23.09.2013 Views

Assure IT - Presentatie - Logius

Assure IT - Presentatie - Logius

Assure IT - Presentatie - Logius

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

Generiek Framework voor Assurance in ICT-ketens<br />

Assurance typologie, distributie, determinant, profiel, patroon<br />

Keten-Governance<br />

Harrie Bastiaansen Ype van Wijk<br />

Dr. ir. H.J.M. (Harrie) Bastiaansen Drs. Y.W. van Wijk RE RA<br />

Senior Business Consultant Rijksuniversiteit Groningen<br />

Business Information Systems Business & ICT – <strong>IT</strong> Audit<br />

T +31 (0)88 866 77 92 T +31 (0)50 363 39 82<br />

M +31 (0)65 129 55 27 M +31 (0)65 157 26 75<br />

E harrie.bastiaansen@tno.nl E y.w.van.wijk@rug.nl


Trends TTISC service chains (1)<br />

• Change of the internal ICT function<br />

• Focus on ICT supported services with mutual dependency risk-control<br />

• Increasing application development, new functionality<br />

• Coupled services means increased dependencies and vulnerability<br />

• Various sources mean new risks and threats<br />

• SaaS en Cloud computing function as distribution method<br />

• Current applications often replaced by chains of external networks of<br />

applications<br />

Paradigm change to Virtual Organization<br />

Current Frameworks for organizations, not for chains<br />

Need for Assurance in total service chain<br />

New business approach for assurance


TTISC Towards Trustworthy ICT-enabled service chains<br />

De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen<br />

de business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service<br />

(SaaS) en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen<br />

worden door ketens van gekoppelde externe netwerken van applicaties.<br />

Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld<br />

zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele<br />

applicaties gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet<br />

als een enkele applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen.<br />

Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico’s en bedreigingen. Vele<br />

toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere<br />

koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in<br />

de leveranciers van de leveranciers, ad infinitum.<br />

In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreëerd zal moeten worden in<br />

de kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode<br />

noodzakelijk voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteit niveau binnen de<br />

keten van services en applicaties, en gericht is op een adequate niveau van assurance in de totale keten.<br />

Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service<br />

ketens, zowel ten aanzien van het ICT service delivery network als de inhoudelijke service content network, gericht op<br />

betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende<br />

controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader<br />

ontwikkeld gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een<br />

generalisering te komen in een geïntegreerd framework voor ICT ondersteunde service ketens.


Assurance Framework for ICT-enabled service chains<br />

• De ‘Wat?’ vraag:<br />

• Het Chain Content, Context & Control (C 4 -) model<br />

• De ‘Hoe?’ vraag:<br />

• Het generiek Assurance framework voor ICT-ketens<br />

• ICT Keten Optimalisatie<br />

• Risk-control in de ICT-keten m.b.v. distributies en profielen<br />

• ICT-Keten Governance<br />

• Testen en valideren van het framework<br />

Artikelen:<br />

Part I Het Chain Content, Context & Control (C 4 -) model Status: Geaccepteerd voor ‘de <strong>IT</strong>-Auditor’<br />

Part II Assurance Analyse voor betrouwbare ICT-Ketens Status: Ter review bij ‘de <strong>IT</strong>-Auditor’<br />

Part III Chain Governance en Assurance Status: Ter review bij ‘de <strong>IT</strong>-Auditor’<br />

Aanvullend artikel:<br />

De trust audit voor kwaliteitsbeheersing van uw ICT-keten Status: Gepubliceerd in ‘Informatiebeveiliging’


