• No results found

“Control or collaboration”

N/A
N/A
Protected

Academic year: 2021

Share "“Control or collaboration”"

Copied!
86
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Hele tekst

(1)

Een casestudy naar de juiste

controlbalans voor de

interne beheersing van

autorisatiebeheer

Bedrijfskunde Masterthesis Auteur: Dhr. A. Koolstra Begeleider: Dhr. Drs. P. van Asperen RA Case organisatie: Friesland Bank Contactpersoon: Dhr. Ing. J. Groen Datum: 31 augustus 2012

(2)

“C

C

Co

o

on

n

nt

t

tr

r

ro

o

ol

l

l

o

o

or

r

r

c

c

co

o

ol

l

ll

l

la

a

ab

b

bo

o

or

r

ra

a

at

t

ti

i

io

o

on

n

n”

E

E

Ee

e

en

n

n

c

c

ca

a

as

s

se

e

es

s

st

t

tu

u

ud

d

di

i

ie

e

e

n

n

na

a

aa

a

ar

r

r

d

d

de

e

e

j

j

ju

u

ui

i

is

s

st

t

te

e

e

c

c

co

o

on

n

nt

t

tr

r

ro

o

ol

l

lb

b

ba

a

al

l

la

a

an

n

ns

s

s

v

v

vo

o

oo

o

or

r

r

d

d

de

e

e

i

i

in

n

nt

t

te

e

er

r

rn

n

ne

e

e

b

b

be

e

eh

h

he

e

ee

e

er

r

rs

s

si

i

in

n

ng

g

g

v

v

va

a

an

n

n

a

a

au

u

ut

t

to

o

or

r

ri

i

is

s

sa

a

at

t

ti

i

ie

e

eb

b

be

e

eh

h

he

e

ee

e

er

r

r

Auteur:

Alle Koolstra

Adres:

A.M.v. Schurmansingel 9

Postcode:

8801 JP Franeker

Studentnummer:

S1919091

Datum:

31 augustus 2012

Telefoonnummer:

0641751902

E-mailadres:

A.koolstra@gmail.com

Universiteit:

Rijksuniversiteit Groningen

Opleiding:

MSc Accountancy & Controlling

Traject:

Controlling

Begeleider:

Dhr. Drs. P. van Asperen RA

Tweede beoordelaar:

Dhr. W.G de Munnik RA

Afstudeercoördinator: Dhr. Dr. R.B.H. Hooghiemstra

Case organisatie:

Friesland Bank

Contactpersoon:

Dhr. Ing. J. Groen

Versie:

Openbare versie RUG

(3)

Voorwoord

“Als je doet wat je leuk vindt, hoef je nooit te werken”, Mahatma Gandhi (1869-1948)

Voor u ligt mijn masterscriptie in het kader van de opleiding Accountancy & Controlling, richting Controlling. Ik heb aan de hand van dit onderzoek inzicht proberen te verkrijgen in de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer. Tijdens de interviews, afgenomen met stuk voor stuk unieke mensen, ben ik mij er bewust(er) van geworden dat autorisatiebeheer, hoewel het al sinds de komst van de pc bestaat, als onderwerp tegenwoordig nog springlevend is binnen organisaties. Ik heb mijn periode bij Friesland Bank als zeer prettig en leerzaam ervaren, met als resultaat de masterscriptie welke voor u ligt.

Ik wil het voorwoord graag gebruiken om een aantal mensen te bedanken die mij geholpen en ondersteund hebben tijdens het schrijven van mijn scriptie. Allereerst wil ik graag de heer P. van Asperen (Rijksuniversiteit Groningen) bedanken voor de tijdige maar vooral scherpe, opbouwende feedback welke de inhoud van deze scriptie tot een hoger niveau heeft gebracht. Daarnaast wil ik de heer J. Groen (Friesland Bank) bedanken voor zijn enthousiaste begeleiding en het proactief meedenken bij het schrijven van de scriptie gedurende de afgelopen maanden. Tevens wil ik alle geïnterviewden bedanken voor de bijdrage en interesse die zij hebben getoond in mijn onderzoek. Tot slot wil ik graag mijn collega´s van de afdeling risk management binnen Friesland Bank bedanken voor de ondersteuning en hun openheid. Er rest mij dan alleen nog om u veel leesplezier bij het lezen van deze scriptie toe te wensen, of zoals ze op zijn Fries zeggen: Noflik lêzen.

Franeker, augustus 2012

(4)

Samenvatting

Achtergrond: Omdat tijdige en diepgaande toegang tot informatie een bron is waarmee een competitief voordeel mee kan worden verkregen (Zhao en Johnson, 2010) wordt informatie steeds vaker erkend als één van de meest waardevolle ‘assets’ van een organisatie (Brynjolfsson, 1994). Onbelemmerde toegang tot informatie levert grote risico’s op voor organisaties. Om deze risico’s in te dekken wordt de toegankelijkheid van informatie voor werknemers door autorisaties beperkt. Uit de recente gebeurtenissen bij DigiNotar en rond de OV-chipkaart blijkt dat organisaties autorisatiebeheer nog steeds niet ‘in control’ hebben. Dit wil zeggen dat de betrouwbaarheid van de (financiële) informatieverzorging niet (volledig) gegarandeerd kan worden omdat het risico van functievermenging niet volledig afgedekt wordt. Omdat niet iedere werknemer dezelfde informatiebehoeften heeft (Gory en Scott Morton, 1989) wordt gezocht naar de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie. Dit om de interne beheersing van informatiesystemen te waarborgen. Interne beheersing binnen autorisatiebeheer kan vanuit twee uiterste perspectieven benaderd worden. Bekeken vanuit de agency en stewardshiptheorie worden deze benaderingen control en collaboration genoemd (Sundaramurthy en Lewis, 2003). Er moet een balans tussen beide manieren worden gevonden om een goede werking van het interne beheersingsysteem binnen organisaties te garanderen (Simons, 1995) en negatieve bedrijfsresultaten te voorkomen (Sundaramurthy en Lewis, 2003). Zodoende rijst de vraag wat de juiste balans tussen control en collaboration is voor de interne beheersing van autorisatiebeheer.

Doel: Dit onderzoek heeft als doel nader inzicht te verschaffen in de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer, dit tot uiting te laten komen in een uit de literatuur gegenereerd conceptueel model en vervolgens dit model te valideren.

Methode: Aan de hand van een literatuuronderzoek is een conceptueel model opgesteld. Op basis van de uitkomsten uit het literatuuronderzoek is een vragenlijst ontwikkeld. Aan de hand van de uitkomsten uit het kwalitatief onderzoek is het conceptueel model aangepast en is de onderzoeksvraag beantwoord.

Resultaten: Uit het onderzoek blijkt dat er geen generieke juiste balans tussen control en collaboration is welke op iedere organisatie toegepast kan worden. Deze is afhankelijk van verschillende organisatorische contingente factoren (Merchant en v/d Stede, 2007). Uit de interviews bleek dat de controlbalans benaderd moet worden vanuit risicoperspectief. Bekeken vanuit risicoperspectief zou de mate van interne beheersing binnen autorisatiebeheer toe moeten nemen met de gevoeligheid van de informatie welke een applicatie bevat (Ward en Smith, 2002). Aanvullend daarop blijkt uit de interviews dat de invulling van juiste balans tussen control en collaboration is dat: de interne beheersing binnen autorisatiebeheer met betrekking tot bedrijfskritische applicaties strikt zou moeten zijn terwijl de interne beheersing voor niet-bedrijfskritische applicaties soepeler zou moeten zijn. Uit het kwalitatieve onderzoek uitgevoerd binnen een bancaire instelling blijkt dat de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer binnen financiële instellingen gepositioneerd is tussen het midden en de controlzijde op de controlbalans. Dit door het verhoogde risico op fraude en de steeds strenger wordende wet- en regelgeving. Beperkingen: De scope van dit onderzoek is beperkt tot het niveau van applicaties. Om de specifiek op de organisatie afgestemde juiste controlbalans te vinden moet mogelijk naar een niveau lager, op permissie niveau, worden gekeken. Omdat het onderzoek is uitgevoerd binnen één organisatie, dit zijnde een financiële instelling, rijst het gevaar dat er een eenzijdig beeld ontstaat. Een derde beperking is dat door het kwalitatieve karakter van het onderzoek de uitkomsten gepaard kunnen gaan met interpretaties van de onderzoeker.

