenheidsniveau. PWC adviseert Equalit om eenverbeterplan optestellen,waarbij de resultaten van dit onderzoek en de lopende verbeteracties uitgangspunt moeten zijn. Tevens wordt geadviseerd om een stuurgroep opte richten. Doelvan de stuurgroep is het beoordelen van hetverbeterplan, het periodiek monitoren entoetsen van devoortgang van hetverbeterplan en hetwaar nodig bijsturen.
Ambitie voor2011: Gezien kosten-baten verhouding oriënteren wij ons momenteel op devraag of Equalit moet doorgroeien toteen niveau dat moet leidentot volledige certificering. Uiteraard dient het kwaliteitsniveau van een dusdanig niveau tezijn datde bedrijfsvoering van Oosterhout ende deelnemende gemeenten, conform deeisen die de accountant daaraan stelt, gegarandeerd is. Deaanbevelingen van de accountant omte komen tot hetgewenste volwassenheidsniveau, zullen wij onster harte nemen.
Hoogachtend, BURGEMEESTER ENWETHOUDERS VAN OOSTERHOUT,
burgemeester,
, secretaris.
pwc.nl
Groei volwassenheid achter bij ambitie
Evaluatiekwaliteit ITactiviteiten Equalit 12april 2011
pwc
blijft
pwc Persoonlijk en Vertrouwelijk Gemeente Oosterhout T.a.v. de heer C.van den Hout Postbus 10150 4900 GB OOSTERHOUT
12april 2011
Referentie: 2011-0205213/WH/cwb/ju
Geachte heer Van den Hout,
Uheeft PwCgevraagd een evaluatie uit tevoeren van de ITactiviteiten zoalsdeze door Equalit worden uitgevoerd. Met genoegen presenteren wij uhierbij de definitieve eindrapportage van de evaluatie, inovereenstemming met onze offerte (referentie : 2010-0172026/WH/cwb/ju) van 6juli 2010.Het betreft een adviesrapport waarin wij onzebelangrijkste bevindingen en aanbevelingen rapporteren. Deconceptrapportage isop 22februari 2011met uen de heren W. Zwijgers en A.Oudijk van Equalit afgestemd. Deopmerkingen en reactie naar aanleiding van de afstemming zijn ineen tweede concept rapportage verwerkt envervolgens schriftelijk met uen Equalit afgestemd.
Wijzijn graag bereid ueen nadere toelichting te geven. Hiertoe kunt u contact opnemen met Chantalle Wullems-Beister,via telefoonnummer 088 7921413 ofe-mail: chantalle.wullems-beisterOnl.pwc.com.
Metvrie Price
W.J. Partr? System,
lelijke groet, louseCoopers Accountants N.V.
Process Assurance
PricewaterhouseCoopersAccountantsN.V., Thomas R.Malthusstraat5,1066JRAmsterdam,P.O.Box90357,1006BJAmsterdam,TheNetherlands T:+31 (o)88792 0020,F: +31 (o)88792 9640, www.pwc.nl
Samenvatting In 2009 hebben wij een nulmeting uitgevoerd bij Equalit naar de kwaliteit van de algemene IT-beheersmaatregelen. Opbasisvan deze nulmeting hadden wij in 2009 vastgesteld dat Equalit opde goede weg is omte groeien naar een hoger volwassenheidsniveau van haar IT-functie. Tevens bleek uit ons onderzoek dat een aantal beheersprocessen verder geprofessionaliseerd dienen teworden. Debelangrijkste bevindingen in 2009 waren: Procedures zijn nietvolledig aanwezig ofconcept; Procedures zijn nietvolledig geïmplementeerd; Rollen zijn niet volledig belegd. In 2010 hebben wij insamenwerking met Equalit een update uitgevoerd van de nulmeting van 2009. In dezesamenvatting geven wij de belangrijkste bevindingen en aanbevelingen van ons onderzoek weer. Hoofdstuk 2 geeft een overzicht van de opgevolgde, alsmede de nog openstaande bevindingen van 2009,alsmede zijn aanbevelingen opgenomen voorverbetering. Debevindingen zijn indetail in uw organisatie gedeeld. Samengevat komen devolgende zaken naar voren: Organisatie volop inbeweging, volwassenheidsniveau beheersing blijft achter bijvoorgenomen ambitie; Formaliseren, een randvoorwaarde voor certificeren; Onduidelijkheid over rollen verlaagt de slagkracht; Groeivraagt omgrip.
Groeivolwassenheid blijftachter bijambitie PwC
1. Organisatie volop in beweging, volwassenheidsniveau beheersing blijft achter bij voorgenomen ambitie Equalit ishet afgelopen jaar volop inbeweging geweest. Deorganisatie is verhuisd naar een ander pand en gegroeid qua omvangwaarbij externe medewerkers zoveel mogelijk zijn vervangen doorvaste medewerkers. Tevens is medio 2010 een coördinator ondersteuning aangesteld dieeen toetsende rolvervult omte zorgen dat beheersmaatregelen verder worden verankerd inde organisatie. Een belangrijke ontwikkeling in dit kader isdeherinrichting van de primaire beheersprocessen binnen dehelpdeskapplicatie Assyst. Naast debovenstaande verbeteringen indeformatie hebben wijop basis van onze werkzaamheden vastgesteld dat Equalit vooruitgang heeft geboekt opeen aantal bevindingen, zo: Zijn de rapporteringen richting de deelnemende partijen uitgebreid met openstaande en gemelde incidenten; •
Isde escalatieprocedure voorspoedwijzigingen geïmplementeerd; Ishet autorisatieproces aangescherpt door de aanvullende monitoring op het gebruik van autorisatielijsten bij het muteren van rechten; Isde serverruimte afgesloten middels een sleutelkast welke alleen toegankelijk isvoor geautoriseerde personen.
Tevens stellen wevast dat Equalit voor deprocessen incidentmanagement, informatiebeveiliging en infrastructuur wijzigingen procedures heeft gedefinieerd engecommuniceerd binnen de organisatie.Verder ishet incidentmanagementproces geborgd inde helpdeskapplicatie Assyst. Deze sterke punten komen ooktot uitdrukking inhet volwassenheidsniveau van de IT-functie opdeze onderdelen (ziefiguur 1).
april 2011 3
Samenvatting Echter, opbasis van onze evaluatie in 2010 moeten constateren wij ook, ondanks diverse verbetermaatregelen, dat het huidige volwassenheidsniveau van de IT-functie bij Equalit nagenoeg gelijk is gebleven aan 2009 (ziefiguur 1).
