hoofdstuk beschreven. De aangegeven beperkingen kunnen gebruikt worden als uitgangspunt voor vervolgonderzoek. Zodoende zijn aan de hand van de beschreven beperkingen aanbevelingen voor toekomstig onderzoek geformuleerd.
Een eerste beperking is omtrent de scope van het onderzoek. Dit onderzoek is beperkt tot het niveau van applicaties. Uit het kwalitatieve onderzoek kwam naar voren dat om de specifiek op de organisatie afgestemde juiste controlbalans te vinden mogelijk naar een niveau lager, op permissie niveau, moet worden gekeken. Dit omdat de oorzaak van het bedrijfskritisch zijn van een applicatie mede ligt bij de permissies die binnen een applicatie aanwezig zijn. Om aanvullend inzicht te krijgen in hoe de juiste controlbalans moet worden bepaald is daarom aanvullend onderzoek naar het niveau van permissies nodig. Mogelijk komt hier uit dat de controlbalans moet worden gebaseerd op high risk permissies of combinaties van de high risk permissies welke binnen een organisatie aanwezig zijn. De onderzoeker welke dit vervolgonderzoek uit wil voeren dient zich er bewust van te zijn dat met betrekking tot de controlbalans binnen de huidige dynamische organisaties het, zelfs binnen financiële instellingen, simpelweg niet meer reëel is om op de volle breedte, dus tot op permissieniveau, de interne beheersing vanuit een control oogpunt te benaderen. Omdat deze benadering van interne beheersing te veel tijd neemt en te kostbaar is om toe te passen.
Een tweede beperking van dit onderzoek is dat voor de validatie van het conceptueel model het onderzoek maar is uitgevoerd binnen één organisatie, dit zijnde een financiële instelling. Omdat de geïnterviewden bijna allemaal een bancaire achtergrond hebben rijst het gevaar dat er een eenzijdig beeld ontstaat. Functionarissen welke werkzaam zijn binnen een andere branche zoals de gezondheidszorg of de industrie zullen mogelijk een andere kijk hebben op wat de juiste balans tussen control en collaboration is voor de interne beheersing van autorisatiebeheer. Zodoende is een aanbeveling voor vervolg onderzoek om dit onderzoek nogmaals uit te voeren binnen een andere branche. Zo kan worden nagegaan of het opgestelde conceptueel model ook toegepast kan worden bij organisaties binnen andere branches. Tevens kan dan worden nagegaan of het middelste controlscenario in figuur 6 binnen deze organisaties als invulling voor de juiste balans tussen control en collaboration kan worden beschouwd.
Tot slot vormt het karakter van het kwalitatieve onderzoek een beperking, waarbij de beperking wordt gecreëerd door de onderzoeker die het onderzoek uitvoert en de interpretaties van deze persoon. Hoewel het conceptueel model zo objectief mogelijk is opgesteld kan een bepaalde mate van subjectiviteit niet worden uitgesloten. Daarnaast heeft het gebruik van een casestudie als onderzoeksmethode invloed op de mate waarin generaliserende conclusies getrokken kunnen worden. Een mogelijke aanbeveling voor vervolgonderzoek is dan ook om de validiteit van het conceptueel model te toetsen aan de hand van bijvoorbeeld enquêtes. Zo kan aan de hand van een statistische analyse objectief de validiteit van het conceptueel model getoetst worden en kunnen de getrokken conclusies in een grotere mate (van zekerheid) worden gegeneraliseerd.
Referenties
Anderson, R. J. (2008). Security Engineering: A Guide to Building Dependable Distributed Systems. Wiley publishing, Inc., Indianapolis, Indiana.
Aveksa (2007). Enterprise Roles-based Access Governance. Technical Report, White Paper. Beijer, P. en Kooper, M. (2010). Information governance: beyond risk and compliance.
PrimaVera Working Paper.
Benbasat, I., Goldstein, D. K. en Mead, M. (1987). The Case Research Strategy in Studies of Information Systems. MIS Quarterly, vol. 11, 369-386.
Birnberg J. G., Shields, M. D., en Young, S. M. (1990). The case for multiple methods in empirical accounting research (with an illustration from budget setting). Journal of Management Accounting Research, vol. 2: 33-66.
