Scriptie IT Audit VU 2006 - 2007
Principes voor Workspace Management Services opgesteld door
Scriptie team 714 Versie 1.1
AUTEURS
:
H.J. Hopman; J.M.A. Conquet
DATUM
:
24 Mei 2007
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
2 van 40
Voorwoord Deze scriptie is de finale toets van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam. Omdat het een praktijkgerichte opleiding met een academische verankering betreft, is ons gevraagd een scriptie te schrijven waarbij een probleem of vraagstuk uit de dagelijkse praktijk op academisch verantwoorde wijze wordt uitgewerkt. Wij zijn beiden werkzaam bij ICT leverancier Getronics PinkRoccade. Wij hebben ervoor gekozen om een situatie uit de dagelijkse praktijk van ons werk als onderwerp van ons onderzoek te nemen. In deze scriptie is er voor gekozen aan Getronics PinkRoccade te refereren als Getronics. Deze keuze hebben wij gemaakt, omdat dit de naamvoering is van ons bedrijf buiten Nederland en het Verenigd Koninkrijk en van de diensten waarop ons onderzoek betrekking heeft. Verder geven wij hiermee aan dat de probleemstelling waarop ons onderzoek zich concentreert, niet uniek is voor de Nederlandse situatie. Van de ICT leverancier wordt sinds enige jaren in sterk toenemende mate verwacht dat hij verantwoording aflegt over de interne beheersing van zijn beheerprocessen. Hierdoor kampt menig ICT leverancier met een grote vraag aan mededelingen, wat een niet gewenste belasting vormt op zijn service organisatie bij de ondersteuning van audits. Bij Getronics is het moment aangebroken om een oplossing te vinden voor dit probleem, iets waaraan wij met dit onderzoek een bijdrage hopen te leveren. Vanuit de Vrije Universiteit Amsterdam is de heer Evert Koning aangewezen als onze afstudeerbegeleider. Evert is werkzaam voor de De Nederlandse Bank en heeft als zodanig direct te maken met het feit dat bij outsourcing ICT leveranciers gehouden zijn aan compliancy regelgeving vanuit de financiële wereld. Evert heeft tijdens het begeleiden van ons onderzoek met name geholpen om de rode draad in ons verhaal vast houden. Als bedrijfscoach heeft Wiekram Tewarie zich bereidwillig opgesteld om ons te ondersteunen. Wiekram is werkzaam bij het UWV en heeft dagelijks contacten met ICT leveranciers over normenkaders en audittrajecten. Tevens is Wiekram zelf bezig met promotieonderzoek over dit onderwerp. Wiekram heeft ons met name geholpen strikt te blijven toezien op de feitelijke juistheid van informatie in onze scriptie. Wij zijn Evert en Wiekram zeer erkentelijk voor hun ondersteuning en geduld. Bovenal wensen wij onze buitengewoon sympathieke, geestige, knappe en getalenteerde vriend Milko van Gool te bedanken voor zijn niet aflatende steun. Zonder hem had deze scriptie eigenlijk nooit geschreven kunnen worden.
Hans Hopman Jessica Conquet Amsterdam, Mei 2007
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
3 van 40
Inhoudsopgave 1.
Inleiding ........................................................................................................................... 5 1.1. Probleemstelling ...................................................................................................... 5 1.2. Onderzoeksvraag .................................................................................................... 6 1.3. Reikwijdte definitie ................................................................................................... 7 1.3.1. Portfolio Getronics ............................................................................................ 7 1.3.2. Workspace Management Services ................................................................... 7 1.3.3. Het OBB Model................................................................................................. 7 1.4. Samenhang met andere onderzoeken .................................................................... 9 1.5. Leeswijzer................................................................................................................ 9
2.
Workspace Management Services .............................................................................. 10 2.1. Network Services en Systems Services ................................................................ 10 2.2. Uitgangspunten voor de Getronics diensten.......................................................... 10 2.3. Verantwoording in het kader van WMS ................................................................. 11
3.
Standaarden en normenstelsel.................................................................................... 13 3.1. Inleiding ................................................................................................................. 13 3.2. Internationale standaarden .................................................................................... 14 3.2.1. CobiT .............................................................................................................. 14 3.2.2. ISO 27001/17799............................................................................................ 15 3.2.3. Information Technology Infrastructure Library (ITIL) ...................................... 15 3.2.4. ISO 20000 – IT Service Management ............................................................ 16 3.2.5. Standard of Good Practice for Information Security ....................................... 16 3.3. Normenkaders van klanten, wet en regelgeving.................................................... 17 3.4. Samenvatting......................................................................................................... 17
4.
Van doelstelling naar principes ................................................................................... 18 4.1. Samenhang tussen principes en doelstelling ........................................................ 18 4.2. Stapsgewijs van uitgangspunt tot beheersdoelstelling .......................................... 20 4.3. WMS doelstellingen ............................................................................................... 22 4.4. WMS Business Attributen ...................................................................................... 22 4.5. COBIT Business Doelstellingen en IT processen ................................................... 23 4.6. COBIT beheersdoelstellingen, ISF maatregelen en ISO 27001 maatregelen ........ 25 4.7. Samenvatting......................................................................................................... 26
5.
Principes voor Network Services en Systems Services ........................................... 27 5.1. Syntax van een principe ........................................................................................ 27 5.2. Principes voor de Omgeving.................................................................................. 27 5.3. Principes voor het Bestuurd Systeem.................................................................... 28 5.4. Principes voor Besturend Orgaan.......................................................................... 30
6.
Conclusie....................................................................................................................... 32
7.
Naschrift ........................................................................................................................ 33
Appendix I – Literatuurlijst.................................................................................................. 35 Appendix II – Overzicht deeloplossingen WMS dienst..................................................... 36 Appendix III – Service Level Agreement............................................................................ 37 Appendix IV – SABSA Business Attributes Model ........................................................... 38 Appendix V – CobiT 4 : Linking Business Goals to IT Goals........................................... 39 Appendix VI – CobiT 4: Linking IT Goals to IT Processes ............................................... 40
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
4 van 40
1. Inleiding Bij de uitbesteding van hun ICT processen zijn klanten van Getronics voor de uitvoering van hun bedrijfsprocessen afhankelijk van de kwaliteit van de aan Getronics uitbestede ICT processen. De kwaliteit van de dienst die Getronics levert, is niet volledig te meten door controle van het eindproduct. De controle van het eindproduct, die in de regel plaatsvindt door het opleveren van Service Level Rapportages, zegt onvoldoende over de wijze waarop het eindproduct tot stand is gekomen. Klanten van Getronics verlangen meer en meer zekerheid dat de dienstverlening van Getronics voldoet aan de vooraf gestelde eisen van de klant. In de afgelopen jaren wordt Getronics steeds vaker geconfronteerd met de vraag verantwoording over zijn diensten af te leggen. Getronics dient daartoe een zogenaamde “compliance statement”, een intern auditrapport of een TPM/SAS 70 te overleggen aan zijn klanten. De basis voor de toetsing van deze producten wordt gevormd door verschillende normenkaders. Deze normenkaders, die door de klanten van Getronics worden geformuleerd, worden opgesteld op basis van 1. hun overeenkomsten met Getronics over de te leveren diensten, 2. hun Service Level Agreement met Getronics, 3. aanvullende eisen die de klanten zelf stellen, en 4. marktstandaarden en branchespecifieke eisen. Aan de hand van deze klantspecifieke normenkaders voert Getronics vervolgens jaarlijks tal van IT audits uit op een scala aan ICT diensten. Door de toenemende vraag van klanten naar mededelingen en de grote verscheidenheid aan normenkaders en onderliggende standaarden neemt de inspanning ten aanzien van IT audits en de belasting van de IT audits op de operatie van Getronics ieder jaar toe.
1.1.
Probleemstelling
Getronics heeft er daarom belang bij om de IT audit inspanning zoveel mogelijk te beperken. Dit is echter niet eenvoudig. Een klant neemt immers alleen genoegen met een onderzoek als het resultaat ervan een correcte weerspiegeling is van de situatie aangaande de diensten die hij afneemt bij Getronics. De probleemstelling bestaat uit een aantal facetten. Deze facetten zijn hierna uiteengezet. Diversiteit aan diensten en normenkaders Over de hele marktlinie biedt Getronics zijn klanten sinds 2006 zogenaamde horizontale diensten aan: infrastructurele services waarbij het in principe niets uitmaakt in welke markt een klant actief is. Dit gebeurt vanuit vijf business lines: •
Business Application Services
•
Workspace Management Services
•
Data Centers & Hosting Services
•
Professional Services & Consulting
•
Integral Client Management
Om het aantal normenkaders te beperken zal een methode moeten worden bedacht om meerdere, onderling verschillende diensten af te beelden op één stelsel of een beperkt aantal stelsels van normen. ICT leverancier heeft niet het initiatief Zoals in de inleiding van het probleemgebied is geschetst, vragen klanten aan Getronics om verantwoording af te leggen over de getroffen beheersingsmaatregelen ter waarborging van diverse kwaliteitsaspecten. Men zou mogen verwachten dat Getronics met kennis van zijn eigen bedrijfsdoelstellingen, de dienstenportefeuille, zijn risicoprofiel, en de klanteisen vastgelegd in contracten, ontwerpen en Service Level Agreements zou moeten kunnen bepalen welk Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
5 van 40
normenkader past bij het onderzoek naar interne beheersing van de kwaliteit van de ICT dienst. De ervaring leert echter dat Getronics bij gebrek aan eigen normenkaders, normenkaders van zijn klanten overneemt. Dit resulteert automatisch in een situatie waarbij er evenveel normenkaders en onderzoeken noodzakelijk zijn als er contracten met klanten zijn. Om het aantal onderzoeken te beperken zal Getronics zelf moeten komen met één stelsel of een beperkt aantal stelsels van normen waarmee zij de vraag van meerdere klanten met een beperkt aantal onderzoeken onderbouwt. Normenkaders niet op basis van principes De normenkaders die de klanten van Getronics definiëren zijn in de regel een samenstelling van allerhande normen en beheersdoelstellingen die klanten onttrekken uit verschillende best practices (bijv. ISO 17799), standaarden (bijv. COBIT, ISO 27001), wetgeving (bijv. WBP) en eigen eisen. In deze normenkaders geven klanten vaak in een mix van “wat en hoe” aan wat zij onder interne beheersing verstaan. Door de nadruk op het “hoe” te leggen ontstaan vaak zeer detaillistische, zogenaamde ‘rule based’ normenkaders. Het gevolg is dat audits tijdrovend worden en een checklist karakter krijgen. Een nog belangrijker effect van deze benadering is dat de klant middels zijn normen voorschrijft hoe de implementatie van bepaalde maatregelen door Getronics dient te gebeuren. In de moderne aanpak voor IT Governance [Paans, 2006] geldt dat Getronics verantwoordelijk is voor de levering van diensten met de afgesproken kwaliteit, en dat het zelf aantoont hoe het dat doet. Hiermee behoudt de leiding van de ICT organisatie, in dit geval Getronics, de ruimte om zijn operaties kosteneffectief in te richten volgens zijn eigen normen en standaarden. In verschillende publicaties [Tewarie, 2006][Paans, 2006] wordt gesteld, dat het mogelijk is de bovenstaande problemen te vermijden door je niet te richten op “hoe” de interne beheersing bereikt dient te worden maar “wat” er bereikt dient te worden. Door het definiëren van principes wordt aangegeven “wat” er bereikt moet worden. Om de effectiviteit en efficiency van het auditproces te bevorderen zal het stelsel van normen van Getronics gebaseerd moeten zijn op een verzameling principes1 passend bij de diensten die geleverd worden.
1.2.
Onderzoeksvraag
Is het mogelijk om op basis van het OBB model2 een generieke verzameling van bruikbare principes te ontwikkelen aan de hand waarvan de kwaliteit van de door Getronics geleverde dienst Workspace Management Services (WMS)3 bepaald kan worden?. Sub vragen:
1
•
Is het mogelijk om de principes te groeperen en de principes te relateren aan de indeling van de WMS dienstenportfolio?
