Noot bij de uitkomsten van de praktijktoetsing. De respondenten hebben op persoonlijke titel respons gegeven op de vragen hetgeen hieronder is uitgewerkt. Om de vertrouwelijkheid te borgen, zijn de verslagen geanonimiseerd. Alleen de examencommissie zijn de namen van de respondenten voorgelegd. Respondent A. S el ect ie m aa tr eg el
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert
Motivatie
1. General security, privacy, social
responsibility policy
Policies zijn vanwege de
maatschappelijke gevoeligheid van belang om aan te geven wat wel en niet kan. Betrokkenheid van de tweede lijn (compliance, legal) is van belang.
3. Hier is geen technische IT kennis
voor nodig
8. Data structures and documentation
Met name van belang voor data consistancy en big data veracity. Kloppen de aannames?
Architecture en data management controls zijn van belang om consistentie te waarborgen.
5. IT kennis t.a.v. gekozen architectuur
en data management controls van belang.
15. Location selection\jurisdictions
(away from environmental hazards)
Opslag van big data wordt mogelijk in de cloud gedaan. Om welke legal jurisdictie gaat het hierbij? Betrokkenheid van de tweede lijn compliance, legal, maar ook communications (hoe ga ik dit uitleggen) is van belang.
3. Het gaat hier m.n. om de legal
S el ect ie m aa tr eg el
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert
Motivatie
16. Access rights allocated and
controlled according to policy, division of duties
Gegevens van interne en externe bronnen worden gekoppeld. Dit heeft security impact. Servers worden mogelijk veel meer shared, hetgeen eisen stelt aan opslag en transport van gegevens (confidentiality).
5. IT security kennis over Identity
Access Management van belang.
21. Formal process for systems
development (agility, non- functional requirements)
Big data processen worden ontwikkeld in een proeftuin voor try out (trail en error proces). Normaal gesproken gaat de ontwikkeling van een IT solution via een acceptance omgeving naar een productie omgeving, waarbij de test naar een voorspelbaar resultaat moet leiden; dat is met big data niet het geval. Processen moeten formeel worden ondersteund voor toetsbaarheid. Bij wijzigingen dient een goede track en trace in het proces aanwezig zijn om de
scenarios/queries achteraf te kunnen toetsen. In het proces moet
multidisciplinaire ondersteuning zijn.
5. IT kennis en ervaring is nodig om de
inrichting van big data processen aan formele processen te toetsen.
25, Management trails (track and trace)
Met name controls m.b.t. veracity (waarheidsgetrouwheid) zijn van belang om de uitkomsten te kunnen toetsen.
Wellicht moet worden gedacht aan toetsing bij en test group waaraan je je resultaten toetst (plausibility check).
3 Hier is geen technische IT kennis
Respondent B. S el ect ie m aa tr eg el
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert
Motivatie
1. General security, privacy, social
responsibility policy
Policies zijn van belang voor het normenkader. Met de policies laat je ook aan de buitenwereld zien hoe je met big data omgaat.
3. Hier is geen technische IT kennis
voor nodig..
2. Data system ownership
Met name van belang voor data governance; waar liggen de
bevoegdheden t.a.v. (big)data? Data moeten van gecorreleerd en
ongestructureerd naar gestructureerd worden gemigreerd om uiteindelijk tot zinvolle info te komen. Wat wil het management uiteindelijk?
4. IT kennis t.a.v. gekozen architectuur
en data management controls van belang.
9. Segregation of duties
Het gaat om veel data; je moet hier als organisatie over nadenken, hoe je bepaalde data wilt beschermen voor ongeautoriseerde toegang door adequate SoD (functiescheiding).
5 Functiescheiding moet in de
systemen zijn doorgevoerd. Dit is bij voorbaat een terrein van de IT auditor. Indien het alleen om de procesmatige inrichting van de functiescheidingen zou gaan, kan een operational auditor deze beoordelen.
16. Access rights allocated and
controlled according to policy, division of duties
Het gaat hier om de daadwerkelijke technische toegangsbeveiliging naar data en systemen. Deze maatregelen hebben een relatie met maatregel 9.
5. Dit is bij een terrein van de IT
auditor temeer het met name gaat om de inrichting van de technische toegangsbeveiliging.
S el ect ie m aa tr eg el
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert Motivatie 20. User requirements
Het gaat primair om een experiment gedreven proces. Mag je bijvoorbeeld bepaalde data correleren? Maturity van het proces moet verder worden ontwikkeld; big data processen moeten eerst in een kleine lab omgeving worden ontwikkeld. User requirements vormen in dit verband de brug tussen business en IT. Hoe ga je database structuren inrichten? Hoe verhouden de data structuren zich tot elkaar.
4-5. De IT auditor is in staat om een de
requirements goed te analyseren.
25. Integrity controls (veracity checks)
Risico dat verkeerde conclusies uit big data worden getrokken. Je zult de uitkomsten methodologisch en statistisch moeten toetsen. Bij deze maatregel zit een component statistiek.
4-5 De IT auditor wordt geacht in staat
te zijn hoe data analyses te beoordelen.
