Workspace management services

(1)

A U T E U R S : H.J. Hopman; J.M.A. Conquet

D A T U M : 24 Mei 2007

Scriptie IT Audit VU 2006 - 2007

Principes voor Workspace Management Services

o p g e s t e l d do o r

Scriptie team 714

V e r s i e 1 . 1

(2)

Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1 2 van 40

(3)

Voorwoord

Deze scriptie is de finale toets van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam. Omdat het een praktijkgerichte opleiding met een academische verankering betreft, is ons gevraagd een scriptie te schrijven waarbij een probleem of vraagstuk uit de dagelijkse praktijk op academisch verantwoorde wijze wordt uitgewerkt. Wij zijn beiden werkzaam bij ICT leverancier Getronics PinkRoccade. Wij hebben ervoor gekozen om een situatie uit de dagelijkse praktijk van ons werk als onderwerp van ons onderzoek te nemen.

In deze scriptie is er voor gekozen aan Getronics PinkRoccade te refereren als Getronics. Deze keuze hebben wij gemaakt, omdat dit de naamvoering is van ons bedrijf buiten Nederland en het Verenigd Koninkrijk en van de diensten waarop ons onderzoek betrekking heeft. Verder geven wij hiermee aan dat de probleemstelling waarop ons onderzoek zich concentreert, niet uniek is voor de Nederlandse situatie.

Van de ICT leverancier wordt sinds enige jaren in sterk toenemende mate verwacht dat hij verantwoording aflegt over de interne beheersing van zijn beheerprocessen. Hierdoor kampt menig ICT leverancier met een grote vraag aan mededelingen, wat een niet gewenste belasting vormt op zijn service organisatie bij de ondersteuning van audits. Bij Getronics is het moment aangebroken om een oplossing te vinden voor dit probleem, iets waaraan wij met dit onderzoek een bijdrage hopen te leveren.

Vanuit de Vrije Universiteit Amsterdam is de heer Evert Koning aangewezen als onze afstudeerbegeleider. Evert is werkzaam voor de De Nederlandse Bank en heeft als zodanig direct te maken met het feit dat bij outsourcing ICT leveranciers gehouden zijn aan compliancy regelgeving vanuit de financiële wereld. Evert heeft tijdens het begeleiden van ons onderzoek met name geholpen om de rode draad in ons verhaal vast houden.

Als bedrijfscoach heeft Wiekram Tewarie zich bereidwillig opgesteld om ons te ondersteunen.

Wiekram is werkzaam bij het UWV en heeft dagelijks contacten met ICT leveranciers over normenkaders en audittrajecten. Tevens is Wiekram zelf bezig met promotieonderzoek over dit onderwerp. Wiekram heeft ons met name geholpen strikt te blijven toezien op de feitelijke juistheid van informatie in onze scriptie.

Wij zijn Evert en Wiekram zeer erkentelijk voor hun ondersteuning en geduld.

Bovenal wensen wij onze buitengewoon sympathieke, geestige, knappe en getalenteerde vriend Milko van Gool te bedanken voor zijn niet aflatende steun. Zonder hem had deze scriptie eigenlijk nooit geschreven kunnen worden.

Hans Hopman Jessica Conquet Amsterdam, Mei 2007

(4)

Inhoudsopgave

1. Inleiding ... 5

1.1. Probleemstelling ... 5

1.2. Onderzoeksvraag ... 6

1.3. Reikwijdte definitie ... 7

1.3.1. Portfolio Getronics ... 7

1.3.2. Workspace Management Services ... 7

1.3.3. Het OBB Model... 7

1.4. Samenhang met andere onderzoeken ... 9

1.5. Leeswijzer... 9

2. Workspace Management Services ... 10

2.1. Network Services en Systems Services ... 10

2.2. Uitgangspunten voor de Getronics diensten... 10

2.3. Verantwoording in het kader van WMS ... 11

3. Standaarden en normenstelsel... 13

3.1. Inleiding ... 13

3.2. Internationale standaarden ... 14

3.2.1. CobiT ... 14

3.2.2. ISO 27001/17799... 15

3.2.3. Information Technology Infrastructure Library (ITIL) ... 15

3.2.4. ISO 20000 – IT Service Management ... 16

3.2.5. Standard of Good Practice for Information Security ... 16

3.3. Normenkaders van klanten, wet en regelgeving... 17

3.4. Samenvatting... 17

4. Van doelstelling naar principes... 18

4.1. Samenhang tussen principes en doelstelling ... 18

4.2. Stapsgewijs van uitgangspunt tot beheersdoelstelling ... 20

4.3. WMS doelstellingen ... 22

4.4. WMS Business Attributen ... 22

4.5. COBIT Business Doelstellingen en IT processen ... 23

4.6. COBIT beheersdoelstellingen, ISF maatregelen en ISO 27001 maatregelen ... 25

4.7. Samenvatting... 26

5. Principes voor Network Services en Systems Services ... 27

5.1. Syntax van een principe ... 27

5.2. Principes voor de Omgeving... 27

5.3. Principes voor het Bestuurd Systeem... 28

5.4. Principes voor Besturend Orgaan... 30

6. Conclusie... 32

7. Naschrift ... 33

Appendix I – Literatuurlijst... 35

Appendix II – Overzicht deeloplossingen WMS dienst... 36

Appendix III – Service Level Agreement... 37

Appendix IV – SABSA Business Attributes Model ... 38

Appendix V – CobiT 4 : Linking Business Goals to IT Goals... 39

Appendix VI – CobiT 4: Linking IT Goals to IT Processes ... 40

(5)