•
Is het mogelijk om klanten van Getronics inzicht te geven in de relatie tussen de principes van Getronics en de door de klant gebruikte beheerdoelstellingen en beheermaatregelen?
Afstudeerscriptie: Van Principes naar normenkaders, team 601, VU Amsterdam - mei 2006
OBB model: Omgeving (het beleid van Getronics, van toepassing zijnde wetgeving en door Getronics veronderstelde generieke klanteisen), het Bestuurd Systeem (de infrastructuur van de klant en van Getronics) en het Besturend Orgaan (de Global Service Delivery beheersprocessen uitgevoerd door de business line Workspace Management Services). Het OBB Model is afgeleid van het besturingsparadigma van de Leeuw, (1974), Systeem en organisatie, Leiden, Stenfert Kroese en wordt nader uitgelegd in paragraaf 1.3.3
2
3 Een beschrijving van de Workspace Management Services wordt in paragraaf 1.3.2 gegeven. Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
6 van 40
1.3.
Reikwijdte definitie
Het palet van door Getronics aangeboden diensten is te groot om ze allemaal in ons onderzoek mee te nemen. Er is bewust gekozen om de reikwijdte te beperken tot een deelgebied. Deze paragraaf geeft aan welke keuze wij hebben gemaakt en waarom juist voor deze beperking is gekozen. 1.3.1.
Portfolio Getronics
In de laatste jaren is het accent van klanten verschoven van kostenbeheersing naar toegevoegde waarde in de zin van betere controle, beveiliging en beschikbaarheid van ICT en applicaties die optimaal aansluiten op de bedrijfsprocessen. Tegelijk is er een tweede verschuiving gaande: van exclusieve dienstverlening op maat, naar gestandaardiseerde en gedeelde –shared- dienstverlening. De missie van Getronics luidt: “Ontwikkelen, implementeren, integreren en beheren van flexibele en innovatieve end-toend ICT oplossingen, in samenwerking met onze partners en opdrachtgevers, ten einde de productiviteit van de mobiele ‘knowledge workers’ van onze opdrachtgevers te optimaliseren en te verbeteren.” In 2006 heeft Getronics zijn portfolio omgevormd van een reeks technische diensten naar een duidelijk gedefinieerde dienstenportfolio. Getronics wilt met een combinatie van services zijn klanten een veilige en goed beheerde werkplek bieden. Optimaal presterende applicaties, met een continue beschikbaarheid. Getronics noemt dit dienstenportfolio zijn “GoTo Market – Model”. Dit model koppelt de behoeften van de klanten van Getronics op heldere wijze aan de vaardigheden van de onderneming. De activiteiten van Getronics zijn binnen het model gestructureerd rond vijf business lines te weten: Business Application Services, Workspace Management Services, Data Centers & Hosting Services, Communication Services en Security Services, waarbij Workspace Management Services centraal staat. 1.3.2.
Workspace Management Services
Workspace Management Services (WMS) staat voor het op afstand onderhouden en beheren van netwerken, systemen en desktops met een garantie voor beschikbaarheid, betrouwbaarheid en met vooruitzicht op een betere performance tegen een lagere total cost of ownership. Het accent ligt daarbij op gestandaardiseerde, modulaire beheerdiensten die een laag kostenniveau mogelijk maken. Dit biedt organisaties een groeipad dat varieert van een gedeeltelijke outsourcing van beheer van desktops, netwerken en systemen tot en met de volledige inrichting en ondersteuning van de werkplek. Aangezien WMS centraal staat binnen de dienstenportfolio van Getronics en onderzoekers zelf betrokken zijn bij deze dienst, kiezen wij ervoor om ons onderzoek te richten op de dienst WMS. Van alle diensten die Getronics levert is WMS de enige dienst waar Getronics op end-to-end basis een volledig ICT beheerproces uit handen neemt van zijn klanten. Hierdoor is de vraag naar verantwoording ten aanzien van interne beheersing hoog. WMS bestaat uit een aantal deeloplossingen. Een beknopte beschrijving van de deeloplossingen van WMS is opgenomen in Appendix II. In hoofdstuk 2 gaan wij nader in op de deelgebieden van de WMS diensten waar wij ons tijdens dit onderzoek op concentreren. 1.3.3.
Het OBB Model
Om efficiënt te werken dient een auditor bij het bestuderen van een referentiekader direct de normen in de juiste context te plaatsen en ze op het juiste niveau in de organisatie te positioneren. Een auditor moet het onderscheid maken tussen de conditionerende, inrichtingen beheersaspecten van een auditomgeving.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
7 van 40
Het OBB model is een systeemgericht model en bestaat uit drie domeinen, te weten •
Omgeving,
•
Bestuurd Systeem en
•
Besturend Orgaan.
Door onze principes te groeperen op basis van het OBB model scheppen wij de mogelijkheid om een audit sneller in een bepaalde context te plaatsen. Onderstaand geven wij de betekenis weer die Tewarie [2006] ten behoeve van auditdoeleinden aan de domeinen heeft toegekend. Omgeving De omgeving is het domein van Management & Besturing en betreft die aspecten die de voorwaarden scheppen voor het adequaat functioneren van de informatiehuishouding. Deze aspecten hebben te maken met de onderwerpen organisatie, informatie en personeel. Principes in dit domein zijn gerelateerd aan onderwerpen zoals verantwoording, privacy, ergonomie, coördinatie van informatiebeveiliging, classificatie, autorisatie en geheimhouding. Bestuurd Systeem Het bestuurd systeem komt overeen met de te auditen systeemobjecten, en wordt beschouwd als “Audit Object” . Dit “Audit Object” is ingericht conform de eisen en condities uit het domein “Management en besturing”. Binnen dit domein zijn de principes ten aanzien van de inrichtingsaspecten van de auditobjecten opgenomen en wordt nader gepreciseerd in hoeverre het bestuurd systeem “in control” dient te zijn. Het “Audit Object” wordt verder geanalyseerd op basis van de drie bekende elementen uit de managementcyclus, te weten: •
beleid,
•
uitvoering en
•
controle en evaluatie.
De van toepassing zijnde principes binnen het bestuurd systeem worden ingedeeld naar deze elementen. Beleid – het element “beleid” van een bestuurd systeem is een specifiek beleid afgeleid van de strategie van de organisatie. Het beleid richt zich enerzijds op de inrichting van de primaire processen uit het bestuurd systeem en betreft anderzijds specifieke ICT diensten. Principes gerelateerd aan het onderwerp “beleid” geven aan wat de voorwaarden zijn waar het “Audit Object” aan zal voldoen. Onderwerpen zijn bijvoorbeeld Single Sign-On, standaardisatie, identificatie en functiescheiding. Uitvoering – het element “uitvoering” richt zich op de daadwerkelijke inrichting van het bestuurd systeem. Het gaat in deze module om de soll-inrichtingsaspecten gerelateerd aan een bepaalde laag. Hierbij worden de volgende lagen onderkend: Network Layer, System Layer, Service Layer en User Layer. Men kan de soll-inrichtingsaspecten beschouwen als de principes waar het bestuurde systeem - en dus het Audit Object -, aan moet voldoen. Principes binnen het element “uitvoering” zijn gerelateerd aan bijvoorbeeld database services, file- en printservices, mail- en messaging services en directory services. Het
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
8 van 40
spreekt voor zich dat een risicobeoordeling een vast onderdeel is in de module uitvoering. Het “Audit Object” wordt wel in samenhang met beleids- en controle aspecten beoordeeld. Controle en Evaluatie – binnen dit onderdeel wordt nagegaan in hoeverre binnen het bestuurd systeem controles zijn ingebouwd om de inrichting van het bestuurd systeem beheerst te laten plaatsvinden. Principes gerelateerd aan Controle en Evaluatie hebben betrekking op onderwerpen als logging, monitoring, auditing en reporting, Besturend Orgaan Dit domein omvat de principes die ten grondslag liggen aan de processen waarmee het targetsysteem wordt beheerd.
1.4.
Samenhang met andere onderzoeken
Tijdens ons onderzoek is gelet op de samenhang met de volgende onderzoeken: •
afstudeerscriptie van afstudeerteam 601 van mei 2006 (Wesselink/Dros, Van principes naar normenkaders), waarin onderzoek is gepleegd naar de mogelijkheid om van een principe een verzameling van normen af te leiden;
•
het nu lopende promotieonderzoek “Effectiviteit en efficiency van IT-audits”, van W. Tewarie aan de Vrije Universiteit van Amsterdam, waarbij een modelmatige aanpak beschreven wordt voor het opstellen van een evenwichtige verzameling van principes ten behoeve van een IT-audit;
•
afstudeeropdracht van Johan van der Meer van 2006 over de beveiliging- en beheersingsmaatregelen van het Systeem Integratie Platform UWV.
1.5.
Leeswijzer
Deze scriptie is als volgt opgebouwd. In hoofdstuk 2 leggen wij uit welke reikwijdtebeperking wij toepassen binnen de dienst WMS, wat de doelstelling is van Getronics voor de dienst WMS, en op welke wijze Getronics momenteel verantwoording aflegt over de diensten die zij levert. In hoofdstuk 3 wordt uiteengezet welke standaarden (breed en minder breed geaccepteerde) door klanten worden gebruikt om IT diensten te toetsen en welke wetgeving in relatie staat met de levering van IT diensten. In hoofdstuk 4 wordt uiteengezet hoe de samenhang is tussen principes en beheersdoelstellingen en hoe wij stapsgewijs zijn gekomen tot een voorstel voor een verzameling beheerdoelstelling voor de Getronics dienst WMS. In hoofdstuk 5 brengen wij de informatie uit hoofdstuk 2,3 en 4 samen en definiëren wij wat de programmatische syntax van een principe is. Tevens geven wij een aanzet tot een stelsel van principes voor twee deeloplossingen van de WMS dienst. In hoofdstuk 6 bevat de conclusies van dit onderzoek. In hoofdstuk 7 kijken wij als onderzoekers terug op het proces, zoals wij het als studenten hebben ervaren.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
9 van 40
2. Workspace Management Services In dit hoofdstuk geven wij aan tot welke specifieke WMS diensten wij ons zullen beperken. Vervolgens leggen wij uit wat de uitgangspunten zijn van Getronics bij de inrichting van de dienst WMS en op welke wijze Getronics momenteel verantwoording aflegt over de diensten die het levert.
2.1.
Network Services en Systems Services
WMS bestaat uit een achttal deeloplossingen die in Appendix II elk kort omschreven worden. De deeloplossingen hebben allemaal te maken met het beheren van ICT omgevingen van klanten. Getronics richt zich met de deeloplossingen onder andere op standaardisatie en innovatie van de ICT omgeving van klanten, het beschikbaar stellen van systemen waarop applicaties van klanten kunnen draaien, helpdesk functionaliteit en het “24/7” beheer van desktop en server omgevingen vanaf een centrale locatie. De doelstelling van de deeloplossing Network Services is om de prestaties van netwerken en servers te verbeteren door ze flexibeler in te richten. De deeloplossing Systems Services richt zich op optimale beschikbaarheid van serversystemen voor eindgebruikers. Systems Services bestaat uit een logisch pakket van Remote- en Onsite diensten en is volledig gebaseerd op ITIL. Vragen van klanten over interne beheersing op de beheerprocessen hebben met name betrekking op de Network Services en Systems Services, de deeloplossingen waarin Getronics feitelijk de infrastructuur (netwerk en servers) van zijn klanten beheert. Om die reden, en gezien de beperkte tijd voor dit onderzoek, is de keuze gemaakt om ons onderzoek verder te richten op de deeloplossingen Network Services en Systems Services.
2.2.
