Van Rule based naar Principle based IT Audit En hoe leiden wij hiervoor op?

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding

Van “Rule based” naar “Principle based” IT Audit En hoe leiden wij hiervoor op?

Ronald Paans vrije Universiteit amsterdam 14 november 2006

File: Principle based IT Audit RP © 2006

Inhoud

Noordbeek B.V. [email protected] www.noordbeek.com Tel. 071 3414632

RP/VU NOV/2006

Inhoud • Wat verwacht de markt van de IT-auditor en een post graduate opleiding? • Hoe ziet de collegestof er uit om daaraan te voldoen? Inzoomen op het nieuwe tweede jaar

• Wat zijn de moderne speerpunten? • Klant versus leverancier + binnen leverancier: goed huisvader en heldere ontkoppelvlakken • Gebruik van standaard normenkaders en maatregelenkaders Vind niet zelf het wiel uit!

Van “rule based” naar “principle based” IT Audit

2

1

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding Profiel van het beroep

RP/VU NOV/2006

NOREA Beroepsprofiel Een gekwalificeerde IT-auditor geeft onpartijdige oordelen en adviezen over de kwaliteitsaspecten van IT De kwaliteitsaspecten zijn, mede vanwege de maatschappelijke relevantie, hoog en betreffen effectiviteit, efficiëntie, exclusiviteit, integriteit, controleerbaarheid, continuïteit en beheersbaarheid De IT-auditor handelt in rechtstreekse opdracht van het (top)management, maar kan ook bijstand verlenen aan een (interne dan wel externe) accountant De oordelen hebben betrekking op de volgende IT-objecten: informatiestrategie, management van informatie en informatietechnologie, informatiesystemen, technische systemen, processystemen en operationele ondersteuning. Bron: Jaarboek 2006/2007 NOREA Van “rule based” naar “principle based” IT Audit

Kennis

3

RP/VU NOV/2006

Basiscompetenties • Het beroep van IT-auditor vereist deskundigheid op het gebied van informatietechnologie, bestuurlijke informatievoorziening en organisatiekunde • Verder hebben IT-auditors kennis van methoden en technieken voor onderzoek, toetsing en risicoafweging • Bovendien hebben zij ervaring op het gebied van IT-kosten en hebben zij specifieke deskundigheid van toepassingsgebieden Van “rule based” naar “principle based” IT Audit

4

2

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding RP/VU NOV/2006

Vereist opleidingprogramma

NOREA eisen aan opleidingsprogramma, o.a. • Informatiestrategie en informatiemanagement • Informatiesystemen • Technische systemen • Automatiseringsondersteuning Aandacht dient te worden besteed aan • De functionaliteit op operationeel, tactisch en strategisch niveau • De daarin toegepaste technologie en procedures • De beheersmaatregelen • De (IT-)specifieke risico’s en kwaliteitsaspecten • De wijze waarop de maatregelen kunnen worden getoetst op bestaan en werking • De (compenserende en aanvullende) controle- en beheersmaatregelen vanwege het advies aan de organisatie hieromtrent Van “rule based” naar “principle based” IT Audit

5

RP/VU NOV/2006

Relatie naar opleiding

BeroepsBeroeps-en enopleidingsprofiel opleidingsprofielvan vanNOREA NOREA

Actualiteit Actualiteitvan vanhet hetberoep beroep

Doelstellingen Doelstellingenvan vande deopleiding(inclusief opleiding(inclusief speerpunten en verdiepingen) speerpunten en verdiepingen) Eindtermen Eindtermenvan vande deopleiding opleiding Programma Programma//modules modulesvan vande deopleiding opleiding

Bron: NOREA Statuut visitaties RE-opleidingen, 14 maart 2006 Van “rule based” naar “principle based” IT Audit

6

3

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding De VU opleiding

RP/VU NOV/2006

VU Post Graduate IT Audit Opleiding (geen Post Master, geen Post Initieel etc.)

