Nr. Onderdeel/
GTAG-Proces
Risico’s Kwaliteitseisen Interne beheersmaatregelen
I.1 (Data) governance Besluitvorming Besturen - Onvoldoende benutting big data - Geen/slechte koppeling
met strategische doelen
Betrouwbaarheid: controleerbaarheid, transparantie.
- Transparante big data strategie (doelstellingen,
behoeften stakeholders, reikwijdte big data, uitgangspunten, beoogde voordelen etc.).
- Principles, policies en frameworks om de big data
strategie voldoende te ondersteunen.
- Rollen en verantwoordelijkheden t.a.v. (big) data (data governance) zijn transparant belegd in de organisatie. - IT infrastructuur en applicaties relevant voor big data
hebben systeem- en proceseigenaren.
I.2 (Data)
governance Besluitvorming Besturen
Onvoldoende kwaliteit t.a.v. vertrouwelijke data (Privacy schending)
Betrouwbaarheid: controleerbaarheid, transparantie.
Duidelijke gedragscodes waarin ethische en
integriteitsnormen zijn opgenomen onder welke omstandigheden big data mag worden gebruik met minimaal de volgende normen t.a.v. het gebruik:
- Big data verenigbaar met het doel waarvoor de gegevens zijn verkregen;
- Normen t.a.v. (persoons) gegevens, die worden
gecombineerd met andere gegevens (omschrijving omstandigheden toelaatbaarheid).
- Standaarden m.b.t. groeps- en persoonlijke profielen
(voorkoming pos./neg. Discriminatie)
- Managers en medewerkers die betrokken zijn met big
data worden adequaat voorgelicht en getraind om conform wet- en regelgeving en interne richtlijnen te handelen.
- Vastlegging van kwaliteitsnormen voor data.
Omschrijving van key data en maatregelen om deze data integer/waarheidsgetrouw te houden.
Nr. Onderdeel/ GTAG-Proces
Risico’s Kwaliteitseisen Interne beheersmaatregelen
I.3 Data governance (GTAG: Governance: Policies) - Onvoldoende benutting big data - Onvoldoende beheersing kwaliteit Betrouwbaarheid: controleerbaarheid, transparantie. Besluitvorming vindt weloverwogen plaats; vanuit relevante disciplines.
- Er is een transparante besluitvormingsstructuur (comité, governance charter) waar big data issues kunnen worden besproken en besluiten genomen kunnen worden indien nodig. Aandachtspunten hierbij zijn:
o Kennis: In dit comité zijn leden van verschillende kennisgebieden vertegenwoordigd om besluitvorming op holistisch wijze te nemen (legal, compliance, Finance, Sustainability, Public Relation and Communication etc.);
o Mandaat: Het comité voldoende is gemandateerd om
besluiten met betrekking tot big data te nemen, met name m.b.t. het in het gebruik nemen, c.q. benutten van big data queries en data sets.
- Lerend vermogen/consistentie: Besluitvorming wordt
gedocumenteerd voor het lerend vermogen om het big data proces te continue te verbeteren.
II.1 Management
(besluitvorming) Management: standards
Verwarring door mogelijk conflicterende informatie/ onzekerheid
waarheidsgehalte van data Vertraging besluitvorming
Betrouwbaarheid: Doel van het gebruik van data en de bronnen moeten helder zijn Beheersbaarheid Controleerbaarheid Data structures/documentation
- Data bronnen/velden zijn geïdentificeerd, omschreven en onderhouden volgens procedures die zijn afgestemd op de (intern) vereiste data kwaliteitseisen. Data owners zijn omschreven; audit trails zijn in de processen aanwezig om controleerbaarheid van de herkomst van data (authenciteit data)
- Data onderhoudsprocessen en data architectuur zijn
gedocumenteerd, periodiek gereviewed en goedgekeurd. - Maatregelen zijn getroffen i.o.m. de doorlooptijd van het
ontsluiten van data in relatie tot het doel waarvoor het wordt gebruikt en de geldigheid van data. Data wordt getest op waarheidsgetrouwheid door verschillende stakeholders.
Nr. Onderdeel/ GTAG-Proces
Risico’s Kwaliteitseisen Interne beheersmaatregelen
II.2 Management
Management: Organisatie en Management
Verwarring door mogelijk conflicterende informatie/onzekerheid waarheidsgetrouwheid Betrouwbaarheid: controleerbaarheid, transparantie.
Functiescheiding. Er is sprake van een aantal primaire functiescheidingen: met name tussen:
- het (big) data management proces (business intelligence) en de business (Commercial) m.n. om (schijn van) misbruik, verkeerd gebruik van big data te voorkomen; - onderhoud van static data (input en autorisatie)
Overige functiescheidingen zijn gebaseerd op de interne governance.
II.3 Management
Management: Organisatie en Management
De kosten die gemoeid zijn bij het beheren en monitoren van de kwaliteit,
betrouwbaarheid en integriteit van big data kunnen behoorlijk oplopen.
Betrouwbaarheid: beheersbaarheid, waarborgen dat big data proces waarde behoudt.
Financial controls: Er zijn management informatie processen aanwezig om investeringen/kosten versus kwalitatieve en kwantitatieve voordelen van big data te meten, beoordelen te benchmarken.
Betrouwbaarheid: controleerbaarheid.
Controls t.a.v. investeringen in big data oplossingen. Een gedegen besluitvormingsproces waarin alternatieven worden
overwogen, afschrijvingen/recurring costs worden
meegewogen. III.1 Data
architectuur
Selectie relevante data (gebrek aan audit trails, beheersbaarheid)
Betrouwbaarheid Beheersbaarheid Controleerbaarheid
Proces/procedure voor het onderkennen en verzamelen van relevante data waarin duidelijke doelstellingen zijn omschreven. In dit proces is de gebruikte data getest op waarheidsgetrouwheid door verschillende gebruikers.