Uitgangspunten voor de Getronics diensten
Een belangrijke boodschap in de conclusie van het onderzoek van Wesselink/Dros, mei 2006, Van principes naar normenkaders, is het advies om bij een IT-audit niet te starten met het zoeken dan wel schrijven van een normenkader, maar met een bedrijfsverkenning. Met een bedrijfsverkenning komt de organisatie in beeld en pas dan kunnen, in combinatie met best practices, op de betreffende organisatie van toepassing zijnde principes en normen worden vastgesteld. In deze paragraaf zullen wij kort ingaan op de bedrijfsverkenning met betrekking tot de WMS diensten die door Getronics wordt geleverd. Aangezien Getronics verantwoording aflegt over de gecontracteerde diensten concentreren wij ons bij de bedrijfsverkenning niet alleen op Getronics maar op de combinatie van Getronics, zijn klanten en op de gecontracteerde dienst WMS. Behoefte Getronics klanten Het is staand beleid van het management van Getronics om onder meer de behoefte van zijn klanten en prospecten nauwlettend te volgen. Er vinden op regelmatige basis gesprekken plaats met marktanalisten. Tijdens deze gesprekken worden door de analisten nieuwe trends toegelicht en toetst de analist nieuwe proposities van Getronics. Daarnaast voert Getronics continu tactisch klantenonderzoeken uit waarmee het zijn huidige klanten beter leert kennen en ook informatie vergaart over klantwaarden en de perceptie die de klant heeft van Getronics.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
10 van 40
Op grond van deze elementen concludeert Getronics dat zijn klanten de volgende behoeften hebben wat een dienst als WMS betreft: • • • • •
Effectieve, veilige en betrouwbare werkomgeving; Gebruikersvriendelijke werkomgeving; Betrouwbare, hoogwaardige essentiële ICT diensten; Benutten van Getronics’ ruime ervaring en internationale aanwezigheid; Profiteren van Getronics’ aanpassingsvermogen en flexibiliteit.
Doelstelling Getronics bij ondersteuning wensen klanten In het jaarverslag 2005 van Getronics worden de uitgangspunten behorend bij de portfolio van het bedrijf op het gebied van de werkomgeving en het gebied van de dienst beschreven. De werkomgeving is voor Getronics overal waar en elke keer dat individuele personen of teams gebruikmaken van informatie- en communicatietechnologie om zaken te kunnen doen. Door middel van een portfolio van elkaar aanvullende diensten streeft Getronics ernaar aan de wensen van zijn klanten tegemoet te komen. Dit gebeurt door hun • • •
een veilige beheerde werkomgeving te leveren; beschikbaarheid en prestatie van geleverde bedrijfsapplicaties te garanderen, en continue aansluiting tussen hun ICT omgeving en relevante technologische ontwikkelingen te waarborgen.
Later in ons onderzoek zullen wij aan de hand van de bovenstaande uitgangspunten de bijbehorende principes vaststellen.
2.3.
Verantwoording in het kader van WMS
Als onderdeel van de bedrijfsverkenning, zoals aangegeven in de vorige paragraaf, geven wij in deze paragraaf inzicht in de wijze waarop momenteel verantwoording in het kader van WMS plaatsvindt. Als basis voor de borging van de kwaliteit van zijn dienstverlening heeft Getronics er voor gekozen in overeenstemming met marktstandaarden te handelen en dit aantoonbaar te maken door het certificeren van processen. ISO 9001 en ISO 27001 zijn hier goeden voorbeelden van. Deze certificaten geven de klant in een vroeg stadium van een offerte traject al inzicht over de borging van kwaliteit in de door Getronics aangeboden diensten. In het contract dat de klant afsluit met Getronics is veelal ‘het recht op audit’ opgenomen. Dit recht kan in ertoe leiden dat de klant Getronics verzoekt zich te verantwoorden ten aanzien van de interne beheersing van de kwaliteit van de levering van een dienst middels de afgifte van een Third Party Memorandum (TPM). In plaats van een TPM kan de klant ook verzoeken om overlegging van een SAS 70 rapport. Het verzoek om een TPM of SAS 70 komt veelal voort uit richtlijnen gesteld door de toezichthouders van onze klanten. Overheidsorganen dienen zich bijvoorbeeld te verantwoorden tegenover De Algemene Rekenkamer en financiële instellingen tegenover De Nederlandse Bank. In de praktijk betekent dit, dat de klanten van Getronics op basis van hun specifieke eisen, interne beleid, externe regelgeving en marktstandaarden een normenkader ten behoeve van een TPM of andersoortig mededeling opstellen. Vervolgens wordt in overleg met Getronics bepaald hoe Getronics zich op basis van dit normenkader gaat verantwoorden.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
11 van 40
De structuur van de normenkaders is over het algemeen gerelateerd aan de objecten die een rol spelen binnen de dienstverlening en kenmerkt zich door een combinatie van normen ten aanzien van: •
Getronics beleid, beleid klant en architectuur (conditionerende aspecten);
•
Technische objecten (inrichtingsaspecten);
•
Beheerprocessen (beheeraspecten);
Deze situatie heeft er in de afgelopen jaren voor gezorgd dat Getronics steeds vaker geconfronteerd wordt met verschillende normenkaders voor gelijke typen dienstverlening binnen Workspace Management Services. Dit heeft geleid tot de behoefte bij Getronics om tot slechts één normenkader te komen, waarbij onderscheid wordt gemaakt tussen generieken en specifieke normen. De resultaten van ons onderzoek kunnen een positieve bijdrage leveren aan de totstandkoming van dit ene normenkader. Daartoe zullen wij in ons onderzoek, zowel de behoefte van de klanten van Getronics evenals de doelstelling van de dienstenportfolio van Getronics moeten betrekken.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
12 van 40
3. Standaarden en normenstelsel In dit hoofdstuk beschrijven wij welke standaarden (breed en minder breed geaccepteerde) door klanten van Getronics worden gebruikt. Om beter aansluiting te vinden in de resultaten van ons onderzoek vinden wij het nodig in dit hoofdstuk een kort overzicht te geven van de door klanten van Getronics meest gehanteerde standaarden en van toepassing zijnde wetgeving.
3.1.
Inleiding
Allereerst een precisering van een aantal termen: norm -en maatstaf, regel, richtsnoer, model normenstelsel normenkader, een samenstel van normen standaard maatstaf Een standaard is een richtlijn, best practice, norm of stelsel van normen waarvan men met elkaar heeft afgesproken deze te zullen gebruiken. Een standaard kan dus op verschillende manieren geformuleerd zijn. ITIL is een standaard voor de inrichting van service management processen. Het geeft een beschrijving van processen die onderling gerelateerd zijn en gezamenlijk een raamwerk en best practice vormen. ITIL probeert de effectiviteit en efficiency van IT management processen te waarborgen. ISO 27001 is een standaard voor de inrichting van een Information Security Management System op basis van beheersdoelstellingen en beheersmaatregelen. De beheersdoelstellingen van ISO 27001 beogen daarbij de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Voor de definitie en uitwerking van zijn diensten maakt Getronics gebruik van best practice standaarden. Getronics heeft hiervoor een eigen model genaamd GSDM (Global Service Delivery Model) ontwikkeld. Het GSDM model is voornamelijk gebaseerd op ISO 20000 – IT Service Management, ITIL, en ISO 17799 – Code of Practice for information security management. Deze standaarden bieden een leidraad voor service management en operationele informatiebeveiliging. Voor de inrichting van infrastructuur componenten wordt meestal gebruik gemaakt van specifieke richtlijnen zoals de Microsoft Windows Security Guides. In het kader van dit onderzoek hebben wij ervoor gekozen geen principes te formuleren die verband houden met de inrichting van specifieke infrastructurele objecten. Ons onderzoek is vooral gericht op het beschrijven van een methodiek om tot principes te komen. Een uitputtende opsomming van principes voor de objecten binnen de verschillende uitvoeringslagen past daarom niet binnen het kader van onze onderzoeksvraag. Behalve dat best practice standaarden gebruikt worden als leidraad voor de definitie en implementatie van diensten, vormen ook branche specifieke standaarden, wet en regelgeving een basis voor de definitie en implementatie van de geleverde diensten.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
13 van 40
3.2.
Internationale standaarden
Volgens de Gartner Hype Cycle van januari 2007 zijn het vooral COBIT, ITIL en ISO 27001 die in de aankomende jaren gebruikt zullen gaan worden om naleving van wetgeving aan te tonen. ISO 20000 moet zijn piek aan populariteit nog krijgen, maar zal naar verwachting een mainstream standaard gaan worden.
3.2.1.
CobiT
COBIT ( Control Objectives for Information and Related Technology) is een procesgericht managementinstrument voor de beheersing van de volledige IT-omgeving en behelst alle aspecten van informatie en de ondersteunende technologie. COBIT beheersdoelstellingen worden regelmatig gebruikt in het kader van compliance onderzoeken (met name Sarbanes-Oxley) en beheersing van de IT processen.
Business Objectives Governance Objectives
COBIT
COBIT 4.0 biedt binnen het kader van vier domeinen (plan and organise, acquire and implement, deliver and support, monitor and evaluate) en 34 processen een beheersingsraamwerk voor IT Management. Het raamwerk concentreert zich voornamelijk op ‘wat’ er ‘waarom’ dient te gebeuren en niet op het ‘hoe’.
Information
Monitor and Evaluate
Plan and Organise
IT Resource Deliver and
Acquire and
Implement Support COBIT is oorspronkelijk ontwikkeld door het IT 4 Governance Institute als een IT audit hulpmiddel. Het doel van COBIT is om het management en de proceseigenaren met een Information Technology (IT) Governance model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico’s. Met versie vier van deze standaard is het een volwassen en uitgebreide standaard die, vooral sinds de introductie van de Sarbanes-Oxley wetgeving, zich internationaal in een toenemende populariteit mag verheugen. COBIT 4.0 integreert andere raamwerken en standaarden, zoals ITIL (IT Infrastructure Library) en CMMI (Capability Maturity Model Integration).
COBIT wordt veelvuldig gebruikt als referentiekader bij het beoordelen van afspraken over de gewenste kwaliteit van IT-diensten en wordt als zodanig dan ook veelvuldig gebruikt in het kader van attestopdrachten.
4
www.ITgovernance.org of www.isaca.org
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
14 van 40
3.2.2.
ISO 27001/17799
ISO 27001 is een raamwerk voor een Information Security Management System. Het biedt een proces gebaseerde aanpak voor de beheersing van risico’s ten aanzien van de verwerking van informatie. De risicomitigeerde maatregelen (in totaal 133) zijn gerelateerd aan 39 beheersdoelstellingen die verdeeld zijn over 11 domeinen. ISO 17799 beschrijft hoe een organisatie de maatregelen zou kunnen implementeren.
Interested Parties
Interested Parties Establish ISMS Implement and operate ISMS
Maintain and improve ISMS Monitor and review ISMS
Information security requirements
Managed information security
Beide ISO standaarden zijn bij uitstek geschikt om een relatie tussen gebruikersorganisatie en ICT service organisatie te beoordelen op kwaliteitsaspecten gerelateerd aan de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. 3.2.3.
Information Technology Infrastructure Library (ITIL)
ITIL is een procesmatige benadering voor de levering en ondersteuning van IT diensten. Het is een ‘good practice’ richtlijn voor de efficiënte en effectieve inrichting van service management processen. ITIL heeft de ICT beheerprocessen ingedeeld in een achttal sets. Zij behandelen: 1. Service Delivery – Service Level-, Capacity-, Continuity-, Availability, IT Financial Management 2. Service Support – Configuration-, Incident, Problem, Change-, Release Management en Service Desk 3. Planning to Implement Service Management
Planning to Implement Service Management B u s i n e s s
Service Management Service Support
The Business Perspective Service Delivery
ICT Infrastructure Management
Security Management
Application Management
T e c h n o l o g y
4. Application Management 5. ICT Infrastructure Management – Network Service Management, Operations Management, Management of local processors, computer installation and acceptance, Systems Management 6. Security Management 7. Software Asset Management 8. The Business Perspective: The IS View on Delivering Services to the Business
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
15 van 40
3.2.4.