• Filosofie: bouwstenen informatie in eerste jaar (BIV, auditing) en tweede jaar (techniek, audit van techniek, beheer), integratie in het derde jaar • Eerste jaar is reeds gemoderniseerd • Opzet tweede jaar wordt geheel herzien in dit collegejaar 2006/2007 • Herstructurering derde jaar is afgerond • Examinering is vervangen door een scriptie • Visitatie en accreditatie door NOREA is afgerond – Titel: Executive Master in IT Auditing – (MSc accreditatie is nog niet mogelijk doordat de wetgever nog bezig is met het Post Graduate Onderwijs)


Opzet en structuur VU colleges

7

RP/VU NOV/2006

STRUCTUUR Eerste jaar (januari – juni) • Primair de inrichting van de administratieve organisatie en interne controle. Komt overeen met de betreffende modules in de post graduate opleiding voor registeraccountant Tweede jaar (september – mei) • Technische vaardigheden en beheer van IT, c.q. kennis die IT auditor zich eigen moet maken voor beroepsuitoefening Derde jaar (september – mei) • Samenbrengen van de verschillende competenties die tot dan toe zijn opgedaan • Leerdoelstelling: integratie tussen de bestuurlijke informatie verzorging, auditing, techniek en het praktische kader van de beroepsuitoefening van de IT auditor Van “rule based” naar “principle based” IT Audit

8

4

Jaar 3 Jaar 2 Jaar 1

Inleiding audit Audit benadering Techniek

Integratie

it

Applications Midrange Small, C/S Mainframe

RP/VU NOV/2006

d Au

Or ga ni

Overzicht VU leerplan

sa tie Techniek

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding

ERP etc. DBMS Web TCP/IP Firewall Network Tools Applicaties Controls Beheer

Administratieve Organisatie en Controleleer Handel Industriële Dienstverlening Financiële Overheid bedrijven instellingen Groothandel Massa/Stuk G beweging Publiek Detail Productie Ruimten Bank Privaat Diensten Verzekering Van “rule based” naar “principle based” IT Audit

9

RP/VU NOV/2006

Tweede jaar Module Module2.1 2.1(5) (5) Introductie IntroductieIT ITaudit audit Module Module2.2 2.2 (11) (11) Techniek Technieken enaudit audit van vanplatformen platformen

•• Hardware Hardwarebase base •• Operating Operatingsystem system •• Logical Logicalsecurity security •• XP/2003 XP/2003++case case •• Middleware Middleware C •• Unix Unix++case case •• i5/OS i5/OS==AS/400 AS/400 •• Physical Physicalsecurity security

Module Module2.3 2.3 (11) (11) Techniek Technieken enaudit auditvan van datacommunicatie datacommunicatie

C •• OSI OSImodel model •• Netwerk architecturen Netwerk architecturen •• Cryptografy Cryptografy •• LAN, LAN,TCP/IP TCP/IP •• Firewall Firewall •• Wireless, Wireless,email, email,VOIP VOIP •• Web Webarchitecturen architecturen •• Security Securitybeheer beheer C •• Casus Casus

Totaal 37 dagen Van “rule based” naar “principle based” IT Audit

C

Module Module2.4 2.4 (11) (11) Inrichting Inrichtingen enaudit auditvan vanIT IT beheer beheer

•• CobiT CobiT •• ITIL ITIL •• Tactical Tacticalprocesses: processes:SLM, SLM,costing costing and charging, security and charging, security C •• Operational Operationalprocesses: processes:change, change, incident incidentand andproblem problemmanagement management •• Project Projectrisk riskmanagement management •• Information Informationsystem systemdevelopment development •• Application Applicationcontrols controls •• Sourcing, Sourcing,SOx SOxand andSAS SAS70 70 •• Case: Outsourcing Case: Outsourcing •• Risk Riskmanagement management

= Tentamencasus uitwerken 10

5


Rode lijn in tweede jaar

Rode lijn in tweede jaar • Code voor Informatiebeveiliging (Code of Practice, ISO 17799 / ISO 27002) voor maatregelen • US standard NIST 800-53 “Recommended security controls for federal information systems” voor normen • Module IT audit: aanpak van audit en rapportage • Module Platformen: matrix benadering en het faciliteren van applicaties als doelstelling • Module Datacom: hoe ziet de moderne web wereld er uit en hoe vorm je daar een oordeel • Module Inrichting en audit van beheer: CobiT, ITIL, (project) risk management, applicatie ontwikkeling, applicatieve controls, outsourcing Van “rule based” naar “principle based” IT Audit