(5)

Inhoudsopgave

Voorwoord ... I Samenvatting ... II 1. Inleiding ...1 1.1 Aanleiding onderzoek...2 1.2 Doel en probleemstelling ...3 1.2.1 Doel onderzoek ...3 1.2.2 Probleemstelling ...3

1.3 Bijdrage eigen onderzoek (wetenschappelijke relevantie) ...3

1.4 Structuur van de thesis...4

2. Literatuuronderzoek ...5

2.1 Autorisatiebeheer ...5

2.1.1 Definitie autorisatiebeheer ...5

2.1.2 Antwoord op deelvraag 1 ...8

2.2 Interne beheersing ...8

2.2.1 Wat is interne beheersing? ...8

2.2.2 Interne beheersing binnen autorisatiebeheer ...9

2.2.3 Antwoord op deelvraag 2 ... 11

2.3 Control en collaboration ... 11

2.3.1 Control ... 12

2.3.2 Collaboration ... 12

2.3.3 Antwoord op deelvraag 3 ... 12

2.4 De juiste (control) balans ... 13

2.4.1 De juiste controlbalans ... 13

2.4.2 Antwoord op deelvraag 4 ... 15

2.5 Samenvoegende paragraaf literatuuronderzoek ... 15

2.6 Conceptueel model ... 17

2.6.1 Toelichting conceptueel model ... 18

3. Methodologie ... 19

3.1 Onderzoeksopzet ... 19

3.2 Waarom kwalitatief onderzoek ... 19

3.3 Uitvoering onderzoek en data verzameling ... 20

3.4 Uitvoering interviews en verwerking resultaten ... 21

4. Case study... 22

4.1 Korte inleiding Friesland Bank ... 22

4.2 Uitwerking interviews ... 22

4.2.1 Definitie autorisatiebeheer ... 23

4.2.2 Interne beheersing van toepassing op autorisatiebeheer ... 24

4.2.3 De juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer ... 26

4.2.4 Conceptueel model ... 29

4.2.5 Toekomstige ontwikkelingen interne beheersing autorisatiebeheer ... 31

4.3 De juiste controlbalans voor financiële instellingen ... 32

4.4 Aangepast conceptueel model ... 33

5. Conclusie ... 34

6. Beperkingen van dit onderzoek en aanbevelingen voor toekomstig onderzoek ... 36

Referenties... 37

(6)

1. Inleiding

Tijdige en diepgaande toegang tot informatie, zoals financiële informatie, klantgegevens of inzage in organisatorische risico’s, is een bron waar door veel bedrijven zoals banken, ziekenhuizen en onderzoekslaboratoria een competitief voordeel mee wordt verkregen (Zhao en Johnson, 2010). Financiële accounting informatie kan bijvoorbeeld aangewend worden om de economische prestaties van een organisatie te verbeteren of om tot een goede governance en control te komen (Bushman en Smith, 2001). Uit onderzoek blijkt dat informatie steeds vaker wordt erkend als één van de meest waardevolle ‘assets’ van een organisatie (Brynjolfsson, 1994; Moody en Walsh, 1999). Het belang van tijdige toegang tot juiste informatie wordt door de invoering van maatschappelijke ontwikkelingen zoals ‘het nieuwe werken’1

tegenwoordig steeds groter. Door het ontbreken van juiste en tijdige informatie kan het bijvoorbeeld mogelijk zijn dat er foutieve beslissingen worden genomen, het bedrijfsproces niet goed kan worden uitgevoerd, klanten minder goed geholpen worden of er mogelijk schade wordt geleden (Hermans et al., 2007). Onbelemmerde toegang tot informatie levert echter grote risico’s op voor organisaties. Om deze risico’s in te dekken beperken (risk en security) managers de toegankelijkheid van informatie voor werknemers middels autorisaties. Zo kunnen werknemers over de juiste informatie beschikken en hebben onbevoegden geen toegang tot deze informatie (Zhao en Johnson, 2010).

In 2003 heeft KPMG Information Risk Management in samenwerking met het Genootschap van Informatie Beveiligers (GvIB), ter navolging van wereldwijd onderzoek omtrent informatie beveiliging (KPMG, 2002), een grootschalig Identity Management (IM) onderzoek in Nederland uitgevoerd. Uit dit onderzoek bleek dat vele organisaties in Nederland op IM gebied niet “in control” waren. In het onderzoek wordt aangegeven dat met niet “in control” wordt bedoeld dat er zwakke punten in de beheersing van autorisatiebeheer waren. Enkele voorbeelden hiervan zijn: gestapelde autorisaties, doorbroken functiescheiding, weinig inzicht bij het management en hoge kosten voor het wijzigen van wachtwoorden en autorisaties (Koorn en Hermans, 2004). IM is de voorloper van Identity en Access Management (I&AM) (Hermans et al., 2006). I&AM gaat in feite om logische toegangsbeveiliging in een eigentijdse vorm (Hermans et al., 2006). Logische toegangsbeveiliging kan op verschillende manieren plaatsvinden namelijk: op basis van deelname van de gebruiker aan een groep, zijn functie of zijn organisatorische rol. Het laatste wordt ook wel Role-Based Access Control (RBAC) genoemd. Binnen organisaties wordt I&AM ook wel aangeduid als autorisatiebeheer. Tenzij anders vermeld, zullen in deze thesis de begrippen autorisatiebeheer en logische toegangsbeveiliging afwisselend worden gebruikt.

In 2006 heeft KPMG in samenwerking met TNS NIPO onder 123 Nederlandse organisaties met meer dan honderd werknemers een enquête gehouden omtrent autorisatiebeheer. In totaal zijn duizend personen welke binnen hun organisatie verantwoordelijk zijn voor IT geënquêteerd. De geënquêteerden zijn vragen gesteld over in hoeverre de organisatie waar zij werkzaam zijn ‘in control’ is ten aanzien van autorisatiebeheer. Het onderzoek had betrekking op de financiële sector, informatie, communicatie en entertainment (ICE) sector, industrie, detailhandel en de publieke sector. Uit de resultaten van het onderzoek bleek dat het merendeel van de organisaties nog steeds niet ‘in control’ is ten aanzien van autorisaties. Het niet ‘in control’ zijn bleek uit het feit dat 73% van de geënquêteerden aangeeft niet te weten of de uitgegeven autorisaties correct zijn en 77% van de geënquêteerden aangeeft geen goed up-to-date overzicht te hebben van de verstrekte autorisaties. Daarnaast gaf slechts 38% van de geënquêteerden aan autorisaties regelmatig te controleren.

1

(7)

De beveiliging van informatie vindt nog steeds onzorgvuldig plaats hetgeen blijkt uit de recente incidenten rond de beveiliging van persoonsgegevens van de OV-chipkaart en bij DigiNotar. Enkele maanden na de ingebruikname van de OV-chipkaart werd duidelijk dat door een lek in de beveiliging van de website ervaarhetov.nl hackers met relatief simpele methoden toegang konden krijgen tot de database met persoonsgegevens van 168.000 reizigers2. Bij DigiNotar, het bedrijf verantwoordelijk voor de beveiliging van overheidssites, waren de beveiligingscertificaten welke zij uitgaf gekraakt. Hierdoor konden valse beveiligingscertificaten van sommige overheidssites worden gegenereerd. Met als gevolg dat op een relatief simpele manier zeer gemakkelijk bij persoonsgegevens kon worden gekomen3. Vanuit het perspectief omtrent goed ondernemingsbestuur, ook wel corporate governance genoemd (Romney en Steinbart, 2009, p. 223), wordt verlangd dat een organisatie ‘in control’ is. Bij het begrip ‘in control’ gaat het niet primair om controleactiviteiten, maar om het gehele systeem van beheersingsmaatregelen dat bedoeld is om iets, bijvoorbeeld een organisatie of een proces, in “de greep” of ”bestuurbaar” te houden. Dit systeem wordt ook wel internal control of interne beheersing genoemd (Emanuels, 2005). Een onderdeel van interne beheersing is de wijze waarop autorisatiebeheer in een organisatie is geregeld. Autorisatiebeheer zorgt er voor dat middels toewijzing van de juiste autorisaties medewerkers toegang krijgen tot het gebruik van applicaties welke toegang bieden tot bedrijfsinformatie. Hiermee wordt het risico van functievermenging (binnen een informatiesysteem) afgedekt. In de verschillende corporate governance wet- en regelgeving (zoals de Sarbanes-Oxley Act (SOx), Code Tabaksblat en Basel III) wordt geen eenduidige kwantificeerbare norm genoemd voor het ‘in control’ hebben van autorisatiebeheer. Wel wordt in deze wetgeving aangegeven dat organisaties een bepaald niveau van toegangscontrole aan moeten houden zodat de betrouwbaarheid van de (financiële) informatievoorziening gewaarborgd kan worden (Zhao en Johnson, 2010; Li et al., 2012). Hieruit kan worden afgeleid dat wanneer wordt gesproken over het niet ‘in control’ hebben van autorisatiebeheer binnen een organisatie dit betekent dat de betrouwbaarheid van de (financiële) informatieverzorging niet (volledig) gegarandeerd kan worden. Dit omdat het risico van functievermenging niet volledig afgedekt kan worden. Uit de recente gebeurtenissen rond de beveiliging van informatie van de OV-chipkaart en bij DigiNotar blijkt dat organisaties autorisatiebeheer nog niet volledig beheersen of ‘in control’ hebben. Hieruit blijkt dat de conclusies van Hermans et al. (2004) en Koorn en Hermans (2004), welke stellen dat (Nederlandse) organisaties niet ‘in control’ zijn omtrent autorisatiebeheer en dat relevante wet- en regelgeving bij diverse organisaties niet wordt nageleefd, anno 2012 nog steeds relevant zijn.