1. Inleiding

Bij de uitbesteding van hun ICT processen zijn klanten van Getronics voor de uitvoering van hun bedrijfsprocessen afhankelijk van de kwaliteit van de aan Getronics uitbestede ICT

processen. De kwaliteit van de dienst die Getronics levert, is niet volledig te meten door controle van het eindproduct. De controle van het eindproduct, die in de regel plaatsvindt door het

opleveren van Service Level Rapportages, zegt onvoldoende over de wijze waarop het eindproduct tot stand is gekomen. Klanten van Getronics verlangen meer en meer zekerheid dat de dienstverlening van Getronics voldoet aan de vooraf gestelde eisen van de klant.

In de afgelopen jaren wordt Getronics steeds vaker geconfronteerd met de vraag

verantwoording over zijn diensten af te leggen. Getronics dient daartoe een zogenaamde

“compliance statement”, een intern auditrapport of een TPM/SAS 70 te overleggen aan zijn klanten. De basis voor de toetsing van deze producten wordt gevormd door verschillende normenkaders. Deze normenkaders, die door de klanten van Getronics worden geformuleerd, worden opgesteld op basis van 1. hun overeenkomsten met Getronics over de te leveren diensten, 2. hun Service Level Agreement met Getronics, 3. aanvullende eisen die de klanten zelf stellen, en 4. marktstandaarden en branchespecifieke eisen. Aan de hand van deze klantspecifieke normenkaders voert Getronics vervolgens jaarlijks tal van IT audits uit op een scala aan ICT diensten.

Door de toenemende vraag van klanten naar mededelingen en de grote verscheidenheid aan normenkaders en onderliggende standaarden neemt de inspanning ten aanzien van IT audits en de belasting van de IT audits op de operatie van Getronics ieder jaar toe.

1.1. Probleemstelling

Getronics heeft er daarom belang bij om de IT audit inspanning zoveel mogelijk te beperken. Dit is echter niet eenvoudig. Een klant neemt immers alleen genoegen met een onderzoek als het resultaat ervan een correcte weerspiegeling is van de situatie aangaande de diensten die hij afneemt bij Getronics. De probleemstelling bestaat uit een aantal facetten. Deze facetten zijn hierna uiteengezet.

Diversiteit aan diensten en normenkaders

Over de hele marktlinie biedt Getronics zijn klanten sinds 2006 zogenaamde horizontale diensten aan: infrastructurele services waarbij het in principe niets uitmaakt in welke markt een klant actief is. Dit gebeurt vanuit vijf business lines:

• Business Application Services

• Workspace Management Services

• Data Centers & Hosting Services

• Professional Services & Consulting

• Integral Client Management

Om het aantal normenkaders te beperken zal een methode moeten worden bedacht om meerdere, onderling verschillende diensten af te beelden op één stelsel of een beperkt aantal stelsels van normen.

ICT leverancier heeft niet het initiatief

Zoals in de inleiding van het probleemgebied is geschetst, vragen klanten aan Getronics om verantwoording af te leggen over de getroffen beheersingsmaatregelen ter waarborging van diverse kwaliteitsaspecten. Men zou mogen verwachten dat Getronics met kennis van zijn eigen bedrijfsdoelstellingen, de dienstenportefeuille, zijn risicoprofiel, en de klanteisen vastgelegd in contracten, ontwerpen en Service Level Agreements zou moeten kunnen bepalen welk

(6)

normenkader past bij het onderzoek naar interne beheersing van de kwaliteit van de ICT dienst.

De ervaring leert echter dat Getronics bij gebrek aan eigen normenkaders, normenkaders van zijn klanten overneemt. Dit resulteert automatisch in een situatie waarbij er evenveel

normenkaders en onderzoeken noodzakelijk zijn als er contracten met klanten zijn.

Om het aantal onderzoeken te beperken zal Getronics zelf moeten komen met één stelsel of een beperkt aantal stelsels van normen waarmee zij de vraag van meerdere klanten met een beperkt aantal onderzoeken onderbouwt.

Normenkaders niet op basis van principes

De normenkaders die de klanten van Getronics definiëren zijn in de regel een samenstelling van allerhande normen en beheersdoelstellingen die klanten onttrekken uit verschillende best

practices (bijv. ISO 17799), standaarden (bijv. COBIT,ISO27001), wetgeving (bijv. WBP) en eigen eisen. In deze normenkaders geven klanten vaak in een mix van “wat en hoe” aan wat zij onder interne beheersing verstaan. Door de nadruk op het “hoe” te leggen ontstaan vaak zeer detaillistische, zogenaamde ‘rule based’ normenkaders. Het gevolg is dat audits tijdrovend worden en een checklist karakter krijgen. Een nog belangrijker effect van deze benadering is dat de klant middels zijn normen voorschrijft hoe de implementatie van bepaalde maatregelen door Getronics dient te gebeuren.

In de moderne aanpak voor IT Governance [Paans, 2006] geldt dat Getronics verantwoordelijk is voor de levering van diensten met de afgesproken kwaliteit, en dat het zelf aantoont hoe het dat doet. Hiermee behoudt de leiding van de ICT organisatie, in dit geval Getronics, de ruimte om zijn operaties kosteneffectief in te richten volgens zijn eigen normen en standaarden.