11

RP/VU NOV/2006

Module 2.1

Module: IT Auditing • Studenten hebben weinig ervaring met opdrachtuitvoering en rapportage

5 weken aan begin 2de jaar

Module Module2.1 2.1(5) (5) Introductie IntroductieIT ITaudit audit Module Module2.2 2.2 (11) (11) Techniek Techniekenen audit auditvan van platformen platformen

Module Module2.3 2.3 (11) (11) Techniek Techniekenenaudit audit van van datacommunic datacommunic atie atie

Module Module2.4 2.4 (11) (11) Inrichting Inrichtingen enaudit auditvan vanIT IT beheer beheer

• Basisbegrippen • Workshop • Intake en opdrachtformulering • Normenkader • Bevindingen omschrijven • Concept rapport • Afstemmen met auditee • Eindrapport Leerdoelstelling: Het klassieke ambachtelijke werk aanleren van scope, kwaliteitsaspecten, normen opstellen, toetsen, negatieve en positieve bevindingen vastleggen, risico’s inschatten en aanbevelingen opstellen Ervaring in 2006/2007: Meer individuele coaching nodig Van “rule based” naar “principle based” IT Audit

12

6


Module 2.2: Matrix benadering voor Platformen

Basis: Hardware OS Access Control Middleware Webarchitecturen Java, .NET, etc.

Mechanieken: I/O: schijf + logging I/O: netwerk

Faciliteren van Applicaties


13

Why should an IT-auditor know something about hardware & OS?

RP/VU NOV/2006

Strength of controls

Controls form a column. When the control is located lower, it is more effective and has more strength Enforce compliance / strength

Application controls Controls in middleware Controls in operating system Controls in hardware

Place of control

User controls


Examples: • Supervisor Mode versus Problem Program Mode • Measures for disk I/O • Multiple virtual storage etc. 14

7


Internal controls voor jaarrekening Controllers Verantwoordelijk: CFO Internal Audit Accountant Administratieve processen Etc.

Jaarrekening

in administratieve afdelingen User controls: functiescheiding, aansluitingen, netwerk van controletotalen, etc.

Informatiesystemen Applicatieve controls IT technische en organisatorische infrastructuur

Een deficiëntie in de General IT controls mag de effectiviteit van de User controls niet verstoren !

General IT controls


15

RP/VU NOV/2006

The model for OS

THE MODEL FOR THE OPERATING SYSTEM The hardware and operating system provides all the functionality required to execute applications

Spooling Spoolingsystem system Network

Transport Task Task management management

Virtual Virtual memory memory management management

WORK The application OS support

Security Security


I/O I/O

Logging Logging

16

8


Modules 2.3 en 2.4

Web-omgeving Web-omgeving

Bedrijfsprocessen

Gebruikers AO/IC

Bedreigingen

Interne kwaliteit

(web (webbased) based) Applicaties Applicaties

• Hoe beheerst men het: ITIL • Hoe bouwt men het en welke controls zitten waar • Wat kost het en wat levert het op (uit oogpunt IT Auditor) Van “rule based” naar “principle based” IT Audit

17

RP/VU NOV/2006

Modules 2.3 en 2.4 …

Web-omgeving Web-omgeving Bedreigingen in de moderne e-wereld, is uw webomgeving er klaar voor?

(web (webbased) based) Applicaties Applicaties • Outsourcing: SOx en SAS70 • Offshoring: SO + exploitatie draait nu ergens anders • Certificering


18

9

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding Motto: Van “rule based” naar “principle based”

RP/VU NOV/2006

Motto: Van “rule based” naar “principle based” • IT Audit was van oudsher een ambachtelijk beroep, gebaseerd op gedegen normenkaders en lange werkprogramma’s • IT-audit-rapporten blonken uit door degelijkheid en omvang (en saaiheid) • Wij leren onze studenten en juniors nog steeds deze aanpak • Maar er moeten ook andere methoden zijn om tot een deugdelijke grondslag te komen voor de oordeelsvorming over de kwaliteit van IT • Niet alleen moet het vak “leuk” blijven, maar ook efficiënt en effectief, leidend tot een helder oordeel over wat wel en wat niet goed is Van “rule based” naar “principle based” IT Audit

