Najaar 2011
CHAPNEWS
Chapnews
Van de Voorzitter De wereld draait dool Afgelopen weken stonden we - als auditors - ineens in het middelpunt van de belangstelling. De berichten over DigiNotar schoten heen en weer, met een minister die ineens in de nacht opdook en persconferenties gaf (het leek wel …..) en daarvoor en daarna heel veel gepraat door heel veel deskundigen. Waarbij de één het zus zag, maar de ander heel duidelijk zo. Overigens wel zaken die ons als auditors direct aangaan. Stel je voor dat een CISA had verklaard dat het allemaal in control was en je wel rustig kon gaan slapen. Bij de mensen die er naar mijn mening echt verstand van hebben, beluisterde ik wat minder escalerende en wat meer dempende uitspraken. Verder blijft het opmerkelijk dat je als land - wij dus met z‘n allen - zulke toch wel belangrijke zaken bij een relatief klein bedrijf belegt. Als het mis gaat, zoals nu, kan zij nooit de schade vergoeden die door haar fouten is ontstaan. In goede dagen wordt er aan verdiend, maar hoe zit het als het mis gaat? De overheid moet zorgen dat ze de cruciale kennis zelf in huis heeft en het werk dan ook zelf doet en niet uitbesteed aan anderen, met in het achterhoofd minimale kosten. Congressen, cursussen en trainingen Een schot in de actualiteitsroos bleek ons jaarlijkse congres met NOREA: over Cybercrime o.l.v Job Stierman. Met een aantal geweldige sprekers en met 200 bezoekers was het ook dit jaar weer een groot succes. De CISA en CISM en CRISC trainingen zitten goed vol dit najaar. Dat is mooi; dan weet je dat je als organisatie nuttig bent. Gepland staan nog trainingen over ITIL en SAP in dit najaar en willicht een Cobit 5.0 training en een training Auditing voor accountants. Cobit 5.0 is nu in concept-vorm uitgebracht. Ziet er anders uit dan de Colofon
vorige versie. Wat een ellende voor alle landen die het vertaald
Deze nieuwsbrief is een uitgave van ISACA NL Chapter.
wel jammer dat het muturity model eruit is gehaald. Vond ik erg
Redactie: T. Bakker, B. van Staveren en A. Shahim
ingebracht, voordat de nieuwe versie uitkomt. Commentaar direct
hebben en nu weer aan de bak moeten om bij te blijven. Ik vind het sterk in Cobit. Als jullie vragen en opmerkingen over de nieuwe versie hebben, dan kunnen die nog op korte termijn worden naar de VS of via het secretariaat van ISACA. Als er nog specifieke behoeftes zijn, dan horen wij die graag.
Het redactieadres: ISACA NL Chapter t.a.v. Redactie Nieuwsbrief
[email protected]
2
Chapnews
NOREA en ISACA samen op pad De eerste berichten zijn onverkort gunstig. Lees vooral de introductie van de voorzitter van NOREA in hun jaarboek. De besturen van NOREA en ISACA praten over vergaande samenwerking. Over een aantal randvoorwaarden, voor een totale samensmelting onder de naam van ISACA Internationaal, zijn de besturen het eens. Zo moeten bijvoorbeeld de titels voor de toekomst bewaard blijven en mag de contributie voor de individuele leden niet omhoog gaan. Er zijn vijf werkgroepen ingesteld. In de bestuursvergaderingen van NOREA en ISACA worden de leden verder op de hoogte gebracht. Misschien dat het allemaal nog gaat lukken voor het eind van 2011.
K.P. Meindertsma President ISACA Netherlands Chapter
Cisa Training Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISA examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit najaar weer trainingen ten behoeve van deze examens. Meer informatie over het examen is te vinden op www.isaca.nl.
3
Chapnews
Las Vegas, Global Leadership Conference, 14-15 mei 2011
Op 14-15 mei 2011 vond in Las Vegas een Global Leadership Conference plaats waar ongeveer 250 vertegenwoordigers van ISACA chapters aanwezig waren. Namens het ISACA NL Chapter waren onze voorzitter Klaas-Piet Meindertsma en ondergetekende aanwezig. Het doel van deze bijeenkomst was het uitwisselen van kennis en ervaring op het gebied van leiderschap. Na een lange maar ontspannen vlucht arriveerde ik rond 15.00 lokale tijd op het vliegveld van Las Vegas. Het was bijzonder om vanuit de lucht de Grand Canyon en de Hoover Dam zien, evenals Las Vegas, een stad midden in de woestijn met een strook van enorme hotels inclusief attracties. De bijeenkomst was in het Paris Hotel waarin een replica van de Eiffeltoren nagebouwd was in de schaal 1:2 met bovenin een restaurant met fraai uitzicht over de stad. Aan de overkant was het Ballagio, bekend uit de film Ocean‘s Eleven, met indrukwekkende fonteinen die zorgen voor een prachtig samenspel van muziek, licht en tientallen meters hoge watergordijnen. In de avond voorafgaand aan de bijeenkomst hebben wij met de deelnemers informeel gegeten in één van de vele restaurants. Een uitstekende mogelijkheid om met andere bestuursleden van chapters in contact te komen en ervaringen uit te wisselen. De eerste dag begon om 9:00 met een vol programma. In een plenaire ochtendsessie is onder andere aandacht besteed aan de strategie van ISACA en de ontwikkeling van Cobit 5 waar heel veel van wordt verwacht. In de middag konden we deelnemen aan verschillende parallelsessies. Ik heb onder andere deelgenomen aan een sessie over het werven en inspireren van vrijwilligers. Deze sessie werd verzorgd door het Denver Chapter waar ongeveer 45 vrijwilligers het bestuur ondersteunen. Voor het succesvol werven en inzetten van vrijwilligers is een persoonlijk en actief contact met de leden essentieel. Aan de hand van verschillende case studies is aangegeven hoe optimaal gebruik kan worden gemaakt van de inzet van vrijwilligers, bijvoorbeeld bij het ontwikkelen en geven van trainingen. Hierbij wordt in toenemende mate ook actief gebruik gemaakt van social media als Twitter en Facebook. Daarnaast heb ik in de middag deelgenomen aan een sessie van het Chapter Support Comittee voor grote chapters (meer dan 1000 leden). Hierin is onder andere aandacht besteed aan de ontwikkeling van een ISACA ‗cloud‘ waarin chapters informatie kunnen opslaan en uitwisselen. Ook is toegelicht hoe chapters gebruik kunnen maken van ISACA templates voor het uniformeren en standaardiseren van websites.
In de avond hebben wij met alle deelnemers gedineerd in de Stratosphere, een hoge toren in het oude deel van de stad. Door de zware beveiliging duurde het even voordat we naar boven konden maar daarna konden wij genieten van een prachtig uitzicht over de stad.
4
Chapnews
In de middag konden wij weer deelnemen aan verschillende parallelsessies. Ik heb onder andere deelgenomen aan een sessie over het laten groeien en behouden van het aantal leden. De chapters hebben een jaarlijkse groeidoelstelling van minimaal 5% en een ledenbehoud van minimaal 80%. De kunst is om de individuele behoefte van leden te verbinden met de visie, missie en strategie van ISACA. Een aantal chapters heeft daarbij goede ervaringen met het gebruik van social media zoals LinkedIn. Het aanbrengen van nieuwe leden gebeurt meestal via het bestaande netwerk. Daarnaast heb ik een sessie gevolgd over het gebruik van social media. Veel chapters maken in toenemende mate gebruik van Twitter en Facebook. Maar ook andere social media worden steeds vaker gebruikt, zoals LinkedIn en zelfs YouTube. De chapters gebruiken social media met name voor branding, het promoten van bijeenkomsten maar ook het bouwen en verbinden van een gemeenschap. Echter, in de praktijk blijkt dat het gebruiken en onderhouden van social media veel tijd en energie kost. Ter afsluiting was er aan het einde van de tweede dag een informele borrel georganiseerd en konden wij op persoonlijke wijze kennis en ervaring uitwisselen met bestuursleden van andere chapters. Tijdens de borrel was iedereen het er over eens: deze bijeenkomst was een groot succes!