Blumberg, B., Cooper, D. R. en Schindler,P. S. (2008). Business Research Methods. McGraw-Hill Eduaction. Berkshire.
Brynjolfsson, E. (1994). Information Assets, Technology, and Organization. Management Science, vol. 40: 1645-1662.
Bushman, R. M. en Smith A. J. (2001). Financial accounting information and corporate governance. Journal of Accounting and Economics, vol. 32: 237-333.
Clark, D. D. en Wilson, D. R. (1987). A Comparison of Commercial and Military Computer Security Policies. In Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (SP'87), Mei 1987, Oakland, pp. 184–193.
COSO (1992). Internal Control-Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, Jersey City, NJ: AICPA.
Davis, J. H., Schoorman, F. D. en Donaldson, L. (1997). Toward A Stewardship Theory of Management. Academy of Management Review, vol. 22: 20-47.
Dubé, L. en Paré, G. (2003). Rigor in Information Systems Positivist Case Research: Current Practices, Trends, and Recommendations. MIS Quarterly, vol. 27: 597-636.
Eisenhardt, K. M. (1989a). Agency Theory: An Assessment and Review. Academy of Management Review, vol. 14: 57-74.
Eisenhardt, K. M. (1989b). Building Theories from Case Study Research. The Academy of Management Review, vol. 14: 532-550.
Emanuels, J. A. (2005). Interne beheersing: in control of in de krant? : beschouwing over een crisis. Rede uitgesproken bij de aanvaarding van het ambt van hoogleraar Bestuurlijke Informatieverzorging aan de Rijksuniversiteit Groningen, 1 februari 2005.
Gory, G. A. en Scott Morton, M. S. (1989). A Framework for Management Information Systems. Sloan Management Review, vol. 31: 49-61.
Hermans, J. A. M., Heiden, P. R. en Stultjens, M. (2004). Rolgebaseerd autoriseren: effectief sturen op ICT-gebruik. Compact, vol. 31, nr. 2 (2004): 17-26.
Hermans, J. A. M., van Ham, D.B. en ter Hart, J. (2006). Globalisering en de complexiteit van logische toegang: Nut en noodzaak van een strategie op het gebied van Identity Access Management (I AM). Compact, vol. 33, nr. 3 (2006): 45-50.
Hermans, J. A. M., van Ham, D.B. en ter Hart, J. (2007). In control ten aanzien van uw
autorisatiemanagement: Het huis op orde krijgen en houden op een effectieve en efficiënte wijze. Compact, vol. 34, nr. 2 (2007): 24-34.
Hume, I. (2012). Internal controls in an international financial Institution. Public Money & Management, vol. 32: 137-144.
Klein, H. K. en Myers, M. D. (1999). A Set of Principles for Conducting and Evaluating Interpretive Field Studies in Information Systems. MIS Quarterly, vol. 23: 67-93. Koorn, R. F. en Hermans, J. A. M. (2004). Identity Management: hoe (on)toereikend is het nu
en hoe kan het beter?. Compact, vol. 31, nr. 2 (2004): 27-34. KPMG (2002). Global Information Security Survey 2002, Maart 2002.
KPMG (2003). Executive Summary Identity Management Survey 2003, november 2003 . KPMG IT Advisory (2006). Onderzoek informatiebeveiliging: zes belangrijke signalen uit de
praktijk.
Lee, A. S. en Baskerville R. L. (2003). Generalizing Generalizability in Information Systems Research. Information Systems Research, vol. 14: 221-243.
Li, C., Peters, G. F., Richardson, V. J. en Weidenmier Watson, M. (2012). The Consequences of Information Technology Control Weaknesses on Management Information
Systems: The Case of Sarbanes-Oxley Internal Control Reports. MIS Quarterly, vol. 36: 179-204.
Mancham, P. J., Ringia, M.A. en Rutkens, E.P. (2007). Excuse me, do you speak ITGC?. Compact, vol. 34, nr. 1 (2007): 43-49.