1.1 Aanleiding onderzoek

Omdat niet iedere werknemer dezelfde informatiebehoeften heeft (Gory en Scott Morton, 1989) wordt door accountants, controllers en risk managers gezocht naar de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie. Dit om de interne beheersing van autorisatiebeheer te waarborgen. Interne beheersing wordt in de hedendaagse praktijk van autorisatiebeheer veelal op twee manieren ingevuld (Zhao en Johnson, 2010), middels het criterium “the rule of least privilege” (gebruiker beschikt over de minimale toegangsrechten om een taak uit te voeren) (Aveksa, 2007) of door overentitlement (het bewust vrijgeven van veel autorisaties) (Sinclair et al. 2008). Deze manieren zijn twee uiterste vormen van interne beheersing. Daarom is het logischerwijs voor te stellen dat bij de ingebruikstelling van één van deze manieren problemen ontstaan.

2

http://tweakers.net/nieuws/67367/hackers-konden-door-lek-in-ov-site-bij-gegevens-168000-personen.html

3

(8)

Binnen de literatuur worden deze (uiterste) manieren van interne beheersing ook wel verwoord als filosofieën van control. Deze kunnen worden onderverdeeld in de originele filosofie “command and control” of de modernere filosofie “sense and respond” (Simons, 1995). Benaderd vanuit het perspectief van de agency theorie (de incongruentie van de doelstellingen tussen aandeelhouders en managers (Watts en Zimmerman, 1978; Eisenhardt, 1989a) en de stewardship theorie (managers zijn gemotiveerd om te handelen in het beste belang van de aandeelhouders (Davis et al., 1997) kunnen deze filosofieën respectievelijk control en collaboration genoemd worden (Sundaramurthy en Lewis, 2003). Inhoudelijk vertonen control en collaboration veel overeenkomsten met respectievelijk “the rule of least privilege” en overentitlement. Net zoals er gezocht wordt naar de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie om de interne beheersing van autorisatiebeheer te waarborgen geven Sundaramurthy en Lewis (2003) aan dat er een balans tussen control en collaboration gevonden moet worden.

1.2 Doel en probleemstelling

“Grote geesten hebben doelen. Kleine geesten hebben wensen”, Washington Irving (1783-1859)

1.2.1 Doel onderzoek

Dit onderzoek heeft als doel nader inzicht te verschaffen in de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer, dit tot uiting te laten komen in een uit de literatuur gegenereerd conceptueel model en vervolgens dit model te valideren. De validatie vindt plaats aan de hand van een case study. Deze masterthesis dient als basis voor verder onderzoek naar de interne beheersing van autorisatiebeheer en levert, middels het conceptueel model, tevens een bijdrage aan het in kaart brengen van de juiste balans tussen control en collaboration.

1.2.2 Probleemstelling

Uit het doel van dit onderzoek is een onderzoeksvraag afgeleid. Door middel van het beantwoorden van de onderzoeksvraag dient inzicht te worden verkregen in wat de juiste balans tussen control en collaboration is voor de interne beheersing van autorisatiebeheer. De onderzoeksvraag van deze thesis luidt als volgt:

Wat is de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer?

De volgende deelvragen zullen als rode draad gebruikt worden om alle elementen uit de onderzoeksvraag te beantwoorden:

1. Wat is (de definitie van) autorisatiebeheer?

2. Wat is interne beheersing en welke manier(en) van interne beheersing is (zijn) toepasbaar op autorisatiebeheer?

3. Wat wordt verstaan onder control en collaboration? 4. Wat is de juiste (control)balans?

Er is voor gekozen de samenvoeging van het literatuuronderzoek en de beschrijving van het daaruit voortkomende conceptueel model niet als deelvraag op te nemen bij dit onderzoek, maar te verwerken in paragraaf 2.5 en 2.6.

1.3 Bijdrage eigen onderzoek (wetenschappelijke relevantie)

Ik sluit met dit onderzoek aan op de aanbeveling van Sundaramurthy en Lewis (2003) omdat ik meer inzicht probeer te verkrijgen in wat de juiste balans is tussen control en collaboration binnen autorisatiebeheer.

(9)

Mijn onderzoek onderscheidt zich van deze eerdere onderzoeken omdat, voor zover bekend, de relatie tussen de juiste balans tussen control en collaboration en de interne beheersing binnen autorisatiebeheer nog niet eerder is onderzocht en in een conceptueel model is geuit. Door de uit het artikel van Sundaramurthy en Lewis (2003) afkomstige concepten control en collaboration in relatie te brengen met de interne beheersing van autorisatiebeheer kan mogelijk de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie gevonden worden. Daarnaast onderscheidt mijn onderzoek zich van eerdere onderzoeken omdat ik mij richt op een specifiek onderdeel van het vakgebied IT-governance namelijk; autorisatiebeheer. Informatie moet, vanuit risicoperspectief bekeken, beschermd worden tegen ontsluiting door onbevoegden en daarom wordt in de huidige snel veranderende wereld het belang van autorisatiebeheer steeds groter (Zhao en Johnson, 2010). Li et al. (2012) geven aan dat autorisatiebeheer een categorie van IT-control is welke gebruikt kan worden om zwakheden en/of onduidelijkheden in de interne beheersing van informatiesystemen te onderzoeken. Ten derde onderscheidt mijn onderzoek zich van eerder onderzoek omdat ik mij richt op financiële instellingen. Door de steeds veranderende en strenger wordende wet- en regelgeving zoals de Wet op Financieel Toezicht (WFT) en nieuwe maatschappelijke en technologische ontwikkelingen zoals het ‘nieuwe werken’ en cloud computing is het vooral bij financiële instellingen nodig om autorisatiebeheer op orde te hebben. Door de recente financiële crisis ligt deze sector onder het vergrootglas van de publieke opinie. Elk gebrek binnen het interne beheersingssysteem van financiële instellingen, in het bijzonder bij banken, wordt door de media uitgebreid onder de loep genomen. Negatieve meldingen hierover kunnen het vertrouwen van de maatschappij in banken nog meer schaden. Daarom is het juist voor banken interessant om inzicht te verkrijgen in hoe zwakheden en/of onduidelijkheden in de interne beheersing van informatiesystemen verbeterd kunnen worden (Hume, 2012). Daarom onderzoek ik middels de behandeling van een case study binnen een financiële instelling, een middelgrote Nederlandse bank, wat voor dergelijke instellingen de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer is.

Dit onderzoek is vanuit wetenschappelijk oogpunt empirisch relevant omdat ik aan de hand van kwalitatief onderzoek het door mij uit de literatuur opgestelde conceptueel model probeer te valideren. Dit model levert een bijdrage aan het in kaart brengen van de juiste balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer. Het kwalitatief onderzoek wordt uitgevoerd in de vorm van een case study binnen de context van een financiële instelling, een middelgrote bank. Het (nadere) inzicht wat dit onderzoek biedt kan door wetenschappers die zich bezig houden met het vakgebied internal control en/of informatie systemen gebruikt worden om verder op te bouwen. Ook financiële instellingen, in het bijzonder banken, en praktijkbeoefenaars zoals accountants, controllers en risk managers kunnen de uitkomsten van dit onderzoek gebruiken als handvaten om de interne beheersing van informatiesystemen, met name autorisatiebeheer, in de toekomst te verbeteren.