Danny Onwezen ISACA NL Chapter
5
Chapnews
COBIT 5 Public Exposure Extended Members Strongly Urged to Comment Act now to take advantage of a great—and rare—opportunity to have your voice heard, contribute to the profession and earn up to 10 free continuing professional education (CPE) hours! Two COBIT® 5 documents are available for public comment. The deadline for comments has been extended so that we can incorporate feedback from as many professionals as possible. Reviewing the exposure drafts will also put you a step ahead when COBIT 5 is released. As one COBIT® trainer and lecturer explains, ―I have to be well prepared to provide my trainees with accurate information on the new or changed approach to IT governance found in COBIT 5—what better way to find out than to look at specific processes or problems and compare what is in COBIT® 4.1 with what will be in COBIT 5?‖ Your comments are critical. They will help ensure that COBIT 5 represents what professionals truly need and value, and they help ISACA® validate the quality and acceptability of the COBIT 5 development work, which is crucial to its position as a generally accepted reference source. In addition, your participation is a great way to contribute to the ISACA community. According to one Certified Information Systems Manager® (CISM®), ―Often, the opportunity to participate as a volunteer committee member does not arise, so reviewing standards or certification questions provides a vehicle for satisfying the desire to give back.‖ All levels of participation are encouraged and welcome—you can choose to comment on all or specific parts of the draft documents. To comment, download COBIT® 5: The Framework Exposure Draft and COBIT® 5: Process Reference Guide Exposure Draft on the COBIT 5 Exposure page of the ISACA web site. After reviewing the documents, use the questionnaire on the same web page to provide feedback. To add more details, please use the feedback form that is also on that web page.
6
10,000 Earn the CRISC Certification The newest certification from ISACA®, Certified in Risk and Information Systems Control™ (CRISC™), reached a milestone in the month of June when the 10,000th professional was certified. The opportunity to earn the certification under the rigorous grandfathering provision began 1 April 2010 and ended 30 June 2011, and more than 16,000 applications were received during that period. The grandfathering program allowed IT professionals who have significant experience with risk identification, assessment and evaluation; risk response; risk monitoring; information systems (IS) control design and implementation; and IS control monitoring and maintenance to earn the CRISC credential without taking the exam. With the grandfathering period now closed, individuals wishing to become CRISCcertified are required to pass the CRISC exam, which will next be held on 10 December 2011. To learn more about this certification, including exam information, please visit www.isaca.org for further information.
Chapnews
Tips to Manage Innovation Risk Information security practices have become an innovation inhibitor in many companies. We all know that the main purpose of security should be to reduce risk. On the other hand, innovation is often considered the exact opposite of security in terms of increasing risk for the organization. Therefore, the combination—innovation within security—is considered dangerous. Over the past couple of years, I have been involved in some astonishing business process and technological innovations that have required a fundamental change in the way I think about and implement security controls. The result has been that security in those companies has started to become the main differentiator, by assuming more risk and finding new ways to back up business needs. This has convinced me of the extraordinary opportunity for security areas around the world as agents of change. The following are 7 tips to manage innovation risk: 1.
At the very least, security and risk managers should try not to obstruct innovation that does not pose a life-threatening risk to the organization;
2.
Even though proper risk management may help organizations prevail, it normally leaves out ―adaptation‖ risks that, when taken into consideration, allow organizations to be better prepared for changes in the external competitive environment;
3.
An organization has to be able to adapt quickly to future disruptive changes in the environment. Innovation is the equivalent of mutations within the evolution of a species; in the same way, enterprises must continuously test new options;
4.
Innovating at the same time in different directions could prove harmful or even fatal. Too many simultaneous and unrelated changes lead to a less-adapted position;
5.
Disruptive innovation should be focused on developing and enhancing our competitive advantages. It is much more probable that we will succeed from innovating within our strengths. Innovating in other less-strategic aspects of our business will distract resources, and even if proven successful, they may not materialize in a long-term survival advantage;
6.
A very good mechanism by which to innovate is coevolution. In this process, two or more organizations work together by focusing on enhancing each of their competitive advantages. This allows more complex innovations with less risk for the partnership. This approach works well when small and fast companies partner with large and solid organizations. A good rule of thumb is that the target markets for the partnering organizations should not overlap, or the collaboration will eventually fail;
7.
Digital risk managers are growing to be one of the most important strategic decision makers in an organization. Security innovation is an opportunity for organizations and professionals willing to think differently.
For additional guidance on risk, please visit www.isaca.org for further information.
7
Chapnews
BEVEILIGING EN ARCHITECTUURRAAMWERKEN
Informatietechnologie (IT) is heden ten dage nauw verweven met de bedrijfsvoering. Beslissingen aangaande IT zijn daarom ook meer dan ooit verweven met beslissingen over
de
bedrijfsvoering.
Een
samenhangende,
bedrijfsbrede
architectuur
van
de
bedrijfsvoering en IT helpt managers bij het inschatten van de reikwijdte en gevolgen van hun beslissingen. In de architectuur worden de afspraken vastgelegd waar iedereen (business en IT) zich aan heeft te houden ter waarborging van de afstemming tussen business en IT. De waarde van een architectuur laat zich niet alleen beoordelen op de inhoud maar ook op het proces om tot een architectuur te komen. Naast het feit dat auditors architectuur gebruiken als toetsingsinstrument tijdens hun controles, kan de auditfunctie worden ingezet om de kwaliteit van architectuur te beoordelen. Hierdoor krijgen de belanghebbenden een indruk van de effectiviteit van architectuur als beheersmaatregel. De auditor richt zich op het geven van zekerheid over de beheersbaarheid en controleerbaarheid van een onderzoeksobject. Dit artikel geeft hiervoor enkele handvatten. Allereerst geven we een theoretisch kader van architectuur. Vervolgens beschrijven we de drijfveren voor architectuur en geven we een overzicht van de verschillende architectuurraamwerken.Ten slotte gaat het artikel in op de volwassenheid van architectuur en de rol van audit. Theoretisch kader Architectuur wordt algemeen beschouwd als een middel om de complexe relatie tussen business en IT te beheersen. Met de sterk groeiende afhankelijkheid van IT is ook de complexiteit van de informatiehuishouding toegenomen, de kosten zijn gestegen en de flexibiliteit lijkt te zijn afgenomen. Wat is architectuur? Vraag 5 architecten wat architectuur is, en je krijgt waarschijnlijk 5 verschillende antwoorden. De definitie van architectuur is essentieel om de cruciale kenmerken van architectuur te onderkennen. Volgens Van Dale is architectuur bouwkunst / bouwstijl. Deze definitie geeft de relatie weer met de fysieke bouwkunst. Architectuur is van Griekse afkomst en wordt in verband gebracht met de constructie en het ontwerp van bouwwerken. In de IT wordt architectuur eveneens gezien als het ontwerpen van een bouwwerk, zoals een klassieke architect dit doet. Rijsenbrij (2005) definieert architectuur als een verzameling van architectuurprincipes, verbijzonderd naar regels, richtlijnen en standaarden. Hierbij zijn principes richtinggevende uitspraken ten behoeve van essentiële beslissingen, een fundamenteel idee, bedoeld om een algemene eis te vervullen. Een goed en relevant principe heeft verschillende kenmerken (Jochem et al., 2005), namelijk: het is een drijfveer voor gedrag in een organisatie; het is een achterliggend uitgangspunt; het is goed te communiceren; het is robust; het wordt herkend en gedragen door het management.