Merchant, K. A. en van der Stede, W. A. (2007). Management control systems; performance measurement, evaluation and incentives, 2nd Edition, Pearson Education, Harlow. Modell, S. (2005). Triangulation between case studies and survey methods in management
accounting research: an assessment of validity implications. Management Accounting Research, vol. 16: 231-254.
Moody, D. en Walsh, P. (1999). Measuring The Value Of Information: An Asset Valuation Approach. In Proceedings of ECIS '1999, pp. 496-512.
International. New-Jersey.
Simons, R. (1990). The role of management control systems in creating competitive advantage: New perspectives. Accounting, Organizations and Society, vol. 15: 127- 142.
Simons, R. (1995). Control in an age of empowerment. Harvard Business Review, Vol. 73: 80-88
Sinclair, S., Smith, S. W., Trudeau, S., Johnson, M.E. en Portera, A. (2008). Information Risk in Financial Institutions: Field Study and Research Roadmap, Springer Lecture Notes in Business Information Processing Series, vol. 4: 165-180.
Siponen M. T., and Oinas-Kukkonen, H. 2007. “A Review of Information Security Issues and Respective Research Contributions,” ACM SIGMIS Database, vol. 38: 60-80.
Starreveld R.W., O.C. van Leeuwen en H. van Nimwegen (2002), Bestuurlijke
Informatieverzorging. Deel 1 Algemene grondslagen, 5e druk, Groningen/Houten. Sundaramurthy, C. en Lewis, M. (2003). Control and Collaboration; Paradoxes and
Governance, Academy of management Journal, vol. 28: 397-415. Ter Hart, J. (2011). Access Governance: een einde aan de worsteling rondom
autorisatiemanagement?. Compact, vol. 38, nr. 2 (2011): 22-27.
Vaassen, E. H. J. (2009). IT-Control: informatie- en communicatiethechnologie als object van Beheersing. nr. 89 uit de reeks Controlling en auditing in de praktijk, Kluwer B.V. Deventer.
Van Gils, H. G. Th. (2007). Relatie IT application en IT general controls nog eens onder de loep. Compact, vol. 34, nr. 3 (2007): 19-26.
Von Solms, B. (2001). Corporate Governance and Information Security. Computer & Security, vol. 20: 215-218.
Walsham, G. (1995). Interpretive case studies in IS research: nature and method. European Journal of Information Systems , vol. 4: 74–81.
Ward, P. en Smith, C. L. (2002). The Development of Access Control Policies for Information Technology Systems. Computers & Security, vol. 21: 356-371.
Watts, R. L. en Zimmerman, J. L. (1978). Towards a Positive Theory of the Determination of Accounting Standards. The Accounting Review, vol. 53: 112-134.
Wilikens, M., Feriti, S., Sanna, A. en Masera, M. (2002). A context-related authorization and access control method based on RBAC: A case study from the health care domain, SACMAT '02 Proceedings of the seventh ACM symposium on Access control models and technologies, 3-4 Juni 2002, Monterrey, California, pp. 117-124.
Yin, R. K. (2003). Case Study Research, Design and Methods. 3rd edition, Sage Publications, Thousand Oaks.
Zhao, X en Johnson, M. E. (2010). Access Governance: Flexibility with Escalation and Audit. System Sciences (HICSS), 2010 43rd Hawaii International Conference on System Sciences, vol. 10: 1–13.
Bijlagen
Inhoudsopgave bijlagen
Bijlage 1 Vragenlijst interviews (afgenomen interview) ... 42 Bijlage 2 Uitwerking interview met geïnterviewde nr. 1 ... 44 Bijlage 3 Uitwerking interview met geïnterviewde nr. 2 ... 49 Bijlage 4 Uitwerking interview met geïnterviewde nr. 3 ... 55 Bijlage 5 Uitwerking interview met geïnterviewde nr. 4 ... 61 Bijlage 6 Uitwerking interview met geïnterviewde nr. 5 ... 68 Bijlage 7 Uitwerking interview met geïnterviewde nr. 6 ... 74
Bijlage 1 Vragenlijst interviews (afgenomen interview)
Naam geïnterviewde: Functie geïnterviewde:
Korte inleiding voor het interview
Ik zal dit interview vanuit een trechtervorm benaderen. Dit wil zeggen dat ik algemeen c.q. breed begin van waaruit ik steeds dieper op het onderwerp in ga. De structuur van het interview is gebaseerd op de in mijn scriptie gehanteerde deelvragen en (de uitkomsten van) het opgestelde literatuuronderzoek.