In verschillende publicaties [Tewarie, 2006][Paans, 2006] wordt gesteld, dat het mogelijk is de bovenstaande problemen te vermijden door je niet te richten op “hoe” de interne beheersing bereikt dient te worden maar “wat” er bereikt dient te worden. Door het definiëren van principes wordt aangegeven “wat” er bereikt moet worden.

Om de effectiviteit en efficiency van het auditproces te bevorderen zal het stelsel van normen van Getronics gebaseerd moeten zijn op een verzameling principes¹passend bij de diensten die geleverd worden.

1.2. Onderzoeksvraag

Is het mogelijk om op basis van het OBB model² een generieke verzameling van bruikbare principes te ontwikkelen aan de hand waarvan de kwaliteit van de door Getronics geleverde dienst Workspace Management Services (WMS)³ bepaald kan worden?.

Sub vragen:

• Is het mogelijk om de principes te groeperen en de principes te relateren aan de indeling van de WMS dienstenportfolio?

• Is het mogelijk om klanten van Getronics inzicht te geven in de relatie tussen de principes van Getronics en de door de klant gebruikte beheerdoelstellingen en beheermaatregelen?

1Afstudeerscriptie: Van Principes naar normenkaders, team 601, VU Amsterdam - mei 2006

2 OBB model: Omgeving (het beleid van Getronics, van toepassing zijnde wetgeving en door Getronics veronderstelde generieke klanteisen), het Bestuurd Systeem (de infrastructuur van de klant en van Getronics) en het Besturend Orgaan (de Global Service Delivery

beheersprocessen uitgevoerd door de business line Workspace Management Services). Het OBB Model is afgeleid van het

besturingsparadigma van de Leeuw, (1974), Systeem en organisatie, Leiden, Stenfert Kroese en wordt nader uitgelegd in paragraaf 1.3.3 3 Een beschrijving van de Workspace Management Services wordt in paragraaf 1.3.2 gegeven.

(7)

1.3. Reikwijdte definitie

Het palet van door Getronics aangeboden diensten is te groot om ze allemaal in ons onderzoek mee te nemen. Er is bewust gekozen om de reikwijdte te beperken tot een deelgebied. Deze paragraaf geeft aan welke keuze wij hebben gemaakt en waarom juist voor deze beperking is gekozen.

1.3.1. Portfolio Getronics

In de laatste jaren is het accent van klanten verschoven van kostenbeheersing naar

toegevoegde waarde in de zin van betere controle, beveiliging en beschikbaarheid van ICT en applicaties die optimaal aansluiten op de bedrijfsprocessen.

Tegelijk is er een tweede verschuiving gaande: van exclusieve dienstverlening op maat, naar gestandaardiseerde en gedeelde –shared- dienstverlening.

De missie van Getronics luidt:

“Ontwikkelen, implementeren, integreren en beheren van flexibele en innovatieve end-to- end ICT oplossingen, in samenwerking met onze partners en opdrachtgevers, ten einde de productiviteit van de mobiele ‘knowledge workers’ van onze opdrachtgevers te optimaliseren en te verbeteren.”

In 2006 heeft Getronics zijn portfolio omgevormd van een reeks technische diensten naar een duidelijk gedefinieerde dienstenportfolio. Getronics wilt met een combinatie van services zijn klanten een veilige en goed beheerde werkplek bieden. Optimaal presterende applicaties, met een continue beschikbaarheid. Getronics noemt dit dienstenportfolio zijn “GoTo Market – Model”. Dit model koppelt de behoeften van de klanten van Getronics op heldere wijze aan de vaardigheden van de onderneming. De activiteiten van Getronics zijn binnen het model

gestructureerd rond vijf business lines te weten: Business Application Services, Workspace Management Services, Data Centers & Hosting Services, Communication Services en Security Services, waarbij Workspace Management Services centraal staat.

1.3.2. Workspace Management Services

Workspace Management Services (WMS) staat voor het op afstand onderhouden en beheren van netwerken, systemen en desktops met een garantie voor beschikbaarheid,

betrouwbaarheid en met vooruitzicht op een betere performance tegen een lagere total cost of ownership. Het accent ligt daarbij op gestandaardiseerde, modulaire beheerdiensten die een laag kostenniveau mogelijk maken. Dit biedt organisaties een groeipad dat varieert van een gedeeltelijke outsourcing van beheer van desktops, netwerken en systemen tot en met de volledige inrichting en ondersteuning van de werkplek.

Aangezien WMS centraal staat binnen de dienstenportfolio van Getronics en onderzoekers zelf betrokken zijn bij deze dienst, kiezen wij ervoor om ons onderzoek te richten op de dienst WMS.

Van alle diensten die Getronics levert is WMS de enige dienst waar Getronics op end-to-end basis een volledig ICT beheerproces uit handen neemt van zijn klanten. Hierdoor is de vraag naar verantwoording ten aanzien van interne beheersing hoog.

WMS bestaat uit een aantal deeloplossingen. Een beknopte beschrijving van de

deeloplossingen van WMS is opgenomen in Appendix II. In hoofdstuk 2 gaan wij nader in op de deelgebieden van de WMS diensten waar wij ons tijdens dit onderzoek op concentreren.