8
Chapnews
Een ander definitie is die van IEEE 1471 (2000). Architectuur is gedefiniëerd in IEEE 14712000 als ‘the fundamental organization of a system embodied in its components, their relationships to each other, and to the environment, and the principles guiding its design and evolution’. Volgens de definitie beschrijft een architectuur niet alleen componenten en hun samenhang, maar ook de relatie met de omgeving is van essentieel belang. Naast een modelmatige benadering van architectuur geeft de definitie aan dat architectuur ook procesmatige aspecten bevat. In het bijzonder geeft het principes voor het werken (ontwerpen) onder architectuur en zou een architectuur expliciet aandacht moeten besteden aan evolutie-aspecten. Bij het kiezen van een definitie voor de eigen organisatie is het van belang een definitie te kiezen die zo concreet mogelijk aangeeft wat aard en scope zijn van architectuur. Als architectuur zich vooralsnog beperkt tot IT is het raadzaam om dat in de definitie ook aan te geven. Als de architectuur zich louter beperkt tot het opstellen van principes en standaarden die richting geven aan het ontwerp, is het aan te bevelen deze te noemen. Ontwerpdomeinen. Zoals er geen uniforme terminologie en definitie bestaat binnen de architectuur, bestaat er ook geen uniforme theorievorming en begripsbepaling betreffende architectuur. Zo is er theorievorming over architectuur te vinden onder termen als business architectuur, informatiearchitectuur, IT-architectuur, digitale architectuur en enterprise architectuur. De
termen business, informatie
en IT-architectuur refereren
naar
verschillende
ont-
werpdomeinen binnen de organisatie. De business architectuur (ook wel bedrijfsarchitectuur genoemd) gaat over processen. Informatiearchitectuur wordt gezien als een verzameling architecturen die zich bevinden tussen de businessarchitectuur en de technische architectuur. Een IT-architectuur (technische architectuur) geeft een beeld van de verschillende technische componenten in hun onderlinge samenhang. Digitale architectuur, een term onder andere gebruikt door Rijsenbrij, Gartner en Forrester, verwijst impliciet naar het digitale of IT aspect binnen de onderneming, terwijl dit ook een ontwerpdomein is binnen het systeemtype enterprise (Buitenhuis, 2007). Enterprise architectuur is een verzameling van deelarchitecturen binnen het business domein, het informatiedomein en het IT-domein. Bij ieder architectuurtraject dient inzicht te worden verkregen in de huidige situatie (ISTarchitectuur). Vanuit de businesseisen en de IST-situatie wordt vervolgens de SOLLarchitectuur bepaald. Omdat het meestal om grote veranderingen gaat dient de migratie van IST naar SOLL in fasen (plateaus) te worden gerealiseerd.
IST (As-Is)
Migratieplan
Inventarisatie van huidige technische componenten en processen
Het migratiepad Om de SOLLsituatie te realiseren
SOLL (To-Be) Architectuur
Figuur 1. Van IST naar SOLL
9
Business Informatie Technologie
Chapnews
Toepassingen Architectuur is een centraal referentiepunt voor business en IT-kwesties en de relatie daar tussen, en is volgens Tout (2007) daardoor geschikt als: 1.
Alignmentinstrument: Een voorkomende toepassing voor architectuur is die van het realiseren van business- IT-alignment. Architectuur is geen eindproduct of doel op zich maar wel een hulpmiddel bij het afstemmen van de organisatiedoelstellingen. Architectuur is dus één van de instrumenten in het zorgen voor ‗alignment‘ tussen Business en IT. Het is een middel om bedrijfsstrategie en de IT-strategie optimaal op elkaar af te stemmen. Zie de sectie ―drijfveren voor architectuur‖ over architectuur als alignmentinstrument;
2.
Veranderinstrument: De verschillende manieren waarmee omgegaan kan worden met een architectuur kent analogieën met de wijze waarop organisaties veranderd kunnen worden. Architectuur en veranderen met elkaar in verband te brengen is niet nieuw. Architectuur beoogt immers veranderingen te beschrijven en te begeleiden. Het resultaat van de verandering wordt van tevoren zorgvuldig omschreven en gedefinieerd. Er vindt een hoge mate van sturing plaats;
3.
Communicatiemiddel: Het gaat bij het beschrijven van een architectuur om het in kaart brengen van een huidige en een gewenste situatie. Hierdoor wordt het mogelijk om te bepalen wat reeds is gerealiseerd en wat het einddoel is. Door een complexe situatie in begrijpbare modellen te beschrijven, wordt de situatie beter hanteerbaar. Hiermee kunnen beslissingstrajecten in organisaties aanzienlijk beter verlopen. Daarnaast is het een communicatiemiddel richting management en opdrachtgever;
4.
Samenwerkingsinstrument: Samenwerking staat de laatste jaren steeds meer in de belangstelling. maar als instrument om samenwerking binnen organisaties te bevorderen. Hierbij wordt gekeken naar de horizontale samenwerking en verticale samen-
Het is een S
S
werking.
Het is een 5
Figuur 2. Communicatieprobleem door het ontbreken van een gezamenlijk referentiekader
10
Chapnews
Beveiliging als vast onderdeel van architectuur Volgens Rijsenbrij (2005) is beveiliging een vast onderdeel van een geïntegreerde architectuurbenadering en beslaat alle vier werelden in samenhang. Deze vier werelden zijn het organisatiegebeuren, informatieverkeer, applicatielandschap en de technische infrastructuur. De beveiligingsarchitectuur beschrijft de manier waarop beveiliging wordt vormgegeven en beschouwt de beveiligingsmaatregelen van gebruiker tot dienst, een end-to-end beschouwing. Elke wereld heeft zijn eigen beveiligingsprincipes, die soms ook nog op gespannen voet staan met de principes uit die wereld zelf (Rijsenbrij, 2005). Het bovengenoemde houdt dus in dat een beveiligingsarchitectuur geen ander document hoeft te zijn dan de andere architecturen. Beveiligingsaspecten kunnen dus ook in elk van de onderliggende architecturen zijn beschreven. Het is wel belangrijk dat het geheel is aangesloten, waardoor de traceerbaarheid van uitgangspunten en eisen naar maatregelen gewaarborgd wordt. Volgens de GvIB Expert Brief (Bel e.a., 2006) zijn kritieke succesfactoren voor het ontwikkelen van een beveiligingsarchitectuur: Het hebben van beleid en een classificatiesysteem voor beveiliging; Bruikbaarheid voor de doelgroepen en de beleving dat met een beveiligingsarchitectuur de complexiteit wordt gereduceerd, en een betere beveiliging kan worden gerealiseerd. Vanuit een beveiligingsoogpunt zijn de belangrijkste doelgroepen voor architectuur weergegeven in de onderstaande tabel. Afhankelijk van de organisatie kunnen mogelijk nog andere specifieke doelgroepen worden onderkend.
Tabel 1. Doelgroepen architectuur (Bel e.a., 2006) (IT) Architecten
Architecten hebben de beveiligingsprincipes nodig om de juiste bouwstenen op de juiste plaats te kunnen definiëren met hoogniveau beveiligingseisen.
Ontwerpers
Ontwerpers hebben de beveiligingsprincipes nodig om bouwstenen en services te ontwerpen volgens deze principes in de context van de beveiligingsarchitectuur. Specialisten gebruiken de architectuur om de organisatie consistent te adviseren over beveiliging eisen waar services en systemen aan moeten voldoen.
Security specialisten Business managers
Business managers financieren de beveiliging, stellen de eisen en kunnen uit de architectuur op hoofdlijnen opmaken hoe hun business informatie wordt beveiligd. Door gestructureerd te werken volgens een beveiligingsarchitectuur kunnen zij beter verantwoorden dat zij stelselmatig werken aan een goede bescherming van bedrijfsinformatie en
Auditors
Auditors kunnen de architectuur gebruiken als toetsingsinstrument tijdens hun controles.