1.4 Structuur van de thesis

Het eerste gedeelte van deze thesis bestaat uit een literatuuronderzoek, waarbij op basis van de literatuur antwoord wordt gegeven op de eerste vier deelvragen. Na de uitwerking van deze deelvragen wordt aan het einde van hoofdstuk 2 een conceptueel model opgesteld en toegelicht. Het literatuuronderzoek dient als input voor het kwalitatieve onderzoek, waarbij interviews met inhoudelijk deskundigen plaatsvinden ter validatie van het conceptueel model. In hoofdstuk 3 ‘methodologie’ wordt uitgebreid ingegaan op de opzet van het kwalitatieve onderzoek. In hoofdstuk 4 wordt het kwalitatieve onderzoek uitgewerkt. In hoofdstuk 5 wordt de conclusie gegeven waarbij antwoord zal worden gegeven op de onderzoeksvraag. Tot slot worden in hoofdstuk 6 de beperkingen van dit onderzoek en aanbevelingen voor toekomstig onderzoek aangedragen.

(10)

2. Literatuuronderzoek

“Wat men bij één weghaalt noemt men plagiaat. Wat men bij twee weghaalt wetenschappelijk onderzoek”, Wilson Mizner (1876-1933)

In dit hoofdstuk vindt het literatuuronderzoek plaats, waarbij antwoord wordt gegeven op de eerste vier deelvragen. Allereerst zal worden besproken wat wordt verstaan onder autorisatiebeheer. In paragraaf 2.2 wordt ingegaan op wat interne beheersing is en welke manier(en) van interne beheersing toepasbaar is (zijn) op autorisatiebeheer. In paragraaf 2.3 wordt onderzocht wat wordt verstaan onder control en collaboration. In paragraaf 2.4 wordt besproken wat wordt verstaan onder de juiste (control)balans. In paragraaf 2.5 wordt de samenhang tussen de antwoorden op de deelvragen beredeneerd. Aan de hand van deze inzichten wordt in paragraaf 2.6 een conceptueel model opgesteld omtrent de balans tussen control en collaboration voor de interne beheersing van autorisatiebeheer.

2.1 Autorisatiebeheer

Het begrip autorisatiebeheer is al een aantal malen benoemd in deze thesis. Verschillende auteurs hebben in diverse literatuur het begrip autorisatiebeheer al eens verwoord of gedefinieerd. Om na te gaan wat de juiste balans tussen control en collaboration is voor de interne beheersing van autorisatiebeheer moet eerst duidelijk zijn wat wordt verstaan onder het begrip autorisatiebeheer. Derhalve vindt in deze paragraaf een korte literatuurstudie plaats naar wat autorisatiebeheer is. Ik zal nagaan hoe het begrip gedefinieerd en/of beschreven wordt door verschillende auteurs. Doormiddel van een analyse van deze definities kan aan het einde van deze paragraaf een antwoord worden gegeven op deelvraag 1.

2.1.1 Definitie autorisatiebeheer

Autorisatiebeheer bestaat al sinds de opkomst van de Personal Computer (PC). Vanaf het moment dat meerdere werknemers toegang kregen tot informatie op een PC was autorisatiebeheer nodig. Zoals in hoofdstuk 1 al is beschreven zorgt autorisatiebeheer er voor dat middels toewijzing van de juiste autorisaties medewerkers toegang krijgen tot het gebruik van applicaties welke toegang bieden tot bedrijfsinformatie. Clark en Wilson (1987) geven aan dat een belangrijk doel, vaak het belangrijkste doel, van autorisatiebeheer is het verzekeren van de integriteit van data zodat fraude en fouten voorkomen kunnen worden. Als gevolg van de enorme opmars van de PC beschikt tegenwoordig iedere werknemer over een PC waarmee hij of zij kan inloggen op een bedrijfsnetwerk en toegang heeft tot bedrijfsinformatie. Waardoor het belang van een goede (interne) beheersing daarvan toe is genomen. Als gevolg van diverse boekhoudschandalen die hebben plaatsgevonden omtrent de besturing en beheersing van organisaties is meer wet- en regelgeving ontstaan betreffende de interne beheersing van organisaties. Zoals in de inleiding (hoofdstuk 1) is te lezen wordt in deze wet- en regelgeving aangegeven dat organisaties een bepaald niveau van toegangscontrole aan moeten houden zodat de betrouwbaarheid van de (financiële) informatievoorziening gewaarborgd kan worden (Zhao en Johnson, 2010; Li et al., 2012). Omdat werknemers tegenwoordig verschillende informatiebehoeften hebben (Gory en Scott Morton, 1989) wordt gezocht naar de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie om de interne beheersing van autorisatiebeheer te waarborgen. De manier waarop het begrip autorisatiebeheer door de verschillende auteurs wordt omschreven is divers. Sommige auteurs geven alleen een invulling of omschrijving van het begrip terwijl andere auteurs het begrip zelf ook anders benoemen. Omdat de definitie van autorisatiebeheer steeds door is ontwikkeld ontbreekt er echter een eenduidige definitie van het begrip. In de literatuur worden tevens de begrippen Identity Management (IM), Identity en

(11)

Access Management (I&AM) en Access Governance gebruikt. Derhalve vindt in dit hoofdstuk een definitiestudie plaats naar het begrip autorisatiebeheer en zal worden afgesloten met de definitie van autorisatiebeheer die in deze scriptie wordt gehanteerd.

Clark en Wilson (1987) geven aan dat het hoofddoel van de beheersing van vertrouwelijke informatie heel simpel is. Dit blijkt uit hun definitie van autorisatiebeheer. Deze luidt als volgt: “Classified information must not be disclosed to unauthorized individuals”.

Wilikens et al. (2002) benadrukken in hun definitie dat autorisatiebeheer voornamelijk bestaat uit het beheer van de toegangsrechten van gebruikers. Volgens hen is dit een sleutel component voor omvangrijke, veilige bedrijfsprocessen binnen een organisatie. Hierdoor ontstaat vertrouwen bij de stakeholders van een organisatie. Zij definiëren het begrip autorisatiebeheer als volgt: “Authorization and access control, respectively covering the determination and the control of rights of users to use IT assets, is a key component in the provision of comprehensive secure business processes that inspire trust for its participating stakeholders”. Wilikens et al. (2002) geven aan dat vertrouwen een verscheidenheid aan onderwerpen omvat, waaronder: accountability, privacy, authenticity en safety.

Koorn en Hermans kwamen in 2004 met een artikel over Identity Management (IM). Zij geven aan dat het een veelgebruikte term is waar niet altijd hetzelfde mee wordt bedoeld. Koorn en Hermans (2004) zien IM als logische toegangsbeveiliging. Koorn en Hermans (2004) definiëren IM als volgt: Het beleid, de processen en ondersteunende systemen die managen welke personen toegang verkrijgen tot informatie en ICT-middelen en wat ieder persoon gerechtigd is hiermee te doen. IM omvat volgens hen het vaststellen en verifiëren van de identiteit van personen c.q. ICT gebruikers en het vaststellen, toewijzen, verifiëren en zo nodig intrekken van toegangsrechten van geauthenticeerde gebruikers tot specifieke systemen en informatie. IM wordt volgens Koorn en Hermans (2004) voornamelijk gebruikt voor het verbeteren van de gebruiksvriendelijkheid en het ‘in control’ zijn c.q. naleving van externe en interne richtlijnen.

In het doorlopende verbeterproces rondom autorisatiebeheer is rond 2006 Identity en Access Management (I&AM) ontstaan. I&AM gaat in feite om logische toegangsbeveiliging in een eigentijdse vorm (Hermans et al., 2006). De definitie welke Hermans et al. (2006) geven luidt als volgt: I&AM is het beleid, de processen en ondersteunende systemen die managen welke gebruikers (personen, applicaties en systemen) toegang verkrijgen tot informatie, ICT-middelen en fysieke resources en wat iedere gebruiker gerechtigd is hiermee te doen. Hermans et al. (2006) geven aan dat I&AM inspeelt op de toegenomen noodzaak om het complexe landschap van gebruikers, autorisaties en informatieobjecten te managen dan wel te beheersen met als doel als organisatie ‘in control’ te geraken en operational excellence te bereiken. Dit wordt volgens hen gerealiseerd door enerzijds het reduceren van (operationele) risico’s en dus het verhogen van informatiebeveiliging, en door anderzijds het realiseren van kostenbesparingen (verhogen productiviteit en lagere autorisatiebeheerkosten) en het verbeteren van gebruikersgemak.