Respondent C. S el ect ie m aa tr eg el
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert
Motivatie
1. General security, privacy, social
responsibility policy
Hoe ga je om met beveiligiing van data? Met de komst van de PSD II regelgeving wordt dit alleen maar belangrijker.
4 Met name voor de policies over
security zou een IT auditor betrokken moeten zijn, maar hij hoeft niet in de lead te zijn.
2. Data system ownership
De system owner hoeft niet dezelfde persoon te zijn als data owner. Wie is er überhaupt de eigenaar van de data? Is de klant dat? Wat is de
verantwoordelijkheid van de bank. Dit is een fundamentele vraag voor het vaststellen van verantwoordelijkheden.
2 Dit vraagstuk is meer voor de
business en niet zozeer een IT vraagstuk.
16. Access rights allocated and
controlled according to policy, division of duties
Wie kan bij de data en onder welke omstandigheden? Vaak wordt hierover onvoldoende nagedacht bij de
uiteindelijke uitrol.
4-5 Dit hangt af van de complexiteit van
het systeem, maar user rights is een key terrein van de IT auditor.
17. Intrusion and vulnerability
assessment
Big data heeft potentieel heel veel waarde maar is tegelijkertijd ook zeer gevoelig voor privacy schending zeker in een highly regulated omgeving zoals een bank. Toezichthouders hebben nu veel aandacht voor cybercrime. Je ontkomt er niet aan om intrusion beveiliging goed in te richten.
5 Toetsing van deze maatregelen
vergt expertise, wellicht van een ethical hacker.
21. Formal process for systems
development (agility, non-functional requirements)
Developers kunnen queries bouwen en software (helpen) ontwikkelen voor big data. Hierdoor kunnen zij bij gevoelige
4 Een IT auditor begrijpt een software
S el ect ie m aa tr eg el
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert
Motivatie
data komen. Dit betekent dat
development goed in control moet zijn. Door wie wordt dit proces bijvoorbeeld aangestuurd? Is dit een product owner? Uitkomst is veel minder voorspelbaar. Agile ontwikkelen neigt naar minder formalisatie en in combinatie met het exploratieve karakter van big data kan het risico’s voor de organisatie opleveren
(ongeautoriseerd onttrekken van data).
26. Management trails (track and trace)
Vaak wordt deze maatregel gezien als compensatie voor user access, maar vaak zijn deze maatregelen allebei niet in orde. Dit is echter een belangrijke detectieve maatregel.
4 Een IT auditor kan de alerts van
security monitoring beter doorgronde.
Respondent D. S elect ie m aat regel
Motivatie Rol IT auditor
1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert
Motivatie
1. General security, privacy, social
responsibility policy
Je mag een aantal policies verwachten t.a.v. big data. Op welke gebieden wil je deze data inzetten? Welke mate van betrouwbaarheid verwacht je? Met welke analyses wil je wat gaan doen? Hoe kun je steunen op externe data?
3 Hiervoor is meestal geen IT audit
kennis nodig om policies te
beoordelen. Een proces auditor met RO of RA achtergrond moet in staat zijn om policies te beoordelen.
2. Data system ownership
De owner van data dient te bepalen op welke wijze zijn data wordt gebruikt. Kunnen wij bijvoorbeeld bepaalde data aan elkaar koppelen?
3 Hierbij gaat het om de bepaling wie
de eigenaar van de data is. Hier is ook geen IT audit kennis voor nodig.
9. Segregation of duties
Toegang voor deze data dient op een need to know basis te worden
toegekend waarbij data classificatie van belang is. Hoe ga je met bevoegdheden om? Wie mag wat?
3-4 Hier hangt het af van de situatie.
Een operational auditor kan het proces beoordelen inclusief de nodige functiescheidingen. Gaat het om de systeemtechnische implementatie van de
functiescheidingen, dan is een IT auditor beter in staat om dit te beoordelen.
16. Access rights allocated and
controlled according to policy, division of duties
Deze maatregel is min of meer gekoppeld aan maatregel 9, maar dan meer op het niveau van het systeem. Belangrijk is in dit kader dat de toegang op de omgeving van de data lab goed is beveiligd. Feitelijk moet deze omgeving worden gesepareerd van de andere omgevingen.
4 Hier praat je in het kader van big
data toch over de verwevenheid in de IT systemen. Hier is de kennis van een IT auditor nodig om de juiste implementatie in de systemen te beoordelen.
24. Input, processing, output controls
Deze keuze heeft te maken met de kwaliteitseisen van (big) data en de processing. Bepaalde (CoBIT5) controls zou je kunnen inbouwen.
4 Hier praat je in het kader van big
data toch over de verwevenheid in de IT systemen. Hier is de kennis van een IT auditor nodig om de juiste implementatie in de systemen te beoordelen.
25. Integrity controls (veracity checks)
Zie ook maatregel 24. Hoe heb je het proces ingericht inclusief de application controls, monitoring controls e.d. om de integriteit dan wel
waarheidsgetrouwheid van data te waarborgen.
4 Hier praat je in het kader van big
data toch over de verwevenheid in de IT systemen. Hier is de kennis van een IT auditor nodig om de juiste implementatie in de systemen te beoordelen.