ISO 20000 – IT Service Management
ISO 20000 ( gebaseerd op de British Standard 15000 en ITIL) is de eerste internationale standaard specifiek voor IT Service Management adresseert. Het biedt een proces raamwerk (inclusief beleid, documentatie, rollen en verantwoordelijkheden) voor het leveren van IT diensten. Het geeft vooral beheersdoelstellingen en eisen voor de ITIL support en delivery processen. IT Governance komt niet aan de orde in deze standaard. De normen uit deze standaard worden gebruikt om naleving van ITIL aan te tonen.
Manage services
Business Requirements
Management Responsibilities
Customer Requirements
Customer satisfaction Plan service management
Request for Change Other processes e.g. business, supplier, customer
Business results
Implement service management
Service Desk Other Teams e.g. Security IT operations
New or changes service Continious improvement
Monitor, measure and review
Other processes e.g. business, supplier, customer Team and people satisfaction
ISO 20000 – IT Service Management Model
3.2.5.
Standard of Good Practice for Information Security
De Standard of Good Practice for Information Security (StGP) is opgesteld door het Information Security Forum5. Het ISF is een organisatie waarin momenteel meer dan 270 bedrijven vertegenwoordigd zijn. Deze leveren via onderzoeksprogramma’s een bijdrage aan de ontwikkeling van best-practices voor informatiebeveiliging en informatie risico management. De StGP is sterk gebaseerd op COBIT, ITL en ISO 27001. De standaard is ingedeeld in vijf domeinen die ieder op een specifieke omgeving betrekking hebben. Deze domeinen zijn: •
security management,
•
kritische bedrijfstoepassingen,
•
computerinstallaties,
•
netwerken en
•
systeemontwikkeling.
De domeinen zijn onderverdeeld in aandachtsgebieden die vervolgens zijn opgedeeld in secties. Kenmerkend voor de StGP is dat normen gerelateerd worden aan principes. Voor iedere sectie binnen de standaard is een principe en een doelstelling gedefinieerd. Het principe geeft daarbij aan wat er door middel van het nemen van maatregelen geborgd dient te worden. De doelstelling geeft aan waarom dit noodzakelijk is.
5
Standard of Good Practice for Information Security – www.isfsecuritystandard.com
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
16 van 40
3.3.
Normenkaders van klanten, wet en regelgeving
Zoals in hoofdstuk 2 is aangegeven baseren klanten zich bij de samenstelling van hun normenkaders op de voor hun omgeving van belang zijnde standaarden en regelgeving Onderstaand overzicht is een niet gelimiteerde opsomming van verschillende richtlijnen waarop klanten in verschillende sectoren hun normenkades baseren en waarmee Getronics op dit moment geconfronteerd wordt: Overheid
• • • •
Voorschrift Informatiebeveiliging Rijksoverheid (VIR ) Eisen standaard niveau Informatiebeveiliging (Esnib ) Platform Informatiebeveiliging - Basisnormen Beveiliging en Beheer ICTinfrastructuur VIR-Bijzondere Informatie (VIR-BI)
Financieel
• • •
Regeling Organisatie en Beheersing (ROB) Nederlandse Vereniging van Banken – Toetsingskader (IT) – Outsourcing Basel II
Industrie
•
Food and Drugs Administration (FDA)
Defensie
• •
Algemene Beveiligings Eisen Defensie Opdrachten (ABDO ) International Traffic in Arms Regulations (ITAR )
Naast deze branche-specifieke eisen zijn er eisen die voortkomen uit nationale wetgevingen. De Wet Bescherming Persoonsgegevens stelt eisen aan de verwerking en opslag van persoonsgegevens. De Wet Computer Criminaliteit II stelt eisen aan de inrichting van de technische infrastructuur. Uit Sarbanes-Oxley komen eisen voort ten aanzien van de verwerking en opslag van financieel gerelateerde gegevens.
3.4.
Samenvatting
In het onderzoek van Wesselink/Dros is geconcludeerd dat de meest gebruikte standaard normenkaders en best practices rule-based zijn opgezet. Wij onderschrijven dit. De hiervoor beschreven standaarden en normenkaders zijn, met uitzondering van de StGP, niet principlebased, maar bieden genoeg aanknopingspunten voor de definitie van principes. Deze standaarden worden door al onze klanten en binnen alle branches gebruikt om invulling te geven aan normenkaders. ISO 27001 en ITIL worden daarbij het meest gebruikt.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
17 van 40
4. Van doelstelling naar principes In dit hoofdstuk zullen wij uiteenzetten hoe wij uitgaande van de in hoofdstuk 2 genoemde uitgangspunten voor de WMS diensten komen tot beheersdoelstellingen. Deze beheersdoelstellingen zullen de basis vormen voor de voorgestelde verzameling van principes. In hoofdstuk 5 zullen wij uitgaande van deze beheersdoelstellingen principes formuleren. Wij starten in paragraaf 4.1 om uit te leggen dat er een samenhang is tussen principes en doelstellingen en waarom wij vinden dat beheersdoelstellingen een belangrijke basis vormen voor onze principes. In paragraaf 4.2 zetten wij de te nemen stappen onder elkaar hoe van uitgangspunten naar beheersdoelstellingen te komen. Vervolgens leggen wij in de daaropvolgende paragrafen uit hoe wij volgens de stappen uit paragraaf 4.2 zijn gekomen tot een verzameling van beheersdoelstellingen.
4.1.
Samenhang tussen principes en doelstelling
Het woordenboek geeft de volgende definitie van een principe: prin'cipe -s grondbeginsel, vaste stelregel In de literatuur wordt het begrip principe gedefinieerd als: Een fundamentele waarheid of wet als de basis voor redenering of actie. Een principe drukt een richtlijn uit voor het uitvoeren van acties en handelingen die bijdragen tot het verwezenlijken van een doelstelling. In de literatuur bestaat er geen eenduidigheid over de wijze waarop principes worden geformuleerd of gedefinieerd. Principes worden op verschillende manieren uitgedrukt, soms door een woord, soms door een zin. De manier waarop wij principes zullen formuleren wordt uitgewerkt in paragraaf 5.1. Om de samenhang tussen principes en doelstellingen te vinden, hebben wij de opzet van verschillende “code of practices” onderzocht ( o.a. [Beasley en Wright, 2001], [Ritchie, McDougall, Haggith en Burford, 2000] ). Het blijkt dat bij de opzet van een “code of practice” uitgegaan wordt van een hiërarchie van verschillende elementen die gegroepeerd zijn rondom verschillende thema’s. Dit deelonderzoek heeft gerechtvaardigd dat er een samenhang is tussen doelstellingen, principes en normen. In de volgende paragraaf vindt u een korte samenvatting van de resultaten van dit deelonderzoek terug.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
18 van 40
Code of Practice Bij veel gevonden voorbeelden van een Code of Practice is er een indeling gemaakt gebaseerd op de elementen Doelstelling, Principe, Criterium, Indicator en Bewijs. In onderstaande tabel is een nadere omschrijving met voorbeeld van de elementen opgenomen. Element Doelstelling:
Omschrijving Een conditie of status welke bereikt en gehandhaafd dient te worden; Voorbeeld: To ensure that changes are applied correctly and do not compromise the security of the installation.
Principe:
Een regel waaraan voldaan zal worden om een bijdrage te leveren aan het behalen van één of meerdere doelstellingen; Voorbeeld: Changes to any part of the computer installation should be tested, reviewed and applied using a change management process.
Criterium:
Een conditie waaraan voldaan moet worden om in overeenstemming te kunnen zijn met het principe. Een criterium is op te vatten als een norm; Voorbeeld: Criterium 1: the potential impact of changes , including security impacts, shall be assessed; Criterium 2: changes shall be formally approved; Criterium 3: authorized users shall formally accept changes;
Indicator:
Een attribuut of eigenschap die gemeten kan worden en op basis waarvan is vast te stellen dat aan het criterium voldaan wordt; Voorbeeld: %changes formaly approved, % changes formally accepted
Bewijs:
Informatie of observatie welke aan toont dat aan het criterium wordt voldaan. Voorbeeld: formaly accepted changes > 95% from sampled registered changes
Door het verzamelen van bewijs of procesgegevens wordt gemeten (indicator) of aan de normen (criteria) voldaan wordt. De normen geven invulling aan de regel (het principe) waarmee de doelstelling verwezenlijkt wordt.
Doel 1 Principe 2
Principe 1
C 1.1
C 1.2
C 1.3
Het verwezenlijken van een doelstelling is onderhevig aan I 1.3.1 I 1.3.2 I 1.3.3 I 1.3.4 I 1.3.2 I 1.3.3 I 1.3.4 I 1.2.1 bedreigingen die een risico vormen. Voor het mitigeren van B B B B B B B deze risico’s worden B B B B B B B B B beheersdoelstellingen bepaald. Deze beheersdoelstellingen vormen het startpunt van een ITaudit, te weten het opstellen van een stelsel van principes en daarvan afgeleid normenkader.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
19 van 40
4.2.
Stapsgewijs van uitgangspunt tot beheersdoelstelling
Wij geven in deze paragraaf de stappen weer die wij genomen hebben om te komen tot de verzameling beheersdoelstellingen. In de paragrafen 4.3 t/m 4.6 worden de resultaten van de genomen stappen weergegeven. Wij hebben de stappen 1 t/m 6 gedefinieerd om te komen van uitgangspunten tot beheersdoelstellingen. In hoofdstuk 5 zullen wij overgaan tot het formuleren van de principes en de indeling van de principes in het OBB model (stap 7 en stap 8). Overzicht te nemen stappen: 1. Bepaal de doelstellingen waarop de WMS dienst is gebaseerd; 2. Wijs concrete business attributen toe aan de gekozen doelstellingen; 3. Selecteer de business doelstellingen van CobiT die aansluiten bij de business attributen; 4. Selecteer de COBIT IT doelstellingen die passen bij de CobiT business doelstellingen; 5. Selecteer de COBIT specifieke beheersdoelstellingen binnen IT processen die gerelateerd zijn aan de COBIT IT doelstellingen; 6. Completeer de COBIT IT doelstellingen met doelstellingen uit ISF en ISO 27001 standaard; 7. Formuleer principes passend bij de geselecteerde doelstellingen uit de gehanteerde standaarden; 8. Deel de principes in volgens het OBB model. Toelichting stap 1 en stap 2. De principes dienen te zijn afgeleid van de uitgangspunten die Getronics en klanten nastreven voor de Workspace Management Services. Deze uitgangspunten vinden hun oorsprong in bijvoorbeeld business eisen, contract eisen, leveranciers eisen en eisen vanuit wetgeving. Om tot een coherent stelsel van principes te komen, dienen deze uitgangspunten zo concreet mogelijk gemaakt te worden. Wij kiezen ervoor om volgens de aanpak van SABSA [ Sherwood, 2005] de in hoofdstuk 2 genoemde uitgangspunten te concretiseren. Wij kiezen voor SABSA, omdat deze methodiek concrete handvaten geeft om kwaliteitaspecten te koppelen aan doelstellingen. Het SABSA model biedt een gestructureerde aanpak om uitgaande van business doelstellingen te komen tot een definitie van een informatiebeveiligingsarchitectuur. Deze business doelstellingen worden door SABSA aangeduid als de business drivers. Vervolgens wordt er aan iedere business driver één of meerdere aspecten toegekend. Deze aspecten maken de business drivers concreet en het behalen van deze business drivers meetbaar. De aspecten worden door SABSA aangeduid als business attributes.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
20 van 40
SABSA hanteert een standaard verzameling van veel voorkomende business attributen. Deze zijn ingedeeld in zeven categorieën (zie Appendix IV): •
Gebruikers Attributen – gebruikers wensen en eisen;
•
Management Attributen – het besturen en beheersen van een systeem;
•
Operationele Attributen – de dagelijkse operationele eisen;
•
Risk Management Attributen – eisen met betrekking tot bedrijfsrisico’s;
•
Wet en Regelgeving Attributen – eisen met betrekking tot naleving;
•
Technische Strategie Attributen – eisen met betrekking tot de technische architectuur;
•
Business Strategie Attributen – stuur informatie voor het bestuursorgaan.