Siponen and Oinas-Kukkonen (2007) definiëren autorisatiebeheer als volgt: “Access control to Information Systems encompasses the means used to control subjects’ access (e.g., read and write access) to objects requiring information security, such as files, directories, tuples or relations. The goal is to guarantee that the requirements of integrity, availability and confidentiality of security objects are not compromised. “Security subjects” refers to active information entities, e.g., processes and humans”. Met deze definitie benadrukken zij dat het

(12)

beheer van toegangsrechten van gebruikers een belangrijk onderdeel is van autorisatiebeheer. Daarnaast geven ze aan dat autorisatiebeheer gericht is op het garanderen van de integriteit, toegankelijkheid en vertrouwelijkheid van (bedrijfs)processen en mensen.

Enkele jaren later is de term Access Governance ontstaan. Access Governance kan op verschillende niveaus benaderd worden. Zo definieert ter Hart (2011) Access Governance als een “autorisatieverificatieproces” waarbij wordt beoogd op basis van afwijkingsrapportages de bestaande situatie van de geïmplementeerde autorisaties te wijzigen en in lijn te brengen met de geldende bedrijfsregels. Access Governance wordt door ter Hart (2011) aangemerkt als een interne controle maatregel. In tegenstelling tot ter Hart (2011) zien Zhao en Johnson (2010) Access Governance als een overkoepelend beleid. Zij definiëren Access Governance als volgt:“We define Access Governance as an integrated system including policies, controls, incentives, and processes that manage user access to information resources. The goal of such Access Governance is to ensure that information systems deliver the right information to the right people at the right time, while protecting the information from misuse”. Zij benadrukken met deze definitie dat Access Governance moet worden gezien als een alomvattend geïntegreerd systeem wat als doel heeft er voor te zorgen dat informatie systemen de juiste mensen op de juiste tijd toegang tot informatie bieden terwijl de informatie beschermd wordt tegen misbruik.

Tot slot definiëren Li et al. (2012) autorisatiebeheer als volgt: “The extent to which information is (timely) available, or easily and quickly retrievable, and access to information is restricted appropriately to maintain its security”. Met deze definitie benadrukken zij het belang dat een medewerker over tijdige toegang tot informatie moet beschikken maar dat de toegang tot deze informatie op een juiste wijze beperkt is zodat de veiligheid van de informatie gegarandeerd kan worden.

Tijdens het bestuderen van de definities is aandacht geschonken aan de gemeenschappelijke componenten in de definities. Deze zijn in tabel 1 weergegeven.

Definitie van: Beheersing Doel Gericht op

Clark en Wilson (1987)

“… must not be disclosed…”.

“Classified information must not be disclosed to unauthorized

individuals”.

Individuals.

Wilikens et al. (2002)

“…the determination and the control of rights of users to use IT assets..”

“...provision of comprehensive secure business processes that inspire trust…” “…its participating stakeholders” . Koorn en Hermans (2004) “Het beleid, de processen en ondersteunende systemen die…managen… wat ieder persoon gerechtigd is hiermee te doen.”

Verbeteren van de gebruiksvriendelijkheid en het ‘in control’ zijn c.q. naleving van externe en interne richtlijnen. “…personen …” c.q. ICT gebruikers. Hermans et al. (2006) “Het beleid, de processen en ondersteunende systemen die managen wie toegang verkrijgen tot…”.

Als organisatie ‘in control’ te geraken en operational excellence te bereiken. “…gebruikers (personen, applicaties en systemen)…” Siponen and Oinas- “… the means used to “…to guarantee that the “… processes

(13)

Kukkonen (2007) control subjects’ access (e.g., read and write access) to objects requiring information security…” requirements of integrity, availability and confidentiality of security objects are not

compromised.”

and humans”.

Ter Hart (2011) “autorisatieverificatiepro ces”

Geïmplementeerde autorisaties in lijn

brengen met de geldende bedrijfsregels.

Gebruikers.

Zhao en Johnson (2010)

“…an integrated system including policies, controls, incentives, and processes that manage user access to

information resources”.

“… information systems deliver the right

information to the right people at the right time, while protecting the information from misuse”.

People.

Li et al. (2012) “The extent to which information is (timely) available, or easily and quickly retrievable…”

“…information is (timely) available and is restricted appropriately to maintain its security”.

Medewerkers.

Tabel 1: Vergelijking van de componenten uit de definities over autorisatiebeheer 2.1.2 Antwoord op deelvraag 1

Om antwoord te geven op deelvraag 1 ‘Wat is (de definitie van) autorisatiebeheer?’ stel ik aan de hand van de bovenstaande vergelijking (tabel 1) een eenduidige definitie van het begrip autorisatiebeheer op welke ik in de verdere thesis aan zal houden. Deze definitie luidt als volgt:

Autorisatiebeheer: Het (informatiebeveiliging)beleid, de processen (controletechnische functiescheiding) en ondersteunende (ICT)systemen die managen (rekening houdend met de integriteit, beschikbaarheid en vertrouwelijkheid van (bedrijfs)processen) welke gebruikers toegang verkrijgen tot informatie, ICT-middelen en fysieke resources en wat iedere gebruiker gerechtigd is hiermee te doen. Het doel van autorisatiebeheer is te waarborgen dat medewerkers tijdige toegang tot de juiste informatie hebben terwijl de informatie beschermd wordt tegen misbruik zodat er geen afbreuk wordt gedaan aan de integriteit, beschikbaarheid en vertrouwelijkheid van (bedrijfs)processen.

2.2 Interne beheersing

Rondom de inhoud van de begrippen controle en interne beheersing ontstaat, als gevolg van de invloed van de Engelse taal, vaak verwarring. Om deze verwarring op te helderen geef ik in paragraaf 2.2.1 aan wat wordt verstaan onder interne beheersing en welke onderdeel van interne beheersing het beste aansluit op deze thesis. In paragraaf 2.2.2 geef ik aan welke vormen van interne beheersing toepasbaar zijn binnen autorisatiebeheer en in paragraaf 2.2.3 geef ik antwoord op deelvraag 2.

2.2.1 Wat is interne beheersing?

Het Committee of Sponsoring Organizations of the Treadway Commission (COSO) stelde in 1992 het “Framework for Internal Control” op. Het raamwerk beoogt een breed en universeel model voor interne beheersing te zijn (Emanuels, 2005). Volgens Emanuels (2005) is de vertaling van “internal control” in interne beheersing niet zonder semantisch risico omdat het

(14)

woord “control” eigenlijk geen Nederlands equivalent kent. Vaak wordt “control” in het Nederlands vertaald naar controle oftewel de toetsing van de werkelijkheid met de norm. Emanuels (2005) maakt duidelijk dat het bij het begrip “control” niet primair gaat om controleactiviteiten, maar om het gehele systeem van beheersingsmaatregelen dat bedoeld is om iets, bijvoorbeeld een organisatie of een proces, in “de greep” of ”bestuurbaar” te houden. In het COSO-rapport wordt internal control als volgt gedefinieerd (vertaald vanuit het Engels):

Interne beheersing (internal control) is het proces, geïnitieerd door de raad van bestuur, het management en ander personeel, dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen op het gebied van:

• De effectiviteit en efficiency van de bedrijfsprocessen;

• De betrouwbaarheid van de financiële informatieverzorging;

• De naleving van relevante wet- en regelgeving, beleidsrichtlijnen en procedures; • Het bewaken van activa of waarden.

Zhao en Johnson (2010) en Li et al. (2012) geven in hun artikelen aan dat in de corporate governance wet- en regelgeving wordt aangegeven dat organisaties een bepaald niveau van toegangscontrole aan moeten houden zodat de betrouwbaarheid van de (financiële) informatievoorziening gewaarborgd kan worden (zie ook hoofdstuk 1). In de Nederlandse literatuur wordt het tweede punt uit de bovenstaande definitie ook wel aangeduid met interne controle of, zoals Starreveld (2002) het noemt, informatie controle. Het doel van interne controle is het vaststellen of de output van een bestuurlijk informatie systeem of proces betrouwbaar is, dat wil zeggen juist en/of volledig. De strekking hiervan hoeft echter niet alleen tot financiële informatie beperkt te worden, zoals in het COSO-rapport wordt vermeld. Uit het bovenstaande kan worden afgeleid dat autorisatiebeheer kan worden gezien als een maatregel waarmee vastgesteld kan worden dat de output van een bestuurlijk informatie systeem of proces betrouwbaar is zodat de betrouwbaarheid van de (financiële) informatievoorziening gewaarborgd kan worden. Dit omdat het risico van functievermenging door het beheersen van autorisatiebeheer afgedekt wordt.