Ontwikkelgebieden blijven Security management, implementatie, testen en SLAmanagement. Debelangrijkste tekortkomingen zijn:
Informatiebeveiliging SLAManagement (intern en extern
Security Management
Back-up management
Logische Toegangsbeveiliging
Continuïteit management
Fysieke Beveiliging
Deautorisatielijsten van dedeelnemende partijen zijn niet actueel en voor één wijziging hebben wijvastgesteld dat deze isverwerkt terwijl de aanvrager niet geregistreerd wasalsgeautoriseerde medewerker. Wij hebben van Equalit begrepen dat zijveleinspanningen hebben geleverd omde autorisatielijsten door dedeelnemende partijen te laten actualiseren. Echter, tot opheden heeft Equalit noggeen geactualiseerde lijst per deelnemende partij ontvangen. Wij merken hierbij opdat het de verantwoordelijkheid isvan de deelnemende partijen om een actuele autorisatielijst aan Equalit te verstrekken. Binnen het huidige change management proces hebben wijvastgesteld dat detestresultaten en het akkoord van de applicatiebeheerder voor een specifieke wijziging niet aantoonbaar zijn gedocumenteerd. Monitoring opdedoorlooptijd van changesvindt niet structureel plaats.
Incident management
Change Management
Het problem management proces isalleen ophoofdlijnen uitgewerkt en niet volledig geïmplementeerd. Tevens hebben wijvastgesteld dat de rol van Problem Manager nog niet definitief belegd is. Monitoring opbeveiligingsincidenten opdefirewallis beperkt.
Systeemontwikkeling
Batch verwerking Computer Operations Management Infrastructuu wijzigingen •2010
2009
Testen Implementatie
Niveau 1 - —Niveau 2 Figuur1 - Spin model
Groeivolwassenheid blijftachterbijambitie PwC
Niveau 3
—- Niveau 4
Richtlijnen ontbreken hoe omtegaan met beveiligingsincidenten. Eengroot aantal gebruikers beschikt over allerechten (administrator) binnen het netwerk. Erzijn geen wachtwoordrestricties actief voor een groot aantal netwerkgebruikersaccounts. Hoewel medewerkers zichbewust zijn van deverbeterpunten en er diverse verbeteracties zijn gestart omdebevindingen van de nulmeting opte volgen, ontbreekt het Equalit aan executiekracht om devoorgenomen verbeteracties afte ronden. Degeplande kwalitatieve groei blijft hierdoor achter bij de voorgenomen ambitie. april 2011
4
Samenvatting 2. Formaliseren, een randvoorwaarde voor certificering
3. Onduidelijkheid over rollen verlaagt de slagkracht
In2009 was Equalit gestart met het professionaliseren van de ITbeheerprocessen opbasisvan ITIL. In samenwerking met een externe consultant zijn destijds conceptprocedures opgesteld voor deze processen welke als uitgangspunt hebben gediend vooronze nulmeting in2009. Echter, opbasis van onzewerkzaamheden in2010 hebben wijvastgesteld dat dezeprocedures niet zijn geactualiseerd. Destatus van alleprocedures isconcept en voor onderstaande beheerprocessen ontbreken deprocedures danwei zijn deze onvoldoende uitgewerkt:
Naast het feit dat procedures ongewijzigd zijn, hebben wijvastgesteld dat de taken, verantwoordelijkheden en bevoegdheden van kritische rollen onvoldoende zijn uitgewerkt. Eenvoorbeeld hiervan isde rolvan Change Manager, welkebelegd isbinnen deorganisatie maar waarvan de functiebeschrijving nog niet is geactualiseerd.
•
Autorisatiebeheer (toekennen/wijzigen/verwijderen autorisaties);
Voorde rollen Configuration- en Problem manager geldt dat deze nog niet zijn belegd binnen de organisatie. Doordat rollen onvoldoende zijn uitgewerkt en belegd ishet niet mogelijk om actiefte sturen optaken en verantwoordelijkheden.
Configuration management; •
Problem management; Verlenen externe toegang aan derden.
Voorts hebben wijvastgesteld dat de huidige werkwijze niet aansluit bij de procedures zoals in 2009 opgesteld. Wehebben van Equalit begrepen dat de in 2009 beschreven procedures onvoldoende draagkracht binnen de organisatie genieten waardoor de procedures statisch zijn geworden.
Wijadviseren Equalit om per proces een duidelijke keuze temaken ofeen proces volgens deprocedure moet worden ingericht ofdat deprocedure aangepast moet worden conform het huidige proces. Tevens adviseren wij om de ontbrekende procedures verder uit tewerken. Indien Equalit namelijk wil streven naar eenjaarlijkse certificering van haar IT-dienstverlening ishet essentieel dat processen eenformeler karakter krijgen. Alleen opdeze wijze kan Equalit zichtbaar maken dat zij voldoende beheersmaatregelen heeft getroffen enuitvoert om een betrouwbare IT-dienstverlening aan derden te kunnen garanderen.
Groeivolwassenheid blijft achter bij ambitie PwC
Tijdens debespreking van de rapportage van de nulmeting diewij in 2009 hebben uitgevoerd, gaf Equalit aan een externe programmamanager te hebben aangetrokken om de opvolging van degeconstateerde bevindingen te gaan monitoren. Wijonderschreven dezestap omzohet spoedig oplossen van de bevindingen tekunnen realiseren. Echter, wij hebben tijdens ons onderzoek in 2010vastgesteld dat programmamanagement tot opheden niet adequaat is ingevuld. Equalit heeft hiertoe wel een externe aangetrokken maar dit heeft niettot het gewenste resultaat geleid.