Onderdeel 1: Definitie autorisatiebeheer Intermezzo 1
In mijn onderzoek heb ik het begrip logische toegangsbeveiliging gelijkgesteld aan het begrip autorisatiebeheer. Gemakshalve zal ik het laatstgenoemde begrip ook gebruiken in dit interview.
1. Wat vindt u er van dat ik deze begrippen aan elkaar gelijk stel? Onderdeel 2: Interne beheersing van toepassing op autorisatiebeheer
2. Welke (theoretische) methoden kunnen volgens u gebruikt worden voor de interne beheersing van autorisatiebeheer?
3. Hoe denkt u dat de door u genoemde (theoretische) methoden een bijdrage kunnen leveren aan de interne beheersing van autorisatiebeheer?
Intermezzo 2
Ik heb zelf gekeken naar verschillende stromingen binnen de literatuur welke elementen bevatten welke gebruikt kunnen worden voor de interne beheersing van autorisatiebeheer. De stromingen welke ik heb bekeken zijn IT-Governance, invloeden uit de Management accounting/ Management control (MA/MC) literatuur, Identity en Access Management (IAM), Access Governance en IT-control.
4. Heeft u eerder van de door mij onderzochte stromingen gehoord? Zo ja, heeft u hier ervaring mee in de praktijk?
5. Welke bijdrage kunnen, volgens u, (onderdelen uit) de hierboven genoemde stromingen aan de interne beheersing van autorisatiebeheer leveren?
Onderdeel 3: De juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer
Intermezzo 3
Interne beheersing kan benaderd worden vanuit twee (uiterste) filosofieën, command and control en sense and respond. Deze filosofieën van control kunnen ook benaderd worden vanuit het oogpunt van de agency en de stewardship theorie. Ze worden dan respectievelijk control en collaboration genoemd. Bij command en control c.q. control wordt de interne beheersing binnen een organisatie vanuit een top-down benadering door het management vastgelegd, medewerkers hebben hierdoor geen tot zeer weinig invloed over de uitvoering van hun werk en zijn gebonden aan de “harde” formele regels welke het management opstelt. Met sense and respond c.q. collaboration wordt veelal een meer adaptieve organisatorische kijk op
Interview vragen
interne beheersing bedoeld, waar werknemers in onderling overleg met het management meer invloed uit kunnen oefenen over de uitvoering van hun werk en de regels waar ze aan gebonden zijn. Interne beheersing binnen deze filosofie is grotendeels gebaseerd op onderling vertrouwen tussen het management en de werknemers in plaats van het stellen van “harde” regels door het management.
Interne beheersing kan bereikt worden doormiddel van een keuze voor één van de twee (uiterste) vormen van control. Uit de literatuur blijkt dat dit ook het geval is voor de interne beheersing van autorisatiebeheer. Hier heten de methoden “rule of least privilige” en “overentitlement”. Wetenschappelijke auteurs concluderen dat er een balans tussen beide benaderingen van control gevonden moet worden.
6. Hoe kijkt u tegen deze benaderingen van interne beheersing aan, bent u het er mee eens dat er een balans tussen control en collaboration gevonden moet worden?
7. Wat is volgens u de juiste balans tussen control en collaboration met betrekking tot de interne beheersing voor autorisatiebeheer?
8. Kan de juiste balans tussen control en collaboration bijdragen aan de interne beheersing van autorisatiebeheer?
9. Wat vindt u er van om de juiste balans tussen control en collaboration nader te specificeren in termen van een effectievere of efficiëntere interne beheersing?