11
Chapnews
Voorbeeld: een korte beschrijving van NORA Burgers en bedrijven verwachten een goed functionerende overheid. Interoperabiliteit 1 is hiervoor een belangrijke voorwaarde. NORA, de Nederlandse Overheid Referentie Architectuur2, is een raamwerk dat overheidsorganisaties helpt om deze interoperabiliteit te realiseren. De NORA hanteert de definitie van het IEEE voor architectuur, namelijk: Architectuur is de beschrijving van de fundamentele opbouw van een systeem, bestaande uit: Zijn componenten; Hun onderlinge relaties en die tot hun omgeving; De principes voor hun ontwerp en evolutie. In de NORA versie 2.0 worden ‗fundamentele principes‘ en ‗architectuurprincipes‘ voor de inrichting van de eoverheid gepresenteerd. De fundamentele principes hebben betrekking op: Hogere kwaliteit van de dienstverlening; Administratieve lastenverlichting; Transparantie; Proactieve dienstverlening; Een integrale en betrouwbare overheid; Verbeteren van de doelmatigheid.
Beveiliging & Privacy Beheer Wie?
Wat?
Hoe?
Organisatie
Diensten Producten
Processen
Berichten Gegevens
Informatieuitwisseling
Gegevensopslag
Netwerk
Bedrijfs architectuur
Informatie architectuur
Medewerkers applicaties
Technische architectuur Technische componenten
Figuur 3. Architectuurraamwerk voor de NORA 1.
Het delen van informatie door overheidsorganisaties.
2.
Een referentiearchitectuur is een instantie van een architectuur welke in vergelijkbare
situaties hergebruikt kan worden.
12
Chapnews
De architectuurprincipes zijn geordend op basis van een ‗architectuurraamwerk‘ (zie figuur 3). Het architectuurraamwerk bestaat uit een matrix met drie architectuurlagen (bedrijfsarchitectuur, informatiearchitectuur, technische architectuur) en drie dimensies (wie, wat, hoe). Deze dimensies representeren verschillende componenten binnen een laag. Daarnaast zijn er twee algemene dimensies die op alle lagen en componenten betrekking hebben: beheer en beveiliging & privacy. Op de bedrijfslaag gaat het bijvoorbeeld om de veiligheid van medewerkers, producten en bedrijfsprocessen. Op de middelste laag ligt de nadruk op de informatiebeveiliging: van applicaties (beschikbaarheid), van gegevens (integriteit) en van de communicatie (vertrouwelijkheid). Op de onderste laag (techniek) spreken we over authenticatie (PKI, etc.) en encryptie, naast de fysieke aspecten (firewalls, etc.). Beveiliging & privacy Een goed functionerende informatievoorziening is een belangrijk onderdeel van de bedrijfsvoering van de overheid geworden en het wordt, met onder meer de komst van de e-overheid, steeds belangrijker. Samenwerking van de overheidsorganisaties brengt een aantal zaken met zich mee. Een organisatie moet een bepaald niveau van beheersing hebben bereikt om op een verantwoorde wijze te kunnen samenwerken en aan de e-overheid te kunnen bijdragen. Dit kan worden gezien als de baseline voor beveiliging. Een mate van beheersing waarover zij ook verantwoording aflegt. Het betreft de volgende aspecten: De organisatie beheerst haar informatiebeveiliging; De organisatie beheerst haar bescherming van persoonsgegevens ter bescherming van de persoonlijke levenssfeer van de betrokkenen. Hierbij speelt de WBP (Wet Bescherming Persoonsgegevens) een grote rol; De organisatie beheerst de continuïteit van haar belangrijkste bedrijfsprocessen. Samenwerking van organisaties leidt tot het maken van gezamenlijke afspraken over het op elkaar afstemmen en afgestemd houden van de informatiebeveiliging- en privacystelsels, van beleid tot en met controle. Hierbij kunnen ook afspraken over gemeenschappelijke voorzieningen een rol spelen. De NORA geeft richtlijnen betreffende deze afspraken: De samenwerkende partijen richten gezamenlijk de governance in voor hun informatiebeveiliging, privacy en continuïteit van de bedrijfsvoering; Alle organisaties in de e-overheid dragen bij en maken gebruik van een te ontwikkelen gemeenschappelijk normenkader ten behoeve van bijvoorbeeld audits; E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee burgers en bedrijven zaken met haar kunnen doen; Informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen vormen een integraal onderdeel van een service of dienst.
Drijfveren voor architectuur Burke (2002) noemt drie belangrijke drijfveren voor het inzetten van (enterprise) architectuur in organisaties, namelijk: 1. Business IT alignment; 2. De wendbaarheid van de business ook wel ‗business agility‘ genoemd; 3. Kostenbesparing op de IT middelen.
13
Chapnews
Business IT alignment Business IT alignment is historisch gezien het belangrijkste argument geweest om enterprise architectuur op de agenda te zetten en blijft nog steeds een belangrijke drijfveer (Burke, 2002; Van der Raadt et al., 2004). Alignment is een issue op die plekken waar twee partijen samenwerken. Hetzij tussen IT en business is of tussen businessonderdelen onderling. Business IT alignment gaat over het effectief en efficiënt gebruik van IT investeringen en bedrijfsmiddelen, teneinde het realiseren van business strategieën en het behalen van bedrijfsdoelen mogelijk te maken. Dit komt neer op samenwerken, luisteren en begrip hebben voor elkaars belangen. Het is een proces dat onder andere gefaciliteerd kan worden door de juiste opzet van de architectuurprocessen.
Business
? IT
Figuur 4. Alignment gap Het vraagstuk van Business IT alignment staat al een groot aantal jaren in de schijnwerpers. Het alignment model van Luftman (Luftman, 2003) en Henderson en Venkamatran (Henderson et al. 1993) kan worden gezien als startpunt voor de aandacht voor alignment. De modellen richten de aandacht op de wijze waarop de strategie van een organisatie in lijn kan worden gebracht met de IT-strategie en welke weerslag dit heeft voor de huidige bedrijfsprocessen en hun ondersteuning door IT. Het door Henderson en Venkatraman ontwikkelde Stategisch Alignment Model is het begin van een lange reeks publicaties over het alignment-vraagstuk. In de loop van de tijd zijn er veel wijzigingen van het model gesuggereerd, zoals het Amsterdams Informatie Management (AIM) model (Abcouwer et al. 1997; Maes 2007).
14
Chapnews
In relatie tot informatiebeveiliging, hebben organisatie te maken met onder andere de volgende alignmentuitdagingen (gaps): Er wordt niet voldaan aan de businesseisen: De security manager praat meer in IT-termen dan in business-termen. De business manager aan de andere kant gebruikt termen die de security manager niet begrijpt. Dus betere communicatie tussen business- en security manager is essentieel. Met andere woorden, de managers moeten dezelfde taal spreken. Hierdoor begrijpt de security manager de impact van beveiliging op de business en de business manager begrijpt de toegevoegde waarde van beveiliging; Beveiligingsprojecten dragen niet bij aan de bedrijfsdoelstellingen. Zorg voor prioriteitstelling van projecten op basis van businessprioriteiten en niet van beveiligingsprioriteiten. De business is onvoldoende op de hoogte van de toegevoegde waarde van informatiebeveiliging: Informatiebeveiliging wordt als een kostenpost gezien. Definiëren van metrieken en gebruik deze metrieken voor het inzichtelijk maken/rechtvaardigen van de toegevoegde waarde/beveiligingsuitgaven. Met andere worden beoordeel informatiebeveiliging vanuit een economisch perspectief.