Wijadviseren Equalit om kritische rollen nader uit te werken en te beleggen binnen de organisatie. Deaanstaande bekrachtiging van het nieuwe functiehuis kan hier een belangrijke bijdrage aan leveren. Aanvullend adviseren wij het management om actief testuren opde taken en verantwoordelijkheden alsmede om adequaat programmamanagement op te zetten.
april 2011
5
Samenvatting 4. Groei vraagt om grip Om uiteindelijk te komen tot certificering van haar IT-processen zal Equalit dehuidigebeheersprocessen verder moeten uniformeren en formaliseren. Tevens ishet noodzakelijk omkritische rollen uitte werken en te beleggen binnen de organisatie.Alleen opdeze manier kan de organisatie meer grip krijgen en groeien naar het gewenste volwassenheidsniveau 3 (gedefinieerd proces). Wijadviseren Equalit om eenpas op deplaats temaken en een helder verbeterplan op testellen. Uitgangspunten voor ditplan zijn de resultaten van dit onderzoek en de lopende verbeteracties. Om te waarborgen dat degeambieerde groei gerealiseerd wordt, adviseren wijom een stuurgroep op te richten waarin dedirecteur van Equalit, één vertegenwoordiger van gemeente Oosterhout, één vertegenwoordiger namens alledeelnemende partijen, decoördinator ondersteuning van Equalit alsmede een (externe) projectleider /programmamanager vertegenwoordigd zijn. Doel van destuurgroep ishet beoordelen van het verbeterplan (inclusief de haalbaarheid), het periodiek monitoren en toetsen van de voortgang van het verbeterplan en bijtesturen indien nodig. Indien udit wenst kunnen wij uhelpen om hier verdere invulling aan tegeven bijvoorbeeld via een klankbordrol.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011
6
Inhoud Samenvatting 1.Inleiding 2.Bevindingen en aanbevelingen 3. Groeipad Bijlagen
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 7
1. Inleiding
Groeivolwassenheid blijft achter bij ambitie PwC
1. Inleiding Achtergrond Op 1januari 2007heeft de gemeente Oosterhout het initiatief genomen om een Shared Service Centrum voor ICT-dienstverlening (SSCICT)opte richten, genaamd Equalit. Equalit verzorgt producten en diensten ophet gebied van ICTvoor 7gemeenten en een socialewerkvoorziening inde regio.Naast de primaire activiteiten ophet gebied van ICT-dienstverlening levert Equalit kennis ophet gebied van informatiebeleid en gegevensbeheer. Gemeente Oosterhout en Equalit hebben de ambitie uitgesproken om de ITactiviteiten zoalsdeze door Equalit worden uitgevoerd verder te professionaliseren. Equalit wilnamelijk groeien naar een professioneel opererende organisatie diejaarlijks deeffectiviteit van haar IT-activiteiten laat certificeren. Opdeze manier wil Equalit aan dedeelnemende partijen zekerheid geven over debetrouwbaarheid en continuïteit van haar ICT diensten. Omdeze ambitiete kunnen verwezenlijken heeft PwCin 2009 een onafhankelijke nulmeting uitgevoerd naar de opzet en het bestaan van de algemene IT-beheersmaatregelen bij Equalit.
Groeivolwassenheid blijft achter bij ambitie PwC
Met het resultaat van de nulmeting heeft gemeente Oosterhout het lerend vermogen van Equalit versterkt en zijn diverse actiepunten gedefinieerd om debevindingen zoalsgenoemd in het rapport (zie rapport met referentie (200Q-oi40i78WH/cwb/sg) opte lossen. Gemeente Oosterhout heeft debehoefte uitgesproken om opnieuw een evaluatiete laten uitvoeren van de opzet en het bestaan van de algemene ITbeheersmaatregelen. Hiermee wildegemeente inzicht krijgen in de huidige statusvan de kwaliteit van haar ICTdiensten alsmede inhoeverre de geconstateerde bevindingen naar aanleiding van de nulmeting zijn opgelost. Ditinzicht kan degemeente Oosterhout en Equalit helpen inhun streven naar eenjaarlijks te verstrekken Assurance rapport aan derden. Het Assurance rapport dient optermijn zekerheid tegeven overde opzet, bestaan en mogelijk ookdewerking van degeleverde ICTdiensten door Equalit aan de deelnemende partijen.
april 2011
9
1. Inleiding Doel en
reikwijdte
Uheeft PwCgevraagd een evaluatie te doen van de algemene ITbeheersmaatregelen bij Equalit om een continue en betrouwbare gegevensverwerking te kunnen waarborgen. Ten aanzien van de reikwijdte van de opdracht, hebben wijde opzet en het bestaan van degetroffen beheersmaatregelen geëvalueerd. Hierbij hebben wij het opCobiT(Control Objectives for ITand Related Technology) gebaseerde normenkader gehanteerd wat de basis isgeweest voor het definiëren van de beheersdoelstellingen / normen tijdens nulmeting uit 2009 (ziebijlage C).Dit normenkader isin 2009 afgestemd met de deelnemende partijen. In BijlageB lichten wij de reikwijdte nader toe. Dezeopdracht betreft een adviesopdracht waarbij wij geen accountantsverklaring, certificering ofandere vorm van zekerheid verstrekken metbetrekking tot de door onsverleende diensten ofde informatie op basis waarvan onze diensten zijn verleend. Wij hebben de informatie die aan ons doorwelkebron dan ookin het kader van de opdracht isverstrekt, niet onderworpen aan een accountantscontrole ofop andere wijze geverifieerd, tenzij anderszins vermeld inonze opdrachtbevestiging. Onze werkzaamheden vormen geen onderzoek zoalsbedoeld inde algemeen aanvaarde richtlijnen met betrekking tot controleopdrachten.
Groeivolwassenheid blijft achter bij ambitie PwC
Aanpak Gedurende deopdracht hebben wijdevolgende activiteiten uitgevoerd: Kick-off met decoördinator ondersteuning over de voorbereidende werkzaamheden door Equalit; Evalueren van de inopzet aanwezige IT-beheersmaatregelen middels interviews en documentatieonderzoek; •
Evalueren van het bestaan van processen en procedures door middel van lijncontroles en deelwaamemingen; Rapporteren van degeconstateerde bevindingen, en het doen van aanbevelingen.
Debevindingen hebben wij net alsbij denulmeting in 2009 verwerkt in een ITCapability Maturity Model (CMM)waarmee devolwassenheid van de ITfunctie binnen Equalit inzichtelijk wordt.
april 2011 10
1. Inleiding Het model onderkent een vijftal volwassenheidsniveaus, te weten: Initieel - Processen zijn adhocen niet georganiseerd (geen formele beheersing) Herhaalbaar - Processen volgen een regulier patroon (beperkte beheersing) Gedefinieerd proces -Processen zijn gedocumenteerd en gecommuniceerd (basis in control) Beheerst en meetbaar -Processen worden gevolgd en gemeten (aantoonbare beheersing) Geoptimaliseerd - Best practices worden gebruikt en geautomatiseerd (proactief)
Rapportage Het resultaat van onzewerkzaamheden is dit adviesrapport met feitelijke bevindingen en aanbevelingen. Het rapport geeft inzicht inde matewaarin de kwaliteit van Equalit voldoet aan devooraf gestelde normen, inzicht inwaar verbeteringen gewaagd worden en biedt handvaten voor verbetering.