Onderstaand voorbeeld zoals gegeven in [Sherwood, 2005] laat zien hoe, op basis van een doelstelling (business driver), een specifiek business attribuut gekozen wordt. Vervolgens wordt binnen de context van de bedrijfsactiviteiten het business attribuut gedefinieerd. Business Driver
Maintaining the privacy of personal and business information that is stored, processed and communicated by XYZ systems
Business Attribute
Privacy
Definition business attribute
The privacy of customer information should be protected in accordance with relevant privacy or ‘Data Protection’ legislation in each country where XYZ operates, and so as to meet the reasonable expectations of the customers for privacy of their information. Unauthorized disclosure should be prevented and attempted unauthorized disclosure should be reported
Toepassing van business attributen betekent dat naast uitsluitend relevante principes gedefinieerd worden, ook dat de naleving van deze principes wordt aangetoond, en daarmee het behalen van doelstellingen meetbaar wordt gemaakt. Toelichting stap 3 t/m stap 6 Door toepassing van SABSA in stap 1 en stap 2 kunnen wij business attributen koppelen aan de uitgangspunten van de Workspace Management diensten. Op basis van deze business attributen kunnen wij de control objectives en key controls uit COBIT selecteren die relevant zijn voor het stelsel van principes waar wij naar op zoek zijn.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
21 van 40
4.3.
WMS doelstellingen
Uit het Getronics jaarverslag 2005 hebben wij de verzameling van business drivers kunnen extraheren voor de Workspace Management Services. Deze zijn daarin als volgt weergegeven: •
De werkomgeving o is veilig; o wordt goed beheerd; o is continue beschikbaar; o beschikt over optimaal presterende applicaties.
•
De dienst Workspace Management Services o is flexibel; o bezit hoog aanpassingsvermogen; o wordt op een gecontroleerde en consistente manier geleverd; o is hoogwaardig en essentieel; o wordt ondersteund door diepgaande technische kennis en expertise;
Gezien de gegeven onderzoekstijd zullen wij ons beperken tot het vaststellen van de business attributen kenmerkend voor de volgende expliciet gestelde business drivers. • Een veilige werkplek; • Een goed beheerde werkplek; • Een continue beschikbare werkplek. Wij hebben bewust voor deze drie business drivers gekozen, omdat deze drivers voor een IT auditor het meest gangbaar zijn. Aangezien Getronics bovenstaande business drivers dient te realiseren door middel van het leveren van een dienst voegen wij hier de volgende impliciet gestelde business drivers aan toe: • De geleverde dienst is veilig; • De geleverde dienst is beschikbaar; • De door Getronics gebruikte infrastructuur voor de levering van de dienst is veilig; Zoals eerder aangegeven zullen wij ons beperken tot de diensten Network Services en System Services.
4.4.
WMS Business Attributen
Aan de hand van SABSA zijn wij tot een verzameling van generieke business attributen gekomen voor de doelstellingen veilig, beschikbaar en goed beheerd ( zie volgende tabel). Zij zijn niet specifiek geplaatst binnen het OBB model. Iedere attribuut is namelijk opnieuw te definiëren als deze binnen de verschillende lagen van het OBB model geplaatst wordt. In de eerste kolom staan de business attributen uit SABSA die wij van toepassing vonden gezien de eerder genoemde business drivers, in de tweede kolom staat onze definitie/omschrijving van de business attribuut.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
22 van 40
Veilig Confidential Ö Private Integrity Ö Identified Ö Authorized Ö Authenticated
Beschikbaar Available Ö Resilient Ö Recoverable Ö Continuous Goed beheerd Effective Ö Controlled Ö Measured Ö Owned Ö Segregated Ö Educated Ö Monitored Compliant Ö Accountable Ö Auditable Efficient
4.5.
Ongeautoriseerde openbaarmaking van informatie wordt voorkomen; De privacy van persoonlijke informatie zal overéénkomstig de wet worden beschermd; Ongeautoriseerde acties ( wijzigingen en verwijderingen) wordt voorkomen; Alle personen die toegang hebben worden uniek geïdentificeerd; Alleen acties welke expliciet zijn toegestaan zullen worden uitgevoerd; Alleen geautoriseerde personen krijgen toegang tot systemen; Netwerkverkeer zal alleen worden toegestaan indien geautoriseerd door een firewall; Alleen die personen wiens identiteit geverifieerd kan worden kunnen geautoriseerd worden om acties uit te voeren; De identiteit van beheerders dient op basis van two-factor authentication te worden vastgesteld Het object zullen volgens het afgesproken niveau in de Service Level Agreement beschikbaar zijn Kritieke systemen en netwerk componenten zijn robuust en betrouwbaar en worden dubbel uitgevoerd. Het object is na een calamiteit herstelbaar binnen de in de Service Level Agreement afgesproken periode; Het object is bij voortduring zonder onderbreking beschikbaar; Maatregelen en activiteit dragen in hoge mate bij aan de doelstellingen van zowel de klant als van Getronics; Management zal bewaken dat de gedefinieerde doelstellingen worden gerealiseerd en bij afwijkingen corrigerende maatregelen treffen; De performance van de dienst wordt gemeten volgens de in de SLA afgesproken indicatoren. De waarde van de indicatoren worden aan de klant, als input voor zijn review proces, gerapporteerd; Alle objecten en processen zijn toegewezen aan een eigenaar; Fraude gevoelige activiteiten worden middels functie scheiding voorkomen; Medewerkers van Getronics zijn bekwaam voor de uitvoering van hun taken; Activiteiten en veranderingen worden bewaakt; Bij de inrichting van processen, procedures en systemen zullen alle van toepassing zijnde wetgeving, contracten, beleidsrichtlijnen en verplichte standaarden worden nageleefd. Alle door personen uitgevoerde acties kunnen worden verantwoord; De acties uitgevoerd door geautoriseerde personen en de resultaten van deze acties zijn vastgelegd; De kosten die worden gemaakt voor het uitvoeren van maatregelen en activiteiten staan in juiste verhouding met de opbrengsten;
COBIT Business Doelstellingen en IT processen
De volgende stap is het bepalen van de COBIT IT processen die gerelateerd zijn aan de vastgestelde business attributen. Het is niet onze bedoeling om hierbij compleet te zijn, maar om vooral de aanpak te schetsen die gevolgd wordt. Wij zullen ons voornamelijk concentreren op die beheersdoelstellingen die volgens COBIT primair gerelateerd zijn aan de COBIT aspecten confidentiality, integrity en availability. COBIT 4.0 biedt in zijn Appendix I een manier om business doelstellingen te vertalen naar IT doelstellingen en IT processen. Deze vertaling is in dit document opgenomen in Appendix V en VI. De COBIT werkwijze biedt ons een Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
23 van 40
gestructureerde manier om de Getronics doelstellingen te vertalen naar IT processen van belang voor de WMS dienst. Daarvoor dienen wij de Getronics doelstellingen te plaatsen naast de COBIT doelstellingen. Dit is weergegeven in onderstaande tabel. Getronics
COBIT
Goal veilig
IT Goal 4 Optimise the use of information Account for and protect all IT assets 14 Account for and protect all IT assets
veilig
veilig beschikbaar veilig veilig beschikbaar beschikbaar beschikbaar veilig beheerd
18 Establish clarity of business impact of risks to IT objectives and resources 19 Ensure critical and confidential information is withheld from those who should not have access to it 20 Ensure automated business transactions and information exchanges can be trusted 21 Ensure IT service can properly resist and recover from failures due to error, deliberate attack or disaster 22 Ensure minimum business impact in the event of an IT service disruption or change 23 Make sure that IT services are available as required 26 Maintain the integrity of information and processing infrastructure 2 Respond to governance requirements in line with board direction
COBIT Process PO2 DS11 PO9 DS5 DS9 DS12 PO9
Define the Information Architecture Manage Data Assess and manage risks Ensure System Security Manage the Configuration Manage Physical Environment Assess and manage risks
DS5 DS11 DS12 DS5
Ensure System Security Manage Data Manage Physical Environment Ensure System Security
DS4 DS12
Ensure continuous service Manage Physical Environment
AI6 DS4 DS12 DS4
Manage changes Ensure continuous service Manage Physical Environment Ensure continuous service
AI6 DS5 PO4
Manage changes Ensure System Security Define the IT Processes, Organisation and Relationships Monitor and Evaluate IT Performance
ME1
Opgemerkt dient hier te worden dat wij, door COBIT als leidraad te nemen, geenszins aannemen hiermee alle aspecten ten aanzien van de doelstellingen in kaart gebracht te hebben. Om uiteindelijk compleet te zijn in ons stelsel van principes zullen wij alle doelstellingen in de drie marktstandaarden en de normenkaders van klanten moeten betrekken bij onze aanpak.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
24 van 40
4.6.
COBIT beheersdoelstellingen, ISF maatregelen en ISO 27001 maatregelen
Voor alle IT processen worden door COBIT beheersdoelstellingen geformuleerd. Door de relatie tussen de COBIT beheersdoelstelling en de business attributen aan te brengen kunnen wij de doelstellingen bepalen die voor de formulering van de principes van belang zijn. Door tevens de gerelateerde ISF en ISO 27001 relaties aan te brengen zijn wij instaat op basis van de teksten in deze drie standaarden principes te formuleren. De principes zijn weergegeven in Hoofdstuk 5. Business
COBIT 4.0
ISF
PO4.11 PO6.5
ISO 27001
Attribuut Segregated Controlled
DS5.1 DS5.2 PO4.8 Educated
DS7
Confidentiality Availability Auditable Accountable Confidentiality Integrity Availability Compliance Private Controlled Owned Availability
PO2.3
Availability Integrity
DS12
Availability Continuity
SM1.1
Management Commitment
SM1.2
Security Policy
Responsibility for Risk, Security and Compliance Educate and Train Users
SM2.3 CI5.1 NW4.1 SM.2.4 CI5.1
Local security coordination
Data Classification Scheme
PO9
Assess and Manage Risks
PO4.9
Data and system ownership Manage the Configuration Manage the physical environment Physical Access Manage Data Manage Changes
DS9
DS12.3 DS11 AI6
Confidentiality Integrity
Segregation of Duties Communication of IT Objectives and Direction Management of IT Security IT Security Plan
DS10 DS5.9 DS4
Manage Problems Malicious Software Prevention, Detection and Correction Ensure Continuous Service
SM2.5 SM3.1
A.10.1.3 5.1
Segregation of duties Management commitment
A.5.1.1
Information security policy
Security Awareness
A.8.2.2
Information security awareness, education and training
Security education Security classification
A.7.2 4.3.3
Information classification Control of Record
4.2.1
Risk analysis
SM3.3
Information risk analysis
SM4.2 SM3.2
Information privacy Ownership
A.7.1.2
Ownership of assets
SM4.3
Asset Management
A.7.1.1
Inventory of assets
SM4.4
Physical protection
A.9.1
Secure areas
CI2.8 CI3.2 CI3.3
Physical Access Back-up Change Management
A.10.5 A.10.1.2
Back-up Change Management
A.12.5.1
Change control procedures Protection against malicious and mobile code Information security aspects of business continuity management
SM5.1
Virus protection
A.10.4
SM4.5
Business Continuity
A.14.1
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
25 van 40
Business
COBIT 4.0
ISF
ISO 27001
AI3.2
CI1.4
System Monitoring
CI1.2
Service agreements
Attribuut Monitored
DS5.5 DS1 DS3 Authorized
DS5.3 DS5.4
Infrastructure Resource Protection and Availability Security Testing, Surveillance and Monitoring Define and Manage Service Levels Manage Performance and Capacity Identity Management User Account Management
A.10.10
Monitoring
A.10.3.1
Capacity Management User Access management
CI4.2
User Account Management
A.11.2
CI4.1
Access control arrangements
A.11.1
Business requirement for access control
Op basis van de beheersdoelstellingen uit de drie gebruikte standaarden zouden wij nu in staat moeten zijn om te bepalen wat er als regel dient te gebeuren om invulling te geven aan de beheersdoelstelling. Als voorbeeld werken wij een principe uit voor het attribuut educated. Op gelijke wijze zullen wij al onze principes definiëren. CobiT DS7
ISF SM2.4
Ensure
effective and efficient use of applications and technology solutions and user compliance with policies and procedures
Means
a clear understanding of IT user training needs, execution of an effective training strategy and measurement of the results
To ensure all relevant individuals understand the key elements of information security and why it is needed, and understand their personal information security responsibilities. Specific activities should be undertaken, such as a security awareness programme, to promote security awareness to all individuals who have access to the information and systems of the enterprise.
