Assure IT - Presentatie - Logius
Assure IT - Presentatie - Logius
Assure IT - Presentatie - Logius
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Generiek Framework voor Assurance in ICT-ketens<br />
Assurance typologie, distributie, determinant, profiel, patroon<br />
Keten-Governance<br />
Harrie Bastiaansen Ype van Wijk<br />
Dr. ir. H.J.M. (Harrie) Bastiaansen Drs. Y.W. van Wijk RE RA<br />
Senior Business Consultant Rijksuniversiteit Groningen<br />
Business Information Systems Business & ICT – <strong>IT</strong> Audit<br />
T +31 (0)88 866 77 92 T +31 (0)50 363 39 82<br />
M +31 (0)65 129 55 27 M +31 (0)65 157 26 75<br />
E harrie.bastiaansen@tno.nl E y.w.van.wijk@rug.nl
Trends TTISC service chains (1)<br />
• Change of the internal ICT function<br />
• Focus on ICT supported services with mutual dependency risk-control<br />
• Increasing application development, new functionality<br />
• Coupled services means increased dependencies and vulnerability<br />
• Various sources mean new risks and threats<br />
• SaaS en Cloud computing function as distribution method<br />
• Current applications often replaced by chains of external networks of<br />
applications<br />
Paradigm change to Virtual Organization<br />
Current Frameworks for organizations, not for chains<br />
Need for Assurance in total service chain<br />
New business approach for assurance
TTISC Towards Trustworthy ICT-enabled service chains<br />
De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen<br />
de business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service<br />
(SaaS) en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen<br />
worden door ketens van gekoppelde externe netwerken van applicaties.<br />
Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld<br />
zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele<br />
applicaties gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet<br />
als een enkele applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen.<br />
Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico’s en bedreigingen. Vele<br />
toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere<br />
koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in<br />
de leveranciers van de leveranciers, ad infinitum.<br />
In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreëerd zal moeten worden in<br />
de kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode<br />
noodzakelijk voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteit niveau binnen de<br />
keten van services en applicaties, en gericht is op een adequate niveau van assurance in de totale keten.<br />
Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service<br />
ketens, zowel ten aanzien van het ICT service delivery network als de inhoudelijke service content network, gericht op<br />
betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende<br />
controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader<br />
ontwikkeld gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een<br />
generalisering te komen in een geïntegreerd framework voor ICT ondersteunde service ketens.
Assurance Framework for ICT-enabled service chains<br />
• De ‘Wat?’ vraag:<br />
• Het Chain Content, Context & Control (C 4 -) model<br />
• De ‘Hoe?’ vraag:<br />
• Het generiek Assurance framework voor ICT-ketens<br />
• ICT Keten Optimalisatie<br />
• Risk-control in de ICT-keten m.b.v. distributies en profielen<br />
• ICT-Keten Governance<br />
• Testen en valideren van het framework<br />
Artikelen:<br />
Part I Het Chain Content, Context & Control (C 4 -) model Status: Geaccepteerd voor ‘de <strong>IT</strong>-Auditor’<br />