Jurassic IT: ontstaan van de IT kwaliteitseisen

19

RP/VU NOV/2006

JURASSIC IT • • • • •

Mainframes: in 1950 was de verwachting dat één mainframe voldoende was voor Europa… Begonnen met de Closed Shop Toepassingen: administratie en wetenschappelijk berekeningen Integriteit en vertrouwelijkheid snel onder controle Beschikbaarheid was de belangrijkste zorg HISTORY: IBM Model 1620 (1959) • Decimal variable word length • No general registers, to sum numbers a table was used • Memory 60 k • Price: $ 64.000 (some 5.000 delivered)


20

10


Jurassic IT audit

ONTSTAAN VAN IT AUDIT • IT audit is langzaam gegroeid vanuit de accountancy • Zij controleerden de boekhouding en AO/IC, en zagen die langzaam de computer inschuiven… • Eerste poging begin 80er jaren: AC-accountant (AC = Accountant en Computer) • Vooral kopiëren van bestanden uit het mainframe en op eigen computer met eigen software de boekhouding controleren

ANALYSE

KOPIE

Dit was de Jurassic IT Audit


Het hulpmiddel van de Jurassic IT audit

21

RP/VU NOV/2006

De Nederlandsche Bank: Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen • 20 september 1988 • Bijna een normenkader: Sectie 5, B, 2.9: Beveiligen van gevoelige informatie tijdens transport tegen ongeautoriseerd raadplegen of veranderen (datatransmissie met behulp van communicatienetwerken, tapetransport, transport van PC-gegevensdragers enz.) Ideaal hulpmiddel voor het “afvinken”, en de basis voor vele DNB-gesprekken met bankdirecties, interne en externe accountants, en IT-auditors In die tijd: alles werd uitgebreid uitgeschreven Æ soms werd dat vooral “papieren” veiligheid (“rule” based) Van “rule based” naar “principle based” IT Audit

22

11

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding Rule based

RP/VU NOV/2006

RULE BASED – in detail alles voorschrijven Voorbeeld, NAVO standaard voor informatieclassificatie Art. 34.0.3. Aangetekende brieven met aangegeven waarde mogen niet ter verzending worden aangeboden, indien • het adres met potlood is geschreven • het adres is opgeplakt • het adres met de schrijfmachine is geschreven en door onderstreping een snee in het papier is ontstaan • vensterenveloppen zijn gebruikt • de postzegels en de op de postdienst betrekking hebbende stroken zonder enige tussenruimte naast elkaar zijn opgeplakt of over twee zijden van de verpakking zijn gevouwen • de vermelding van het bedrag van de aangegeven geldswaarde met potlood of inktpotlood is geschreven etc. Van “rule based” naar “principle based” IT Audit

23

Rule based versus Principle based

RP/VU NOV/2006

RULE BASE versus PRINCIPLE BASED • •

RULE BASED geeft geen ruimte voor eigen initiatief en eigen verantwoordelijkheid Alles wordt voorgeschreven, dus men wacht op instructies. Men pakt niets vooraf op, “want het zal toch wel niet mogen volgens de regeltjes”. Audit is hierbij vooral “afvinken”

Moderne aanpak voor Corporate Governance – behaal op verantwoorde wijze de doelstellingen en/of winst en laat zien dat risico’s goed worden afgewogen en men “in control” is

Moderne aanpak voor IT Governance – zorg voor het leveren van de diensten met de afgesproken kwaliteit en laat zien dat dit op een verantwoorde wijze gebeurd Dit geeft de leiding van IT de ruimte hun business kosteneffectief in te richten volgens hun eigen normen en standaarden Belangrijk: zij moeten kunnen aantonen hoe zij het doen ! Van “rule based” naar “principle based” IT Audit

24

12


au di ed ba s le Ru ba se d

au d

it

Regel N: goed / fout

le

Control

cip

Principle Based Audit • Meer synthese van detailbevinding tot conclusies over wezenlijke problemen en oplossingen • Verbeteringen liggen op hoger niveau binnen de organisatie • Men verbetert de control