Hmm … we hebben hier te maken met een communicatiestoornis
Hij begrijpt mij gewoon niet
Relatietherapeut
Business Manager
Figuur 5. Communicatie-gap
15
Security Manager
Chapnews
Wendbaarheid Door de economische veranderingen, en het feit dat de markt veel competitiever is geworden, zullen ondernemingen zich moeten aanpassen. De eigenschap van mee kunnen gaan met veranderingen wordt uitgedrukt als ―wendbaarheid‖ of ―agility‖. De laatste tijd wordt ook wendbaarheid als drijfveer steeds vaker genoemd. Niet alleen in de ITlandschap maar ook in de business neemt de complexiteit toe. Van organisaties wordt verwacht dat zij de maatschappij efficiënter gaan bedienen en zich sneller aan kunnen passen aan gewijzigde omstandigheden, kortom dat zij wendbaar worden (Hendriks & Oosterhaven, 2006). Een wendbare organisatie heeft haar bedrijfsvoering flexibel ingericht. Agility wordt door Gartner gedefinieerd als: ‗the ability to sense environmental change and respond efficiently and effectively to that change‘ (Plummer & McCoy, 2006). Gartner benoemt vier eigenschappen waaraan een wendbare onderneming dient te voldoen: Awareness: de mate waarin de onderneming weet wat er gaande is in haar relevante omgeving; Flexibility: de mate waarin de onderneming kan reageren op een verwachte verandering; Adaptability: de mate waarin de onderneming kan reageren op een onverwachte verandering; Productivity: de mate waarin werkzaamheden efficiënt uitgevoerd kunnen worden. De bedrijfsstrategie voorschrijft een integrale benadering tussen de bedrijfsvoering enerzijds en de informatievoorziening en IT anderzijds. Dat inspelen op veranderingen in de praktijk nog niet vlekkeloos verloopt, is af te leiden uit een uiteenzetting door Dietz en Hoogervorst (Dietz & Hoogervorst, 2005). Zij stellen dat vele studies hebben aangetoond dat zeventig tot negentig procent van de ondernemingen falen in het succesvol realiseren van strategische initiatieven. Volgens Dietz en Hoogervorst ligt dit aan het interne gebrek aan samenhang en integratie tussen de verschillende elementen in de onderneming en de aangrenzende elementen in de omgeving. Kostenbesparing Een andere drijfveer die de laatste jaren wordt genoemd voor het inzetten van enterprise architectuur is het verminderen van de IT kosten. Veel organisaties worden namelijk geconfronteerd met de kosten in relatie tot de toegevoegde waarde van hun IT activiteiten (Maes, 2007). Investeringen in een architectuur moeten gezien worden als investeringen in de besturing en de beheersing van de organisatie en de middelen die de organisatie ter beschikking staan of moeten staan. Ross (2006) geeft aan dat er besparingen gerealiseerd kunnen worden op het gebied van onderhoud van applicaties en de kosten voor het operationeel in stand houden van de IT infrastructuur.
16
Chapnews
Het investeren in een architectuur heeft volgens Rehkopf & Wybolt (2003) diverse voordelen. Er kunnen betere IT-beslissingen worden genomen; Er kan business-IT alignment plaatsvinden; Het is duidelijk wie verantwoordelijk is voor welke beslissing; Het is mogelijk om deelimplementaties te doen zonder het eindplaatje uit het oog te verliezen; Het is mogelijk om standaardisatie na te streven en daardoor kosten te besparen. Naast de kosten voor het opstellen van een architectuur, moeten er ook kosten worden gemaakt voor het onderhouden van een architectuur (Rehkopf & Wybolt, 2003). Vaak worden deze kosten vergeten zodat een architectuur zijn waarde snel verliest. Omdat een architectuur nooit ‗af‘ is, zal een architectuur dus altijd geld blijven kosten. Ten behoeve van beveiliging sommen Bel e.a. (2006) de volgende kostenbesparingen op: Minder vaak opnieuw ‗het wiel uit te vinden‘ in requirements-specificatie trajecten. Toepassing van de richtlijnen van een beveiligingsarchitectuur kan veel tijdwinst opleveren in projecten; Eenmalige inrichting en goed hergebruik van generieke bouwstenen. Hierdoor kan de omvang en complexiteit van individuele projecten worden gereduceerd; Sneller en met minder inspanning realiseren van nieuwe diensten. Flexibiliteit en time-tomarket van nieuwe producten en diensten wordt steeds belangrijker en kan businessvoordelen opleveren; Beperking van kapitaalvernietiging door onevenwichtige en incompatibele maatregelen. Een onbalans van maatregelen kan veel kosten tot gevolg hebben en toch onvoldoende veiligheid bieden; Realiseren van een meer uniform en beter aantoonbaar niveau van beveiliging. Volgens Bel e.a. (2006) zijn veel baten, verborgen baten die lastig zichtbaar te maken zijn. Daarnaast zijn in het vakgebied informatiebeveiliging bijna geen kengetallen beschikbaar die aangeven in welke mate kostenbesparing kwantitatief gerealiseerd kunnen worden. Raymond Slot (Slot, 2010) bepaalde in zijn onderzoek de financiële waarde van het toepassen van enterprise architectuur. Hij concludeert dat deze architectuur kan bijdragen aan een hoger bedrijfsresultaat, hogere effectiviteit van de IT en een verlaging van de IT-kosten. Hij toonde aan dat enterprise architectuur leidt tot een beter en betrouwbaarder inzicht in de kosten en baten van ontwikkelinitiatieven en een afname van IT-projectkosten van 19 procent. Daarnaast geeft het een verbeterde betrouwbaarheid van financiële planning van IT-projecten met 25 procent. Deze resultaten geven aan dat enterprise architectuur de aandacht van het topmanagement verdient, gezien het feit dat architectuur verschillende toepassingen heeft voor het realiseren van strategische bedrijfsdoelstellingen.
17
Chapnews
Ondanks dat werken onder architectuur baten kan opleveren, is het nog steeds zo dat een architectuur niet altijd wordt ontwikkeld. Zachman (1998) geeft hiervoor een aantal redenen (Tout, 2007). Ten eerste zien de meeste managers niet dat een architectuur een rol kan spelen in het overleven van de organisatie. Om die reden zullen ze het pas missen als het te laat is. Ten tweede betoogt Zachman dat de inrichting van de informatiefunctie in zijn volle breedte, feitelijk de inrichting van de organisatie omvat. Tenslotte is er te weinig kennis en kunde over architecturen. Het is zaak om daadwerkelijk met architecturen aan de slag te gaan en energie in het proces te stoppen. Conceptueel Model De architectuur van een systeem kan beschreven worden vanuit vele gezichtspunten, afhankelijk van de belangen die spelen in het veranderingsproces. Een belangrijke bijdrage van de IEEE/ANSI standaard P1471 is een conceptueel model waarin de samenhang tussen de verschillende architectuurbegrippen is beschreven. Figuur 1 geeft een abstract niveau overzicht van dit conceptueel model. IEEE maakt het onderscheid tussen een architectuur hebben en een architectuur opstellen. Ieder systeem heeft een inherente architectuur: de architectuurbeschrijving (architectural description) moet deze architectuur beschrijven. Een ander belangrijk inzicht is dat er meerdere gezichtspunten op architectuur zijn, die in een standaard ‗views‘ en ‗viewpoints‘ worden genoemd. Een viewpoint is een voorschrift voor een view op een specifiek systeem. Elk viewpoint geeft een unieke manier aan om naar een systeem te kijken. Het viewpoint bevat tevens aanwijzingen voor hoe deze manier van kijken moet worden opgeschreven. Viewpoints worden altijd gedefinieerd voor belangen (concerns) van bepaalde belanghebbenden (stakeholders). Architectuurraamwerken Volgens Greefhorst et al. (2003) komen architectuurraamwerken voor in twee smaken: enterprise-raamwerken en applicatieraamwerken. Hierbij hebben enterprise-raamwerken de hele organisatie op het oog en ze bevatten vaak meerdere dimensies. Greefthorst et al. (2003) analyseerden de architectuurraamwerken hetgeen heeft geleid tot negen basisdimensies: informatie, bereik, detailniveau, belanghebbenden, transformatie, kwaliteitseigenschappen, metaniveau, aard en representatie. Uit interviews bleek dat het niet veel uitmaakt welk architectuurraamwerk wordt gebruikt, als er maar een raamwerk wordt gebruikt. Het algemene doel van een raamwerk blijft toch het ondersteunen van de architect bij het creëren van samenhang, overeenstemming en begrip tussen de verschillende componenten van een organisatie. Volgens Greefhorst et al. (2003), valt een aantal dingen op bij de verschillende architectuurraamwerken, namelijk: Er worden verschillende termen voor vergelijkbare aspecten gebruikt, en vice versa; Veel termen zijn niet duidelijk gedefinieerd, waardoor de exacte betekenis niet duidelijk is; Sommige raamwerken lijken sterk op elkaar, maar zijn toch net weer ‗even anders‘; De relatie tussen de waarden binnen een dimensie is soms moeilijk te ontdekken, waardoor de dimensie moeilijk te begrijpen valt. Een verklaring voor de verschillen in de raamwerken is dat de auteurs hebben gepoogd om, gegeven een bepaalde context en een bepaald doel, alle relevante aspecten te com-