1.3.3. Het OBB Model

Om efficiënt te werken dient een auditor bij het bestuderen van een referentiekader direct de normen in de juiste context te plaatsen en ze op het juiste niveau in de organisatie te

positioneren. Een auditor moet het onderscheid maken tussen de conditionerende, inrichting- en beheersaspecten van een auditomgeving.

(8)

Het OBB model is een systeemgericht model en bestaat uit drie domeinen, te weten

• Omgeving,

• Bestuurd Systeem en

• Besturend Orgaan.

Door onze principes te groeperen op basis van het OBB model scheppen wij de mogelijkheid om een audit sneller in een bepaalde context te plaatsen.

Onderstaand geven wij de betekenis weer die Tewarie [2006] ten behoeve van auditdoeleinden aan de domeinen heeft toegekend.

Omgeving

De omgeving is het domein van Management &

Besturing en betreft die aspecten die de voorwaarden scheppen voor het adequaat functioneren van de informatiehuishouding. Deze aspecten hebben te maken met de onderwerpen organisatie, informatie en personeel. Principes in dit domein zijn gerelateerd aan onderwerpen zoals

verantwoording, privacy, ergonomie, coördinatie van informatiebeveiliging, classificatie, autorisatie en geheimhouding.

Bestuurd Systeem

Het bestuurd systeem komt overeen met de te auditen systeemobjecten, en wordt

beschouwd als “Audit Object” . Dit “Audit Object” is ingericht conform de eisen en condities uit het domein “Management en besturing”. Binnen dit domein zijn de principes ten aanzien van de inrichtingsaspecten van de auditobjecten opgenomen en wordt nader gepreciseerd in hoeverre het bestuurd systeem “in control” dient te zijn.

Het “Audit Object” wordt verder geanalyseerd op basis van de drie bekende elementen uit de managementcyclus, te weten:

• beleid,

• uitvoering en

• controle en evaluatie.

De van toepassing zijnde principes binnen het bestuurd systeem worden ingedeeld naar deze elementen.

Beleid – het element “beleid” van een bestuurd systeem is een specifiek beleid afgeleid van de strategie van de organisatie. Het beleid richt zich enerzijds op de inrichting van de primaire processen uit het bestuurd systeem en betreft anderzijds specifieke ICT diensten.

Principes gerelateerd aan het onderwerp “beleid” geven aan wat de voorwaarden zijn waar het “Audit Object” aan zal voldoen. Onderwerpen zijn bijvoorbeeld Single Sign-On,

standaardisatie, identificatie en functiescheiding.

Uitvoering – het element “uitvoering” richt zich op de daadwerkelijke inrichting van het bestuurd systeem. Het gaat in deze module om de soll-inrichtingsaspecten gerelateerd aan een bepaalde laag. Hierbij worden de volgende lagen onderkend: Network Layer, System Layer, Service Layer en User Layer. Men kan de soll-inrichtingsaspecten beschouwen als de principes waar het bestuurde systeem - en dus het Audit Object -, aan moet voldoen.

Principes binnen het element “uitvoering” zijn gerelateerd aan bijvoorbeeld database services, file- en printservices, mail- en messaging services en directory services. Het

(9)

spreekt voor zich dat een risicobeoordeling een vast onderdeel is in de module uitvoering.

Het “Audit Object” wordt wel in samenhang met beleids- en controle aspecten beoordeeld.

Controle en Evaluatie – binnen dit onderdeel wordt nagegaan in hoeverre binnen het bestuurd systeem controles zijn ingebouwd om de inrichting van het bestuurd systeem beheerst te laten plaatsvinden. Principes gerelateerd aan Controle en Evaluatie hebben betrekking op onderwerpen als logging, monitoring, auditing en reporting,

Besturend Orgaan

Dit domein omvat de principes die ten grondslag liggen aan de processen waarmee het targetsysteem wordt beheerd.

1.4. Samenhang met andere onderzoeken

Tijdens ons onderzoek is gelet op de samenhang met de volgende onderzoeken:

• afstudeerscriptie van afstudeerteam 601 van mei 2006 (Wesselink/Dros, Van principes naar normenkaders), waarin onderzoek is gepleegd naar de mogelijkheid om van een principe een verzameling van normen af te leiden;

• het nu lopende promotieonderzoek “Effectiviteit en efficiency van IT-audits”, van W.

Tewarie aan de Vrije Universiteit van Amsterdam, waarbij een modelmatige aanpak beschreven wordt voor het opstellen van een evenwichtige verzameling van principes ten behoeve van een IT-audit;

• afstudeeropdracht van Johan van der Meer van 2006 over de beveiliging- en beheersingsmaatregelen van het Systeem Integratie Platform UWV.

1.5. Leeswijzer

Deze scriptie is als volgt opgebouwd.

In hoofdstuk 2 leggen wij uit welke reikwijdtebeperking wij toepassen binnen de dienst WMS, wat de doelstelling is van Getronics voor de dienst WMS, en op welke wijze Getronics

momenteel verantwoording aflegt over de diensten die zij levert.

In hoofdstuk 3 wordt uiteengezet welke standaarden (breed en minder breed geaccepteerde) door klanten worden gebruikt om IT diensten te toetsen en welke wetgeving in relatie staat met de levering van IT diensten.

In hoofdstuk 4 wordt uiteengezet hoe de samenhang is tussen principes en

beheersdoelstellingen en hoe wij stapsgewijs zijn gekomen tot een voorstel voor een verzameling beheerdoelstelling voor de Getronics dienst WMS.

