BEHEERSMAATREGELEN RONDOM HET PROCES VAN BIG DATA
Big data zal steeds meer toepassingen vinden in bedrijfsprocessen en ondersteunende processen. Het succes van een organisatie zal hierbij afhangen van de mate, snelheid en kwaliteit waarmee big data wordt toegepast. De IT auditor kan hier een goede bijdrage leveren door de organisatie tijdig te wijzen op de kansen of door aan te geven hoe toepassing van big data beheersbaar wordt. De IT auditor zal zich hierbij moeten verdiepen in de risico’s en de beheersing hiervan. Belangrijk is dat meerdere audit disciplines bij beheersingsvraagstukken van big data worden betrokken. Hierdoor worden deze vraagstukken vanuit verschillende invalshoeken bekeken. Wat is de rol zijn van een IT auditor (paragraaf 7.1)? Wat zijn de assurance afwegingen voor big data processen (paragraaf 7.2)? Op welke plekken in het framework zou de IT auditor waarschijnlijk de meeste toegevoegde waarde leveren, gezien zijn expertise (paragraaf 7.3)?7.1 Rol van de (IT) auditor
De informatietechnologie zal steeds meer big data toepassingen vinden in zowel de primaire bedrijfsprocessen als de ondersteunende processen. Het succes van een bank zal steeds meer afhankelijk worden van de snelheid en de kwaliteit waarmee big data zal worden toegepast. IT auditing is het beoordelen van één of meer kwaliteitsaspecten of beheersingsmaatregelen van één of meerdere onderdelen van de toegepaste dan wel toe te passen informatie- en communicatietechnologie (ICT)53. IT-auditing is een specialisme binnen het auditing-vakgebied. Binnen IT-auditing bestaan de volgende objecten van onderzoek:
• technische infrastructuur (technical audit); • operationeel informatiesysteem (system audit); • procesinrichting (bijvoorbeeld ITIL-audits);
• beheersingssystemen in het algemeen, waarbij het IT-auditrapport is bedoeld ten behoeve van derden, vaak Third Party Mededelingen genoemd (TPM-audits);
• softwarepakket, beveiligingssysteem of webomgeving (certificeringsaudit); • plaats van delict (fraude- en forensische onderzoeken).
Op basis van hoofdstuk 2 zijn bij een big data proces verschillende stappen te onderkennen. De auditor en met name de IT-auditor kan op basis van zijn opleiding en ervaring een oordeel geven over het resultaat van iedere stap, maar ook over het toetsen van de kwaliteit van het proces zelf; hij kan hierbij aangeven of er sprake is van een goede borging en inbedding van het big data proces binnen de organisatie. Andere aandachtspunten die samenhangen met big data zijn de privacy problematiek en de aansprakelijkheid.54
7.2 Assurance overwegingen voor big data processen
Volgens het ISACA White Paper van augustus 2013 zijn de “main drivers”:
• Geïnteresseerde partijen voorzien van onderbouwde opinies over governance en management van enterprise IT volgens assurance doelstellingen;
53
NOREA studierapport 3, 2002 54
• Assurance doelstellingen definiëren in lijn met doelstellingen van de onderneming waardoor de waarde van assurance initiatieven wordt gemaximaliseerd;
• Assurance verlenen aan toezichthouders of andere contractuele stakeholders met betrekking tot IT afspraken.
Assurance professionals zoals IT auditors zouden betrokken moeten zijn bij de big data initiatieven van de bank. Zij zouden een goed begrip moeten hebben van de business alsmede kennis van big data applicaties/tools zoals Hadoop e.d. Tenslotte moeten deze auditors de capaciteiten hebben om de resultaten van big data processen te interpreteren en te verklaren aan stakeholders. IT auditors moeten hun capaciteiten met betrekking tot big data blijven ontwikkelen om kennis te borgen binnen het audit team en om het management te ondersteunen. IT auditors zouden assurance kunnen verlenen over: (1) de mate waarin big data privacy en security solutions zijn geïmplementeerd en (2) de kwaliteit van big data privacy governance inclusief maatregelen zoals data anonimisatie/sanitatie/de-identificatie en Policies, processen en procedures.