Groeivolwassenheid blijft achter bij ambitie PwC
Derapportage isalsvolgt opgebouwd: 2. Bevindingen en aanbevelingen - Deze sectiebevat de opgevolgde bevindingen uit de nulmeting 2009 alsdebevindingen en aanbevelingen welke in2010van toepassing zijn. 3. Groeipad -Dezesectie bevat het herijkte groeipad. Bijlagen (waaronder een overzicht van gevoerde interviews en het toegepaste normenkader). Derapportage isuitsluitend voor ubestemd, aangezien anderen die niet op de hoogte zijn van het doelvan dewerkzaamheden de resultaten onjuist kunnen interpreteren. Deze rapportage magdaarom niet (geheel ofgedeeltelijk) aan derden worden verstrekt, zonder onze uitdrukkelijke toestemming vooraf. Derapportage heeft alleen betrekking opdegespecificeerde elementen zoalsbeschreven in de doelstellingvan het onderzoek. Indien deelnemende partijen een kopiewillen ontvangen van deze rapportage dient uconform vorigjaar een release letter tetekenen. Elke deelnemende partij dient een transmittal letter te tekenen.
april 2011 11
2. Bevindingen en
Groeivolwassenheid blijft achterbijambitie PwC
aanbevelingen
2. Bevindingen en Opgevolgde
aanbevelingen
bevindingen
Onderstaand zijn debevindingen opgenomen uit de nulmeting 2009 welke in voldoende mate zijn opgevolgd door Equalit in 2010.
Ref.
Bevinding
1.7
Defactsheets welke maandelijks naar de deelnemende partijen worden verstuurd, bevatten niet het aantal openstaande incidenten en het aantal gemelde incidenten.
2.3
Deescalatieprocedure voor spoedwijzigingen isniet volledig geïmplementeerd.
4.5
Wijhebben vastgesteld dat een autorisatieverzoek van een nietgeautoriseerde aanvrager toch is uitgevoerd.
4.13
Wijhebben vastgesteld dat de serverruimte nietwas afgesloten.
Groeivolwassenheid blijft achter bij ambitie PwC
Actuele
bevindingen
Opdevolgende pagina's zijn per domein debevindingen opgenomen uit de nulmeting in 2009 welkevantoepassing blijven in 2010.Een toelichting over deverschillende domeinen vindt u inbijlage C.
april 2011 13
2. Bevindingen en
aanbevelingen
ITControl Environment Ref.
Bevinding
Aanbeveling
1.4
Derisicoanalyse dieEqualit heeft uitgevoerd voor relevante systemen (infrastructuur, databases, applicaties en besturingssystemen) isbeperkt en bovendien niet gedocumenteerd. Hiernaast wordt deze risicoanalyse niet periodiek geactualiseerd.
Wijadviseren om de uitgevoerde risicoanalysete actualiseren voor relevante systemen engegevens en om deresultaten te documenteren. Het isvan belang dat allekritische componenten (infrastructuur, databases enbesturingssystemen) worden meegenomen indeze analyse.Voorts dient de risicoanalyse periodiek geactualiseerd te worden.
Update 2010: Bevinding blijft van toepassing.
Middel
Derisicoanalyse van de applicaties valt onder de verantwoordelijkheid van de deelnemende partijen.
Manag ementreactie: Akkoord. 1.2
Equalit beschikt niet over een IT-jaarplan. Update 2010: Bevinding blijft van toepassing.
Wijadviseren omop korte termijn het IT-jaarplan voor 2011 definitief vast te stellen. Ditjaarplan dient afgeleid teworden van de langetermijn visie welke Equalit heeft vastgelegd inhet document "Strategischevisie opInformatisering &Applicaties 2009-2012" en dient aante sluiten opde kadernotitie.
Laag
Ten tijde van de evaluatie werkt Equalit aan een jaarplan voor2011. Managementreactie: Akkoord. Equalit isbijhet opstellen van haar jaarplan gedeeltelijk afhankelijk van dedeelnemende partijen. De cyclus van inventarisatie en vaststelling zal inoverleg met de deelnemende partijen verbeterd moeten worden.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 14
£•Bevindingen en
aanbevelingen
ITControl Environment
1.8
Equalit ontvangt geen periodieke rapportering van derden over de geleverde prestaties van uitbestede diensten. Tevens vindt er geen actieve monitoring plaatsten aanzien van de door derden geleverde prestaties.
Wijadviseren omperiodieke monitoring inte richten om te waarborgen dat de geleverde prestaties van derden voldoen aan de gemaakte afspraken.
Laag
Update 2010: Bevinding blijft van toepassing. Equalit heeft inhaarjaarkalender 2011 een beoordeling gepland van alle overeenkomsten met derden over de geleverde prestaties. Deze beoordeling staat gepland voor september 2011.De werkwijze ten aanzien van de periodieke controle moet nog vastgesteld engedocumenteerd worden. Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 15
2. Bevindingen en
aanbevelingen
Change &Release management
2.4
Bevinding
Aanbeveling
Deautorisatielijsten van de deelnemende partijen zijn niet actueel.
Wijadviseren te waarborgen dat wijzigingen uitsluitend aangevraagd enverwerkt kunnen worden opverzoek van geautoriseerde medewerkers van dedeelnemende partijen.
Update 2010: Bevinding blijft van toepassing. Tevens hebben wij voor één wijziging vastgesteld dat deze isverwerkt terwijl deaanvrager niet geregistreerd was alsgeautoriseerde medewerker voor de deelnemende partij. Manag ementreactie: Akkoord. Gedurende 2010 heeft Equalit veel inspanning geleverd om autorisatielijsten te laten actualiseren door deelnemende partijen. Dit is echter niet voor allepartijen gelukt. Deelnemende partijen dienen zich ervan bewust tezijn dat zij verantwoordelijk zijn voor het actueel houden van de autorisatielijsten. Equalit iszich er van bewust dat klantvriendelijkheid in dit kader afivijkt van de vastgestelde werkwijze. 2.1
Dechange & release management procedure is niet volledig geïmplementeerd.
Hoog
Tevens adviseren wijomtewaarborgen dat de autorisatielijsten actueel zijn. Het actueel houden van deautorisatielijsten isde verantwoordelijkheid van de deelnemende partijen.
Wijadviseren Equalit om de change management procedure opkortetermijn te actualiseren.
Middel
Update 20101 Bevinding blijft gedeeltelijk van toepassing. Dechange &release management procedure isniet actueel en daarmee niet in lijn met de huidige werkwijze en inrichting vanAssyst. Managementreactie: Akkoord. Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 16
2. Bevindingen en
aanbevelingen
Change &Release management Ref.