WAT: Het Chain Content, Context & Control (C4-) model


Relatie C4-model en Assurance framework voor ICT-ketens


HOE: Het generiek Assurance framework voor ICT-ketens<br />

Doel:<br />

• Methodiek voor beheersing en Assurance in ICT-ketens<br />

• Generiek: want toepasbaar voor grote diversiteit aan business en<br />

kwaliteitsdoelstellingen<br />

• Hoe: Beheersing van en sturing op risico- en control-distributies<br />

• Inbedden in een ICT-keten Governance proces<br />

• ICT-keten<br />

• Risk management en Control in de keten<br />

• Distributie Risk-Control over de ICT-keten<br />

• Keten analyse<br />

• Typologie keten – Distributie – Determinant –<br />

Profiel - Patroon<br />

• Keten initiëren en optimaliseren door Assurance<br />

Plotting<br />

• Fundamenten ICT-keten Governance


Vanuit de basis van de ICT service keten<br />

De opbouw van de ICT-service keten<br />

Content network<br />

request<br />

A B C<br />

service<br />

Service Chain<br />

Add value<br />

service<br />

request<br />

Service Chain<br />

Risk<br />

Control<br />

Enactment<br />

Enforcement<br />

Delivery network<br />

A<br />

B<br />

C<br />

de partij die de keten initieert en het service request uitstuurt;<br />

de partij die waarde toevoegt aan het service request<br />

waardoor het mogelijk wordt dat C de service kan leveren;<br />

de partij die de service levert via partij B aan partij A<br />

Enactment het ontwerp van de service keten<br />

Enforcement de (bij)sturing van de service keten


Risk-Control in de ICT-service keten<br />

• De risico-distributie beschrijft hoe voor elke schakel in de ICT-keten zijn risico<br />

afhankelijk is van (propageert naar) aanpalende ketenschakels: Hoog, Medium of<br />

Laag gedistribueerd risico.<br />

• De control-distributie beschrijft hoe elke schakel de verantwoordelijkheid voor het<br />

nemen van compenserende (mitigerende) maatregelen verdeelt over andere<br />

(aanpalende) ketenschakels in de ICT-keten: orkestratie, recursie en transparantie.<br />

• Het assurance profiel bevat de ordinale waarden (Hoog, Medium, Laag) van de<br />

assurance determinanten voor het ‘achterliggende deel’ van de ICT-keten.<br />

Triplet van risk, control en profiel geeft de transference of obligations in de keten weer<br />