7.3 Praktijktoetsing van het framework en rol van de IT auditor
De praktijktoetsing heeft twee doelen: (1) vaststelling of door een IT auditor (RE) beheersmaatregelen worden genoemd die nog niet zijn opgenomen in het framework (volledigheidstoets)55 en (2) vaststelling op welke plaatsen in het framework de IT auditor waarschijnlijk de meeste toegevoegde waarde kan leveren56.
Onderzoeksopzet 7.3.1
In de praktijktoetsing zijn 26 GTAG voorbeeldmaatregelen aan vier IT auditors voorgelegd57. Deze IT auditors zijn werkzaam voor vier Nederlandse grootbanken: ABN AMRO, ING, Rabobank en SNS. Aan hen werd gevraagd om maximaal zes interne beheersmaatregelen uit 26 GTAG voorbeeldmaatregelen te selecteren voor het big data proces. Het was ook toegestaan om andere maatregelen te noemen. Het aantal is beperkt tot zes zodat keuzes zoveel mogelijk op specifieke eigenschappen van big data worden afgestemd. Daarnaast werd aan de IT auditor gevraagd om de betrokkenheid van de IT auditor bij de maatregelen in te schatten met een cijfer.
Uitkomsten van het onderzoek 7.3.2
In annex 7 zijn de gedetailleerde uitkomsten opgenomen van deze praktijktoetsing. Een samenvatting van de uitkomsten is in de onderstaande tabel opgenomen. De maatregelen die niet zijn geselecteerd zijn voor het overzicht weggelaten.
Betrokkenheid
IT auditor: 1=geen, 2=beperkt, 3=gem., 4=bovengemiddeld, 5=expert). Respondent:
Maatregelen GTAG (verwijzing framework annex 1)
A. B. C. D.
1. General security, privacy, social responsibility policy (I.1, I.2) 3 3 4 3
2. Data system ownership (I.1) 4 2 3
8. Data structures and documentation (II.1, III.2) 5
9. Segregation of duties (II.2) 5 4
15. Location selection\jurisdictions (away from environmental hazards) (IV.6) 3
55
Zie figuur 1 op pagina 13. 56
zie sub-onderzoeksvraag 6c, tabel 1, pagina 11 57
Betrokkenheid
IT auditor: 1=geen, 2=beperkt, 3=gem., 4=bovengemiddeld, 5=expert). Respondent:
Maatregelen GTAG (verwijzing framework annex 1)
A. B. C. D.
16. Access rights allocated and controlled according to policy, division of duties (IV.2)
5 5 4 4
17. Intrusion and vulnerability assessment (IV.1) 5
20. User requirements (IV.7) 4
21. Formal process for systems development (agility, non-functional requirements) (IV.7)
5 4
24. Input, processing, output controls. (IV.3) 4
25. Integrity controls (veracity checks) (IV.3) 3 4 4
26. Management trails (track and trace) (IV.3) 4
Tabel 12 – Uitkomst praktijktoetsing IT auditors
Gevolgen voor het framework
Alle 12 genoemde maatregelen zijn opgenomen in het framework. In het tabel zijn de verwijzingen naar het framework opgenomen. General security policy en access rights zijn door alle IT auditors gekozen als maatregelen voor big data processen. Door drie van de vier IT auditors zijn data system ownership en integrity controls genoemd als maatregelen.
Betrokkenheid van de IT auditor bij het framework
Op welke plaatsen in het framework kan de IT auditor waarschijnlijk de meeste toegevoegde waarde leveren? De term “waarschijnlijk” betekent vermoedelijk58. Met andere woorden, er is een aannemelijke kans. Gezien de omschrijving is er voor gekozen dat een maatregel door minimaal twee van de vier IT- auditors moet zijn geselecteerd. De “meeste toegevoegde waarde” is aan de hand van het ratingschema in de bovenstaande tabel vertaald met betrokkenheidsniveau 4 (bovengemiddeld) of 5 (expert). Indien een IT-auditor een betrokkenheidsniveau tussen bijvoorbeeld 3 en 4 opgaf, is uitgegaan van het hoogst opgegeven betrokkenheidsniveau.
Maatregelen waarbij minimaal 2 IT auditors een betrokkenheidsniveau 4 of hoger hebben opgegeven zijn: 09. Segregation of duties (functiescheiding), 16. Access rights allocated and controlled according to policy, division of duties (toegangsrechten), 21. Formal process for system development (formele process bij systeemontwikkeling) en 25. Integrity Controls (integriteitscontroles).