Bevinding
Aanbeveling
2.6
Wij hebben opbasisvan één steekproefcontrole vastgesteld dat onderliggende stukken en de uitkomsten van de Change Advisory Board (hierna CAB)meetings niet altijd inAssyst worden geregistreerd, maar mondeling worden gecommuniceerd naar de Servicedesk.
Wij adviseren omde beslissingen indeperiodieke CAB meetings +onderliggende stukken te documenteren in het helpdesksysteem Assyst.
Middel
Wijadviseren om monitoring inte richten om actief de doorlooptijd van wijzigingen bijte houden. Indien mogelijk zou de gewenste doorlooptijd van wijzigingen gekoppeld kunnen worden aan het type wijziging in het helpdesksysteem Assyst.Viaeen rapportage inAssyst is vervolgens direct inzichtelijk welkewijzigingen niet tijdig zijn verwerkt. Tevensverdient het de aanbeveling om deze taaktoete wijzen aan de change manager.
Middel
Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. 2.8
Monitoring opde doorlooptijd van changes vindt niet structureel plaats. Deservicedesk medewerkers monitoren de doorlooptijd gedurende hun werkzaamheden maar ditvindt niet gestructureerd en periodiek plaats. Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 17
2. Bevindingen en
aanbevelingen
Change &Release management
2.10/2.11
Bevinding
Aanbeveling
Binnen het huidige change management proces hebben wij via één steekproefcontrole devolgende tekortkomingen vastgesteld voor een niet-standaard wijziging: -Testresultaten zijn niet aantoonbaar inAssyst. - Het akkoord van de applicatiebeheerder om de implementatie uitte voeren in deproductieomgeving is niet gedocumenteerd in Assyst. -Het akkoord van deapplicatiebeheerder na implementatie inde productieomgeving heeft telefonisch plaatsgevonden en isniet gedocumenteerd inAssyst.
Wijadviseren omdetestresultaten en de accordering van de applicatiebeheerders schriftelijke telaten plaatsvinden. De communicatie dient vervolgens geregistreerd te worden in Assyst zodat dezetraceerbaar is.
Middel
Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 18
2. Bevindingen en
aanbevelingen
Change &Release management Ref.
Bevinding
Aanbeveling
2.12
Een procedure en/of werkinstructie ontbreekt voor het bepalen ofeen FallBack nodig isbij een change.
Wijadviseren omeen procedure en werkinstructie opte stellen rondom Fallbacks. Dezeprocedure dient instructies te bevatten welke afwegingen gemaakt moeten worden ofeen Fallback nodig is.Tevens dienen detaken, verantwoordelijkheden en bevoegdheden teworden beschreven. Hetverdient de aanbeveling om de afweging ofeen Fallback nodigiste registreren inAssyst, zodat deze altijd terugtevinden is. Indien een Fallback wel mogelijk moet zijn, dan ishet aante bevelen omde getroffen maatregelen te registreren in het helpdesksysteem Assyst.
Middel
Wijadviseren omrichtlijnen enwerkinstructies te definiëren voorhet bijwerken van relevante documentatie na het doorvoeren van wijzigingen. Tevens verdient het de aanbeveling omperiodiek te monitoren ofde opgestelde richtlijnen worden nageleefd en of documentatie nogsteeds actueel is.
Laag
Update 2010: Bevinding blijft van toepassing. Tevens hebben wij voor één door de Change Advisory Board besproken wijziging vastgesteld dat het FallBack formulier ontbreekt. Managementreactie: Akkoord. In de ChangeAdvisory Board wordt besproken of eenfallback noodzakelijk is.Deze bevinding isgebaseerd op een specifiek geval waar het FallBackformulier ontbrak. 2.14
Relevante documentatie voor de infrastructuur wordt niet structureel bijgewerkt. Tevens hebben wijvastgesteld dat richtlijnen en procedures voor het bijwerken van documentatie (templates, locaties, etc)bij een wijziging ontbreken. Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 19
2. Bevindingen
en
aanbevelingen
Computer Operations Ref.
Bevinding
Aanbeveling
3.8 t/m 3.14
Het problem management proces isalleen op hoofdlijnen uitgewerkt en niet volledig geïmplementeerd. Tevens hebben wij vastgesteld dat de rolvan Problem Manager nog niet definitief belegd is.
Wijadviseren om het problem management procesverder uitte werken in de huidige procedure. Aandachtspunt hierbij ishetvastleggen van de taken, verantwoordelijkheden enbevoegdheden wat momenteel onvoldoende is beschreven. Indien mogelijk verdient het deaanbeveling om de workflow van problemen teverwerken inhet helpdesksysteem Assyst zoalsdit ookvoor incidenten en changes gedaan is.Eengeautomatiseerde workflow inAssyst waarborgt een betere nalevingvan de procedure envereenvoudigt monitoring.
Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. Equalit heeft een specifieke medewerker belast met de coördinatie van dit proces. Opkorte termijn zal een verdere invulling van het problem management proces gaan plaatsvinden.
Middel
Dooradequaat problem management en het periodiek analyseren van veelvoorkomende incidenten per deelnemer kan Equalit haar inzichtvergroten en gerichte (verbeter)acties plannen. Zostelt het Equalit instaat omtrainingen afte stemmen opdebehoeftes van gebruikers ombijvoorbeeld het aantal incidenten preventief terug te dringen. Daarnaast verschaft het Equalit inzicht per deelnemer inhet beslag dat opde capaciteit van onder meer dehelpdesk wordt gelegd. In het kadervan prijsafspraken tussen deelnemers en Equalit kan hiermee rekening worden gehouden. Tevensverdient het de aanbeveling om de rolvan problem manager definitief te beleggen in de organisatie.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 20
2. Bevindingen en
aanbevelingen
Computer Operations Ref.
Bevinding
Aanbeveling
3-15/3 .16
Het configuration management proces is alleen ophoofdlijn uitgewerkt en niet volledig geïmplementeerd. Tevens hebben wij vastgesteld dat de taken, verantwoordelijkheden en bevoegdheden rondom configuration management onvoldoende zijn gedefinieerd en belegd bij een configuration manager.
Wijadviseren Equalit om het configuration management proces verder uit te werken inde huidige procedure. Belangrijke aandachtspunten hierbij zijn: - Hetvastleggen van detaken, verantwoordelijkheden en bevoegdheden; - Het beschrijven van het aanvraagproces voor configuration items wijzigingen; -Controle opnalevingvan de procedure door periodieke monitoring.