Part II Assurance Analyse voor betrouwbare ICT-Ketens Status: Ter review bij ‘de <strong>IT</strong>-Auditor’<br />
Part III Chain Governance en Assurance Status: Ter review bij ‘de <strong>IT</strong>-Auditor’<br />
Aanvullend artikel:<br />
De trust audit voor kwaliteitsbeheersing van uw ICT-keten Status: Gepubliceerd in ‘Informatiebeveiliging’
WAT: Het Chain Content, Context & Control (C4-) model
Relatie C4-model en Assurance framework voor ICT-ketens
HOE: Het generiek Assurance framework voor ICT-ketens<br />
Doel:<br />
• Methodiek voor beheersing en Assurance in ICT-ketens<br />
• Generiek: want toepasbaar voor grote diversiteit aan business en<br />
kwaliteitsdoelstellingen<br />
• Hoe: Beheersing van en sturing op risico- en control-distributies<br />
• Inbedden in een ICT-keten Governance proces<br />
• ICT-keten<br />
• Risk management en Control in de keten<br />
• Distributie Risk-Control over de ICT-keten<br />
• Keten analyse<br />
• Typologie keten – Distributie – Determinant –<br />
Profiel - Patroon<br />
• Keten initiëren en optimaliseren door Assurance<br />
Plotting<br />
• Fundamenten ICT-keten Governance
Vanuit de basis van de ICT service keten<br />
De opbouw van de ICT-service keten<br />
Content network<br />
request<br />
A B C<br />
service<br />
Service Chain<br />
Add value<br />
service<br />
request<br />
Service Chain<br />
Risk<br />
Control<br />
Enactment<br />
Enforcement<br />
Delivery network<br />
A<br />
B<br />
C<br />
de partij die de keten initieert en het service request uitstuurt;<br />
de partij die waarde toevoegt aan het service request<br />
waardoor het mogelijk wordt dat C de service kan leveren;<br />
de partij die de service levert via partij B aan partij A<br />
Enactment het ontwerp van de service keten<br />
Enforcement de (bij)sturing van de service keten
Risk-Control in de ICT-service keten<br />
• De risico-distributie beschrijft hoe voor elke schakel in de ICT-keten zijn risico<br />
afhankelijk is van (propageert naar) aanpalende ketenschakels: Hoog, Medium of<br />
Laag gedistribueerd risico.<br />
• De control-distributie beschrijft hoe elke schakel de verantwoordelijkheid voor het<br />
nemen van compenserende (mitigerende) maatregelen verdeelt over andere<br />
(aanpalende) ketenschakels in de ICT-keten: orkestratie, recursie en transparantie.<br />
• Het assurance profiel bevat de ordinale waarden (Hoog, Medium, Laag) van de<br />
assurance determinanten voor het ‘achterliggende deel’ van de ICT-keten.<br />
Triplet van risk, control en profiel geeft de transference of obligations in de keten weer<br />
Triplet Assurance<br />
N A<br />
NB<br />
A<br />
Triplet TA,B [ RA,B ,CA,B, ,PA,B] B<br />
A<br />
Schakel (partij) in de ICT-keten<br />
N x Mate van beheersing over node x<br />
Legenda<br />
T A,B Triplet voor relaties tussen nodes A en B, bestaande uit:<br />
R A,B Risico Distributie tussen nodes A en B<br />
C A,B Control Distributie tussen nodes A en B<br />
P A,B Assurance Profiel tussen nodes A en B
Distributie van Risk-Control in de ICT-keten<br />
service<br />
C<br />
Orkestratie<br />
A B<br />
Transparantie Recursie<br />
Transparantie<br />
D<br />
Recursie<br />
A<br />
Triplet TA,B B<br />
[ RA,B ,CA,B, ,PA,B] NA NodeA (chain participant)<br />
Profile<br />
D 1 D 2 D 3 …. D n<br />
V 1 V 2 V 3 … V n<br />
R A,B<br />
C A,B<br />
P A,B<br />
E<br />
Risk Distribution<br />
Control Distribution<br />
Assurance Profile<br />
Transparantie<br />
F<br />
Orkestratie<br />
H I<br />
G<br />
Recursie<br />
Hoog gedistribueerd risico<br />
Medium gedistribueerd risico<br />
Laag gedistribueerd risico<br />
Transference of obligations risk-control
ICT-keten optimalisatie<br />
Keten optimalisatie initiële opzet