In hoofdstuk 5 brengen wij de informatie uit hoofdstuk 2,3 en 4 samen en definiëren wij wat de programmatische syntax van een principe is. Tevens geven wij een aanzet tot een stelsel van principes voor twee deeloplossingen van de WMS dienst.

In hoofdstuk 6 bevat de conclusies van dit onderzoek.

In hoofdstuk 7 kijken wij als onderzoekers terug op het proces, zoals wij het als studenten hebben ervaren.

(10)

2. Workspace Management Services

In dit hoofdstuk geven wij aan tot welke specifieke WMS diensten wij ons zullen beperken.

Vervolgens leggen wij uit wat de uitgangspunten zijn van Getronics bij de inrichting van de dienst WMS en op welke wijze Getronics momenteel verantwoording aflegt over de diensten die het levert.

2.1. Network Services en Systems Services

WMS bestaat uit een achttal deeloplossingen die in Appendix II elk kort omschreven worden.

De deeloplossingen hebben allemaal te maken met het beheren van ICT omgevingen van klanten.

Getronics richt zich met de deeloplossingen onder andere op standaardisatie en innovatie van de ICT omgeving van klanten, het beschikbaar stellen van systemen waarop applicaties van klanten kunnen draaien, helpdesk functionaliteit en het “24/7” beheer van desktop en server omgevingen vanaf een centrale locatie.

De doelstelling van de deeloplossing Network Services is om de prestaties van netwerken en servers te verbeteren door ze flexibeler in te richten. De deeloplossing Systems Services richt zich op optimale beschikbaarheid van serversystemen voor eindgebruikers. Systems Services bestaat uit een logisch pakket van Remote- en Onsite diensten en is volledig gebaseerd op ITIL.

Vragen van klanten over interne beheersing op de beheerprocessen hebben met name

betrekking op de Network Services en Systems Services, de deeloplossingen waarin Getronics feitelijk de infrastructuur (netwerk en servers) van zijn klanten beheert. Om die reden, en gezien de beperkte tijd voor dit onderzoek, is de keuze gemaakt om ons onderzoek verder te richten op de deeloplossingen Network Services en Systems Services.

2.2. Uitgangspunten voor de Getronics diensten

Een belangrijke boodschap in de conclusie van het onderzoek van Wesselink/Dros, mei 2006, Van principes naar normenkaders, is het advies om bij een IT-audit niet te starten met het zoeken dan wel schrijven van een normenkader, maar met een bedrijfsverkenning. Met een bedrijfsverkenning komt de organisatie in beeld en pas dan kunnen, in combinatie met best practices, op de betreffende organisatie van toepassing zijnde principes en normen worden vastgesteld.

In deze paragraaf zullen wij kort ingaan op de bedrijfsverkenning met betrekking tot de WMS diensten die door Getronics wordt geleverd. Aangezien Getronics verantwoording aflegt over de gecontracteerde diensten concentreren wij ons bij de bedrijfsverkenning niet alleen op

Getronics maar op de combinatie van Getronics, zijn klanten en op de gecontracteerde dienst WMS.

Behoefte Getronics klanten

Het is staand beleid van het management van Getronics om onder meer de behoefte van zijn klanten en prospecten nauwlettend te volgen. Er vinden op regelmatige basis gesprekken plaats met marktanalisten. Tijdens deze gesprekken worden door de analisten nieuwe trends

toegelicht en toetst de analist nieuwe proposities van Getronics. Daarnaast voert Getronics continu tactisch klantenonderzoeken uit waarmee het zijn huidige klanten beter leert kennen en ook informatie vergaart over klantwaarden en de perceptie die de klant heeft van Getronics.

(11)

Op grond van deze elementen concludeert Getronics dat zijn klanten de volgende behoeften hebben wat een dienst als WMS betreft:

• Effectieve, veilige en betrouwbare werkomgeving;

• Gebruikersvriendelijke werkomgeving;

• Betrouwbare, hoogwaardige essentiële ICT diensten;

• Benutten van Getronics’ ruime ervaring en internationale aanwezigheid;

• Profiteren van Getronics’ aanpassingsvermogen en flexibiliteit.

Doelstelling Getronics bij ondersteuning wensen klanten

In het jaarverslag 2005 van Getronics worden de uitgangspunten behorend bij de portfolio van het bedrijf op het gebied van de werkomgeving en het gebied van de dienst beschreven. De werkomgeving is voor Getronics overal waar en elke keer dat individuele personen of teams gebruikmaken van informatie- en communicatietechnologie om zaken te kunnen doen.

Door middel van een portfolio van elkaar aanvullende diensten streeft Getronics ernaar aan de wensen van zijn klanten tegemoet te komen. Dit gebeurt door hun

• een veilige beheerde werkomgeving te leveren;

• beschikbaarheid en prestatie van geleverde bedrijfsapplicaties te garanderen, en

• continue aansluiting tussen hun ICT omgeving en relevante technologische ontwikkelingen te waarborgen.

Later in ons onderzoek zullen wij aan de hand van de bovenstaande uitgangspunten de bijbehorende principes vaststellen.

2.3. Verantwoording in het kader van WMS

Als onderdeel van de bedrijfsverkenning, zoals aangegeven in de vorige paragraaf, geven wij in deze paragraaf inzicht in de wijze waarop momenteel verantwoording in het kader van WMS plaatsvindt.

