Voorbereidingsdocument
Praktijktoetsing Big Data
Inleiding
Deze praktijktoetsing wordt uitgevoerd in het kader van mijn studie aan de postdoctorale IT-audit opleiding aan de UvA (AITAP). De onderzoeksvraag luidt als volgt:
“Welke specifieke interne beheersingsmaatregelen wordt een auditor geacht te beoordelen bij banken die big data gebruiken en voor welke beheersmaatregelen zou met name de IT auditor een rol van betekenis kunnen spelen?”
In de praktijktoetsing leg ik jou als IT-auditor van een bank een aantal vragen voor (1) ten aanzien de beheersmaatregelen en (2) de mate van betrokkenheid van de IT auditor bij de toetsing van die maatregelen. Het gaat om een generiek framework voor big data en dus niet om een framework voor een specifieke bank. Ik heb GTAG als framework gekozen om de beheersmaatregelen uit te werken. GTAG heeft overeenkomsten met COSO. Het model GTAG wordt verderop uitgelegd.
De antwoorden worden anoniem verwerkt. Dit document is bedoeld om je op het interview voor te bereiden. Tijdens het interview bespreken wij jouw keuzes en die kan je ook nog tijdens het interview aanpassen.
Om het interview in te kaderen heb ik een aantal onderwerpen die in mijn scriptie aan de orde komen, beschreven. Deze onderwerpen zijn:
1. Wat is big data?
2. Hoe ziet een big data proces eruit?
3. Wat zijn onderscheidende factoren van big data ten opzichte van traditionele data? 4. Het gekozen control framework GTAG
5. De praktijktoetsing
Op basis van literatuurstudie en interviews met diverse experts heb ik o.a. de specifieke risico’s van big data al geïnventariseerd. Een samenvatting heb ik opgenomen in de bijlage 1. Ondanks deze inkadering staat het je vrij om risico’s toe te voegen of andere beheersmaatregelen te noemen die niet binnen GTAG als voorbeeldmaatregelen zijn genoemd. Mocht je vragen hebben tijdens de voorbereiding neem dan gerust contact met mij op (06-23057051).
Alvast hartelijk dank voor je medewerking! Met vriendelijke groet,
1. Wat is big data?
Wikipedia formuleert big data als volgt: “Men spreekt van Big Data wanneer men werkt met één of meer
datasets die te groot zijn om met reguliere databasemanagementsystemen te onderhouden.” Deze
datasets hebben de volgende kenmerken, die bekend staan als de 4 V’s: Volume, Variety, Velocity (snelheid) en Varacity (waarheidsgetrouwheid). “Volume” refereert naar de hoeveelheid data. “Variety” verwijst naar de zeer grote variatie in typen data en bronnen. “Velocity” omschrijft de veranderingssnelheid van gegevens waardoor de (informatie)waarde potentieel snel zal afnemen. Met “Veracity” duidt men aan dat de kwaliteit van de uitkomst afhangt van de waarheidsgetrouwheid van de data.
2. Big data proces
PwC heeft het big data proces in de onderstaande figuur geïllustreerd waarbij traditionele data (NAW gegevens e.d.) gecombineerd wordt met big data (bijv. twitterberichten).
Bij een big data proces of big data analyse de volgende stappen zijn te onderkennen: (1) analyse van de informatiebehoefte; (2) Ontwerp van de mogelijke toepassing; (3) Realisatie van de toepassing; (4) Evaluatie en testen van de gerealiseerde toepassing en (5) Gebruik en beheer van de gerealiseerde toepassing.
3. Wat zijn onderscheidende factoren van big data ten opzichte van de traditionele data?
Om specifieke risico’s voor het big data (proces) zo goed mogelijk te bepalen, zijn hieronder de volgende onderscheidende factoren van big data t.o.v. traditionele data kort samengevat.
Grotere noodzaak voor data governance. Organisaties die het belang van (big) data hebben vertaald naar een adequate data governance tonen een hogere financiële performance. Bij deze vertaling behoort het beleggen van data management verantwoordelijkheden op “C-level” bij een Chief Data Officer (CDO) tot de mogelijkheden.