Update 2010: Bevinding blijft van toepassing.
Middel
Tevensverdient het deaanbeveling om een werkinstructie opte stellen voor de betrokken medewerkers zodat dezehandvaten krijgen omhun rolbinnen het procesgoed te vervullen. Deeindverantwoordelijkheid voor het proces dient te liggenbij een te benoemen configuration manager.
Managementreactie: Akkoord. Met de implementatie van de nieuwe versie vanAssyst zal een nadere invulling worden gegeven aan hetproces configuration management.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 21
2. Bevindingen en
aanbevelingen
Computer Operations
3.27/ 3.28
Bevinding
Aanbeveling
Deuitwijkprocedure richt zichuitsluitend opde GBAen contactgegevens vanverantwoordelijke medewerkers, leveranciers en de uitwijklocatie ontbreken.
Wijadviseren om de uitwijkprocedure uit tebreiden met de overige kritische applicaties ende contactgegevens van verantwoordelijke medewerkers, leveranciers, en de uitwijklocatie. Hetverdient de aanbeveling om deze uitwijkprocedure zowel intern alsnaar alle deelnemende partijen te communiceren.
Middel
Wijadviseren omtewaarborgen dat deverificatie van oplossingen door melders altijd plaatsvindt en wordt geregistreerd inhet helpdesksysteem Assyst.
Laag
Equalit beschikt over een uitwijkovereenkomst met de externe leverancier Centric,welkejaarlijks getest wordt. Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. Equalit iseenproject gestart om dehuidige uitivijk te herzien. Dezebevinding zal meegenomen worden indit project. 3.7
Wijhebben vastgesteld dat verificatie door de melder van een incident voor één specifiek incident niet heeft plaatsgevonden. Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. Dit betreft echter een specifiek incident. Er iseen vastgestelde en gepubliceerde werkwijze rond het sluiten van incidenten. Tevens vindt er actieve monitoring plaats op dit proces.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 22
2. Bevindingen en
aanbevelingen
Computer Operations
3.17/ 3.19
Bevinding
Aanbeveling
Erontbreken beheersmaatregelen omte waarborgen dat nieuwe Configuration Items en wijzigingen volledig en tijdig geregistreerd worden.
Wijadviseren Equalit om monitoring inte richten om te waarborgen dat configuration itemstijdig en volledig worden bijgewerkt. Deeindverantwoordelijkheid voorhet proces dient te liggen bij eente benoemen configuration manager.
Laag
Wijadviseren omde availability issues procedure zosnel mogelijk te implementeren en het Hoofd operations eindverantwoordelijk te maken voorhet monitoren van availability issues.
Laag
Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. Met de implementatie van de nieuwe versie van Assystzal een nadere invulling worden gegeven aan hetproees configuration management. 3.20
Het availability management proces isalleen op hoofdlijnen uitgewerkt en niet volledig geïmplementeerd. Ervindt echter monitoring plaats ten aanzien van de availabilityvan de infrastructuur en de operations manager isbezig met het verder uitwerken van dit proces. Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 23
-2.Bevindingen en
aanbevelingen
Computer Operations Ref.
Bevinding
Aanbeveling
Prio.
3.21
Het capacity management proces isalleen op hoofdlijnen uitgewerkt en nietvolledig geïmplementeerd. Ervindt echter monitoring plaatsten aanzienvan de capacityvan de infrastructuur en de operations manager isbezig met het verder uitwerken van dit proces.
Wijadviseren om de capacity issues procedure zosnel mogelijk te implementeren en het Hoofd operations eindverantwoordelijk te makenvoorhet monitoren van capacityissues.
Laag
Wijadviseren omhet Hoofd Operations periodiek te monitoren ofdebeschreven controle plaatsvindt.
Laag
Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. 3-23
Desysteembeheerder isverantwoordelijk voor het maken van deback-ups alsde controle van deback-ups. Update 2010: Bevinding blijft van toepassing. Managementreactie: Het hoofd operations isinfeite verantwoordelijk voor de systeembeheerders en voor de back-ups. De controle van de back-ups vindt echter nietformeel door het hoofdplaats. De werkwijze rondom back-ups isgedocumenteerd en geïmplementeerd.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 24
2. Bevindingen en
aanbevelingen
Accesstoprograms and data Ref.
Bevinding
Aanbeveling
4.15
Monitoring opbeveiligingsincidenten opde firewall is beperkt. Derden kunnen echter niet rechtstreeks een verbinding maken met het netwerk van Equalit.
Wijadviseren om defirewall actief te monitoren op beveiligingsincidenten en een procedure en/of werkinstructies op te stellen hoe omte gaan met dit type incidenten. Dezeprocedure dient antwoord te geven opten minste devolgendevragen (niet limitatief): - Hoe moeten beveiligingsincidenten worden gemeld en afgehandeld? -Welkeacties moeten worden ondernomen omgevolgen van geconstateerde incidenten te minimaliseren? - Hoezijn detaken, verantwoordelijkheden en bevoegdheden belegd ten aanzienvan beveiligingsincidenten?
Hoog
Wijadviseren omeen procedure en/of werkinstructies opte stellen hoe omte gaan met beveiligingsincidenten. Dezeprocedure dient antwoord tegeven opten minste devolgende vragen (niet limitatief): - Hoe moeten beveiligingsincidenten worden gemeld en afgehandeld? -Welke acties moeten worden ondernomen om gevolgen van geconstateerde incidenten te minimaliseren? - Hoezijn detaken, verantwoordelijkheden en bevoegdheden belegd ten aanzienvan beveiligingsincidenten?
Hoog
Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. Ten tijde van de evaluatie zijn de deelnemers aan het bekijken om in samenwerking met externe leverancier BMCtekomen tot een gezamenlijk informatiebeveiligingsbeleid. Dit punt maakt deel uit van dit beleid. 4.16
Een procedure hoe omte gaan met beveiligingsincidenten ontbreekt. Update 2010: Bevinding blijft van toepassing. Managementreactie: Akkoord. Ten tijde van deevaluatie zijn de deelnemers aan het bekijken om in samenwerking met externe leverancier BMCtekomen tot een gezamenlijk informatiebeveiligingsbeleid. Dit punt maakt deel uit van ditbeleid.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 25
2. Bevindingen en
aanbevelingen
Accesstoprograms and data
4.1
Een actueel informatiebeveiligingsbeleid voor de deelnemende partijen ontbreekt. Update 2010: Bevinding blijft van toepassing. Tentijde van de evaluatie zijn de deelnemers aan het bekijken om insamenwerking met externe leverancier BMC tekomen tot een gezamenlijk informatiebeveiligingsbeleid. Equalit ishierbij afhankelijk van dedeelnemers en stimuleert dedeelnemers om stappen te ondernemen.
