Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht

773 views

Published on

0 Comments
0 Likes
Statistics
Notes
 • Be the first to comment

 • Be the first to like this

No Downloads
Views
Total views
773
On SlideShare
0
From Embeds
0
Number of Embeds
22
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht

 1. 1. de beroepsorganisatie van IT-auditors www.infosecurity.nl 1 Informatieketens vragen om nieuwe Assurance INFOSECURITY.NL NOVEMBER 2010 Betrouwbaarheid “by design” of als uitkomst Ruud J. Mollema RE RA Werkgroep Ketenauditing
 2. 2. de beroepsorganisatie van IT-auditors www.infosecurity.nl Werkgroep Ketenauditing van NOREA, zoekt naar nieuwe wegen • M. Bosch VWS • A. de Bruijn PwC • W.Geertsma RAD • R. Matthijsse Capgemini • R.J. Mollema HEC • R. Smildiger RAD • B. J. van Staveren UWV • R. Torabkhani AlignNet • M. Welters E&Y 2
 3. 3. de beroepsorganisatie van IT-auditors www.infosecurity.nl FEIT Er speelt zich veel af in het publieke ICT domein 3
 4. 4. de beroepsorganisatie van IT-auditors www.infosecurity.nl 4 Wat zich ontwikkelt 1. De informatiehuishouding in de publieke sector verandert in hoog tempo 2. Samenwerking en gegevensuitwisseling in ketens en netwerken spelen een belangrijke rol 3. INK bepaalt een groot deel van het speelveld 4. Kwaliteit wordt aan het begin van de inrichting van de keten bepaald 5. De IT audit beroepsgroep zoekt naar een moderne roldefinitie en heeft nieuw instrumentarium nodig 6. De basis van een modern referentiemodel voor IT auditing en management review wordt gepresenteerd 7. Rol positionering en gedrag zullen ook moeten ontwikkelen 8. Leiderschap is kritische succes factor
 5. 5. de beroepsorganisatie van IT-auditors www.infosecurity.nl 5 Wat gebeurt er binnen de overheid? Commisie Kohnstam E-overheid NORA Roel Bekker ICT leveranciers Manifestgroep NUP Organisatie van de Rijksdienst en uitvoering Betere dienstverlening & minder lasten Eén Architectuur voor dienstverlening Een efficiënte, gestandaardiseerde overheid Een bizar veld van reactie en beïnvloeding Geen concurrentie op infrastructuren Invoeringsplan e-overheid voor lagere overheden
 6. 6. de beroepsorganisatie van IT-auditors www.infosecurity.nl MENINGEN Oordelen over performance 6
 7. 7. de beroepsorganisatie van IT-auditors www.infosecurity.nl 7 Onvoldoende grip op informatievoorziening en IT • Het huidige stelsel van verantwoording, controle en toezicht is een in zichzelf gekeerd specialistisch systeem geworden, waarin uitvoeringsorganisaties zichzelf niet meer herkennen • Noodzaak tot een andere toepassing van governance met meer aandacht voor risicomanagement bij de beleidsvorming en meer beslisruimte voor uitvoeringsorganisaties • Het terugdringen van de controle-op-controle door een gerichte inrichting van de architectuur en governance • IT-governance moet permanent worden ingebed in beleidstrajecten en sw reguliere planning-en control cyclus (COBIT) • Opdrachtgeverschap is onvoldoende ontwikkeld
 8. 8. de beroepsorganisatie van IT-auditors www.infosecurity.nl 8 Genomen maatregelen als reactie op AR rapport • Meer structurele aandacht voor de rol van opdrachtgever, bestuurlijke dimensie en de problematiek rondom samenwerking in ketens • Inrichting: versterking van CIO-functie in de organisatie als beheerder van projectenportfolio en informatiemanagement op de bestuurlijke agenda • BZK heeft ter versterking van systeemverantwoordelijkheid de rol van DGOBR ingericht, maar eigen verantwoordelijkheid van ministers blijft • Gateway-methode is als kwaliteitsinstrument ingevoerd en kan overheid helpen leren en verbeteren, maar is niet gemaakt voor management control
 9. 9. de beroepsorganisatie van IT-auditors www.infosecurity.nl UITDAGING Wie houdt grip op deze ontwikkelingen? 9