Management: invloed op de besluitvorming. Banken die leren gebruik te maken van big data benutten real time informatie uit diverse bronnen om hun business omgeving op een dieper niveau te
begrijpen. Met name snelheid (informationele waarde data is van (zeer) tijdelijke aard) en het waarheidsgehalte hebben invloed op de besluitvormingsprocessen waarbij big data wordt gebruikt. Data architectuur: technische oplossingen en kennis nodig. Big data is te groot (volume), te divers (variety) en te snel (velocity) voor kosteneffectieve opname in de bestaande database architecturen. Dit betekent dat er alternatieve manieren nodig zijn voor de opslag en verwerking van big data.
Operationeel gebruik van big data. Bij het operationeel gebruik van big data zijn de volgende onderscheidende factoren van belang: (1) de verwerking, (2) de veiligheid en (3) de compliance- en reputatie risico’s van big data. Bij het verwerken van grote hoeveelheden data is het van groot belang dat databases (datavelden, parameters) adequaat zijn ingericht. Veiligheid is geïdentificeerd als een grote zorg bij het gebruik van big data als sensitieve data verder worden geïntegreerd. Bij compliance-
en reputatierisico’s is het van belang dat privacy regelgeving adequaat is geïmplementeerd in de interne
policies.
4. Het gekozen control framework GTAG
GTAG beschrijft hoe leden van het bestuur en senior management, IT professionals en (IT) internal auditors risico’s kunnen adresseren met relevante controls. In de onderstaande figuur is een logische “top-down” opbouw te zien voor de keuze van controls. Van belang is verder dat de verschillende elementen elkaar niet uitsluiten; ze zijn aan elkaar gerelateerd en kunnen elkaar zelfs overlappen.
GTAG kent een hiërarchische opbouw die (redelijk) aansluit met de genoemde onderscheidende factoren van big data en de big data processen.
Onderdeel GTAG Laag GTAG Onderscheidende factor
zie par.2
Proces, zie par.3
Policies Governance Data governance Analyse
informativebehoeften
Standards Management:
besluitvorming
Ontwerp
Organization and management Management Realisatie
Physical and environmental controls Evaluatie
Systems Software controls Tactical Operationeel gebruik Gebruik en beheer Systems Development Controls
Application-based Contros
Praktijktoetsing voor de IT-auditor
In het onderstaande tabel is zijn voorbeeldmaatregelen van GTAG genoemd. Onderdeel GTAG/(onderscheidende
factor)
Proces Maatregelen GTAG
Policies Governance
Data governance
Analyse informatie- behoeften
1. General security, privacy, social responsibility policy,
2. Data system ownership, 3. Personnel polies,
4. Business continuity planning.
Standards 5. System development processes,
6. systems software configuration, 7. application controls,
8. data structures and documentation. Organization and management Management Management: besluitvorming Ontwerp Realisatie 9. Segregation of duties, 10. financial controls, 11. change management. Physical and environmental controls 12. Locked rooms, 13. restricted access,
14. fire detection and suppression equipment, 15. location selection\jurisdictions (away from
environmental hazards). Systems Software controls Tactical Operationeel gebruik
Evaluatie 16. Access rights allocated and controlled according to policy, division of duties, 17. intrusion and vulnerability assessment, 18. intrusion testing performed,
19. encryption services and change management processes. Systems
Development Controls
Gebruik en beheer 20. User requirements,
21. Formal process for systems development (agility, non-functional requirements), 22. Testing,
23. Application maintenance. Application-based
Contros
24. Input, processing, output controls. 25. Integrity controls (veracity checks) and 26. Management trails (track and trace).
Lijst van voorbeeld maatregelen volgens GTAG.
Voor de opzet van het framework, stel ik je als IT auditor van een bank de volgende vragen:
1. Selecteer uit het bovenstaande tabel maximaal 6 maatregelen die jij de belangrijkste vindt voor specifiek het big data proces.
o Je mag ook maatregelen, die niet zijn genoemd toevoegen. Maar het mogen er maximaal 6 maatregelen zijn.
o Neem hierbij de risico-analyse in de bijlage 1 in ogenschouw. Als je (andere) risico’s ziet in de diverse fasen, mag je deze ook benoemen en toevoegen.
o Hou ook rekening met de verdeling van de 6 maatregelen over de diverse lagen (governance, management en tactical)
2. Licht je keuze kort toe.
3. Welke aandachtspunten\specifieke maatregelen zou je voor deze gekozen maatregelen noemen? 4. In welke mate kan de IT auditor voor de belangrijkste 3 maatregelen toegevoegde waarde leveren?