Triplet Assurance<br />

N A<br />

NB<br />

A<br />

Triplet TA,B [ RA,B ,CA,B, ,PA,B] B<br />

A<br />

Schakel (partij) in de ICT-keten<br />

N x Mate van beheersing over node x<br />

Legenda<br />

T A,B Triplet voor relaties tussen nodes A en B, bestaande uit:<br />

R A,B Risico Distributie tussen nodes A en B<br />

C A,B Control Distributie tussen nodes A en B<br />

P A,B Assurance Profiel tussen nodes A en B


Distributie van Risk-Control in de ICT-keten<br />

service<br />

C<br />

Orkestratie<br />

A B<br />

Transparantie Recursie<br />

Transparantie<br />

D<br />

Recursie<br />

A<br />

Triplet TA,B B<br />

[ RA,B ,CA,B, ,PA,B] NA NodeA (chain participant)<br />

Profile<br />

D 1 D 2 D 3 …. D n<br />

V 1 V 2 V 3 … V n<br />

R A,B<br />

C A,B<br />

P A,B<br />

E<br />

Risk Distribution<br />

Control Distribution<br />

Assurance Profile<br />

Transparantie<br />

F<br />

Orkestratie<br />

H I<br />

G<br />

Recursie<br />

Hoog gedistribueerd risico<br />

Medium gedistribueerd risico<br />

Laag gedistribueerd risico<br />

Transference of obligations risk-control


ICT-keten optimalisatie<br />

Keten optimalisatie initiële opzet


ICT-service chain structure<br />

Assurance Typology and Type<br />

• Nature of the <strong>IT</strong>-chain:<br />

• Define control objective<br />

• Distinguishing types<br />

Assurance Determinant and Profile<br />

• Assurance Determinant: generic<br />

• Assurance profile: specific quantified chain unit<br />

optimized enactment<br />

D n : Assurance determinant<br />

V n : Ordinale kwantificatie norm voor assurance profiel<br />

Assurance Pattern<br />

• Enactment pattern for distribution<br />

• Standard pattern (re)use<br />

• Generic implementation standards<br />

Policy<br />

Implementation<br />

Transference of Obligation<br />

• Risk-distribution: divide risks<br />

• Control-distribution: divide responsibilities<br />

Assurance Plotting<br />

Assurance<br />

Determinant<br />

D 1<br />

Value V 1<br />

Pattern:<br />

- Risk distribution<br />

- Control-distribution<br />

Triplet T A,B = R A,B , C A,B , P A,B<br />

Assurance<br />

Determinant<br />

D 2<br />

Value V 2<br />

Assurance Profile n,m,q<br />

Pattern:<br />

patroon - Risk patroon distribution patroon<br />

- Control-distribution<br />

Optimizing determinant enactment<br />

Assurance<br />

Determinant<br />

D N<br />

Value V N


Assurance Plotting<br />

for service content and delivery networks<br />

C<br />

A B<br />

[ RA,B ,CA,B, ,PA,B] N A<br />

Objective<br />

Policy<br />

Typologie<br />

T A,B<br />

T B,C<br />

Profile P A,B<br />

Determinant<br />

D 1 D 2 D 3 …… D n<br />

V 1 V 2 V 3 …… V m<br />

Norm-value<br />

Assurance<br />

Patterns<br />

Optimal<br />

Algorithm<br />

N B<br />

[ R B,C ,C BC, ,P B,C]<br />

T B,D<br />

[ R B,D ,C B,D ,P B,D]<br />

Profile P B, D<br />

Determinant<br />

D 1 D 2 D 3 …… D n<br />

V 1 V 2 V 3 …… V m<br />

Norm-value<br />

An assurance plot presents an optimal allocation of the riskdistribution<br />

R X,Y , the control distribution C X,Y and the assurance profile<br />

P X,Y (Triplet T X,Y from node N x to node N y ), over the <strong>IT</strong> chain.<br />