ISO 27001 A.8.2.2
All employees of the organization and, where relevant, contractors and third party users shall receive appropriate awareness training and regular updates in organizational policies and procedures, as relevant for their job function.
Principe Educated: All employees and contractors of Service Provider SHALL receive appropriate training and regular updates in organization policies and procedures to ENSURE they understand their personal information security responsibilities and to ENSURE the effective and efficient use of applications and technology.
4.7.
Samenvatting
Wij hebben door de stappen 1 t/m 6 uit te voeren de uitgangspunten van Getronics voor de dienst Workspace Management Systemen weten te koppelen aan relevante beheerdoelstellingen. Ons uitgangspunt is dat wij nu voldoende basis hebben om vanuit de geformuleerde beheersdoelstellingen principes te definiëren. De definitie van een principe is verder uitgewerkt in hoofdstuk 5.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
26 van 40
5. Principes voor Network Services en Systems Services In hoofdstuk 2 hebben wij de stelling van eerder uitgevoerde onderzoeken gehanteerd dat een gedegen bedrijfsverkenning benodigd is alvorens te kunnen starten met het benoemen van business attributen. In hoofdstuk 4 hebben wij de bedrijfsverkenning verder uitgewerkt door, volgens de aanpak van SABSA, doelstellingen van Getronics te koppelen aan SABSA business attributen. De business attributen hebben wij weten te koppelen aan beheersmaatregelen uit COBIT, ISF en ISO 27001 en aan de business attributen die zij ondersteunen. Wij kunnen nu op basis van de oorspronkelijke business doelstellingen de principes formuleren behorende bij de WMS dienst. Alle principes zijn omwille van de eenduidigheid en herbruikbaarheid geschreven in het Engels.
5.1.
Syntax van een principe
Omwille van eenduidigheid hebben wij gekozen voor onderstaande syntax (Tewarie, 2006 6). Deze syntax is in verkorte versie opgenomen en luidt: Principle =
to <ENSURE | PROVIDE | PROVE > < Post-conditions> Hierbij zijn precondities de gedelegeerde taken die actoren (handelende functionarissen) moeten uitvoeren of behoren uit te voeren. De bijbehorende syntax is daarmee: Pre-conditions
= ><<>|<Means>>
Post-condities zijn de resultaten van de beoogde of verwachte handelingen en worden daarmee geformuleerd als: Post-Conditions = <Means|Structure><Expected Facts|Expected situations|Expected implementations> Als voorbeeld van deze syntax geven wij hier het principe voor wijzigingenbeheer weer: <modality: SHALL> to PROVIDE <expected situation: for a higher integrity and stability of the production environment >
5.2.
Principes voor de Omgeving
•
Principle of Management Direction( PoMD) – The Management of the Service Provider SHALL communicate to all relevant parties a comprehensive and documented set of security policies to PROVIDE management direction on information security in accordance with business requirements, customer requirements and relevant law and regulations [Controlled, Compliant] ( COBIT PO6, ISF SM 1.2 ISO 27001 5.1);
•
Principle of Risk Assessment (PoRA) – The Service Provider assess and manage IT risks related to critical services, applications, systems and networks on a regular basis to ENSURE the identification of controls required to keep those risks within acceptable limits. [Confidentiality, Integrity, Availability] ( COBIT PO 9 ) SHALL
6
De gebruikte syntax is opgenomen vanuit het lopende promotieonderzoek getiteld “effectiviteit en efficiency van ICT-audits” van W.N.B. Tewarie. Dit document is nog niet gepubliceerd maar wel afgestemd met de Promotor Prof. R. Paans.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
27 van 40
•
Principle of Privacy (PoP) – The Service Provider SHALL handle personally identifiable information in compliance with legal and regulatory requirements to ENSURE the protection of privacy of individuals [Privacy, Compliant] ( ISF SM 4.2, ISO 27001 15.1.4)
•
Principle of Access Control (PoAC) – The information system owner SHALL restrict user access to information systems based on a business need to ENSURE that only authorised individuals gain access to information systems. [Integrity, Confidentiality] (COBIT DS5.4, ISF CI4.1, ISO 27001 A.11.1)
•
Principle of Manage the Physical Environment (PoMPE) – The Service Provider SHALL provide well-designed and well-managed physical facilities to ENSURE the effective protection of customer assets [Integrity, Availability]. (COBIT DS5 en DS12, ISF CI2.8, ISO 27001 A.9.1)
•
Principle for Security Architecture (PoSA) – The Service Provider SHALL establish an information security architecture to PROVIDE a framework for the application of standard security controls throughout the enterprise [ Confidentiality, Integrity Availability, Efficient] (COBIT PO2, ISF SM 4.1, ISO 27001 4.2.1)
•
Principle of Continuous Service (PoCS) – The Service Provider SHALL establish documented Business Continuity Plans and Diaster Recovery Plans to PROVIDE a continuous service and to ENSURE minimal business impact in the event of an IT service interruption [Continuous, Recoverable] ( COBIT DS4, ISF CI 6, ISO 27001 A.14)
•
Principle of OwnerShip( PoOw) – The Service Provider SHALL assign ownership to its critical information and systems to an individual, with responsibilities clearly defined to ENSURE individual accountability and protection for al information and systems [ Effective, Owned] ( COBIT PO 4.9, ISF SM 3.2, ISO 27001 A.7.1.2)
•
Principle of Security Classification (PoSCL) – The Service Provider SHALL establish a security classification scheme that applies throughout the enterprise, based on the importance and sensitivity of information and systems in use to ENSURE that information receives an appropriate level of protection [Confidentiality, Availability] ( COBIT PO2.3, ISF SM3.1, ISO 27001 A.7.2).
•
Principle of Accountability (PoAcc) – The Service Provider SHALL establish and maintain records to PROVIDE evidence of conformity to requirements and to PROVIDE evidence of the design, implementation and effective operation of its processes [Accountable, Auditable] ( ISO 27001 4.3.3 en A.15.1.3).
5.3.
Principes voor het Bestuurd Systeem
Beleid •
Principle of Segregation of Duties (PoSegD) – The Service Provider SHALL implement a division of roles and responsibilities to ENSURE that personnel are performing only authorised duties relevant to their respective jobs and positions and [that ENSURES] no single individual can subvert a critical process. [Segregated] (COBIT PO4.11, ISO 27001 A.10.1.3)
•
Principle of Education (PoEd) – All employees and contractors of Service Privider SHALL receive appropriate training and regular updates in organization policies and procedures to ENSURE they understand their personal information security responsibilities and to ENSURE the effective and efficient use of applications and technology [Educated] ( COBIT DS7, ISF SM2.3, ISO 27001 A.8.2.2).
•
Principle of Organization (PoO) – The Service Provider SHALL define a framework in which attention is paid to authority, responsibility, control, accountability, actors and the
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
28 van 40
means used to ENSURE timely support of service objectives. [ Effective, Efficiency] ( COBIT PO4.1, PO 4.6) •
Principle of Local security co-ordination (PoLSC) – The Service Provider SHALL coordinate information security activities, to ENSURE that security activities are carried out in a timely and accurate manner, and that security issues are resolved effectively [ Effective, Controlled ] ( ISF SM 2.3, ISO 27001 6.1.2)
•
Principle of Non-Disclosure (PoNDA) – Employees of the Service Provider SHALL sign non-disclosure agreements to ENSURE their acknowledgment of policies and to protect customer information [Confidentiality, Effective] ( COBIT DS 2.3, ISF SM 1.3, ISO 27001 A.6.1.5)
Uitvoering System layer •
Principle of Configuration Repository and Baseline (PoCRaB) – The Service Provider SHALL establish a central repository to contain all relevant information on configuration items, including configuration baselines to PROVIDE for greater system availability, a reduction of production issues and faster resolution of issues. [Effective, Efficient, Availability] (COBIT DS9 en DS9.1, ISF SM 4.3, ISO 27001 A.7.1)
•
Principle of System Security Co-ordination (PoSSCo) – An individual SHALL be appointed to co-ordinate the information security arrangements of the computer installation, to ENSURE that security activities are carried out in a timely and accurate manner, and that security issues are resolved effectively [ Effective, Controlled ] . (ISF CI5.1)
•
Principle of System Resilience ( PoSR) – The critical computer installation SHALL be run on robust, reliable hardware and software, supported by alternative or duplicate facilities to ENSURE that the systems supported by the computer installation are available when required.[Availability] ( ISF CI 2.5)
•
Principle of Malicious Code Protection ( PoMCP) – The Service Provider SHALL put preventive, detective and corrective measures in place to ENSURE protection of the information systems from malicious code [ Confidentiality, Integrity, Availability] (COBIT DS5.9, ISF SM 5.1, ISO 27001 A.10.4)
•
Principle of User Identification (PoUI) – All users and their activity on information systems (business application, system operation, development and maintenance) SHALL be uniquely identifiable to ENSURE that only authorized users gain access and to ENSURE accountability for user actions. [Authorized, Accountable] (COBIT DS5.3, ISF CI4.5, ISO 27001 A.11.5.2) Netwerk layer •
Principle of External Connections (PoEC) – All connections to customer information systems SHALL be individually identified, verified, recorded, and approved to ENSURE that only authorised Service Provider employees gain access to the customer systems
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
29 van 40
via external connections.[ Authorized, Integrity] (COBIT DS5.10, ISF CI4.3, ISO 27001 A.11.4) •
Principle of Network Security Co-ordination (PoNSC) – An individual SHALL be appointed to co-ordinate the information security arrangements of network, to ENSURE that security activities are carried out in a timely and accurate manner, and that security issues are resolved effectively [ Effectiveness, Controlled ] (ISF NW 4.1).
•
Principle of Network Resilience (PoNR) – The network SHALL be run on robust, reliable hardware and software, supported by alternative or duplicate facilities to ENSURE that the network is available when required [Availability] (ISF NW 1.3).
Control & logging •
Principle of Control and Monitoring (PoCM) – Management SHALL establish a general monitoring framework and approach to ENSURE that actions and implementations are aligned with the set of regulation and policies [Monitored]. (COBIT ME1 en ME1.1, ISO 27001 A.15.2)
•
Principle of Event Logging (PoEL) – Logs of all key events within the computer installation SHALL be maintained, reviewed periodically and protected against unauthorized change, to ENSURE individual accountability and to enable incidents, such as access violations, to be investigated and resolved [Accountable]. (ISF CI2.2, ISO 27001 A.10.10)
•
Principle of Security audit/review (PoSAR) - The information security status of critical information systems and networks SHALL be reviewed independently and regularly to ENSURE that security controls have been implemented effectively and that risk is being managed [Effective, Compliant]. (ISF CI5.5, ISO 27001 A.15.2)
•
Principle of System and Infrastructure Monitoring (PoSIM) – The Service Provider SHALL define and implement procedures to monitor the IT infrastructure and related events to ENSURE the performance of the information systems and networks. [Availability] (COBIT DS13.3, ISF CI1.4).