Als basis voor de borging van de kwaliteit van zijn dienstverlening heeft Getronics er voor gekozen in overeenstemming met marktstandaarden te handelen en dit aantoonbaar te maken door het certificeren van processen. ISO 9001 en ISO 27001 zijn hier goeden voorbeelden van.

Deze certificaten geven de klant in een vroeg stadium van een offerte traject al inzicht over de borging van kwaliteit in de door Getronics aangeboden diensten.

In het contract dat de klant afsluit met Getronics is veelal ‘het recht op audit’ opgenomen. Dit recht kan in ertoe leiden dat de klant Getronics verzoekt zich te verantwoorden ten aanzien van de interne beheersing van de kwaliteit van de levering van een dienst middels de afgifte van een Third Party Memorandum (TPM). In plaats van een TPM kan de klant ook verzoeken om overlegging van een SAS 70 rapport. Het verzoek om een TPM of SAS 70 komt veelal voort uit richtlijnen gesteld door de toezichthouders van onze klanten. Overheidsorganen dienen zich bijvoorbeeld te verantwoorden tegenover De Algemene Rekenkamer en financiële instellingen tegenover De Nederlandse Bank.

In de praktijk betekent dit, dat de klanten van Getronics op basis van hun specifieke eisen, interne beleid, externe regelgeving en marktstandaarden een normenkader ten behoeve van een TPM of andersoortig mededeling opstellen. Vervolgens wordt in overleg met Getronics bepaald hoe Getronics zich op basis van dit normenkader gaat verantwoorden.

(12)

De structuur van de normenkaders is over het algemeen gerelateerd aan de objecten die een rol spelen binnen de dienstverlening en kenmerkt zich door een combinatie van normen ten aanzien van:

• Getronics beleid, beleid klant en architectuur (conditionerende aspecten);

• Technische objecten (inrichtingsaspecten);

• Beheerprocessen (beheeraspecten);

Deze situatie heeft er in de afgelopen jaren voor gezorgd dat Getronics steeds vaker

geconfronteerd wordt met verschillende normenkaders voor gelijke typen dienstverlening binnen Workspace Management Services. Dit heeft geleid tot de behoefte bij Getronics om tot slechts één normenkader te komen, waarbij onderscheid wordt gemaakt tussen generieken en

specifieke normen.

De resultaten van ons onderzoek kunnen een positieve bijdrage leveren aan de totstandkoming van dit ene normenkader. Daartoe zullen wij in ons onderzoek, zowel de behoefte van de klanten van Getronics evenals de doelstelling van de dienstenportfolio van Getronics moeten betrekken.

(13)

3. Standaarden en normenstelsel

In dit hoofdstuk beschrijven wij welke standaarden (breed en minder breed geaccepteerde) door klanten van Getronics worden gebruikt. Om beter aansluiting te vinden in de resultaten van ons onderzoek vinden wij het nodig in dit hoofdstuk een kort overzicht te geven van de door klanten van Getronics meest gehanteerde standaarden en van toepassing zijnde wetgeving.

3.1. Inleiding

Allereerst een precisering van een aantal termen:

norm -en maatstaf, regel, richtsnoer, model

normenstelsel normenkader, een samenstel van normen standaard maatstaf

Een standaard is een richtlijn, best practice, norm of stelsel van normen waarvan men met elkaar heeft afgesproken deze te zullen gebruiken. Een standaard kan dus op verschillende manieren geformuleerd zijn.

ITIL is een standaard voor de inrichting van service management processen. Het geeft een beschrijving van processen die onderling gerelateerd zijn en gezamenlijk een raamwerk en best practice vormen. ITIL probeert de effectiviteit en efficiency van IT management processen te waarborgen.

ISO 27001 is een standaard voor de inrichting van een Information Security Management System op basis van beheersdoelstellingen en beheersmaatregelen. De beheersdoelstellingen van ISO 27001 beogen daarbij de kwaliteitsaspecten beschikbaarheid, integriteit en

vertrouwelijkheid van informatie te waarborgen.

Voor de definitie en uitwerking van zijn diensten maakt Getronics gebruik van best practice standaarden. Getronics heeft hiervoor een eigen model genaamd GSDM (Global Service Delivery Model) ontwikkeld. Het GSDM model is voornamelijk gebaseerd op ISO 20000 – IT Service Management, ITIL, en ISO 17799 – Code of Practice for information security

management. Deze standaarden bieden een leidraad voor service management en operationele informatiebeveiliging.

Voor de inrichting van infrastructuur componenten wordt meestal gebruik gemaakt van specifieke richtlijnen zoals de Microsoft Windows Security Guides. In het kader van dit

onderzoek hebben wij ervoor gekozen geen principes te formuleren die verband houden met de inrichting van specifieke infrastructurele objecten. Ons onderzoek is vooral gericht op het

beschrijven van een methodiek om tot principes te komen. Een uitputtende opsomming van principes voor de objecten binnen de verschillende uitvoeringslagen past daarom niet binnen het kader van onze onderzoeksvraag.

Behalve dat best practice standaarden gebruikt worden als leidraad voor de definitie en implementatie van diensten, vormen ook branche specifieke standaarden, wet en regelgeving een basis voor de definitie en implementatie van de geleverde diensten.

