Het big data framework zal worden opgebouwd vanuit het GTAG framework volgens de volgende stappen: (1) vaststellen van de indicatieve maatregelen volgens GTAG en (2) selectie van de indicatieve maatregelen. In het onderstaande figuur is het proces naar de relevante maatregelen kort geschetst.
Figuur 12 – Van risico’s en kwaliteitseisen naar maatregelen.
Vaststellen van de indicatieve beheersmaatregelen volgens GTAG 6.4.1
GTAG kent een hiërarchische opbouw die (redelijk) aansluit met de onderscheidende factoren van big data en de big data processen uit hoofdstuk 2.4, zo blijkt uit het onderstaande tabel.
Onderdeel GTAG Laag GTAG Onderscheidende factor (H.3) Proces (H.2.4)
Policies Governance Data governance Analyse informativebehoeften
Standards Management: besluitvorming Ontwerp
Organization and management Management Realisatie
Physical and environmental controls Evaluatie
Systems Software controls Tactical Operationeel gebruik Gebruik en beheer Systems Development Controls
Application-based Contros
Tabel 9 – Koppeling GTAG en onderscheidende factoren
In het onderstaande tabel zijn voorbeelden van maatregelen opgenomen die in GTAG zijn genoemd.
Onderdeel GTAG Maatregelen GTAG
Policies General security and privacy policy, data system ownership, personnel polies, business continuity planning.
Standards System development processes, systems software configuration, application controls, data structures and documentation.
Organization and management Segregation of duties, financial controls, change management. Physical and environmental
controls
Locked rooms, restricted access, fire detection and suppression equipment, location selection (away from environmental hazards).
Systems Software controls Access rights allocated and controlled according to policy, division of duties, intrusion and vulnerability assessment, intrusion testing performed, encryption services and change management processes.
Systems Development Controls
User requirements, formal process for systems development, testing, application maintenance.
Application-based Contros Input, processing, output controls. Integrity controls and management trails.
Tabel 10 – Lijst van voorbeeld maatregelen volgens GTAG Onderkende
specifieke risico's (H.4)
Kwaliiteitseisen
(H.5) Vaststellen GTAG indicatieve maatregelen (6.4.1), maatregelen (6.4.2) Selectie relevante
Framework (6.4.2)
Deze voorbeeldmaatregelen zijn gebruikt als uitgangspunten voor het opstellen van het control framework (zie paragraaf 6.4.2) en voor de praktijktoetsing (zie paragraaf 7.3).
Selectie van de indicatieve maatregelen 6.4.2
Per (GTAG) onderdeel, worden aan de hand van de risico’s (hoofdstuk 4), de kwaliteitseisen (hoofdstuk 5), de interne beheersmaatregelen bepaald. De keuze van deze interne beheersmaatregelen volgt uit: • Voorbeeldmaatregelen van GTAG (zie voorgaande paragraaf 6.4.2)
• Genoemde maatregelen uit de interviews52 ;
• Maatregelen uit de literatuur waaronder Starreveld c.s.
In de onderstaande tabel is een samenvatting opgenomen van het resultaat van de selectie van beheersmaatregelen opgenomen. Voor een volledig overzicht wordt verwezen naar Annex I.
Onderdeel Samenvatting risico’s Kwaliteitseisen Samenvatting
Interne beheersmaatregelen Data
governance
- Onvoldoende benutting big data
- Onvoldoende implementatie van
big data: geen/slechte koppeling met strategische doelen
- Onvoldoende beheersing
kwaliteit
- Onvoldoende kwaliteit t.a.v. vertrouwelijke data. Betrouwbaarheid: controleerbaarheid, (transparantie). a. Data onderhoudsprocessen en procedures inclusief kwaliteitseisen en duidelijk data ownership b. Duidelijke strategie c. Audit trails voor
controleerbaarheid en herkomst data.
Management: besluitvorming
- Ineffectieve besluitvorming door mogelijk conflicterende
informatie, onzekerheid over de mate van waarheidsgetrouwheid - Vertraging
besluitvormingsproces
- De kosten die gemoeid gaan bij het beheren en monitoren van de kwaliteit, betrouwbaarheid en integriteit van big data kunnen behoorlijk oplopen.
Betrouwbaarheid: controleerbaarheid, (transparantie, beheersbaarheid).
d. Data bronnen/velden zijn geïdentificeerd, omschreven en onderhouden volgens (intern) vereiste data kwaliteitseisen
e. Maatregelen i.o.m. het doel van gebruik en geldigheid data. Data worden beoordeeld op
waarheidsgetrouwheid f. Cost control proces.