Intermezzo 5
Met betrekking tot de juiste balans tussen control en collaboration voor autorisatiebeheer komt uit het literatuuronderzoek naar voren dat het ideale control scenario is dat de mate van beheersing binnen autorisatiebeheer toe zou moeten nemen met de mate van bedrijfsgevoelige informatie welke een applicatie bevat. Dit houdt in dat interne beheersing binnen autorisatiebeheer met betrekking tot bedrijfskritische applicaties en cruciale organisatiebrede systemen strikt zou moeten zijn maar dat de interne beheersing voor niet-bedrijfskritische applicaties en minder cruciale systemen soepeler zou moeten zijn.
10. Wat is uw mening over deze redenering? Heeft u mogelijk nog opmerkingen/aanvullingen?
Onderdeel 4: Conceptueel model
11. Wat is uw mening over het door mij opgestelde theoretisch raamwerk? (Hier laat ik het door mij opgestelde theoretisch raamwerk zien en licht dit, waar nodig, toe. Het theoretisch raamwerk is met opzet niet bijgevoegd als bijlage bij dit interview).
Onderdeel 5: Toekomstige ontwikkelingen interne beheersing autorisatiebeheer
12. Bent u van mening dat er op dit moment voldoende aandacht wordt besteed aan de interne beheersing van autorisatiebeheer en eventueel nieuwe mogelijkheden daarvoor? Zo nee/ja, waarom?
13. Is volgens u een functionaris (zoals een CISO, CIO of dergelijke) welke een leidende rol vervult ten opzichte van autorisatiebeheer en toeziet op de beheersing van het autorisatiebeheer proces genoeg om dit proces volledig “in control” te hebben/krijgen? 14. Op welke manier denkt u dat autorisatiebeheer (en de interne beheersing daarvan) zich
Bijlage 2 Uitwerking interview met geïnterviewde nr. 1
Naam geïnterviewde: Geïnterviewde nr. 1 (G1) Functie geïnterviewde:
Vooraf het stellen van de interview vragen
G1: Als operational risk manager heb ik te maken met autorisatiebeheer vanuit het oogpunt van risicomanagement. Ik vind de vraag over de juiste keuze voor control of collaboration een goede. Moet je alles dicht timmeren op basis van need to know of trek je het wat breder omdat je een aantal ontwikkelingen niet tegen kunt houden. Tevens, als je mensen vrijheid geeft en je hebt een open bedrijfscultuur zou dat bij kunnen dragen aan het proces dat de som meer dan het geheel der delen is. Toen bedacht ik me dat je ook te maken hebt met een aantal bedrijfskritische applicaties. Daarvan dacht ik, natuurlijk is het goed om mensen vertrouwen te geven (dat ze hun werk naar eer en geweten doen) en er zit ook een aspect aan dat je mensen tegen zichzelf beschermt maar ook tegen schijn. Zo kom je als medewerker niet in een omgekeerde bewijslast situatie terecht. Als ik je goed begrijp moet je wel bepaalde kaders stellen, maar moet je dit niet met regels beperken. De balans tussen control en collaboration is dus niet zwart wit maar je zou dat in een schaal (van hoog naar laag of vice versa) kunnen zien. Toch moet je goed nadenken over wat je er uiteindelijk mee op schiet, wat je er mee wilt bereiken en hoe het concreet uitgevoerd kan worden. Een ander gezichtspunt, keep it simple. Maak het jezelf niet te moeilijk.
Korte inleiding voor het interview
Ik zal dit interview vanuit een trechtervorm benaderen. Dit wil zeggen dat ik algemeen c.q. breed begin van waaruit ik steeds dieper op het onderwerp in ga. De structuur van het interview is gebaseerd op de in mijn scriptie gehanteerde deelvragen en (de uitkomsten van) het opgestelde literatuuronderzoek.
Onderdeel 1: Definitie autorisatiebeheer Intermezzo 1
In mijn onderzoek heb ik het begrip logische toegangsbeveiliging gelijkgesteld aan het begrip autorisatiebeheer. Gemakshalve zal ik het laatstgenoemde begrip ook gebruiken in dit interview.