(14)

3.2. Internationale standaarden Volgens de Gartner Hype Cycle van januari 2007 zijn het vooral COBIT, ITIL en ISO 27001 die in de aankomende jaren gebruikt zullen gaan worden om naleving van wetgeving aan te tonen. ISO 20000 moet zijn piek aan populariteit nog krijgen, maar zal naar verwachting een mainstream standaard gaan worden.

3.2.1. CobiT

COBIT ( Control Objectives for Information and Related Technology) is een procesgericht

managementinstrument voor de beheersing van de volledige IT-omgeving en behelst alle aspecten van informatie en de ondersteunende technologie. COBIT beheersdoelstellingen worden regelmatig gebruikt in het kader van compliance onderzoeken (met name Sarbanes-Oxley) en beheersing van de IT processen.

COBIT 4.0 biedt binnen het kader van vier domeinen (plan and organise, acquire and implement, deliver and support, monitor and evaluate) en 34 processen een beheersingsraamwerk voor IT Management. Het raamwerk concentreert zich voornamelijk op ‘wat’ er

‘waarom’ dient te gebeuren en niet op het ‘hoe’.

COBIT is oorspronkelijk ontwikkeld door het IT

Governance Institute⁴ als een IT audit hulpmiddel. Het doel van COBIT is om het management en de

proceseigenaren met een Information Technology (IT) Governance model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico’s. Met versie vier van deze

standaard is het een volwassen en uitgebreide standaard die, vooral sinds de introductie van de Sarbanes-Oxley wetgeving, zich internationaal in een toenemende populariteit mag verheugen.

COBIT 4.0 integreert andere raamwerken en standaarden, zoals ITIL (IT Infrastructure Library) en CMMI (Capability Maturity Model Integration).

COBIT wordt veelvuldig gebruikt als referentiekader bij het beoordelen van afspraken over de gewenste kwaliteit van IT-diensten en wordt als zodanig dan ook veelvuldig gebruikt in het kader van attestopdrachten.

4 www.ITgovernance.org of www.isaca.org

Business Objectives

Governance Objectives

Information

Plan and Organise Monitor and

Evaluate

Deliver and Support

Acquire and Implement IT Resource

COBIT

(15)

Principes voor Workspace Management Services • Scriptie team 714• Versie 1.1 15 van 40 Interested

Parties Interested

Parties

Managed information

security Information

security requirements

Establish ISMS

Implement and operate ISMS

Monitor and review ISMS

Maintain and improve ISMS

3.2.2. ISO 27001/17799

ISO 27001 is een raamwerk voor een Information Security Management System. Het biedt een proces

gebaseerde aanpak voor de beheersing van risico’s ten aanzien van de

verwerking van informatie. De risico- mitigeerde maatregelen (in totaal 133) zijn gerelateerd aan 39

beheersdoelstellingen die verdeeld zijn over 11 domeinen. ISO 17799 beschrijft hoe een organisatie de maatregelen zou kunnen implementeren.

Beide ISO standaarden zijn bij uitstek geschikt om een relatie tussen gebruikersorganisatie en ICT service organisatie te beoordelen op kwaliteitsaspecten gerelateerd aan de

beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

3.2.3. Information Technology Infrastructure Library (ITIL)

ITIL is een procesmatige benadering voor de levering en ondersteuning van IT diensten. Het is een ‘good practice’ richtlijn voor de efficiënte en effectieve inrichting van service management processen.

ITIL heeft de ICT beheerprocessen ingedeeld in een achttal sets. Zij behandelen:

1. Service Delivery – Service Level-, Capacity-, Continuity-, Availability, IT Financial Management

2. Service Support – Configuration-, Incident, Problem, Change-, Release Management en Service Desk 3. Planning to Implement Service

Management

4. Application Management

5. ICT Infrastructure Management – Network Service Management, Operations

Management, Management of local processors, computer installation and acceptance, Systems Management

6. Security Management

7. Software Asset Management

8. The Business Perspective: The IS View on Delivering Services to the Business

Service Management

Planning to Implement Service Management

Application Management

Security Management

ICT Infrastructure Management

Te c h no l o g y Service

Delivery

Service Support Business The

Perspective Bu

s i ne s s

(16)

3.2.4. ISO 20000 – IT Service Management

ISO 20000 ( gebaseerd op de British Standard 15000 en ITIL) is de eerste internationale standaard specifiek voor IT Service Management adresseert. Het biedt een proces raamwerk (inclusief beleid, documentatie, rollen en verantwoordelijkheden) voor het leveren van IT diensten. Het geeft vooral beheersdoelstellingen en eisen voor de ITIL support en delivery processen. IT Governance komt niet aan de orde in deze standaard.

De normen uit deze standaard worden gebruikt om naleving van ITIL aan te tonen.

ISO 20000 – IT Service Management Model

3.2.5. Standard of Good Practice for Information Security

De Standard of Good Practice for Information Security (StGP) is opgesteld door het Information Security Forum⁵. Het ISF is een organisatie waarin momenteel meer dan 270 bedrijven

vertegenwoordigd zijn. Deze leveren via onderzoeksprogramma’s een bijdrage aan de ontwikkeling van best-practices voor informatiebeveiliging en informatie risico management.