 10. 10. de beroepsorganisatie van IT-auditors www.infosecurity.nl 10 De rol en bijdrage van IT auditing wordt zelden genoemd • IT governance staat vaker op de bestuurlijke agenda, want in hoge mate bepalend voor de outcome voor maatschappelijke doelstellingen • De IT audit functie is buiten spel geraakt en wordt niet (meer) gezien als een vakdeskundige gesprekspartner en als cruciaal onderdeel van het management control proces • De IT audit functie heeft een technische connotatie, geen adequate controlemechanismen maar snoepwinkeltje aan (verouderde)raamwerken • Er is nauwelijks wetenschappelijk onderzoek naar moderne structuren, processen en adequate beoordelingsmodellen voor assurance in informatieketens
 11. 11. de beroepsorganisatie van IT-auditors www.infosecurity.nl 11 Complicaties bij oordeelsvorming in informatieketens • Opdrachtgeverschap binnen ketenverband niet helder • Autonomie en financiering van overheidsorganisaties • Gebrek aan integrale ketencoördinatie op bestuurlijk niveau • Aantal autonome organisaties bij de samenwerking • Hoge mate van functionele specialisatie van de betrokken organisaties • Betrokkenheid van verschillende bestuurlijke lagen • Zoeken naar balans tussen autonomie en integratie (vrijheid in gebondenheid)
 12. 12. de beroepsorganisatie van IT-auditors www.infosecurity.nl INFORMATIEKETENS Een blijvend verschijnsel 12
 13. 13. de beroepsorganisatie van IT-auditors www.infosecurity.nl 13 Informatieketens in soorten en maten •Klassieke uitbesteding •Semi-trust •Semi-keten •Echte keten Ketengovernance, de EDP-auditor nummer 1 | 2006
 14. 14. de beroepsorganisatie van IT-auditors www.infosecurity.nl 14 INK en Competentie Organisaties ontwikkelen zich volgens INK niveaus en bevinden zich in meerdere niveaus:
 15. 15. de beroepsorganisatie van IT-auditors www.infosecurity.nl 15 Elk niveau stelt andere eisen en zet ontwikkelingen in gang 1. Activiteitgericht 2. Procesgericht 3. Systeemgericht 4. Ketengericht • Functiebeschrijvingen • Taakopdrachten • Persoonlijk gereedschap • Effectiviteit • Procesbeschrijvingen • AO • ERP • Interene optimalitsatie • Productgericht • Architecturen NORA • Generieke infrastructuren • Samenwerking • Dienstgerichtheid Manifestgroep, NUP • SLA’s • Servicegerichtheid • Vertrouwen Basisregistraties • Informatieketens • Open infrastructuren • Ontwikkeling van services
 16. 16. de beroepsorganisatie van IT-auditors www.infosecurity.nl 16 Overheid in INK gevat • Overheidsorganisaties bevinden zich overwegend in niveau 2 • Ontwikkelingen in e-overheid richten zich voornamelijk op tooling voor niveau 3 • Ketens veronderstellen van alle partijen niveau 4 • Verschil in volwassenheid bij aanwezige organisaties en competenties leiden tot aansluitingsproblemen in informatieketens
 17. 17. de beroepsorganisatie van IT-auditors www.infosecurity.nl 17 Beïnvloeding van informatieketens NORA E- OVerheid Cie Kohnstam Roel Bekker Manifestgroep NUP Forum Standaardisatie Leveranciers
 18. 18. de beroepsorganisatie van IT-auditors www.infosecurity.nl ASSURANCE Nieuwe onzekerheden vragen om nieuwe antwoorden 18
 19. 19. de beroepsorganisatie van IT-auditors www.infosecurity.nl 19 Complexiteit + nieuwe actoren = onzekerheid
 20. 20. de beroepsorganisatie van IT-auditors www.infosecurity.nl Samenwerking in de publieke sector 20 Ketensamenwerking over de kolommen heen is het importeren van (politieke) risico’s. De ketenafhankelijkheden zijn massaal, de afhankelijkheid van anderen enorm.
 21. 21. de beroepsorganisatie van IT-auditors www.infosecurity.nl 21 Voorbeeld: de sector Veiligheid
 22. 22. de beroepsorganisatie van IT-auditors www.infosecurity.nl Assurance in perspectief 22 In den beginne was er alleen maar professional judgement, later onderbouwd met modellen en normenkaders
 23. 23. de beroepsorganisatie van IT-auditors www.infosecurity.nl Assurance en controle in programma’s 23
 24. 24. de beroepsorganisatie van IT-auditors www.infosecurity.nl 24 Veranderende vraag naar assurance • Nieuwe vraagstukken door ontwikkelingen • Veel complexiteit • Generieke componenten doorbreken bestaande governance • Focus op diensten en (web)services in plaats van processen en systemen • Betrouwbaarheid by design • Audit als stuurmiddel i.p.v. verantwoording