2.2.2 Interne beheersing binnen autorisatiebeheer

Zoals uit de recente problemen rond de OV-chipkaart en bij DigiNotar blijkt worden organisaties en instellingen geconfronteerd met een toenemend aantal incidenten die mogelijk worden gemaakt door gebreken in de logische toegangsbeveiliging van informatiesystemen. Daarom wordt informatiebeveiliging tegenwoordig ook wel gezien als het fundament van een betrouwbaar bestuurlijk informatiesysteem (figuur 1). Informatiebeveiliging waarborgt namelijk:

 De vertrouwelijkheid van gevoelige organisatiegegevens c.q. het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn;

 Het waarborgen van de privacy van klanten en medewerkers;

 De juistheid en volledigheid van gegevens;

 De beschikbaarheid van systemen c.q. het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen

Figuur 1: Informatiebeveiliging als fundament van een betrouwbaar bestuurlijk informatiesysteem

(15)

In figuur 1 is te zien dat de punten vertrouwelijkheid, privacy, integriteit en beschikbaarheid kunnen worden aangeduid als de pijlers van een betrouwbaar bestuurlijk informatiesysteem. Verscheidene auteurs (Anderson, 2008; von Solms, 2001) beamen dit.

Het vakgebied wat als zodanig voor de informatiebeveiliging zorg draagt is IT-control. IT controls vormen een onderdeel van de algemene interne beheersingsmaatregelen die een organisatie kan treffen (Mancham et al., 2007). IT-control wordt door Vaassen (2009) dan ook als volgt gedefinieerd: Alle beheersingsmaatregelen door of namens de leiding van een organisatie die gericht zijn op een goede opzet en werking van de informatietechnologie van de organisatie. Vaassen (2009) geeft aan dat IT-control kan worden gezien als beheersingsmaatregelen welke er, veelal, op gericht zijn om de output van een bestuurlijk informatie systeem of proces te waarborgen. Dit omdat IT-control beheersingsmaatregelen er voor zorgen dat de pijlers van een betrouwbaar bestuurlijk informatiesysteem overeind blijven staan. Hieruit blijkt volgens Mancham et al. (2007) dat organisaties primair steunen op de kwaliteit van de IT-controls om de betrouwbaarheid van de (financiële) informatieverzorging te waarborgen.In figuur 2 zijn de verschillende niveaus van IT-control visueel weergegeven.

Figuur 2: Relatie IT-controls

governance is meestal het overkoepelende strategische beleid. Dit komt omdat Governance een subdiscipline is van corporate governance (Beijer en Kooper, 2010). IT-Governance richt zich specifiek op de beheersingsmaatregelen rond IT. IT-IT-Governance houdt kort gezegd toezicht op het juiste functioneren van IT-systemen (Beijer en Kooper, 2010) of de wijze waarop IT in organisaties wordt aangestuurd (Vaassen, 2009). Vaassen (2009) geeft aan dat IT-Governance veelal uitgewerkt wordt in een beleid waarin taakomschrijvingen en (de verdeling van) bevoegdheden en verantwoordelijkheden van betrokken functionarissen worden vastgelegd. Daarnaast wordt de gang van zaken met betrekking tot die procedures vastgelegd.

Beheersingsmaatregelen om dit beleid te garanderen worden uitgewerkt in controls. IT-controls kunnen ingevuld worden middels algemene IT-beheersingsmaatregelen (ITGC) en applicatiespecifieke beheersingsmaatregelen (ITAC) (Mancham et al., 2007; van Gils, 2007). De ITGC´s hebben niet slechts betrekking op een enkele applicatie, maar op alle aspecten van de informatievoorziening met als doel een betrouwbare geautomatiseerde informatieverwerking. ITAC zijn beheersmaatregelen die door de programma’s en procedures

(16)

waarin zij zijn opgenomen, worden uitgevoerd. Zoals te zien is in figuur 2 valt logische toegangsbeveiliging (in het figuur ‘IT security/ Access controls’ genoemd) onder de categorie ITGC. Autorisatiebeheer (in het figuur ‘segregation of duties via restriced user access’ genoemd) valt onder de categorie ITAC. Van Gils (2007) geeft aan dat deze categorisering logisch is omdat er vaak een directe link bestaat tussen ITGC en ITAC. Zo ook in het geval van logische toegangsbeveiliging en autorisatiebeheer. In het model is tevens te zien dat zowel logische toegangsbeveiliging als autorisatiebeheer hun toepassing vinden op applicatie niveau. Volgens van Gils (2007) vinden beide begrippen hun toepassing op applicatieniveau door de directe link. Daarnaast zouden deze beheersingsmaatregelen minder effectief zijn wanneer ze toegepast zouden worden op corporate niveau (van Gils, 2007). Aansluitend op deze redenering ligt de scope van dit onderzoek op applicatie niveau.

2.2.3 Antwoord op deelvraag 2

In deze paragraaf geef ik antwoord op deelvraag 2 ‘Wat is interne beheersing en welke manier(en) van interne beheersing is (zijn) toepasbaar op autorisatiebeheer?’.

In paragraaf 2.2.1 is weergegeven wat de definitie van interne beheersing is, zoals gesteld door COSO. Kort gezegd is interne beheersing het proces dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen.

Het vakgebied wat als zodanig voor de informatiebeveiliging zorg draagt is control. IT-control kan worden gezien als beheersingsmaatregelen welke er, veelal, op gericht zijn om de output van een bestuurlijk informatie systeem of proces te waarborgen (Vaassen, 2009). Dit omdat IT-control beheersingsmaatregelen er voor zorgen dat de pijlers van een betrouwbaar bestuurlijk informatiesysteem overeind blijven staan. Hieruit blijkt volgens Mancham et al. (2007) dat organisaties primair steunen op de kwaliteit van de IT-controls om de betrouwbaarheid van de (financiële) informatieverzorging te waarborgen. Daarom zal de scope van interne beheersing binnen deze thesis voornamelijk gericht zijn op één van de COSO doelstellingen namelijk: de betrouwbaarheid van de (financiële) informatieverzorging. Er zijn verschillende niveaus van IT-control. IT-governance is meestal het overkoepelende strategische beleid. De beheersingsmaatregelen welke ingesteld worden om dit beleid te garanderen kunnen ingevuld worden middels algemene IT-beheersingsmaatregelen (ITGC) en applicatiespecifieke beheersingsmaatregelen (ITAC). Logische toegangsbeveiliging valt onder de categorie ITGC terwijl autorisatiebeheer onder de categorie ITAC valt. Deze categorisering is logisch omdat er vaak een directe link bestaat tussen ITGC en ITAC (van Gils, 2007). Beide begrippen vinden hun toepassing op applicatie niveau. Dit omdat wanneer deze beheersingsmaatregelen toegepast zouden worden op corporate niveau ze minder effectief zouden zijn (van Gils, 2007). Aansluitend op deze redenering ligt de scope van dit onderzoek op applicatie niveau.

2.3 Control en collaboration

Interne beheersing kan in de hedendaagse praktijk van autorisatiebeheer veelal op twee uiterste manieren benaderd worden. Deze manieren kunnen verwoord worden als control en collaboration. Om de onderzoeksvraag uit paragraaf 1.2.2 te beantwoorden moet eerst duidelijk zijn wat vanuit het perspectief van de interne beheersing van autorisatiebeheer wordt bedoeld met ‘control’ en ‘collaboration’. In paragraaf 2.3.1 wordt kort uitgelegd wat wordt bedoeld met control. In paragraaf 2.3.2 wordt ditzelfde gedaan over collaboration. In paragraaf 2.3.3 wordt antwoord gegeven op deelvraag 3.

(17)

2.3.1 Control

Zhao en Johnson (2010) geven aan dat bij het huidige gebruik van autorisatiebeheer veel wordt gefocust op de technische implementatie van autorisatiemanagement doormiddel van privileges en entitlement (of permissies) gekoppeld aan auditing (of monitoring). Dit om misbruik te detecteren. Er zijn volgens hen twee, uiterste, criteria welke belangrijk zijn binnen autorisatiebeheer: ‘the rule of least privilege’ en ‘overentitlement’. De rule of least privilege of het criterium van minste toegang is zeer veilig maar beperkend en laat weinig flexibiliteit toe. Dit wil zeggen dat elke gebruiker beschikt over de minimale toegangsrechten welke hij/zij nodig heeft om zijn of haar taak uit te voeren (Aveksa, 2007). Dit is vergelijkbaar met de essentie van de filosofie “command and control” (Simons, 1995). Sundaramurthy en Lewis (2003) geven aan dat deze filosofie ook benaderd kan worden vanuit de agency theorie. De agency theorie gaat over de incongruentie van de doelstellingen tussen de principieel en de agent (Watts en Zimmerman, 1978; Eisenhardt, 1989a). Deze benadering wordt door Sundaramurthy en Lewis (2003) ‘control’ genoemd. Bij control wordt de interne beheersing binnen een organisatie vanuit een top-down benadering door het management vastgelegd. Medewerkers hebben hierdoor geen tot zeer weinig invloed over de uitvoering van hun werk en zijn gebonden aan de “harde” formele regels welke het management opstelt. Deze benadering is zeer vergelijkbaar met the rule of least privilege. Omdat bij de invulling van beide begrippen medewerkers weinig tot geen invloed hebben op de informatie waar ze toegang tot hebben in het informatiesysteem en datgene wat ze daarmee mogen uitvoeren.