5.4.
Principes voor Besturend Orgaan
•
Principle of Service Delivery Management (PoSDM) – The Service Provider and business customers SHALL, based on a documented definition and agreement of IT services and service levels, communicate effectively regarding required services to ENSURE alignment between IT-service and business requirements [Effective, Measured] (COBIT DS1).
•
Principle of Asset Management (PoAM) – The Service Provider SHALL establish a central repository that contains all relevant information on configuration attributes, including configuration baselines, to PROVIDE asset accountability and disaster recovery capability. [Availability, Effectiveness, Efficiency] (COBIT DS9, ISF SM4.3, ISO 27001 A.7.1).
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
30 van 40
•
Principle of Manage Problems (PoMP) – The Service Provider SHALL create an effective problem management process to ENSURE the identification and classification of problems, root cause analysis and resolution of problems. [Availability, Effective, Efficient] (COBIT DS10)
•
Principle of Manage Performance and Capacity (PoMPC) – The Service Provider SHALL periodically review current performance and capacity of IT resources to ENSURE that the IT-resources supporting business requirements are continually available. [Availability, Effective, Efficient] (COBIT DS3, ISO 27001 10.3.1)
•
Principle of Security Management (PoSM) – The Service Provider SHALL define and create a security management process to ENSURE the confidentiality, integrity and availability of information and protect information processing assets [Confidentiality, Integrity, Availability, Compliant] ( COBIT DS5, ISF SM1, ISO 27001 4.1,).
•
Principle of Manage Changes (PoMCha) – The Service Provider SHALL set up formal Change Management procedures to PROVIDE for a higher integrity and stability of the production environment.[Availability, Integrity, Effective, Efficient (COBIT AI6, ISF CI 3.3 and NW 3.2, ISO 27001 A.10.1.2)
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
31 van 40
6. Conclusie Door een verzameling principes voor de vorming van normenkaders, en de bijbehorende normen te ontwikkelen, verkrijgt Getronics de mogelijkheid op een generieke manier verantwoording af te leggen over de dienst Workspace Management Services. De principes geven een klant inzicht in de doelstellingen die Getronics hanteert voor zijn diensten. Om dit aantoonbaar te maken dienen echter voor ieder principe normen te worden ontwikkeld. Zijn de bijbehorende normen eenmaal bepaald, dan kan, voor het grootste deel van de dienst slechts één normenkader gebruikt worden, in plaats van voor ieder individueel klantcontract een uniek normenkader te gebruiken. Het aantal auditonderzoeken kan hierdoor beperkt worden, waardoor het toetsingsproces efficiënter wordt. Voor de dienst Workspace Management Services is het mogelijk gebleken principes binnen het OBB model te definiëren. Een verzameling van principes is ontwikkeld voor de Omgeving (het beleid van Getronics, van toepassing zijnde wetgeving en door Getronics veronderstelde generieke klanteisen), het Bestuurd Systeem (de infrastructuur van de klant en van Getronics) en het Besturend Orgaan (de Global Service Delivery beheersprocessen uitgevoerd door de business line Workspace Management Services). De marktstandaarden COBIT, StGP en ISO 27001 zijn de uitgangspunten geweest voor de formulering van de principes die wij voorstellen in hoofdstuk 5. Ook onze klanten gebruiken deze marktstandaarden voor de formulering van hun normenkaders. Door voor ieder principe aan te geven wat zijn relatie is met deze marktstandaarden is door Getronics en de klant het verband te leggen tussen de hier voorgestane principes en het klant normenkader. Ons onderzoek heeft zich beperkt tot twee deeldiensten van Getronics: Network Services en Systems Services.7 Om de voorgestelde principes ook van toepassing te kunnen doen zijn op Getronics’ overige diensten, zou een aantal vervolgstappen kunnen worden uitgevoerd: •
de principes dienen gecompleteerd te worden teneinde alle kerndiensten van Getronics te kunnen bestrijken;
•
de principes dienen gecompleteerd te worden met generieke beheersdoelstellingen die niet in de marktstandaarden voorkomen, maar voortkomen uit klanteisen;
•
de principes kunnen in modules worden ingedeeld. Een generieke module bevat die principes die van toepassing zijn op alle diensten. Specifieke modules bevatten principes die alleen van toepassing zijn op specifieke diensten, specifieke branche of specifiek risiconiveau;
Voordat de in deze scriptie beschreven aanpak daadwerkelijk toepasbaar is voor de verantwoording richting klanten van Getronics, zal eerst de verzameling van principes gecompleteerd moeten worden. Ook dienen de bijbehorende normen bepaald te worden.
7 De voorgestelde principes zouden vermoedelijk voor het merendeel, gezien hun abstractieniveau, mutatis mutandis ook van toepassing kunnen zijn op andere diensten van Getronics. Dit punt hebben wij in deze scriptie niet nader kunnen uitwerken.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
32 van 40
7. Naschrift Het onderwerp voor deze scriptie leek ons een voor de handliggende. In onze dagelijkse werkzaamheden coördineren wij immers alle verzoeken tot de afgifte van TPM’s voor de dienst Workspace Management Services. Tientallen normenkaders, waartegen getoetst dient te worden, worden daarbij door klanten aangereikt. Ook SOX begint aan de deur van Getronics te kloppen, nog meer checklisten en nog meer auditrapporten. Op sommige contracten worden duizenden uren aan audit activiteiten uitgevoerd. Door off-shoring worden diensten die eerst geleverd werden vanuit één locatie, opeens geleverd vanuit drie, over de wereld verspreide, locaties, met als gevolg nog meer audits en nog meer auditrapporten. Het was duidelijk, de situatie is aan het exploderen, tijd voor een andere aanpak. Het idee bestond bij ons dat veel bedrijven voor het opstellen van hun normen op een oneigenlijke manier gebruik maken van marktstandaarden. Ze gebruiken de standaarden als een soort winkel waaruit normen gehaald kunnen worden. ‘Doe mij die maar’ lijkt men soms te denken. ‘Die is wel handig. Of beter nog, doe ze allemaal maar….‘ Ofwel het lijkt soms dat men ook denkt: ‘Stop de Code, ITIL, VIR en de standaarden van het Platform voor Informatiebeveiliging allemaal bij elkaar, dan zijn wij in ieder geval volledig. Relevantie zien wij later wel.’ U leest vast een zekere ondertoon van frustratie. Maar hopelijk kunt u zich voorstellen dat bij de huidige krapte op de markt aan IT auditors dit alles een zekere werkdruk met zich meebrengt. Daarnaast zorgt de concentratie van audits aan het einde van het jaar voor een extra belasting op de operationele werkzaamheden op een Helpdesk of in een Data Center. Met deze extra belasting is vaak geen rekening gehouden. Vandaar dat het onderwerp van deze scriptie snel gevonden was. De uitwerking leek in het begin evident. Wij moesten, zo dachten we, de doelstellingen van klanten en van Getronics in kaart brengen en vervolgens bij de doelstellingen passende principes vinden. Voor de indeling van de principes vonden wij het logisch om uit te gaan van een architectuur. In onze beleving geldt zowel voor Getronics als ook het merendeel van zijn klanten dat men vanuit architectuurdenken eisen stelt aan zijn ontwerpprincipes. Wij vonden dat het voor de hand lag om vanuit eenzelfde architectuur ook eisen te stellen aan de principes voor auditing. Er is in het begin van ons onderzoek hierdoor heel veel tijd gespendeerd aan het vinden van een gepaste architectuur om onze principes aan te koppelen. Uiteindelijk kwamen wij tot de conclusie dat architectuur wel leidend zou moeten zijn voor het opstellen van principes, maar dat de tijd die ons gegeven was om dit te onderzoeken en uit te werken niet toereikend zou zijn. Wij hebben daarom een gegeven model, zijnde het OBB model geaccepteerd als een bruikbaar uitgangspunt om onze principes aan op te hangen. Wij hebben heel veel discussies gevoerd over wat een principe is, wat er wel in te betrekken en wat niet. Wij hebben ons uiteindelijk beperkt tot een al gedefinieerde syntax welke het wie, wat en waarom tot uitdrukking brengt. Men kan ervoor kiezen om aan deze syntax zaken als wanneer, waar en hoe toe te voegen. Zodra men echter het operationele hoe toevoegt, dan begint een principe meer op een norm met betrekking tot implementatie te lijken en dat is iets wat wij wilden voorkomen. Er zal daarom in ons stelsel van principes geen norm zijn over bijvoorbeeld de versleuteling van transport van gegevens over een netwerk. Een dergelijk principe vinden wij een implementatieregel en is situatie afhankelijk. Wij hebben ons geconcentreerd op situatie onafhankelijke principes. Wij wilden met onze scriptie een aanpak aanreiken hoe tot principes te komen. Toepassen van deze aanpak was geen eenvoudige noch snelle exercitie. Vooral de vraag of wij compleet zijn, of wij geen essentiële zaken weg hebben gelaten en of wij de principes wel op de juiste plek binnen het model hebben geplaatst hebben wij ons veelvuldig gesteld. Onze conclusie is dat wij
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
33 van 40
niet compleet zijn, maar naar onze mening hebben wij wel een structurele en methodische aanpak gevonden om principes voor een dienst als WMS te definiëren. Gebleken is dat het een arbeidsintensieve taak is principes te definiëren en dat wij ons dit van tevoren te weinig hebben gerealiseerd. Tevens willen wij refereren aan discussies met onze begeleiders over de vraag wat een doelstelling is. Vanuit de architectuur gedachte is, naar onze mening, een doelstelling een status welke bereikt dient te worden. Het is een doel welke de onderneming zichzelf voor een activiteit heeft gesteld. Vanuit het perspectief van Risk Management kunnen er bedreigingen worden geïdentificeerd welke het behalen van deze doelstellingen ondermijnen. Als afgeleide van de doelstellingen en ter beheersing van de risico;s worden er dan beheersdoelstellingen gedefinieerd. Vervolgens dienen er risico mitigerende maatregelen genomen te worden. Zowel de maatregelen om doelen te behalen, alsook de maatregelen om risico’s te beheersen kunnen normatief worden beschreven. Wij zijn van mening dat het voor een auditor niet uitmaakt welk type norm beoordeeld moet worden; dat het niet uitmaakt of doelstellingen positief of negatief geformuleerd worden; dat het niet uitmaakt of een doelstelling is opgesteld vanuit een risicogedachte, functionele gedachte of winst gedachte. Een auditor dient te toetsen of de maatregelen in opzet, bestaan en werking aanwezig zijn, zodat beoordeeld kan worden of de gestelde doelstellingen gerealiseerd worden. In zijn geval zijn dit de beheersdoelstellingen voor het mitigeren van risico’s. De belangrijkste vraag die ontstaan is tijdens het traject is echter “Hebben wij daadwerkelijk iets bedacht dat iets toevoegt?” Hadden wij niet gewoon door op basis van doelstellingen behorende bij de COBIT processen kunnen selecteren, deze als uitgangspunt voor een nomenkader kunnen nemen en niet exact het zelfde doel bereikt? Wij zijn van mening dat wij dan minder compleet zouden zijn geweest. Door drie belangrijke standaarden samen te voegen en een éénduidige formulering voor principes te hanteren hebben wij juist die formulering weten te kiezen die exact past bij wat Getronics doet. Het meest belangrijke wat wij hebben toegevoegd is de introductie van business attributen als concrete doelstelling voor de selectie van principes en de verdere ontwikkeling van normen. Het gebruik van deze business attributen is veel fijnmaziger dan de information criteria die COBIT gebruikt of de kwaliteitscriteria die ISO 27001 hanteert. Het uitwerken van deze scriptie is een leerzame ervaring geweest. Wij hopen dat wij met deze scriptie, voor zowel onze vakgenoten, alsook voor onze werkgever, handvaten hebben kunnen aanreiken om verdere invulling te geven aan het opstellen van principes voor ICT dienstverlening.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
34 van 40
Appendix I – Literatuurlijst [1] Getronics, Jaarverslag , 2005 [2] Tewarie, Effectiviteit and Efficiency van IT Audits, 2006. Tussenproduct tijdens het promotieonderzoek. Het opgestelde model en een aantal afgeleide principes zijn nog niet gepubliceerd, maar wel afgestemd met de Promotor Prof. R. Paans [3] Norea, IT Governance - Een verkenning, 2004 [4] IT Governance Institute, CobiT 4.0, 2006 [5] Information Security Forum, The Standard of Good Practice for Information Security 4.1 , 2005 [6] Sherwoord, Clark,Lyna, Enterprise Security Architecture, CMP Books 2005 [7] Gartner, Hype Cycle for Regulations and related standards, Jan 2007 [8] ISO 14258, Industrial automation systems – Concepts and rules for enterprise models [9] ISO/IEC, ISO 27001 – Information Security Management Systems, Requirements, 2005 [10] ISO/IEC, ISO 17799 – Code of Practice for Information Security Management, 2005 [11] ISO/IEC, ISO 20000 – IT Service Management, 2006 [12] NOREA, Raamwerk voor ontwikkeling van normenstelsels en standaarden, Studierapport 3, 2002 [13] Jan van Praat en Hans Suerink, Inleiding EDP Auditing, ten Hagen Stam, 2004 [14] Barbara Beasley en Pamela Wright, Criteria & Indicators Briefing Paper, North Coast LRMP, 2001 [15] Ritchie, McDougall, Haggith, Burford, Criteria and Indicators of Sustainability in Community Managed Forest Landscapes, Center for International Foresty Research, 2000 [16] Cardwell, Geoff , The Influence of Enterprise Architecture and Process Hierarchies on Company Success, BPTrends 2007 [17] Knothe and Jochem, Quality Criteria for Enterprise Modelling in the context of networked Enterprises, Fraunhofer IPK Berlin [18] Wesselink, Dros, Van principes naar normenkaders, Vrij Universiteit Amsterdam, 2006 [19] Johan van der Meer, Afstudeerverslag van het onderzoek naar de beveiligings- en beheersingsmaatregelen van het Systeem Integratie Platform UWV, Haagse Hogeschool, 2006 [20] Paans R., Maturity of IT Audit, VU Amsterdam, 2006
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
35 van 40
Appendix II – Overzicht deeloplossingen WMS dienst Deeloplossing WMS
Korte omschrijving
Future-Ready Workspace
Met de Future-Ready Workspace stelt Getronics organisaties in staat om een maximale output per werkplek te genereren tegen beheersbare kosten. Al naar gelang is de toekomstvaste werkplek uit te breiden met services als bijvoorbeeld Asset Management voor een nog betere kostenbeheersing. De Future-Ready Workspace is gebaseerd op standaardisatie, innovatie en efficiency.