18
Chapnews
bineren. Verder zien de auteurs dat raamwerken vaak uit twee dimensies bestaan. De eerste dimensie beschrijft vaak de typen informatie (onderwerpen) die kunnen voorkomen in een architectuurbeschrijving. Een grove onderverdeling in typen informatie is het onderscheid tussen IT en business. De tweede dimensie in raamwerken is vaak sequentieel van aard; er is een bepaalde volgorde waarin de modellen binnen deze dimensie opgesteld worden. Voorbeelden van bekende raamwerken zijn: Het Zachman raamwerk (Zachman, 1987); Het TOGAF raamwerk (TOGAF, 2004); IAF (Goedvolk et al., 1999); Tapscott (Tapscott & Caston, 1993); DYA (Wagter et al., 2001); 2+2-model (Lassing et al., 2001); Dragon1 (Paauwe, 2006) Specifiek voor beveiliging zijn er in de loop van de jaren een aantal raamwerken ontwikkeld. Dit zijn onder andere: Open Security Architecture (OSA, zie ook het artikel van André Koot (Koot, 2009)); Sherwood Applied Business Security Architecture (SABSA) framework; Enterprise Information Security Architecture (EISA). Architectuur Volwassenheid Bij het werken onder architectuur wordt ook vaak gebruik gemaakt van modellen die de stadia van volwassenheid weergeven. Er bestaan in dit verband verschillende volwassenheidsmodellen voor (enterprise) architectuur. Deze modellen vallen onder de verzamelnaam Architecture Maturity Modellen (AMM). Een volwassenheidsmodel bevat de essentiële elementen van effectieve processen voor één of meerdere disciplines en beschrijft een evolutionair groeipad van ad hoc, onvolwassen processen naar gedisciplineerde, volwassen processen waarbij de kwaliteit en effectiviteit aanzienlijk is verbeterd. Het is een groeimodel dat bestaat uit een aantal niveaus en dat grotendeels aan de eisen en voorwaarden van het huidige volwassenheidsniveau moet worden voldaan om verder te kunnen groeien naar het volgende volwassenheidsniveau. In alle gevallen komt het erop neer dat er op het laagste niveau in zijn geheel geen architectuur aanwezig is. Er zijn in de praktijk verschillende volwassenheidsmodellen te onderkennen (zie bijvoorbeeld META Group, 2000; Van der Zee e.a. (2000); Cap Gemini (Slot, 2000); GAO, 2003; DoC, 2003; Sogeti, 2003).
Wat is een volwassen enterprise architectuur? Uit de methode Dragon1 komen de volgende kenmerken die passen bij een volwassen enterprise architectuur (Vos, 2009): 1.
De architectuur wordt gedragen en erkend door de business en IT directie van de organisatie en de belangrijkste klanten, ketenpartners van de organisatie;
2.
Het bestuur, directie en management maakt gebruik van de architectuur (met name de concepten, principes, modellen en visualisaties) van een bepaald domein, systeem of oplossing voor het nemen van strategische beslissingen;
3.
Projecten, leveranciers en ontwikkelaars maken gebruik van de architectuur als richtinggevend kader, om vooruit te kijken en voor het oplossen van problemen;
19
Chapnews
4.
Klanten, ketenpartners en leveranciers maken gebruik van de architectuur om er op aan te sluiten;
5.
De architectuur is een up-to-date consistent gedocumenteerd en goed toegankelijk geheel van uitgangspunten, concepten, principes, regels, artifacten/elementen, modellen, oplossingen, visualisaties en views;
6.
De architectuur is een soort conceptueel ontwerp van een domein, systeem of solution, waarbij de architectuur is te relateren aan de strategische uitgangspunten, functionele eisen en bedrijfsdoelen van een organisatie;
7.
De architectuur beschikt over een gebruikt begrippenkader;
8.
De architectuur zorgt ervoor dat logische en fysieke ontwerpen die gemaakt worden onder de architectuur hoger van kwaliteit zijn;
9.
De architectuur is gekoppeld aan het transformatieproces, het innovatieproces en de planningencontrol- cyclus van de organisatie;
10.
De architectuur en onderdelen eruit wordt vaak hergebruikt en niet steeds opnieuw gemaakt en weer teruggekoppeld naar de architectuur. De architectuur is daarmee proactief voorschrijvend en niet reactief beschrijvend.
Architectuur Audit De auditfunctie staat onafhankelijk van de primaire processen van de organisatie en kan worden ingezet om te bepalen of en hoe een instrument als architectuur bijdraagt aan de beheersing (Campbell & De Vries, 2009). Volgens David Campbell en Arjan de Vries (2009) kan de auditfunctie worden ingezet om de kwaliteit van architectuur te beoordelen. Hierdoor krijgen de belanghebbenden een indruk van de effectiviteit van architectuur als beheersmaatregel. De auditor richt zich op het geven van zekerheid over de beheersbaarheid en controleerbaarheid van een onderzoeksobject. De auditinsteek is dan: draagt het werken onder architectuur bij aan een beheersbare en controleerbare ontwikkeling van processen en informatiesystemen? In hoofdlijn zien de auteurs drie soorten audits die van toegevoegde waarde kunnen zijn bij het bepalen van de beheersbaarheid en de controleerbaarheid van architectuur als beheersmaatregel: 1.
Een audit naar het proces van totstandkoming en onderhoud van de architectuur (architectuur governance);
2.
Een audit naar het werken onder architectuur (architectuur compliance);
3.
Een audit naar de kwaliteit van de architectuur. Deze audit is over het algemeen gericht op de verschaffing van aanvullende zekerheid of de beoogde rol van het instrument architectuur in een beheersbare en controleerbare ontwikkeling c.q. toekomstige exploitatie feitelijk wordt bereikt.
Tabel 2 geeft weer met welk type audit de auditdoelstellingen beantwoord kunnen worden. Voor getailleerde informatie zie (Campbell e.a., 2009).
20
Chapnews
Tabel 2. Relatie tussen de auditdoelstellingen en soorten audits (Campbell e.a., 2009)
Auditdoelstelling
Soort architectuuraudit
Soort architectuuraudit
Wat moet er op korte termijn gebeuren zodat de organisatie voldoende werkt onder architectuur?
Audit naar de kwaliteit van het werken onder architectuur (2)
Primair is de vraag gericht op de kwaliteit van het werken onder architectuur. De kwaliteit van de architectuur en de wijze van totstandkoming zijn echter ook van belang.
Draagt de ontworpen architectuur bij aan de besloten beheersdoelstellingen?
Audit naar de kwaliteit van de architectuur (3)
Het betreft hier in eerste instantie de mate waarin de architectuur voldoende aanknopingspunten biedt om het werken eronder mogelijk te maken.
In hoeverre is de ontworpen architectuur compliant met de (rijks)overheidsbrede architecturen ?
Audit naar de kwaliteit van het proces van totstandkoming en beheer van de architectuur (1)
Compliancy is een aspect van de architectuur zelf, maar dient geborgd te worden.
Audit naar de kwaliteit van de architectuur (3) Is in de systeemontwikkeling voldoende de enterprise-architectuur voldoende nageleefd bij systeemontwikkelingstraject?