2.3.2 Collaboration

Het tweede criterium wat Zhao en Johnson (2010) noemen is ‘overentitlement’. Overentitlement houdt in dat werknemers autorisaties krijgen toegewezen welke toegang bieden tot vrijwel alle applicaties binnen de organisatie (Sinclair et al., 2008). Hierdoor zorgt overentitlement voor meer flexibiliteit maar levert het een groot veiligheidsrisico voor de organisatie op. Dit omdat de toegang van werknemers tot applicaties kwaadwillig of per ongeluk door anderen gebruikt kan worden (Zhao en Johnson, 2010). Dit is vergelijkbaar met de essentie van de filosofie “sense and respond” (Simons, 1995). Sundaramurthy en Lewis (2003) geven aan dat deze filosofie ook benaderd kan worden vanuit de stewardship theorie. De stewardship theorie gaat over dat agents gemotiveerd zijn om te handelen in het beste belang van de principaal (Davis et al., 1997). Deze benadering wordt door Sundaramurthy en Lewis (2003) ‘collaboration’ genoemd. Met collaboration wordt veelal een meer adaptieve organisatorische kijk op interne beheersing bedoeld. Vanuit dit perspectief kunnen werknemers in onderling overleg met het management meer invloed uit oefenen over de uitvoering van hun werk en de regels waar ze aan gebonden zijn. Beheersing binnen deze filosofie is grotendeels gebaseerd op onderling vertrouwen tussen het management en de werknemers in plaats van het stellen van (alleen maar) “harde” formele regels door het management. Deze benadering is zeer vergelijkbaar met overentitlement. Omdat bij de invulling van beide begrippen in redelijke mate gesteund wordt op het vertrouwen tussen het management en de medewerkers. Hierdoor hebben medewerkers meer vrijheden en minder beperkingen binnen het informatiesysteem.

2.3.3 Antwoord op deelvraag 3

Interne beheersing kan binnen autorisatiebeheer benaderd worden vanuit twee uiterste perspectieven; the rule of least privilege en overentitlement. Inhoudelijk vertonen deze benaderingen veel overeenkomsten met de benaderingen genoemd door Sundaramurthy en Lewis (2003), dit zijnde control en collaboration. Kort gezegd komt het er op neer dat the rule of least privilege c.q. control gezien kan worden als een “strikte” manier van interne beheersing. Omdat medewerkers weinig tot geen invloed hebben op de informatie waar ze

(18)

toegang tot hebben in het informatiesysteem en datgene wat ze daarmee mogen uitvoeren. Dit wil dus zeggen dat bevoegdheden en verantwoordelijkheden welke een medewerker heeft in het (bestuurlijk) informatiesysteem met betrekking tot het verzamelen, vastleggen en verwerken van gegevens van bovenaf (topdown) worden toebedeeld. Overentitlement c.q. collaboration kan gezien worden als een “soepele(re)” manier van interne beheersing. Omdat in redelijke mate gesteund wordt op het vertrouwen tussen het management en de medewerkers. Hierdoor hebben medewerkers meer vrijheden en minder beperkingen binnen het informatiesysteem. Dit omdat in veel mindere mate formeel is vastgelegd welke bevoegdheden en verantwoordelijkheden een medewerker heeft in het (bestuurlijk) informatiesysteem met betrekking tot het verzamelen, vastleggen en verwerken van gegevens. 2.4 De juiste (control) balans

Omdat niet iedere werknemer dezelfde informatiebehoeften heeft (Gory en Scott Morton, 1989) wordt gezocht naar de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie. Ook Sundaramurthy en Lewis (2003) concluderen dat er tussen control en collaboration een balans moet worden gevonden. Om de onderzoeksvraag van deze thesis te beantwoorden zal eerst duidelijk moeten zijn wat kan worden gezien als de juiste (control) balans en hoe deze kan worden ingevuld. Aan de hand van deze twee aspecten kan een antwoord worden gegeven op deelvraag 4.

2.4.1 De juiste controlbalans

Hoewel Simons (1995) een andere invulling geeft aan het begrip interne beheersing dan de COSO doelstelling welke in deze thesis wordt aangehouden was hij de eerste die expliciet de noodzaak van onderzoek naar de juiste balans tussen control en collaboration, of controlbalans, onderkende. Simons (1995) gaf aan dat door het spanningsveld tussen beide begrippen het inherent is dat er een juiste balans moet worden gevonden tussen deze twee uitersten. Dit om een goede werking van het interne beheersingsysteem binnen organisaties te garanderen (Simons, 1995). Simons (1995) geeft aan dat de juiste balans bereikt kan worden aan de hand van de levers of control, dit zijnde: belief systems, boundary systems, interactive control systems en diagnostic control systems. Deze vier levers zijn tegengestelde krachten, vergelijkbaar met de ying-yang gedachte, welke in balans moeten worden gebracht (Simons, 1995). De control benadering van Sundaramurthy en Lewis (2003) komt overeen met hoe Simons (1995) de diagnostische en boundary levers beschrijft. Dit omdat deze begrippen discipline benadrukken wat weer wordt geuit in formele doelstellingen en richtlijnen. De collaboration aanpak van Sundaramurthy en Lewis (2003) komt overeen met hoe Simons (1990, 1995) belief en interactieve controls invult. Dit omdat deze begrippen een grotere mate van wederzijds vertrouwen benadrukken wat geuit wordt in wederzijds overleg tussen het management en medewerkers. Hierdoor is de interne beheersing grotendeels gebaseerd op onderling vertrouwen in plaats van formele regels.

Sundaramurthy en Lewis (2003) concludeerden tevens dat er een balans tussen control en collaboration gevonden moet worden. Dit omdat wanneer of alleen control of alleen collaboration benadrukt wordt dit bij zowel goed als slecht presterende organisaties negatieve bedrijfsresultaten tot gevolg heeft. Wanneer de nadruk wordt gelegd op één van de twee uitersten ontstaan er zichzelf versterkende cycli van control of collaboration (Sundaramurthy en Lewis, 2003). Deze cycli treden op omdat bij de keuze van één van de uiterste vormen van control cognitieve, gedragsmatige en organisatorische verdedigingen het ego (van het management) beschermen en de verandering in denkwijze beperken (Sundaramurthy en Lewis, 2003). De juiste balans kan bereikt worden middels zelfcorrigerende cycli van control of collaboration (Sundaramurthy en Lewis, 2003). Dit omdat zelfcorrigerende cycli

(19)

strategische flexibiliteit en organisatorische vernieuwing mogelijk maken terwijl er toch een effectieve beheersing aanwezig blijft. De door Sundaramurthy en Lewis (2003) genoemde zelfcorrigerende cycli zijn: het omarmen van conflict en vertrouwen en het bevorderen van diversiteit en gemeenschappelijke opvattingen.

In de zoektocht naar de juiste balans tussen de beveiliging en het beschikbaar stellen van informatie beschrijven Zhao en Johnson (2010) een nieuwe aanpak waar werknemers toegang krijgen tot gecontroleerde data en applicaties wanneer dit nodig is. Deze aanpak, welke zij ‘escalation’ noemen, lijkt heel erg op een eenmalige collaboration benadering. Omdat er doormiddel van escalation eenmalig toegang wordt gegeven zonder het te moeten doorlopen van tijd rovende autorisatieprocessen. Deze aanpak brengt verhoogde beveiligingsrisico´s met zich mee omdat werknemers deze toegang tot informatie kunnen misbruiken (Zhao en Johnson, 2010). Deze risico´s kunnen worden opgevangen door achteraf de escalation activiteiten te auditen/monitoren. Zhao en Johnson (2010) geven aan dat escalation minder geschikt is voor financiële (ruil)systemen waar een verhoogd risico op fraude is, zoals derivaten of internetbankieren, maar dat het des te geschikter is voor systemen waar de risico’s kleiner zijn, zoals een office applicatie, en potentiële kansen voor het reduceren van beheersings kosten aanwezig zijn.