Asset Management
Met behulp van Asset Management geeft Getronics zijn klant een actueel inzicht in ICT-middelen. Over hoeveel pc’s beschikt de organisatie? En wanneer zijn die toe aan vervanging? Welke software en licenties zijn er in omloop? Daarmee is Asset Management een belangrijk indicator voor de financiële en operationele bedrijfsvoering.
Network Services
Netwerken moeten voor alles beschikbaar en betrouwbaar zijn. Met Network Services van Getronics heeft een organisatie geen omkijken meer naar LAN’s, WAN’s of servers. Maar Network Services biedt meer. Betere netwerkprestaties bijvoorbeeld door meer netwerkflexibiliteit. Getronics verbetert netwerkprestaties door netwerken flexibeler in te richten.
Business Application Hosting
Met Business Application Hosting neemt Getronics het beheer van applicaties en infrastructuren over van organisaties, zodat die op volle kracht door kunnen draaien. Dat overnemen van servers en systemen kan op eigen locatie of in één van de datacenters van Getronics. Een voordeel van datacenters is dat bij piekdruktes of calamiteiten snel aanvullende capaciteit beschikbaar is. Zo kunnen organisaties optimaal meebewegen met de wensen van hun eigen klanten en snel inspelen op marktontwikkelingen.
Systems Services
Systems Services bestaat uit een logische verzameling van remote en on-site diensten en is volledig gebaseerd op ITIL. Met Systems Services zorgt Getronics voor een optimale beschikbaarheid van serversystemen voor eindgebruikers. Met Systems Services neemt Getronics organisaties de zorg voor het beschikbaar houden van serversystemen uit handen.
Managed Service Desk
Managed Service Desk combineert probleemmanagement met een full-service ICT-ondersteuning. En dat voor alle toonaangevende hardware en software. Op basis van outsourcing wordt Getronics verantwoordelijkheid voor de beschikbaarheid en kwaliteit van alle ICT-diensten. De continue bereikbare helpdesk garandeert een consequente en hoogwaardige ondersteuning. Terwijl geautomatiseerd incidentmanagement en probleemtoewijzing een snelle en adequate opvolging van calamiteiten waarborgen.
Desktop Services
Bij Desktop Services bewaakt en beheert Getronics vanaf een centrale locatie desktopomgevingen. Dat geschiedt 24 uur per dag, 7 dagen per week. Hardware en software. Een betere waarborg voor de continuïteit van kritische bedrijfsprocessen is nauwelijks denkbaar.
Project Services
Met Project Services biedt Getronics organisaties een aantrekkelijke vorm van dienstverlening om ICT-infrastructuren aan te passen of te vernieuwen. De inzet van Getronics is het binnen de gestelde tijd en binnen het afgesproken budget opleveren van complete ICT-infrastructuren of delen daarvan. Van bekabeling tot en met het inrichten van toekomstvaste werkplekken.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
36 van 40
Appendix III – Service Level Agreement Service Level Agreement (definitie volgens Wikipedia) Een Service Level Agreement, veelal afgekort tot SLA, is een afspraak tussen twee partijen waarin beschreven staat aan welke kwaliteitseisen een dienst moet voldoen. Oorspronkelijk is het een term uit de informatietechnologie ITIL. De term wordt nu ook gebruikt voor andere vormen van dienstverlening zoals kosten gemaakt door het Facilitair Bedrijf. In diverse Nederlandse literatuur komt het ook wel voor onder de term: Diensten Niveau Overeenkomst (DNO). In een SLA worden de rechten en plichten van beide partijen zijn omschreven. Een SLA kan als afspraak bestaan tussen zowel externe als interne partijen binnen een organisatie. Het beschrijft bijvoorbeeld: •
de dienst of product
•
de duur van de SLA
•
de wijze van meeting
•
de rapportage frequentie en geadresseerde
•
de respons- en/of levertijd
•
de tarieven & kosten
•
de wijze van betaling
•
de resultaat afspraken
•
de eventuele bijzonderheden
•
de contactpersoon
Met behulp van een SLA is het mogelijk om de dienst dan ook te toetsen aan de in de SLA gemaakte afspraken. In bijvoorbeeld een servicecontract van een apparaat of machine zijn afspraken gemaakt binnen hoeveel tijd een monteur aanwezig moet zijn.
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
37 van 40
Appendix IV – SABSA Business Attributes Model
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
38 van 40
Appendix V – CobiT 4 : Linking Business Goals to IT Goals
3 5 10 1 7
23 24 16 5 8
Internal Perspective
11 12 13 14 15 16 17
Automate and integrate the enterprise value chain Improve and maintain business process functionality Lower process costs Compliance with external laws and regulations Transparency Compliance with internal policies Improve and maintain operational and staff productivity
6 6 7 2 2 2 7
7 7 8 19 18 13 8
11
13
9
9
5 2 9
25 4
28 12 20 26
9 9 9
9
Learning and Growth Perspective
18 Product/business innovation 19 Obtain reliable and useful information for strategic decision making 20 Acquire and maintain skilled and motivated personnel
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
9 18 19 20 21
22 23 25 10 24 8 11 11 13 15 24 20 21 22 26 27
9 9 9 9
22
9 9 9 9 9 9 9
Reliability
Improve customer orientation and service Offer competitive products and services Service availability Agility in responding to changing business requirements Cost optimization of service delivery
9 9
Compliance
Customer Perspective
6 7 8 9 10
Financial Perspective
1 2 3 4 5
Availability
IT Goals 25 28 25 28 24 14 2 14 17
Integrity
Business Goals Expand market share Increase revenue Return on investment Optimise asset utilisation Manage business risk
Confidentiality
Efficiency
Effectiveness
CobiT Information Criteria
9
9
9 9 9 9 9 9 9 9
9 9
9
9
9
9
9
39 van 40
Appendix VI – CobiT 4: Linking IT Goals to IT Processes
Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1
PO4 PO10 AI1 AI6 PO10 ME1 ME3 DS1 DS2 DS7 DS8 PO7 AI6 AI5
AI7 DS1 AI7 DS9 DS3 AI6 ME2 DS11 DS5 DS4 DS4 DS8 DS6
AI7
DS10 DS13
AI3
DS2 DS7 DS12 DS7 AI7
DS1
DS6 ME1 ME3 DS8 ME2 DS9 DS10
DS3
ME1
P P P P P P S P P P P P S S P P S
P P P S P P P P P P P P S S P P P S
P P P P S P
S S P P P
DS12 DS5 DS12 DS13 ME2 DS12 DS13
ME3 ME4 ME1 ME3
S
S P S
S
Reliability
Compliance
Availability
S
S S S
S
P S P P
S P
Integrity
Confidentiality
Processes PO1 PO2 PO1 PO4 PO8 AI4 PO2 DS11 PO2 PO4 AI1 AI2 PO3 AI2 AI3 AI5 PO7 AI5 DS2 PO2 AI4 PO5 PO6 PO6 AI4 PO9 DS5 PO3 AI3 PO8 AI4 PO9 DS10 PO9 PO6 DS5 PO6 AI7 PO6 AI7 PO6 AI6 DS3 DS4 PO5 AI5 PO8 PO10 AI6 DS5 DS11 ME2 PO5 DS6
Efficiency
IT Goals 1 Respond to business requirements in alignment with the business strategy 2 Respond to governance requirements in line with board direction 3 Ensure the satisfaction of end users with service offerings and service levels 4 Optimise the use of information 5 Create IT agility 6 Define how business functional and control requirements are translated in effective and efficient automated solutions 7 Acquire and maintain integrated and standardised application systems 8 Acquire and maintain an integrated and standardised IT infrastructure 9 Acquire and maintain IT skills that respond to the IT strategy 10 Ensure mutual satisfaction of third-party relationships 11 Seamlessly integrate applications and technology solutions into business processes 12 Ensure transparency and understanding of IT costs, benefits, strategy, policies and service levels 13 Ensure proper use and performance of the applications and technology solutions 14 Account for and protect IT assets 15 Optimise the IT infrastructure, resources and capabilities 16 Reduce solution and service delivery defects and rework 17 Protect the achievement of IT objectives 18 Establish clarity of business impact of risks to IT objectives and resources 19 Ensure critical and confidential information is withheld from those who should not have access to it 20 Ensure automated business transactions and information exchanges can be trusted 21 Ensure IT services and infrastructure can properly resist and recover from failures due to error, deliberate attack or disaster 22 Ensure minimum business impact in the event of an IT service disruption or change 23 Make sure that IT services are available as required 24 Improve IT’s cost-efficiency and its contribution to business profitability 25 Deliver projects on time and on budget meeting quality standards 26 Maintain the integrity of information and processing infrastructure 27 Ensure IT compliance with laws and regulations 28 Ensure that IT demonstrates cost-efficient service quality, continuous improvement and readiness for future change
Effectiveness
COBIT Information Criteria
S S
S S
P
P
S S P P P S S
S S P S S P P P
S P S
S
S
S
S
S
S
S S S S
S S S
P P
P
40 van 40
S S S S P