52
Onderdeel Samenvatting risico’s Kwaliteitseisen Samenvatting
Interne beheersmaatregelen Data
architectuur
- Selectie relevante data (gebrek aan audit trails,
beheersbaarheid)
- Toepassing van cloud
computing: het niet voldoen aan regelgeving en het gebrek aan exclusiviteit
- Virtualisatie/cloud: vertraging van aanlevering data
- Gebrek aan interne capabilities
Betrouwbaarheid controleerbaarheid, (transparantie, beheersbaarheid), exclusiviteit. g. Proces/procedure voor: (1) het onderkennen en verzamelen van relevante data waarin duidelijke doelstellingen zijn
omschreven en (2) verrijking en koppelen van gegevens. h. SLA management:
gedefinieerd en afgestemd op o.a. (DNB) cloud
requirements including SLA reporting en external assurance process. Eventueel gebruikmaken van dedicated private cloud. i. Kennis en vaardigheden van
direct leidinggevenden en medewerkers (IT/non-IT) zijn voldoende om data te ontsluiten en om te zetten naar informatie.
Operationeel gebruik:
Verwerking
- Verwerken en analyseren van
(te) veel (on)gestructureerde data; eventueel koppelen van ongestructureerde aan gestructureerde data
- mate van waarheidsgetrouw-
heid/bruikbaarheid
- Fouten in data door menselijke fouten en/of onvoldoende inrichting van de data processen.
Betrouwbaarheid controleerbaarheid, (transparantie, beheersbaarheid), integriteit (bij bewerking).
j. Zie onder onderdeel g. van de voorgaande sectie (data architectuur).
k. Input controls, waaronder dual controls, controls bij verwerking (bijv. controle totalen), output controls (plausibility controls).
Operationeel gebruik:
Veiligheid
- Door opslag van steeds meer data en transport tussen diverse locaties (cloud computing) nemen kwetsbaarheden toe. Risico’s van hacking, misbruik en fraude.
- Misbruik van informatie vanuit de organisatie. Betrouwbaarheid: controleerbaarheid Integriteit en exclusiviteit l. Opslag en retentie procedures en processen zijn aanwezig om beschikbaarheid en
toegankelijkheid van data te borgen. Opslag buiten de bank (externe vendors, cloud, cross border), zouden aan interne
exclusiviteitsstandaarden van de bank moeten voldoen.
m. Anonimiseren van
datavelden is geborgd in het verwerkingsproces zodat data niet onnodig
herleidbaar zijn tot specifieke personen.
Onderdeel Samenvatting risico’s Kwaliteitseisen Samenvatting Interne beheersmaatregelen Operationeel gebruik: Compliance en reputatie
- Het overall risico is dat een bank niet aan de regelgeving (m.n. privacy regels) voldoet
(complexe regelgeving, kritische toezichthouders);
- aantoonbaarheid van een integer en continu proces; - Maatschappelijke gevoeligheid. Betrouwbaarheid: Controleerbaarheid, integriteit, exclusiviteit en continuïteit. n. Interne exclusiviteits- standaarden o. Er is een Business
Continuity Plan; effectiviteit van dit plan wordt periodiek getest
p. Transparantie naar klanten en stakeholders
noodzakelijk. Tabel 11 – Samenvattende tabel control framework
6.5 Conclusie
De centrale vraag van hoofdstuk 5 luidt: Welk referentiekader is het meest geschikt om de kwaliteitseisen van big data te waarborgen? Aan de hand van een aantal criteria verdient GTAG de voorkeur als uitwerking voor een framework voor big data.
Welke maatregelen zouden er logischerwijs getroffen dienen te worden om de risico’s te mitigeren met behulp van het gekozen referentiekader?
Data governance: Aanwezigheid van data onderhoudsprocessen en procedures inclusief kwaliteitseisen, duidelijk data ownership, strategie en audit trails voor controleerbaarheid.
Management: besluitvorming: Identificatie, omschrijving en onderhoud van data bronnen/velden volgens (intern) vereiste data kwaliteitseisen. Genomen maatregelen zijn in overeenstemming met. het doel van gebruik en geldigheid data. Data worden beoordeeld op waarheidsgetrouwheid en er is een cost control proces.
Data architectuur: Proces/procedure voor: (1) het onderkennen en verzamelen van relevante data waarin duidelijke doelstellingen zijn omschreven en (2) verrijking en koppelen van gegevens. SLA management: gedefinieerd en afgestemd op o.a. (DNB) cloud requirements inclusief aanwezigheid van SLA reporting en external assurance process. Eventueel zou gebruikmaking van dedicated private cloud worden afgewogen. Kennis en vaardigheden van direct leidinggevenden en medewerkers (IT/non-IT) moeten voldoende zijn om data te ontsluiten en om te zetten naar informatie.
Operationeel gebruik: Verwerking. Input controls, waaronder dual controls, controls bij verwerking (bijv. controle totalen), output controls (plausibility controls).
Operationeel gebruik: Veiligheid. Opslag en retentie procedures en processen zijn aanwezig om beschikbaarheid en toegankelijkheid van data te borgen. Vendors zouden aan interne exclusiviteitsstandaarden van de bank moeten voldoen bij opslag buiten de bank (externe vendors, cloud, cross border). Anonimiseren van datavelden is geborgd in het verwerkingsproces.
Operationeel gebruik: Compliance en reputatie. Aanwezigheid van interne exclusiviteitsstandaarden, er is een Business Continuity Plan waarvan effectiviteit periodiek wordt getest. Transparantie naar klanten en stakeholders noodzakelijk.