Audit naar de kwaliteit van het werken onder architectuur (2)
De mate waarin ontwikkeld wordt conform de architectuur is analoog aan het werken onder architectuur.
Houdt de organisatie bij het inrichten van haar werkprocessen voldoende rekening met architectuurprincipes?
Audit naar de kwaliteit van het werken onder architectuur (2)
Feitelijk dezelfde vraag als de voorgaande, maar nu gericht op processen.
Daan Rijsenbrij (2009) onderkent vijf onderzoeksterreinen voor een architectuurauditor: de architectuurgovernance, de architectenpopulatie, de architectuur, het architectuurgebruik en de architectuurimplementatie. Een audit over de architectuurgovernance betreft het functioneren van de verschillende architectuurprocessen, de organisatorische inbedding in de businessbeslissingen en de relatie met de ITgovernance. Governance richt zich op de belanghebbenden (stakeholders) van de organisatie, de daarmee samenhangende doelstellingen van deze organisatie, en de verantwoordelijkheid van de leiding van deze organisatie om de doelstellingen te verwezenlijken.
21
Chapnews
Een audit over de architectenpopulatie betreft het functioneren van die architectenpopulatie, haar opbouw, de competenties van de aanwezige architecten en de relaties met de overige deskundigen die assisteren bij het formuleren van een architectuur. De omvang van deze beide auditsoorten is sterk afhankelijk van de volwassenheid van de architectuurfunctie. Een audit van de architectuurimplementatie betreft een onderzoek in hoeverre de vastgestelde architectuur daadwerkelijk is geïmplementeerd in de infrastructuur, het applicatielandschap, het informatieverkeer en de gedigitaliseerde businessproducten en diensten. Afhankelijk van de afgesproken scope is dit een zeer tijdrovend onderzoek. Campbell en De Vries (2009) zijn van mening dat een audit van een architectuur slechts een middel is om de kwaliteit van de architectuur en het werken onder architectuur te waarborgen. De toegevoegde waarde van een architectuuraudit is er wanneer de organisatie dit proces zodanig heeft ingericht dat de auditor de kwaliteit daadwerkelijk kan vaststellen. Dit houdt in dat de organisatie zelf een controleerbare en beheersbare architectuur governance moeten opzetten. Waarom architectuur audits in de praktijk worden overgeslagen Volgens Daan Rijsenbrij3 kunnen drie hoofdredenen worden genoemd waarom de architectuuraudit in de praktijk wordt overgeslagen. Als eerste merkt hij op dat de noodzaak van een goede architectuur onvoldoende duidelijk is. Met andere woorden; de grote potentiële schade van een verkeerde architectuur is niet helder. Als tweede zijn de architecten zo zelfverzekerd dat ze zich niet kunnen voorstellen dat het nodig is om een onafhankelijke, onpartijdige architectuurauditor een blik te laten werpen op hun architectuur. Architecten zijn trots op hun eigen werk en kunnen niet meer objectief kijken naar de gemaakte keuzes. De derde reden heeft te maken met geld. Het opstellen van de architectuur kost veel inspanning en geld, waardoor een architectuuraudit wordt overgeslagen. Tot slot De belangrijkste kwaliteitscriteria voor een waardevolle architectuur zijn bruikbaarheid, houdbaarheid en eenvoud. Eenvoud kan worden bereikt door alleen die dingen op te nemen die van belang zijn. Houdbaarheid houdt in dat de architectuur op onderdelen verbetert moet kunnen worden. Architectuur is geschikt voor verschillende toepassingen. Heldere communicatie tussen technici, business experts en stakeholders wordt mogelijk door gebruik te maken van de architectuurmodellen en de beschrijvingen om te komen tot de juiste eisen en om ideeën uit te wisselen voor verschillende ontwerpdomeinen. Als architectuur is opgesteld, dient het als managementinstrument waar de strategie uitgewerkt kan worden om grip te krijgen op de dynamische veranderingen in de business, de IT en de relatie daartussen. Hierdoor kunnen er geen ontwikkelingen in isolement plaatsvinden die niet in lijn zijn met de bedrijfsstrategie. Beveiligingsaspecten kunnen dus ook in elk van de onderliggende architecturen zijn beschreven. Een architectuuraudit biedt aanvullende zekerheid aan organisaties over het werken onder architectuur. Echter, de verantwoordelijkheid voor een beheersbare en controleerbare architectuur governance en architectuur ligt in eerste instantie bij de organisatie zelf. 3.
Gepubliceerd in de Automatisering Gids, 30 januari 2009, nummer 5, pagina 16.
22
Chapnews
(Abcouwer & Truijens, 1997)
Abcouwer, A.W., and Truijens, J.H.J.M. "Contouren van een Generiek Model voor InformatieManagement – een landkaart van de relatie tussen een organisatie en haar informatievoorziening," Tijdschrift Management en Informatie (5:3) 1997, pp 92-102.
(Bel e.a., 2006)
Bel e.a., (2006), Security architectuur: Nieuwe hype voor specialisten of nuttig communicatiemiddel?, GvIB Expert Brief.
(Bel et al., 2006)
GvIB Expert Brief, (2006), Security architectuur: Nieuwe hype voor specialisten of nuttig communicatiemiddel?, Genootschap van Informatie Beveiligers. Pieter Buitenhuis, (2007), Fundamenten van het principe Op weg naar een prescriptieve architectuurmodelleertaal, Master thesis, Radboud Universiteit Nijmegen. Burke, B. ,(2002), Enterprise Architecture Maturity, META Group Recorded Interview.
(Buitenhuis, 2007)
(Burke, 2002)
(Campbell & de Vries, 2009)
Architectuuraudit: de toegevoegde waarde David Campbell en Arjan de Vries, namens de werkgroep architectuuraudit van de Rijksauditdienst, 2009, www.rad.nl.
(Campbell e.a., 2009)
David Campbell, Wim van Dommelen, Hemke Havinga, Arjan de Vries en Loubna Zarrou, (2009), Architectuuraudit draagt bij aan kwaliteit van (werken onder) architectuur, Landelijk Architectuur Congres (LAC) 2009.
(Dietz & Hoogervorst, 2005)
Dietz, J.L.G., Hoogervorst, J., (2005), De kernbegrippen omtrent Enterprise Architectuur en Enterprise Architecturen, TIEM, nr. 10, 40-48.
(DoC, 2003)
Department of Commerce, (2003), Introduction – IT Architecture Capability Maturity Model.
(GAO, 2003)
General Accounting Office, (2003), A Framework for Assessing and Improving Enterprise Architecture Management (version 1.1), GOA-03-584G.
(Greefhorst et al., 2003)
Danny Greefhorst, Henk Koning en Hans van Vliet, (2003), De dimensies in architectuurbeschrijvingen, Informatie.
(Hendriks & Oosterhaven, 2006)
Hendriks, C. M. & Oosterhaven, J. A., (2006), ICT Bibliotheek: Wendbaarheid door Architectuur, Landelijk Architectuur Congres 2006, Sdu Uitgevers, Den Haag.
(IEEE, 2000)
The Institute of Electrical and Electronics Engineers, (2000), IEEE Standard 1471- 2000: IEEE recommended practice for architecture description of software-intensive systems, ISBN: 0 7381 2518 0.
(Jochem et al., 2005)
GvIB Expert Brief, (2005), Security Principes: Informatiebeveiliging op de managementagenda, Genootschap van Informatie Beveiligers.
(Kaplan & Norton, 2001)
Kaplan, R.S., Norton, D.P., (2001), The strategy-focused organization, Harvard Business School Press.
23
Chapnews
(Koot, 2009)
André Koot, (2009), Open Security Architecture: een open source architectuur, in Informatiebeveiliging, Juni 2009, nr. 4, GvIB.
(Luftman, 2003)
Luftman, N. J., (2003), Measure Your Business-IT Alignment, Optimize: Business execution for CIOs. Magazine. Issue 26.