Pr in

Rule Based Audit • Analytische decompositie tot de kleinste details • Bevindingen blijven laag hangen in de organisatie

t

Rule based versus Principle based …

Verbetering

Bevinding


25

RP/VU NOV/2006

Moderne IT: ontkoppelvlakken User organisation

IT organisation Telematica architecture:

In charge, Requirement owner “behoeftesteller” budgets

Use

Translation of functional and quality requirements

Contract / SLA

System development

End user

Deliver services

Exploitation

(verification of agreements) Feedback

BUILD

IV/IM functions

RUN

Knowledge

Obligation to provide results

DESIGN

Requirement

IV/IM = Informatie Voorziening / Information Management Van “rule based” naar “principle based” IT Audit

26

13


IT service provider (intern of extern)

After the requirements are specified correctly, select on basis of costs and quality (“smart buyer”) USER ORGANIZATION(S)

S ENT AND EM S E T R C G LA TRA EVE CON L E VIC SER

SERVICE PROVIDER(S): Internal or External

One single counter

ONDERLIGGENDE AGREEMENTS (transparent to the users)

‘CYCLE/TRANSPORT’ PROVIDER(S): Internal or External


27

Ontkoppelvlak Demand en Supply

RP/VU NOV/2006

Bedrijfsproces klant IV behoefte

Impact analyse

Aansluitvoorwaarden, IV tussen IV k Werkafspraken & Programma a l v d) en oppel Procedures van eisen (Demand) Ontk e (Deman waliteit t f k e n o e h be teit ionali funct ) Leverancier (Supply): Diensten Portfolio + Kwaliteitsmatrix ly (Supp IV functionaliteit en kwaliteit Klant • Vraagt dienstverlening • Kiest o.a. via eigen analyse de gewenste kwaliteit uit kwaliteitsmatrix • Bepaalt impact L/M/H

Keuze Vereist minimum


Beschikbaarheid

Basis / Midden / Hoge kwaliteit

- Percentage

99,0 %

99,5 %

99,9 %

- Max down tijd

2 uur ≤ 5 /jaar 1 dag ≤ 1 /jaar 1 week ≤ 0,3 /jaar

2 uur ≤ 2 /jaar 1 dag ≤ 0,5 /jaar 1 week ≤ 0,1 /jaar

2 uur ≤ 1 /jaar 1 dag ≤ 0,3 /jaar 1 week ≤ 0,01 /jaar

- Max duur dataverlies

8 uur

4 uur

Geen

Vertrouwelijkheid

Intern

Confidentieel

Geheim

- dataclassificatie

28

14

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding IT audit vandaag

RP/VU NOV/2006

DE IT AUDIT VANDAAG • • • • • • • • • •

Complexe netwerk infrastructuur die vele bedreigingen kent Gedistribueerde verwerking met vele kopieën van gevoelige gegevens Complexe applicaties met hoge toegankelijkheid Bedrijfsprocessen die steeds meer afhankelijk worden van de IT Hinder van virussen, trojaanse paarden, spyware etc, Mondiale aanpak: waar staan uw gegevens en waar uw applicaties? De kosten van IT liggen “onder vuur” Meer aandacht van toezichthouders en wetgevers: DNB, AFM, Sarbanes Oxley, etc. Meer risico’s voor accountants: claims, imago Krapte op de IT-audit markt: te weinig aanbod van echt ervaren IT-auditors Æ verhoging van de efficiëntie van het IT-audit-vak is dringend nodig Van “rule based” naar “principle based” IT Audit

De moderne aanpak

29

RP/VU NOV/2006

DE MODERNE AANPAK VAN IT AUDIT • Laat het inrichten over aan de vakmensen binnen de IT. Het hoe is minder belangrijk • Het principe voor de IT-er – Doe wat je zegt – Toon aan wat je doet – En doe het verantwoord • Zij zijn in staat de complexe IT te runnen. Zij zijn ook in staat, mede aan de hand van vele boekjes, de zaak veilig in te richten (in feite het “principe” van een goed “huisvader”) • Laat hen een deugdelijk “systeem” van beveiliging en interne controle inrichten; geef hen de principes, niet de regeltjes • Wij als IT auditors moeten toetsen of dat “systeem” werkt Van “rule based” naar “principle based” IT Audit