ICT-service chain structure<br />
Assurance Typology and Type<br />
• Nature of the <strong>IT</strong>-chain:<br />
• Define control objective<br />
• Distinguishing types<br />
Assurance Determinant and Profile<br />
• Assurance Determinant: generic<br />
• Assurance profile: specific quantified chain unit<br />
optimized enactment<br />
D n : Assurance determinant<br />
V n : Ordinale kwantificatie norm voor assurance profiel<br />
Assurance Pattern<br />
• Enactment pattern for distribution<br />
• Standard pattern (re)use<br />
• Generic implementation standards<br />
Policy<br />
Implementation<br />
Transference of Obligation<br />
• Risk-distribution: divide risks<br />
• Control-distribution: divide responsibilities<br />
Assurance Plotting<br />
Assurance<br />
Determinant<br />
D 1<br />
Value V 1<br />
Pattern:<br />
- Risk distribution<br />
- Control-distribution<br />
Triplet T A,B = R A,B , C A,B , P A,B<br />
Assurance<br />
Determinant<br />
D 2<br />
Value V 2<br />
Assurance Profile n,m,q<br />
Pattern:<br />
patroon - Risk patroon distribution patroon<br />
- Control-distribution<br />
Optimizing determinant enactment<br />
Assurance<br />
Determinant<br />
D N<br />
Value V N
Assurance Plotting<br />
for service content and delivery networks<br />
C<br />
A B<br />
[ RA,B ,CA,B, ,PA,B] N A<br />
Objective<br />
Policy<br />
Typologie<br />
T A,B<br />
T B,C<br />
Profile P A,B<br />
Determinant<br />
D 1 D 2 D 3 …… D n<br />
V 1 V 2 V 3 …… V m<br />
Norm-value<br />
Assurance<br />
Patterns<br />
Optimal<br />
Algorithm<br />
N B<br />
[ R B,C ,C BC, ,P B,C]<br />
T B,D<br />
[ R B,D ,C B,D ,P B,D]<br />
Profile P B, D<br />
Determinant<br />
D 1 D 2 D 3 …… D n<br />
V 1 V 2 V 3 …… V m<br />
Norm-value<br />
An assurance plot presents an optimal allocation of the riskdistribution<br />
R X,Y , the control distribution C X,Y and the assurance profile<br />
P X,Y (Triplet T X,Y from node N x to node N y ), over the <strong>IT</strong> chain.<br />
N D<br />
D<br />
Optimized Assurance plot in <strong>IT</strong>-chain<br />
T X,Y<br />
Profile P X,Y<br />
Determinant<br />
D 1 D 2 D 3 …… D n<br />
V 1 V 2 V 3 …… V m<br />
Norm-value<br />
T A,B T B,C P B,D T X,Y T X,Y T X,Y<br />
A Chain participant<br />
High distributed risk<br />
N x Level of Control over node x<br />
T A,B Triplet for relations between nodes A en B, consisting of:<br />
R A,B Risk Distribution between nodes A en B<br />
C A,B Control Distribution between nodes A en B<br />
P A,B Assurance Profile between nodes A en B<br />
Medium distributed risk<br />
Low distributed risk<br />
D n Determinant<br />
V n Norm-value<br />
Legend
ICT-keten Governance<br />
Strategic<br />
Chain Policy<br />
Strategic objectives<br />
Chain Risk distribution<br />
Chain Control<br />
distribution<br />
Enactment and<br />
Enforcement<br />
Chain Risk<br />
Management<br />
Risk Maturity<br />
Assessment<br />
Continuous based<br />
Governance ICT service chain<br />
Audit en Monitoring<br />
Continuous Chain Audit Maturity<br />
Monitoring and Steering
Road path to Chain-Governance<br />
Chain Enactment<br />
Do<br />
Plan<br />
Check<br />
Act<br />
1. Define control object <strong>IT</strong> chain<br />
2. Classification level of control: typology, type en assurance profiles<br />
3. Define Risk-distribution, control-distribution en assurance profiles using<br />
assurance plotting<br />
4. Define method audit and monitoring<br />
5. Initiation of the <strong>IT</strong>-chain: assurance plotting and monitoring<br />
6. Monitoring balance risk-control distribution in assurance plot<br />
7. Monitoring and enactment of controls<br />
)<br />
8. Evaluation and steering<br />