 25. 25. de beroepsorganisatie van IT-auditors www.infosecurity.nl 25 Conclusie: veranderende behoefte aan audit modellen • Meer complexiteit • Keteninrichting • Verleggen van betrouwbaarheidsvraagstukken naar ontwerpfase Vraagt om herindeling en benoeming van de audit functie en aanvullende assurance producten voor de Publieke Sector
 26. 26. de beroepsorganisatie van IT-auditors www.infosecurity.nl ASSURANCE OVER INFORMATIEKETENS Nieuwe invalshoeken en domeinen 26
 27. 27. de beroepsorganisatie van IT-auditors www.infosecurity.nl INFRASTRUCTUUR KETENPARTIJ / ORGANISATIE PROCESSEN INFORMATIE OBJECTENINDEKETEN Voorbereiding Ontwikkeling Uitvoering Invalshoek voor assurance in informatieketens naar ontwikkelingsfase 27
 28. 28. de beroepsorganisatie van IT-auditors www.infosecurity.nl 28 STRATEGIE STRUCTUUR UITVOERING BELEID INFORMATIE TECHNOLOGIE Assurance breidt zich uit richting uitvoeringsbeleid, want de traditionele ICT is de drager voor verandering geworden 28
 29. 29. de beroepsorganisatie van IT-auditors www.infosecurity.nl 29 Voor- bereiding Ontwik- keling Uitvoering Afbouw Bestuurlijk-organisatorisch Wet- en regelgeving Bedrijfsprocessen Gegevens en toepassingen Informatietechniek Sociaal-organisatorisch Marketing en Voorlichting Projectorganisatie Financieel-economisch Politiek-strategisch Aspecten in de lifecycle Informatiebeveiliging
 30. 30. de beroepsorganisatie van IT-auditors www.infosecurity.nl Lifecycle Criteria Voorbereidingsfase Ontwikkelfase Uitvoeringsfase Afbouwfase Cluster 1 WET •Politiek Strategisch •Bestuurlijk Organisatorisch •Wet- en Regelgeving •Financieel Economisch Review wetsconcept/AMvB Review Ketengovernance Review Business Case Programmareview Gateway Review Review Beleid en Doelstellingen MSP Risico beoordeling beeindiging / overgang Audit afbouw / overgangsplan Kaderwet ZBO’s Wetten op de Basisregistraties WBP Richtlijnen Grote Projecten Wetten op de Basisregistraties MSP / Prince2 WBP COBIT ITIL WBP WBP Cluster 2 PROCES •Bedrijfsprocessen •Gegevens en Toepassingen •Informatietechniek •Competenties Review UA / UT Audit informatiemodel Audit toepassing WBP Audit informatiebeveiliging Risico analyses Project audit / review Pre-implementatie audit Audit informatiebeveiliging Review ISO 15489/2082 Audit toepassing WBP Audit informatiebeveiliging Audit op systemen Audit op processen Audit op keten(s) Review ISO 15489/2082 Audit toepassing WBP Audit informatiebeveiliging G2G Due Diligence Review ISO 15489/2082 Architecturen Archiefwet NOREA Normen VIR(/BI) Standaarden CvS Architecturen Archiefwet ISO 15489/2082 C.v.Informatiebeveiliging NOREA Normen VIR(/BI) BISL / ASL Archiefwet ISO 15489/2082 C.v.Informatiebeveiliging NOREA Normen VIR(/BI) Archiefwet ISO 15489/2082 C.v.Informatiebeveiliging NOREA Normen VIR(/BI) Cluster 3 KLANT •Sociaal Organisatorisch •Markteting en Voorlichting •Kanaal- en Klantsturing Risicoanalyse klantproces Audit op compliance NORA Richtlijnen Dienstverlening NORA Richtlijnen Dienstverlening NORA Handvest Publieke.Verantwoording. Assurance in de lifecycle
 31. 31. de beroepsorganisatie van IT-auditors www.infosecurity.nl 31 Conclusie 1. Verscheidenheid in behoefte aan assurance door de komst van informatieketens leidt tot een diversiteit in vragen en antwoorden 2. Betrouwbaarheid wordt grotendeels in de ontwerpfase bepaald, daarna is het moeilijk nog aan te passen 3. Assurance in ketens is breder dan audit, waardoor de gangbare normenkaders niet meer voldoende zijn
 32. 32. de beroepsorganisatie van IT-auditors www.infosecurity.nl Opdrachten voor de beroepsgroep • ICT-audit zal als dominante factor in de lifecycle van informatieketens aanwezig moeten zijn • Haar beroepsgroep zal een claim op een aantal leidende assurance producten moeten leggen. • Voor de overblijvende assurance producten zoals de Gateway Review zal een nieuw assurance regime worden gevonden 32
 33. 33. de beroepsorganisatie van IT-auditors www.infosecurity.nl Net als de media industrie, zal de beroepsgroep van ICT-auditors zich aanpassen aan moderne tijden en nieuwe technologieën 33

×