N D<br />

D<br />

Optimized Assurance plot in <strong>IT</strong>-chain<br />

T X,Y<br />

Profile P X,Y<br />

Determinant<br />

D 1 D 2 D 3 …… D n<br />

V 1 V 2 V 3 …… V m<br />

Norm-value<br />

T A,B T B,C P B,D T X,Y T X,Y T X,Y<br />

A Chain participant<br />

High distributed risk<br />

N x Level of Control over node x<br />

T A,B Triplet for relations between nodes A en B, consisting of:<br />

R A,B Risk Distribution between nodes A en B<br />

C A,B Control Distribution between nodes A en B<br />

P A,B Assurance Profile between nodes A en B<br />

Medium distributed risk<br />

Low distributed risk<br />

D n Determinant<br />

V n Norm-value<br />

Legend


ICT-keten Governance<br />

Strategic<br />

Chain Policy<br />

Strategic objectives<br />

Chain Risk distribution<br />

Chain Control<br />

distribution<br />

Enactment and<br />

Enforcement<br />

Chain Risk<br />

Management<br />

Risk Maturity<br />

Assessment<br />

Continuous based<br />

Governance ICT service chain<br />

Audit en Monitoring<br />

Continuous Chain Audit Maturity<br />

Monitoring and Steering


Road path to Chain-Governance<br />

Chain Enactment<br />

Do<br />

Plan<br />

Check<br />

Act<br />

1. Define control object <strong>IT</strong> chain<br />

2. Classification level of control: typology, type en assurance profiles<br />

3. Define Risk-distribution, control-distribution en assurance profiles using<br />

assurance plotting<br />

4. Define method audit and monitoring<br />

5. Initiation of the <strong>IT</strong>-chain: assurance plotting and monitoring<br />

6. Monitoring balance risk-control distribution in assurance plot<br />

7. Monitoring and enactment of controls<br />

)<br />

8. Evaluation and steering<br />

Chain Enforcement


Governance - Strategic Chain Policy<br />

Enactment<br />

&<br />

Enforcement<br />

Strategic<br />

Chain<br />

Objectives<br />

Transference<br />

of<br />

obligations<br />

Chain<br />

Control<br />

Maturity<br />

Chain<br />

Risk<br />

Tolerance


Chain Risk Management, Audit and Monitoring<br />

Based on the Transference of Obligations<br />

A B<br />

N A<br />

T A,B<br />

[ R A,B ,C A,B, ,P A,B]<br />

Norm set<br />

Tolerance<br />

Normwaarde : P A,B<br />

T B,C<br />

C<br />

N B<br />

[ R B,C ,C BC, ,P B,C]<br />

Profiel A,B<br />

D 1 .. D n<br />

V 1 .. V m<br />

T B,D<br />

[ R B,D ,C B,D ,P B,D]<br />

N D<br />

D<br />

Norm set<br />

Tolerance<br />

Continuous Audit Object<br />

Normwaarde : P Normwaarde : P<br />

B,D<br />

X,Y<br />

Risk and Audit maturity<br />

Risk management Audit planning<br />

A Chain participant<br />

High distributed risk<br />

N x Level of Control over node x<br />

T A,B Triplet for relations between nodes A en B, consisting of:<br />

R A,B Risk Distribution between nodes A en B<br />

C A,B Control Distribution between nodes A en B<br />

P A,B Assurance Profile between nodes A en B<br />

Transference Process<br />

Norm set<br />

Tolerance<br />

Medium distributed risk<br />

Low distributed risk<br />

T X,Y<br />

Profiel P X,Y<br />

Determinant<br />

D 1 D 2 D 3 …… D n<br />

V 1 V 2 V 3 …… V m<br />

Norm waarde<br />

Profiel A,B<br />

D 1 .. D n<br />

V 1 .. V m<br />

D n Determinant<br />

V n Norm-value<br />

Legend<br />

Chain audit norms Chain audit tolerance


Overview ICT service chain<br />

Triplet Basic ICT-chain<br />

N A<br />

N B<br />

A<br />

Triplet TA,B [ RA,B ,CA,B, ,PA,B] B<br />

Legend<br />

N x Level of control over node x<br />

T A,B Triplet for relations between nodes A en B, consisting of:<br />

A<br />

CE x<br />

CF N<br />

R A,B Risk Distribution between nodes A en B<br />

C A,B Control Distribution between nodes A en B<br />

P A,B Assurance Profile between nodes A en B<br />

Participant in <strong>IT</strong>-chain<br />

Enactment Chain X (A, B, C, D..X, Y)<br />

Enforcement Chain X (A, B, C, D..X, Y)<br />

Atom Basic ICT-service chain<br />

request<br />

A B<br />

service<br />

Add value<br />

service<br />

request<br />

Assessment Profile PA,B Determinant<br />

Assurance<br />

Service Content network<br />

Service Delivery network<br />

D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm value<br />

Risk<br />

Control<br />

Enactment<br />

Enforcement<br />

Governance Domain<br />

C<br />

Chain Assurance optimized plot<br />

T A,B<br />

A B<br />

T B,C<br />

C<br />

T B,D<br />

T X,Y<br />

Balancing Risk-Control Transference of Obligation<br />

Optimizing Profile and Obligations<br />

Governance and Assurance ICT-chain computing<br />

Transference of Obligation<br />

Optimized Assurance<br />

CE 1<br />

T A,B T B,C T B,D T X,Y<br />

CF 1<br />

Enforcement Domain<br />

ICT-Chain governance<br />

- Risk- Control chain transference<br />

- Chain enactment and enforcement :transference of obligation<br />

- Chain Audit, Assurance and monitoring<br />

X<br />

Y<br />

Enactment Domain


Chain Governance Assessment Practice<br />

Based on the Transference of Risk-Control Obligations<br />

Chain Enablers<br />

Proces<br />

Service Chain<br />

Service content network<br />

Information Quality<br />

Norms<br />

&<br />

Tolerance<br />

Assessment Assurance<br />

Enactment & Enforcement<br />

Service Chain<br />

Chain Policy Risk Management Audit & Monitoring<br />

Service delivery network<br />

Infrastructure & Applications<br />

Profile Valuation Assurance Determinants<br />

Culture, Ethics, Behavior<br />

Service Chain<br />

Skills & Competences<br />

Chain participants<br />

Chain Resources

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!