Wijadviseren omhet geplande generieke informatiebeveiligingsbeleid opte stellen. Dewensen en eisen van de deelnemende partijen dienen hierbij leidend te zijn, waarbij Equalit een begeleidende rolkan spelen. Dereeds in kaart gebrachte ITrisico's (zoalsbeschreven inhet concept informatiebeveiligingsplan en de koepelnotitie) bieden hierbij een goed uitgangspunt.
Middel
Voorst verdient het aanbeveling om het informatiebeveligingsbeleid zosnel mogelijk definitief te maken ente implementeren inde organisatie.
Manag ementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011
26
2. Bevindingen en
aanbevelingen
Accesstoprograms and data Bevinding 4.2/ 4.3/ 4.8
Een formele autorisatieprocedure voor het toekennen/wijzigen/verwijderen van autorisaties ontbreekt. Het autorisatieproces is echter gedeeltelijk geborgd inAssyst en Equalit beschikt overAutorisatielijsten (medewerkers van deelnemende partijen diegeautoriseerd zijn tot het aanvragen/wijzigen/verwijderen van autorisaties) en werkinstructies. Update 2010: Bevinding blijft van toepassing. Manag ementreactie: Akkoord. Gedurende 2010 heeft Equalit veel inspanning geleverd om autorisatielijsten te laten actualiseren door deelnemende partijen. Dit is echter niet voor allepartijen gelukt. Deelnemende partijen dienen zich ervan bewust tezijn dat zij verantwoordelijk zijn voor het actueel houden van deautorisatielijsten. Equalit iszich er van bewust dat klantvriendelijkheid indit kader afwijkt van de vastgestelde werkwijze.
Aanbeveling Wijadviseren omeen formele procedure opte stellen voor het toekennen, wijzigen enverwijderen van autorisatiesvoor het netwerk, besturingssystemen en databases. Hiertoe kan het autorisatieproces, zoals dat nu gedefinieerd isinhet helpdesksysteem Assyst, als uitgangspunt dienen. Deprocedure dient minimaal devolgendepunten te bevatten: -Verantwoordelijkheden; ten aanzien van het verlenen van toegang tot het bedrijfsnetwerk en de databases; - Communicatie;tussen de ITafdeling, de afdelingsmanager van de gebruiker, personeelzaken en debetrokken functioneel applicatiebeheerder; -Activiteiten; formele procedure voor het verlenen van rechten en bevoegdheden (met behulp van geformaliseerde autorisatieformulieren); - Controleren van rechten en bevoegdheden; signaleren van autorisaties van ex-medewerkers en controle opongewenste functievermenging; - Onderhoudsactiviteiten; leavepolicy,opschonen van rechten en bevoegdheden; - Reageren opbeveiligingsincidenten in relatietot autorisaties. Voorts dient dezeprocedure gecommuniceerd teworden naar de deelnemende partijen.
Middel
Nalevingvan deprocedure dient periodiek (bijvoorbeeld 1 keer per half jaar) gecontroleerd teworden door systeemeigenaren .
Tevens zal na de invoering vanAssyst 9 het autorisatieproces formeel worden uitgewerkt.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 27
2. Bevindingen en
aanbevelingen
Accesstoprograms and data
4.9
Wijhebben vastgesteld dat ten aanzien van de 3actieve domeinen dat een groot aantal gebruikers over alle rechten (administrator) beschikken: - Oisterwijk, 20 gebruikers, inclusief generieke accounts; - Oosterhout, 40 gebruikers, inclusief generieke accounts; - Gemeentenet, 74gebruikers, inclusief generieke accounts.
Wijadviseren Equalit het aantal gebruikers met administrator rechten op het domein te minimaliseren en waar mogelijk kritische handelingen (bijvoorbeeld het doorvoeren van wijzigingen, aanpassen autorisaties,verwijderen kritische data, etc)te loggen en periodiek dezeloggingte analyseren. Het verdient deaanbeveling om geen gebruik te maken van generieke accountsvoor administrators.
Middel
Update 2010: Bevinding blijft gedeeltelijk van toepassing. In totaal beschikken 31 Equalit medewerkers over alle rechten (administrator) binnen het primaire netwerkdomein (Gemeentenet). Een deelvan deze gebruikers maken geen deel uit van de afdelingen systeem en netiverkbeheer. Manag ementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011
28
2. Bevindingen en
aanbevelingen
Accesstoprograms and data Ref.
Bevinding
Aanbeveling
4.11
Wijhebben vastgesteld dat dewachtwoord en lock-out instellingen ophet netwerk nietvoldoen aan de bestpracticeten aanzien van: -Minimaal aantal karakters (Oosterhout, gemeentenet); -Wachtwoordhistorie (Oosterhout, gemeentenet); -Wachtwoordcomplexiteit (gemeentenet).
Wijadviseren om de logische toegangsbeveiliging tot het netwerk en database aan te scherpen voor de domeinen Hilvarenbeek en Oisterwijk conform het wachtwoordbeleid.
Update 2010: Bevinding blijft gedeeltelijk van toepassing. Wijhebben vastgesteld dat de wachtiuoordrestricties voor het domein Hilvarenbeek en Oisterwijk niet voldoen aan de best-practice en het wachtivoordbeleid van Equalit ten aanzien van: -Periodiek wijzigen (Hilvarenbeek); -Minimale aantal karakters (Hilvarenbeek); - Wachtwoord complexiteit (Hilvarenbeek, en Oisterwijk); -Lock-out (Hilvarenbeek). Tevens hebben wij binnen helprimaire domein (Gemeentenet) met behulp van data-analyse tools vastgesteld dat: -er 674gebruikersaccounts zijn die niet aan het wachtwoordbeleid hoeven te voldoen. -er282 gebruikersaccounts zijn diehun wachtivoord recentelijk niet hebben gewijzigd.
Prio. Middel
Tevens adviseren wij Equalit omte waarborgen dat alle gebruikersaccounts moeten voldoen aan de ingestelde wachtwoordrestricties. Het verdient de aanbeveling om eventuele uitzonderingen zoalssysteemaccounts te documenteren.
Equalit gaat beide domeinen opkorte termijn migreren naar het Gemeentenel domein. Gedurende deze migratie wordt de aanscherping van de wachtwoorden direct doorgevoerd. Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 29
2. Bevindingen en
aanbevelingen
Accessto programs and data Ref.