(Maes, 2007)
Maes, R. (2007), An Integrative Perspective on Information Management, PrimaVera Working Paper, Universiteit van Amsterdam.
(MG, 2000)
META Group, (2000), Architecture Capability Assessment, META Group Practice, Vol. 4, No. 7.
(Paauwe, 2006)
Paauwe, M., (2006), Dragon 1, voorpublicatie.
(Plummer & McCoy, 2006)
Plummer, D., McCoy, D., (2006), Achieving Agility – The View Through a Conceptual Framework, Gartner.
(Rijsenbrij, 2005)
Daan Rijsenbrij. (2005), Architectuur in de digitale wereld. Syllabus: Inleiding in de Digitale Architectuur.
(Slot, 2010)
Raymond Slot, 2010, A method for valuing architecture-based business transformation and measuring the value of solutions architecture, Phd thesis, UVA.
(Sogeti, 2003)
Sogeti, (2003), Architecture Maturity Model. URL http:// www.sogeti.nl/images/97_FC_1.0_tcm6-17548.pdf Rehkopf, T.W. and Wybolt, N., (2003), Top 10 Architecture Land Mines. IT Professional. Vol. 5. No. 6, 36-43.
(Tapscott & Caston, 1993)
Tapscott, D., & D. Caston, (1993), Paradigm Shift The New Promise of Information Technology. McGraw-Hill.
(The Open Group, 2002)
The Open Group ,(2002), The Open Group Architectural Framework. Version 8.
(Toet, 2007)
R. Toet, (2007), Een referentiearchitectuur voor de waterschappen : de realisatie en de invloed van een integraal model, PhD thesis UvA.
(Van der Raadt, 2004)
Raadt, B. van der, Soetendal, J., Perdeck, M. & Vliet, H. van , (2004), Polyphony in Architecture, Proceedings 26th International Conference on Software Engineering (ICSE 2004), Edinburg, May 2004.
(Van der Zee e.a., 2000)
Van der Zee, H. e.a., (2000), Architectuur als managementinstrument, Beheersing en besturing van complexiteit in het netwerktijdperk, Ten Hagen & Stam uitgevers, Den Haag.
(Vos, 2009)
Fijtse Vos, (2009), Architectuur voor de auditor: een zege of een nachtmerrie?, XR editie 3.
24
Chapnews
(Wagter, 2001)
Wagter, R., et al. ,(2001), DYA: snelheid en samenhang in business en ICT-Architecture. Tutein Nolthenius.
(Zachman, 1987)
Zachman, J.A., (1987), A Framework for Information Systems Architecture. IBM Systems Journal 26, No. 3.
(Zachman, 1998)
Zachman, J.A., Enterprise Architecture: Looking Back and Looking Ahead, Data-To-Know, Newsletter, 27 (3).
Bronnen De GvIB Expert Brief (zie Jochem et al., 2005), zie www.pvib.nl/bibliotheek Waarom architectuur? Burke, op www.enterprisearchitectuur.net www.opensecurityarchitecture.org www.sabsa-institute.org www.gartner.com Over de auteur Dr. Ing. S. (Saïd) El Aoufi MSc is senior adviseur bij MetaPoint B.V.
25
Chapnews
The Effect of Irrelevant Information in Audits Some major responsibilities of information systems (IS) auditors, and assurance practitioners in general, include identifying key risk factors (KRFs), completing impact analysis surrounding those identified KRFs and diagnosing the effectiveness of control remedies for those KRFs. To expedite these tasks well, audit practitioners have to focus on information that is relevant to helping them understand those KRFs. For the most part, assurance practitioners do a good job of gaining an understanding of KRFs; however, should we believe that assurance practitioners always get it right? When assurance practitioners do not get it right, what are the repercussions? The answer is clear and simple: audit failure—that is, stakeholders relying on audited reports that are materially misstated and mislead by the audit opinions that accompany them. The efficient market hypothesis suggests that assurance practitioners always optimize and get it right by ignoring information that is not relevant to KRFs. Otherwise, the assurance practitioners who fail to get it right will be driven from the marketplace and prohibited from offering their services to other stakeholders in the future. To some extent, the efficient market hypothesis works well and does explain that the aggregate of assurance professionals coexists and strives for the ―survival of the fittest.‖ As an example, the demise and market exit of one international professional service firm as evidence is offered: KRFs went unchecked by assurance practitioners at all levels within that firm because they were distracted by information that had no relevance to KRFs. To get back to the questions raised previously, we know that assurance practitioners do not always get it right. Many assurance professionals had been distracted by irrelevant information before the Enron scandal, and many have been distracted by irrelevant information since. To this day, those assurance professionals involved are still market participants and offer their services to customers. Behavioral research theory points out the flaws in human judgment that exist at an individual level in professional experts and novices. Some studies highlight how IS audit professionals, with experience, are affected by their exposure to irrelevant evidence. They influence assurance professionals to be aware of the presence of irrelevant information and to eliminate it from their information set.
CISM TRAINING Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISM examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit najaar weer trainingen ten behoeve van deze examens. Meer informatie over het examen is te vinden op www.isaca.nl.
26
Chapnews
The Importance of Security Awareness Training Mind you, no offense to your cleaning crew is intended, but when it comes to user awareness training material, some companies are lagging in relevancy. In 2010, we conducted doctoral research on components of user training on perceived security effectiveness. Wait, do not stop reading! We shall not cover all of the 157 pages of the dissertation; however, we would like to share findings in the area of user awareness training topics. Using ISACA as the research site, we employed an anonymous survey to determine which components of user training had the strongest correlation with perceived security effectiveness. As part of the survey, we asked the participants to identify which topics from a given list were addressed in their organization's user awareness security training. Not surprisingly, e-mail and passwords placed as the top 2 responses; after all, these are both pertinent areas of concern to organizations. However, social engineering and data encryption appeared at the bottom half of the list of the most popular training awareness topics. So, what is the problem? It is true that e-mail and passwords are legitimate topics for user awareness training, but are they the most relevant? Current data breach information is proving that social engineering and data encryption are critical areas. The recent data breach at RSA is a prime example of this in that the attackers were able to gather information about the company‘s SecurID two-factor authentication products through a phishing attack. In addition, according to Verizon's 2011 Data Breach Investigations Report, 11 percent of the breaches they researched employed social tactics. Furthermore, encryption is also playing a more critical role when considering that lost/stolen laptops, smartphones and removable storage devices are contributing factors to data breaches. In fact, according to a 2009 Ponemon Institute study, 36 percent of all cases examined involved lost or stolen laptop computers or other mobile devices. So, it is not enough to develop security awareness training material and then never revisit it again. Cyberattacks are ever evolving—and your security awareness training material should be keeping up with them.
Cloud Computing and Data Analytics Among Topics of Latest ISACA Research Releases IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud This book does for cloud computing what the ISACA best seller IT Control Objectives for Sarbanes-Oxley did for US Sarbanes-Oxley Act compliance. It examines assurance in the cloud, with a focus on controls and countermeasures that can be used in the cloud. The publication examines how using the cloud can provide value and provides references to COBIT®. The entire publication is available for complimentary download. In addition, this and other guidance related to cloud computing are available for purchase. Data Analytics—A Practical Approach Data analytics (DA) is the science of examining raw data with the purpose of drawing conclusions about that information. DA is used in many industries to allow enterprises to make better business decisions and is used in the sciences to verify or disprove existing models or theories. This white paper helps readers understand the next generation of tools and techniques for providing analytics and insights to management based on data that already exist within the enterprise. Much of the analysis can be predictive based on data inference, as addressed by the white paper. The publication provides practical guidance for people who deal with data analysis and have to ensure the confidentiality, availability and integrity of the data. Microsoft® SQL Server® Database Audit/Assurance Program This and other audit/assurance programs are available for download for ISACA members. See www.isaca.org for further information.
27