1. Wat vindt u er van dat ik deze begrippen aan elkaar gelijk stel?
G1: Goed onderscheid, voor mij is het handig om dit zo te doen. Maar daar moet ik wel bij zeggen dat autorisatiebeheer veel breder is dan alleen te bepalen welke medewerker toegang tot welke applicatie heeft. Het heeft ook te maken met je bedrijfscultuur en hoe je als bedrijf hier ten opzichte van je medewerkers mee om wilt gaan. Er zit een heel duidelijk bedrijfscultureel aspect aan. Je doet een beroep op het verantwoordelijkheidsgevoel van mensen
Onderdeel 2: Interne beheersing van toepassing op autorisatiebeheer
2. Welke (theoretische) methoden kunnen volgens u gebruikt worden voor de interne beheersing van autorisatiebeheer?
G1: Het is nu hoofdzakelijk RBAC wat in schwung is. Bij Friesland Bank is dat een lastige, we hebben wel RBAC maar dat is op een hoog niveau. En het zegt nog niet zoveel
Interview vragen
over bij welk schermpje/welke permissie een werknemer kan komen en wat hij daar mee kan. Je kunt uit de autorisatiematrices niet halen wat voor functiescheiding ingebakken zit in de applicatie zelf (application controls). Dus vanuit het perspectief van operationeel risicomanagement vind ik de huidige werkwijze niet transparant genoeg. Het is daardoor niet duidelijk waar een werknemer tot op detail niveau wel of niet bij kan en welke rechten hij binnen een applicatie heeft. Zodoende ben ik van mening dat de monitoring op functiescheiding binnen autorisatiebeheer nog niet helemaal goed op orde is. Naar mijn mening zijn de systemen wel redelijk flexibel. Hoewel ik het idee heb dat men bij het toekennen van rechten juist hoofdzakelijk aan het aspect flexibiliteit gedacht heeft, kan ik dit er niet aan af zien. In de autorisatiematrices kunnen overal kruisjes staan. Het is niet transparant, het kan dus op applicatieniveau heel goed geregeld zijn maar ik krijg daar niet genoeg inzicht in.
3. Hoe denkt u dat de door u genoemde (theoretische) methoden een bijdrage kunnen leveren aan de interne beheersing van autorisatiebeheer?
G1: Bij mijn vorige werkgever kon je op medewerkerniveau zien wie toegang had tot een applicatie maar ook welke permissies men had. Je kon precies zien welke rollen en welke combinaties hierin waren toegestaan. Noodgedwongen konden de regels van functiescheiding worden overtreden, maar wanneer dit gebeurde werd dit heel duidelijk aangegeven in de autorisatiematrix. Functiescheiding bestond in dit systeem zowel op applicatieniveau als binnen een applicatie (permissies) maar het systeem keek ook applicatie overstijgend naar de combinatie van applicaties.
Intermezzo 2
Ik heb zelf gekeken naar verschillende stromingen binnen de literatuur welke elementen bevatten welke gebruikt kunnen worden voor de interne beheersing van autorisatiebeheer. De stromingen welke ik heb bekeken zijn IT-Governance, IT-control, Identity en Access Management (IG1), Access Governance en invloeden uit de Management accounting/ Management control (MA/MC) literatuur.
4. Heeft u eerder van de door mij onderzochte stromingen gehoord? Zo ja, heeft u hier ervaring mee in de praktijk?
G1: Ik heb er natuurlijk wel over gelezen maar met de hierboven genoemde stromingen heb ik geen ervaring in de praktijk. Ik ben dan ook geen CISO of dergelijk. Dus ik kan hier, vanuit mijn functie, niet zoveel over zeggen.
5. Welke bijdrage kunnen (onderdelen uit) de hierboven genoemde stromingen aan de interne beheersing van autorisatiebeheer volgens u leveren?
N.V.T. (zie vorige vraag).
AK: Welke van de door mij genoemde stromingen worden eigenlijk binnen Friesland Bank toegepast?
G1: Ik denk dat alle door jouw genoemde stromingen in verschillende mate aanwezig zijn binnen Friesland Bank.
Onderdeel 3: De juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer
Intermezzo 3
Interne beheersing kan benaderd worden vanuit twee (uiterste) filosofieën, command and control en sense and respond. Command and control wordt in de literatuur ook wel aangeduid als control en sense and respond wordt wel aangeduid als collaboration. Bij command en control wordt de interne beheersing binnen een organisatie vanuit een top-down benadering