Bevinding
Aanbeveling
4.14
Equalit heeft maatregelen getroffen om ongeautoriseerde toegangvan derden (leveranciers) tevoorkomen. Een formele procedure voorhet verlenen van externe toegang aan derden ontbreekt echter. Tevensvindt er beperkte loggingplaats opdewerkzaamheden van derden gedurende externe toegang.
Wijadviseren omeen procedure opte stellen voor het verkrijgen van externe toegang door leveranciers opsystemen van Equalit. De procedure dient ten minste inte gaan opdevolgende onderwerpen: -Wieisgeautoriseerd omtoegang te verkrijgen? -Waar kantoegang totverkregen worden? - Hoewordt toegang aangevraagd (e-mail,telefonisch, niet)? -Wat zijn detijdstippen waarbinnen ingebeld mag worden? -Welke registratie/melding vindt plaatsvan uitgevoerde werkzaamheden? - Loggingvan werkzaamheden.
Update 2010: Bevinding blijft van toepassing. Tentijde van evaluatie lopen er verbeteracties om het externe toegangsbeleid aan te scherpen.
Middel
Tevens adviseren wij om dewerkzaamheden van derden op het netwerk dan welsystemen te loggen ente monitoren.
Manag ementreactie: Akkoord. Er iseen gepubliceerde werkwijze ten aanzien van het externe toegangsbeleid welke op korte termijn geïmplementeerd gaat worden.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 30
2. Bevindingen en
aanbevelingen
Accesstoprograms and data Ref.
Bevinding
Aanbeveling
4.7
Wijhebben vastgesteld dat Equalit medewerkers op besturingssysteem/netwerk niveau gebruik maken van generieke administrator accounts.
Wijadviseren omhet gebruik van generieke gebruikersaccounts op allelagen (netwerk, besturingssysteem en databases) te minimaliseren en zoveel mogelijk gebruik te maken van unieke gebruikersaccounts.
Laag
Update 2010: Bevinding blijft gedeeltelijk van toepassing. Wijhebben vastgesteld dat allebeheerders gebruik maken van eenpersoonlijke gebruikersaccount. Binnen deservicedesk afdeling wordt echter gebruik gemaakt van drie generieke gebruikersaccounts. Naar aanleiding van deze bevinding zijn twee accounts verwijderd en is het derde account geblokkeerd. Managementreactie: Akkoord.
Groeivolwassenheid blijft achter bij ambitie PwC
april 2011 31
3* Groeipad Bijde nulmeting van 2009 hebben wijeen groeipad voorgesteld om degeconstateerde bevindingen optelossen omuiteindelijk te komen tot het gewenste volwassenheidsniveau. In overleg met Equalit hebben wijhet groeipad aangepast. Indien Equalit dejuiste prioriteiten stelt en devoorgestelde aanbevelingen ter harte neemt zou een certificering (opzet, bestaan) in Q42012haalbaar moeten zijn. Zoalsreeds aangegeven adviseren wij om devoortgang te laten bewaken door een opte richten stuurgroep.
Beheerst en meetbaar
Gedefinieerd proces
Herhaalbaar
~1 Qi 2011 PwC
71
— I —
Q4 2011
TT
~H Q2 2012
TT
"H Q4 2012 april 2011 32
Bijlagen A-Overzicht interviews B-Toelichting reikwijdte C-Normenkader
Groeivolwassenheid blijft achter bij ambitie PwC
A - Overzicht
interviews
Nr.
Naam
Functie
Datum
l
Arend Oudijk
Coördinator ondersteuning
12-11-2010 10-01-2011 11-01-2011
2
Ulco Hollink
Senior beleidscoördinator Informatievoorziening
10-01-2011
3
Sep Akkermans
Senior Servicedesk medewerker
10-01-2011
4
Carla Koning
10-01-2011
5
Ton Braat
Senior Servicedesk medewerker, Change Manager Senior Systeembeheerder
6
Michel van der Spoel
Manager Operations
11-01-2011
7
Rob Hesemans
Systeembeheerder
11-01-2011
8
Willem Zwijgers
Directie
10-01-2011
Groeivolwassenheid blijft achter bij ambitie PwC
10-01-2011
april 2011 34
B — Toelichting
reikwijdte
Tenaanzien van de reikwijdte van de opdracht hebben wijde opzet en het bestaan van de getroffen beheersmaatregelen geëvalueerd. Hierbij hebben wij CobiT(Control Objectives for ITand Related Technology) als normenkader gehanteerd en gekeken naar de gebieden: i.Accessto Programs and data, zoals: Fysieke toegangsbeveiliging;
Bijde evaluatie hebben wij onsgericht opdeverschillende lagen van de ITinfrastructuur, te weten: i.Netwerk; ii. Besturingssystemen; iii.Applicaties; Dntahncpc
Logische toegangsbeveiliging; Het gebruik van krachtige accounts; ii.Change management, zoals: Wijzigingsproces en -procedure; iii.Computer Operations, zoals: Continuïteitsmaatregelen (back-up &recovery) Calamiteitenplanning en uitwijkmogelijkheden; Incidentenbeheer; iv.ITControl environment, zoals: IT-beleid; Risicoanalyse; Taken,verantwoordelijken van IT-medewerkers;
Change Management
Operations
Richtlijnen en procedures; Afspraken/dienstverleningsnormen zoals afgesproken met derden (zijnde de aangesloten gemeenten dan welleveranciers van hardware en ofsoftware (ondersteuning). v.Program Development valt buiten de scope van het onderzoek, aangezien er binnen de Equalit geen eigen systeemontwikkeling plaatsvindt. \
Groeivolwassenheid blijft achter bij ambitie PwC
v
Access to Programs and Data
/
w
/
april 2011
35
C-
Normenkader
Hettoegepaste normenkader bevat debeheersdoelstellingen / normen dietijdens de nulmeting uit 2009 zijn gedefinieerd. Dit normenkader is in 2009 afgestemd met de deelnemende partijen en isopgenomen inhet bestand 'BijlageC -Nonnenkader_Evaluatie_kwaliteit_IT_activüeiten_Equalit'
Groeivolwassenheid blijft achter bij ambitie PwC
a
Pr"
20U 3Ó
Inzicht in vooruitgang
© 2011 PwC. All rights reserved. Not for further distribution without the permission of PwC. "PwC" refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is aseparate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liablefor the acts or omissions of any of its member firms nor can it control the exercise of their professionaljudgment or bindthem in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professionaljudgment or bind another member firm or PwCIL in any way.