Chain Enforcement
Governance - Strategic Chain Policy<br />
Enactment<br />
&<br />
Enforcement<br />
Strategic<br />
Chain<br />
Objectives<br />
Transference<br />
of<br />
obligations<br />
Chain<br />
Control<br />
Maturity<br />
Chain<br />
Risk<br />
Tolerance
Chain Risk Management, Audit and Monitoring<br />
Based on the Transference of Obligations<br />
A B<br />
N A<br />
T A,B<br />
[ R A,B ,C A,B, ,P A,B]<br />
Norm set<br />
Tolerance<br />
Normwaarde : P A,B<br />
T B,C<br />
C<br />
N B<br />
[ R B,C ,C BC, ,P B,C]<br />
Profiel A,B<br />
D 1 .. D n<br />
V 1 .. V m<br />
T B,D<br />
[ R B,D ,C B,D ,P B,D]<br />
N D<br />
D<br />
Norm set<br />
Tolerance<br />
Continuous Audit Object<br />
Normwaarde : P Normwaarde : P<br />
B,D<br />
X,Y<br />
Risk and Audit maturity<br />
Risk management Audit planning<br />
A Chain participant<br />
High distributed risk<br />
N x Level of Control over node x<br />
T A,B Triplet for relations between nodes A en B, consisting of:<br />
R A,B Risk Distribution between nodes A en B<br />
C A,B Control Distribution between nodes A en B<br />
P A,B Assurance Profile between nodes A en B<br />
Transference Process<br />
Norm set<br />
Tolerance<br />
Medium distributed risk<br />
Low distributed risk<br />
T X,Y<br />
Profiel P X,Y<br />
Determinant<br />
D 1 D 2 D 3 …… D n<br />
V 1 V 2 V 3 …… V m<br />
Norm waarde<br />
Profiel A,B<br />
D 1 .. D n<br />
V 1 .. V m<br />
D n Determinant<br />
V n Norm-value<br />
Legend<br />
Chain audit norms Chain audit tolerance
Overview ICT service chain<br />
Triplet Basic ICT-chain<br />
N A<br />
N B<br />
A<br />
Triplet TA,B [ RA,B ,CA,B, ,PA,B] B<br />
Legend<br />
N x Level of control over node x<br />
T A,B Triplet for relations between nodes A en B, consisting of:<br />
A<br />
CE x<br />
CF N<br />
R A,B Risk Distribution between nodes A en B<br />
C A,B Control Distribution between nodes A en B<br />
P A,B Assurance Profile between nodes A en B<br />
Participant in <strong>IT</strong>-chain<br />
Enactment Chain X (A, B, C, D..X, Y)<br />
Enforcement Chain X (A, B, C, D..X, Y)<br />
Atom Basic ICT-service chain<br />
request<br />
A B<br />
service<br />
Add value<br />
service<br />
request<br />
Assessment Profile PA,B Determinant<br />
Assurance<br />
Service Content network<br />
Service Delivery network<br />
D1 D2 D3 …… Dn V1 V2 V3 …… Vm Norm value<br />
Risk<br />
Control<br />
Enactment<br />
Enforcement<br />
Governance Domain<br />
C<br />
Chain Assurance optimized plot<br />
T A,B<br />
A B<br />
T B,C<br />
C<br />
T B,D<br />
T X,Y<br />
Balancing Risk-Control Transference of Obligation<br />
Optimizing Profile and Obligations<br />
Governance and Assurance ICT-chain computing<br />
Transference of Obligation<br />
Optimized Assurance<br />
CE 1<br />
T A,B T B,C T B,D T X,Y<br />
CF 1<br />
Enforcement Domain<br />
ICT-Chain governance<br />
- Risk- Control chain transference<br />
- Chain enactment and enforcement :transference of obligation<br />
- Chain Audit, Assurance and monitoring<br />
X<br />
Y<br />
Enactment Domain
Chain Governance Assessment Practice<br />
Based on the Transference of Risk-Control Obligations<br />
Chain Enablers<br />
Proces<br />
Service Chain<br />
Service content network<br />
Information Quality<br />
Norms<br />
&<br />
Tolerance<br />
Assessment Assurance<br />
Enactment & Enforcement<br />
Service Chain<br />
Chain Policy Risk Management Audit & Monitoring<br />
Service delivery network<br />
Infrastructure & Applications<br />
Profile Valuation Assurance Determinants<br />
Culture, Ethics, Behavior<br />
Service Chain<br />
Skills & Competences<br />
Chain participants<br />
Chain Resources