In plaats van eenmalige toegang te bieden tot applicaties om de juiste controlbalans te verkrijgen geven Hermans et al. (2006) aan dat de juiste controlbalans op een andere manier kan worden bereikt. Zij noemen dit IT-ambities en geven dit weer in scenario’s (figuur 3). Om de juiste controlbalans te bereiken kan de interne beheersing gericht worden op een beperkt aantal cruciale organisatiebrede systemen evenals bedrijfskritische toepassingen of applicaties. Zij zien dit als een ‘optima forma’ scenario (scenario 3, figuur 3) omdat hierdoor de juiste balans tussen een efficiënte en effectieve interne beheersing van autorisatiebeheer bereikt wordt. Uitgaande van de scenario benadering gebruikt door Hermans et al. (2006) (figuur 3) zou een visuele

weergave van de juiste balans tussen control en collaboration geuit kunnen worden in scenario’s. Omdat hierdoor visueel inzichtelijk kan worden gemaakt wat de juiste controlbalans is en hoe deze concreet ingevuld zou kunnen worden.

Ward en Smith (2002) zijn van mening, dat het noodzakelijk is dat de juiste controlbalans (deels) benaderd wordt vanuit het perspectief van risicomanagement. Hermans et al. (2006) zijn het hier mee eens omdat risicomanagement veelal wordt gezien als (de) belangrijk(st)e reden of drijfveer om autorisatiebeheer toe te passen. IT-risk management kan als volgt worden gedefinieerd: “Information risk is the risk of loss resulting from the violation of the confidentiality, integrity or availability of information”. Ward en Smith (2002) geven aan dat vanuit risicoperspectief de mate van interne beheersing binnen autorisatiebeheer toe zou moeten nemen met de gevoeligheid van de informatie welke een applicatie bevat. Waarmee ze bedoelen dat applicaties welke gevoelige bedrijfsinformatie bevatten en/of waarbinnen een lagere fouttolerantie gewenst is aangeduid kunnen worden als risicovol of bedrijfkritisch en daarom binnen deze applicaties een hogere mate van control aanwezig zou moeten zijn en vice versa. Uitgaande van de gedachtegang van Ward en Smith (2002) en Hermans et al.

(20)

(2006) zou de juiste balans tussen control en collaboration als volgt ingevuld kunnen worden: de interne beheersing binnen autorisatiebeheer met betrekking tot bedrijfskritische applicaties en cruciale organisatiebrede systemen zou strikt moeten zijn terwijl de interne beheersing voor niet-bedrijfskritische applicaties en minder cruciale systemen soepeler zou moeten zijn. De zelfcorrigerende cyclus het omarmen van conflict en vertrouwen is hierin zichtbaar. Dit omdat conflict wordt gecreëerd door de strikte beheersing van bedrijfskritische applicaties terwijl vertrouwen wordt gecreëerd door de soepele beheersing van niet-bedrijfskritische applicaties.

2.4.2 Antwoord op deelvraag 4

In deze paragraaf zal ik antwoord geven op deelvraag 4: ‘Wat is de juiste (control)balans?’. Verschillende auteurs (o.a. Simons, 1995; Sundaramurthy en Lewis, 2003; Hermans et al. 2006) hebben aangegeven dat er een juiste balans tussen control en collaboration gevonden moet worden. Dit om een goede werking van het interne beheersingsysteem binnen organisaties te garanderen (Simons, 1995). Wanneer alleen control of alleen collaboration benadrukt wordt heeft dit negatieve bedrijfsresultaten als gevolg omdat er zichzelf versterkende cycli van control of collaboration ontstaan (Sundaramurthy en Lewis, 2003). Volgens Sundaramurthy en Lewis (2003) kan de juiste balans bereikt worden middels zelfcorrigerende cycli van control of collaboration. Dit zijn: het omarmen van conflict en vertrouwen en het bevorderen van diversiteit en gemeenschappelijke opvattingen. Zhao en Johnson (2010) beschrijven een nieuwe aanpak: ‘escalation’. Dit lijkt op een eenmalige collaboration benadering van interne beheersing omdat er eenmalig toegang wordt gegeven zonder het te moeten doorlopen van tijd rovende autorisatieprocessen. Deze aanpak brengt een verhoogd beveiligingsrisico met zich mee omdat werknemers deze toegang tot informatie kunnen misbruiken (Zhao en Johnson, 2010). Zhao en Johnson (2010) geven aan dat escalation daarom minder geschikt is voor financiële (ruil)systemen waar een verhoogd risico op fraude is maar dat het des te geschikter is voor systemen waar de risico’s kleiner zijn. Hermans et al. (2006) geven aan dat de juiste controlbalans op een andere manier kan worden bereikt. Om de juiste controlbalans te bereiken kan de interne beheersing gericht worden op een beperkt aantal cruciale organisatiebrede systemen evenals bedrijfskritische toepassingen of applicaties. Dit omdat hierdoor de juiste balans tussen een efficiënte en effectieve interne beheersing van autorisatiebeheer bereikt wordt (Hermans et al., 2006). Zij geven dit weer in scenario’s (figuur 3). Omdat risicomanagement veelal wordt gezien als (de) belangrijk(st)e reden of drijfveer om autorisatiebeheer toe te passen is het noodzakelijk dat de juiste controlbalans (deels) benaderd wordt vanuit het perspectief van risicomanagement (Ward en Smith, 2002; Hermans et al., 2006). Bekeken vanuit risicoperspectief zou de mate van interne beheersing binnen autorisatiebeheer toe moeten nemen met de gevoeligheid van de informatie welke een applicatie bevat (Ward en Smith, 2002). Waarmee wordt bedoeld dat applicaties welke gevoelige bedrijfsinformatie bevatten en waarbinnen een lagere fouttolerantie gewenst is aangeduid kunnen worden als risicovol of bedrijfkritisch en daarom binnen deze applicaties een hogere mate van control aanwezig zou moeten zijn. Aan de hand van deze gedachtegang kan de juiste balans tussen control en collaboration als volgt ingevuld worden: de interne beheersing binnen autorisatiebeheer met betrekking tot bedrijfskritische applicaties en cruciale organisatiebrede systemen zou strikt moeten zijn terwijl de interne beheersing voor niet-bedrijfskritische applicaties en minder cruciale systemen soepeler zou moeten zijn.

2.5 Samenvoegende paragraaf literatuuronderzoek

Gezien de in paragraaf 2.1.2 samengestelde definitie wordt duidelijk dat autorisatiebeheer gericht is op het waarborgen dat medewerkers tijdige toegang tot de juiste informatie hebben terwijl de informatie beschermd wordt tegen misbruik. Dit om geen afbreuk te doen aan de

Referenties

GERELATEERDE DOCUMENTEN

Het risico bestaat ook dat voor burgemeestersverkiezingen vanaf 2010 een soort demissionaire periode ontstaat waarin niet meer bestuurd wordt, omdat de burgemeester voortdurend op

Bij de punten onder het kopje Kennis gekoppeld aan luistervaardigheid gaat het om opdrachten waarin vanuit het beluisteren processen als herkennen, benomen, analyseren en

Het is lastig voor ze, lastig om een partij te bestrijden die niet denkt vanuit systemen- die niet denkt vanuit een socialistisch en niet vanuit een kapitalistisch systeem, niet

Sw-bedrijven kunnen daar goed mee omgaan en voor sociale diensten is het een grote groep van mensen die ze aan het werk willen helpen?. Bijvoorbeeld via het mixed people

twee op de drie ouder is dan 55, is het kerkgebouw onvervangbaar voor de gemeenschap, soms zelfs meer dan de parochie. Zowat de helft van hen wil zelfs betalen voor

Vanaf 15 juni (periode 7) laten wij de uitbetaling van alfahulpen weer door 18k uitvoeren, voor de resterende maanden waarin we nog in de overgangsregeling zitten (tot uiterlijk

geen nieuwe kandidaten aandragen. Dat betekent volgens De Graaf dat de kandidaat- burgemeester al tijdens zijn verkiezings- campagne redelijkheid moet tonen: hij heeft straks

Stap 1: het operationaliseren van beleidsdoeleinden. Bij deze stap moeten er evaluatiecriteria worden opgesteld. Deze criteria kunnen ontleend worden aan de