Voor functiescheiding, toegangsrechten en integriteitscontroles is door respondenten vaak voor bovengemiddelde IT audit inzet gekozen omdat het vaak gaat om verwevenheid in IT systemen waarvoor specialistische kennis nodig is voor een juiste beoordeling. Functiescheiding en toegangsrechten moeten adequaat zijn ingericht doordat vaak sprake is van veel en mogelijk gevoelige data, aldus de betrokken respondenten. De keuze voor functiescheiding en toegangsrechten is met name ingegeven door het risico van inbreuk op de privacy, dat in hoofdstuk 4 als meest genoemd risico door respondenten werd vermeld. De motivatie voor de keuze voor integriteitscontroles is dat de mate van waarheidsgetrouwheid van data vastgesteld dient te worden voor verder gebruik zodat het risico van onjuiste besluitvorming wordt verkleind.
Met systeem ontwikkeling heeft een IT-auditor vaak de kennis en ervaring opgedaan om dit proces adequaat te kunnen beoordelen. Respondent A gaf aan dat normaal gesproken de ontwikkeling van een IT solution uiteindelijk vanuit een acceptance omgeving migreert naar een productie omgeving,
58
waarbij de test naar een voorspelbaar resultaat moet leiden. Dit is echter bij big data vaak niet het geval. Processen moeten hierdoor formeel worden ondersteund voor toetsbaarheid. In dit kader is in hoofdstuk 4 ook vermeld dat bij het operationeel gebruik van big data het risico bestaat dat menselijke fouten worden gemaakt en/of dataprocessen onvoldoende zijn ingericht waardoor er een behoefte ontstaat voor toetsbaarheid in het proces.
7.4 Conclusie
Wat is de rol van een IT auditor? Wat is zijn rol bij big data gezien zijn expertise? IT auditing is het beoordelen van één of meer kwaliteitsaspecten of beheersingsmaatregelen van één of meerdere onderdelen van de toegepaste dan wel toe te passen informatie- en communicatietechnologie (ICT). Op basis van hoofdstuk 2 zijn bij een big data proces verschillende stappen te onderkennen. De auditor en met name de IT-auditor kan op basis van zijn opleiding en ervaring een oordeel geven over het resultaat van iedere stap maar ook over het toetsen van de kwaliteit van het proces zelf; hij kan hierbij aangeven of er sprake is van een goede borging en inbedding van het big data proces binnen de organisatie. Andere aandachtspunten die samenhangen met big data zijn de privacy problematiek en de aansprakelijkheid.
Wat zijn de assurance overwegingen voor big data? IT auditors zouden assurance kunnen verlenen over: (1) de mate waarin big data privacy en security solutions zijn geïmplementeerd en (2) de kwaliteit van big data privacy governance inclusief maatregelen zoals: Data anonimisatie/sanitatie/de-identificatie en Policies, processen en procedures.
Op welke plekken in het framework zou de IT auditor waarschijnlijk de meeste toegevoegde waarde leveren, gezien zijn expertise? Maatregelen waarbij minimaal 2 IT auditors een IT-auditor betrokkenheidsniveau van 4 (bovengemiddeld) of hoger hebben afgeven zijn: functiescheiding, toegangsrechten, formele proces bij systeemontwikkeling en integriteitscontroles.
Voor functiescheiding, toegangsrechten en integriteitscontroles is door respondenten vaak voor bovengemiddelde IT audit inzet gekozen omdat het vaak gaat om verwevenheid in IT systemen waarvoor specialistische kennis nodig is voor een juiste beoordeling. De keuze voor functiescheiding en toegangsrechten is met name ingegeven door het risico van inbreuk op de privacy.
De motivatie voor de keuze voor integriteitscontroles is dat de mate van waarheidsgetrouwheid van data vastgesteld dient te worden voor verder gebruik zodat het risico van onjuiste besluitvorming wordt verkleind.
Met systeem ontwikkeling heeft een IT-auditor vaak de kennis en ervaring opgedaan om dit proces adequaat te kunnen beoordelen. Bij het operationeel gebruik van big data bestaat het risico dat menselijke fouten worden gemaakt en/of dataprocessen onvoldoende zijn ingericht waardoor er een behoefte ontstaat voor toetsbaarheid (formalisatie) in het proces.