Proces/procedure m.b.t. verrijking en koppelen van gegevens met minimaal de volgende voorwaarden: (1) klanten moeten hierover worden geïnformeerd en (2) herkomst van de gegevens moet worden vastgelegd. Informatie output dient doelstelling van het verrijkingsproces.
Toepassing van cloud computing: het niet voldoen aan regelgeving en het gebrek aan exclusiviteit. Virtualisatie/cloud: vertraging van aanlevering data
Betrouwbaarheid Beheersbaarheid Controleerbaarheid (transparantie) Exclusiviteit
SLA management: SLA’s zijn gedefinieerd en afgestemd op requirements waaronder de DNB cloud requirements alsmede de interne betrouwbaarheidseisen (waaronder toegangsbeveiliging). Tevens is er is er een SLA reporting en assurance process (right to audit, assurance rapport). Eventueel gebruikmaken van dedicated private cloud.
III.2 Data architectuur
Gebrek aan interne capabilities
Betrouwbaarheid Beheersbaarheid.
Kennis en vaardigheden van direct leidinggevenden en medewerkers (IT/non-IT) zijn voldoende om data te ontsluiten
Nr. Onderdeel/ GTAG-Proces
Risico’s Kwaliteitseisen Interne beheersmaatregelen
IV.1 Operationeel gebruik (verwerking) System Software Controls/ Application Based controls Verzamelen van gegevens voor big data Verwerken en analyseren van (te) veel
(on)gestructureerde data; Fouten in data door menselijke fouten en/of onvoldoende inrichting van de data processen.
Betrouwbaarheid Integriteit.
Zie III.1.
Binnen de IT-architectuur (netwerken, applicaties en database management systemen (DBMS)). zijn firewalls, antivirus programma’s en IT-Security monitoring systemen om preventief en detectief IT security issues te voorkomen.
IV.2 Operationeel gebruik (Veiligheid) System Software Controls/ Application Based controls Operationele risico’s: Veiligheid Betrouwbaarheid Controleerbaarheid Exclusiviteit
Indentity & Access Management (IAM). Management control processen en procedures voor:
- Identificatie en authenticatie processen;
- Autorisatie van access rights: Wijzigingsbeheer
procedures bij toekennen, wijzigingen en intrekkingen van access rights;
- Uitgifte van user id’s;
- Periodieke review en bevestiging van access rights; - Uitgifte van high priviledged user accounts.
Application maintenance processes: zie change management (IV.7)
Nr. Onderdeel/ GTAG-Proces
Risico’s Kwaliteitseisen Interne beheersmaatregelen
IV.3 Operationeel gebruik Application based controls (input controls) Operationele risico’s: Compliance en reputatie Betrouwbaarheid Controleerbaarheid Integriteit
Dual (input) controls: tussen input en verificatie/autorisatie Input controls : ingevoerde data moet voldoen aan de data format requirements om consistentie te waarborgen.
Audit trails: maatregelen dat data herleidbaar is naar de bron met tijdstippen van onttrekking. Daarnaast worden query runs gelogd.
Input controls bij de verwerking van data transfer tussen databases en/of tussen databases en big data applicaties (controle totalen)
Plausibility controls: binnen het big data input proces zijn plausibility controls ingevoerd om de aannemelijkheid (waarheidsgetrouwheid van data) te borgen.
IV.4 Application based controls (verwerking controls)
Compliance en reputatie Betrouwbaarheid
Exclusiviteit.
Anonimiseren van datavelden is geborgd in het verwerkingsproces zodat data niet onnodig herleidbaar is tot specifieke personen.
IV.5 Application based controls (output controls)
Compliance en reputatie Betrouwbaarheid
Controleerbaarheid
Periodieke evaluatie door een procesonafhankelijke partij om vast te stellen dat: output van de big data processen conform eisen van business en duidelijk herleidbaar (zodat de herkomst/bronnen te toetsen zijn) zijn.
IV.6 Application based controls (Controls bij opslag) Operationele risico’s: Compliance breaches Betrouwbaarheid Beschikbaarheid Exclusiviteit
Opslag en retentie procedures en processen zijn aanwezig om beschikbaarheid en toegankelijkheid van data te borgen. Opslag buiten de bank (externe vendors, cloud, cross border), zouden aan interne exclusiviteitsstandaarden van de bank moeten voldoen.
Zie ook: toegangscontroles in voorgaande sectie. Continuïteit van de big data
processen wordt verstoord.
Continuïteit Er is een Business Continuity Plan; effectiviteit van dit plan wordt periodiek getest.
Nr. Onderdeel/ GTAG-Proces
Risico’s Kwaliteitseisen Interne beheersmaatregelen
Problem en Incident management procedures inclusief eventuele escalatielijnen zijn aanwezig.
Er is een log welke (bijv. door risk management en IT beheer) worden gereviewed op tijdigheid en follow-up van resolutie.
Continuïteit van de big data processen wordt verstoord.
Problem en Incident management procedures inclusief eventuele escalatielijnen zijn aanwezig.
Er is een log welke (bijv. door risk management en IT beheer) worden gereviewed op tijdigheid en follow-up van resolutie. IV.7 System Development controls (aangenomen wordt dat intelligence systemen (bijv. Hadoop) voor big data toepassingen worden gebruikt. Operationele risico’s: Fouten in data door menselijke fouten en/of onvoldoende inrichting van de data processen
Betrouwbaarheid Controleerbaarheid.
Application maintenance processen moeten een consistent proces (change management) volgen inclusief validation processes (regressie testen, user acceptance testing en formalisatie van de non-functional requirements).