30

15


Het ideaal van de IT-auditor Van het gegevensgerichte vinken

Naar een geolied systeem met check and balance

Via goed “huisvaderschap” van de ITers Waar wij ons oordeel over vormen


31

Vaststellen

Directie

Beleid IT Security Afstemmen

IT auditors Objectonafhankelijk normenkader (niveau CoP, ISO 27002)

Beschrijving objectafhankelijke maatregelenkaders met checks & balances (baseline per objectgroep en add-on)

Afstemmen

Overleg en toelichting

Uitdragen en implementeren


Management

Werkvloer (goede “huisvaders”)

Uitrollen: top down Zorg dat kaders herkenbaar zijn voor de werkvloer en daar een draagvlak hebben

RP/VU NOV/2006

Uitrollen IT Security

32

16

vrije Universiteit amsterdam Post Graduate IT Audit Opleiding NIST 800-53

RP/VU NOV/2006

Objectonafhankelijk normenkader • • • • • • • •

Waarom zelf opstellen, als er goed materiaal op Internet staat (gratis) NIST 800-53 “Recommended security controls for federal information systems” NIST = National Institute of Standards and Technology, US Department of Commerce Deze standaard is een bundeling van Code of Practice (ISO 17799), militaire US Standard DoD 8500.2 etc. Pragmatische aanpak, heldere indeling Gaat uit van risico / impact-analyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in driedeling high, moderate en low impact Normen: baseline plus een impact-afhankelijke delta Voordeel: men hoeft niet zelf het normenkader te ontwerpen en het onderhoud wordt daar gedaan


http://csrc.nist.gov


33

RP/VU NOV/2006

34

17


Indeling normenkader

Informatiesysteem

Bedrijfsprocessen

Gebaseerd op belang van proces en afhankelijkheid van IT, een impact-classificatie CNTL Control name NR

Control baseline Low impact

Moderate impact

High impact

Group Access control AC-1

Access control policies and procedures

AC-1

AC-1

AC-1

AC-2

Account Management

AC-2

AC-2 (1) (2) (3) (Delta’s)

AC-2 (1) (2) (3) (4)


Groups of controls

35

RP/VU NOV/2006

NIST 800-53 Groups of Controls 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.

Access control Awareness and training Audit and accountability Certification, accreditation and security assessments Configuration management Contingency planning Identification and authentication Incident response Maintenance Media protection Physical and environmental protection Personnel security Risk Assessment System and services acquisition System and communications protection System and information integrity


36

18


Examinering aan de VU

Schriftelijk slotexamen • •

Er was een theoretisch gedeelte van het slotexamen over de gehele scope van het vakgebied. Dit was tot 2004/2005 een schriftelijk open boek examen Dit is vervangen door de 4 + 3 tentamencasussen in het 2de en 3de jaar als toetsmomenten tijdens de modules

Slotexamen Casus • •

Er was een klassieke slotexamencasus tot 2005/2006: een casusuitwerking van ongeveer 3 uur in de vorm van een schriftelijk examen Deze is vervangen door een scriptie naar eigen keuze, op academisch niveau. Hierbij wordt een praktijkcasus uitgewerkt door 1 of 2 studenten onder begeleiding van een bedrijfsinterne coach en een VU docent

Mondeling slotexamen • •

Slotexamen van 1 uur met scriptie als uitgangspositie en verder over collegestof en vakgebied De kandidaat dient individueel blijk te geven van vaardigheden en inzicht in het vakgebied van de IT-auditor


37

RP/VU NOV/2006

Epiloog

VAN regels opstellen door IT auditors NAAR principes opleggen en ITers zelf hun eigen regels laten opstellen en invullen EN laten aantonen dat het juist is

VIA principle based IT Audit Van “rule based” naar “principle based” IT Audit

38

19

Van Rule based naar Principle based IT Audit En hoe leiden wij hiervoor op?

Recommend Documents