(1=geen, 2=beperkt, 3=gemiddeld vergelijkbaar met een non-IT auditor), 4=bovengemiddeld, 5=expert). 5. Kan jij deze keuze kort toelichten?
Voor de structurering van de antwoorden op bovenstaande vragen is in de bijlage 2 (tabel 2) opgenomen met een set van voorbeeldantwoorden.
Bijlage 1.
Onderscheidende factor
Samenvatting risico’s
Data governance Onvoldoende benutting big data;
Onvoldoende implementatie van big data: geen/slechte koppeling met strategische doelen;
Onvoldoende beheersing kwaliteit waaronder vertrouwelijkheid. Management:
besluitvorming
Verwarring door mogelijk conflicterende informatie, Onzekerheid over de mate van waarheidsgetrouwheid;
Vertraging besluitvormingsproces;
Kosten die gemoeid zijn bij het beheren en monitoren van de kwaliteit, betrouwbaarheid en integriteit van big data kunnen behoorlijk oplopen. Data architectuur Selectie relevante data (gebrek aan audit trails, beheersbaarheid);
Toepassing van cloud computing: het niet voldoen aan regelgeving en het gebrek aan exclusiviteit;
Virtualisatie/cloud: vertraging van aanlevering data; Gebrek aan interne capabilities.
Operationeel gebruik: Verwerking
Verwerken en analyseren van (te) veel (on)gestructureerde data; eventueel koppelen van ongestructureerde aan gestructureerde data; Mate van waarheidsgetrouwheid/bruikbaarheid;
Fouten in data door menselijke fouten en/of onvoldoende inrichting van de data processen.
Operationeel gebruik: Veiligheid
Opslag van steeds meer data en transport tussen diverse locaties (cloud computing); kwetsbaarheden nemen hierdoor toe;
Risico’s van hacking, misbruik en fraude; Misbruik van informatie vanuit de organisatie. Operationeel
gebruik: Compliance en reputatie
Het overall risico is dat een bank niet aan de regelgeving (m.n. privacy regels) voldoet (complexe regelgeving, kritische toezichthouders);
Aantoonbaarheid van een integer en continu proces; Maatschappelijke gevoeligheid en transparantie naar klanten.
Bijlage 2. S elect ie m aat regel Motivatie Verdere aanvullingen van belang Rol IT auditor 1=geen, 2=beperkt, 3=gemiddeld, 4=bovengemiddeld, 5=expert Motivatie
1. Policies zijn vanwege de maatschappelijke
gevoeligheid van belang om aan te geven wat wel en niet kan. Betrokkenheid van de tweede lijn (compliance, legal) is van belang. 3. Hier is geen technische IT kennis voor nodig
8. Met name van belang voor data consistancy en big data veracity. Kloppen de aannames?
Architecture en data management controls zijn van belang om consistentie te waarborgen. 5. IT kennis t.a.v. gekozen architectuur en data management controls van belang. 15. Opslag van big data wordt
mogelijk in de cloud gedaan. Om welke legal jurisdictie gaat het hierbij?
Betrokkenheid van de tweede lijn compliance, legal, maar ook communications (hoe ga ik dit uitleggen) is van belang. 3.
16. Gegevens van interne en externe bronnen worden gekoppeld. Dit heeft security impact. Servers worden mogelijk veel meer shared, hetgeen eisen stelt aan opslag en transport van gegevens (confidentiality). - 5. IT security kennis over Identity Access Management van belang.
21. Big data processen worden ontwikkeld in een proeftuin voor try out (trail en error proces). Normaal gesproken gaat de
ontwikkeling van een IT solution via een
acceptance omgeving naar een productie omgeving, waarbij de test naar een voorspelbaar
Processen moeten formeel worden ondersteund voor toetsbaarheid. Bij wijzigingen dient een goede track en trace in het proces
aanwezig zijn om de scenarios/queries achteraf te kunnen toetsen. In het proces
5. IT kennis is nodig om de inrichting van big data processen aan formele processen te toetsen.
resultaat moet leiden; dat is met big data niet het gevel.
moet
multidisciplinaire ondersteuning zijn. 25, Met name controls m.b.t.
veracity
(waarheidsgetrouwheid) zijn van belang om de uitkomsten te kunnen toetsen.
Wellicht moet worden gedacht aan toetsing bij en test group waaraan je je resultaten toetst (plausibility check).
3 Hier is geen
technische IT kennis voor nodig