De StGP is sterk gebaseerd op COBIT, ITL en ISO 27001. De standaard is ingedeeld in vijf domeinen die ieder op een specifieke omgeving betrekking hebben. Deze domeinen zijn:

• security management,

• kritische bedrijfstoepassingen,

• computerinstallaties,

• netwerken en

• systeemontwikkeling.

De domeinen zijn onderverdeeld in aandachtsgebieden die vervolgens zijn opgedeeld in secties. Kenmerkend voor de StGP is dat normen gerelateerd worden aan principes. Voor iedere sectie binnen de standaard is een principe en een doelstelling gedefinieerd. Het principe geeft daarbij aan wat er door middel van het nemen van maatregelen geborgd dient te worden.

De doelstelling geeft aan waarom dit noodzakelijk is.

5 Standard of Good Practice for Information Security – www.isfsecuritystandard.com Management Responsibilities

Request for Change Business Requirements

Customer Requirements

Service Desk

Plan service management

Implement service management

Monitor, measure and review

Continious improvement

Business results

Customer satisfaction

New or changes service Other processes e.g.

business, supplier, customer Team and people

satisfaction Manage services

Other processes e.g.

business, supplier, customer

Other Teams e.g.

Security IT operations

(17)

3.3. Normenkaders van klanten, wet en regelgeving

Zoals in hoofdstuk 2 is aangegeven baseren klanten zich bij de samenstelling van hun normenkaders op de voor hun omgeving van belang zijnde standaarden en regelgeving

Onderstaand overzicht is een niet gelimiteerde opsomming van verschillende richtlijnen waarop klanten in verschillende sectoren hun normenkades baseren en waarmee Getronics op dit moment geconfronteerd wordt:

Overheid • Voorschrift Informatiebeveiliging Rijksoverheid (VIR )

• Eisen standaard niveau Informatiebeveiliging (Esnib )

• Platform Informatiebeveiliging - Basisnormen Beveiliging en Beheer ICT- infrastructuur

• VIR-Bijzondere Informatie (VIR-BI)

Financieel • Regeling Organisatie en Beheersing (ROB)

• Nederlandse Vereniging van Banken – Toetsingskader (IT) – Outsourcing

• Basel II

Industrie • Food and Drugs Administration (FDA)

Defensie • Algemene Beveiligings Eisen Defensie Opdrachten (ABDO )

• International Traffic in Arms Regulations (ITAR )

Naast deze branche-specifieke eisen zijn er eisen die voortkomen uit nationale wetgevingen. De Wet Bescherming Persoonsgegevens stelt eisen aan de verwerking en opslag van

persoonsgegevens. De Wet Computer Criminaliteit II stelt eisen aan de inrichting van de

technische infrastructuur. Uit Sarbanes-Oxley komen eisen voort ten aanzien van de verwerking en opslag van financieel gerelateerde gegevens.

3.4. Samenvatting

In het onderzoek van Wesselink/Dros is geconcludeerd dat de meest gebruikte standaard normenkaders en best practices rule-based zijn opgezet. Wij onderschrijven dit. De hiervoor beschreven standaarden en normenkaders zijn, met uitzondering van de StGP, niet principle- based, maar bieden genoeg aanknopingspunten voor de definitie van principes. Deze

standaarden worden door al onze klanten en binnen alle branches gebruikt om invulling te geven aan normenkaders. ISO 27001 en ITIL worden daarbij het meest gebruikt.

(18)

4. Van doelstelling naar principes

In dit hoofdstuk zullen wij uiteenzetten hoe wij uitgaande van de in hoofdstuk 2 genoemde uitgangspunten voor de WMS diensten komen tot beheersdoelstellingen. Deze

beheersdoelstellingen zullen de basis vormen voor de voorgestelde verzameling van principes.

In hoofdstuk 5 zullen wij uitgaande van deze beheersdoelstellingen principes formuleren.

Wij starten in paragraaf 4.1 om uit te leggen dat er een samenhang is tussen principes en doelstellingen en waarom wij vinden dat beheersdoelstellingen een belangrijke basis vormen voor onze principes. In paragraaf 4.2 zetten wij de te nemen stappen onder elkaar hoe van uitgangspunten naar beheersdoelstellingen te komen. Vervolgens leggen wij in de

daaropvolgende paragrafen uit hoe wij volgens de stappen uit paragraaf 4.2 zijn gekomen tot een verzameling van beheersdoelstellingen.

4.1. Samenhang tussen principes en doelstelling Het woordenboek geeft de volgende definitie van een principe:

prin'cipe -s grondbeginsel, vaste stelregel In de literatuur wordt het begrip principe gedefinieerd als:

Een fundamentele waarheid of wet als de basis voor redenering of actie.

Een principe drukt een richtlijn uit voor het uitvoeren van acties en handelingen die bijdragen tot het verwezenlijken van een doelstelling. In de literatuur bestaat er geen eenduidigheid over de wijze waarop principes worden geformuleerd of gedefinieerd. Principes worden op verschillende manieren uitgedrukt, soms door een woord, soms door een zin. De manier waarop wij principes zullen formuleren wordt uitgewerkt in paragraaf 5.1.

Om de samenhang tussen principes en doelstellingen te vinden, hebben wij de opzet van verschillende “code of practices” onderzocht ( o.a. [Beasley en Wright, 2001], [Ritchie, McDougall, Haggith en Burford, 2000] ). Het blijkt dat bij de opzet van een “code of practice”

uitgegaan wordt van een hiërarchie van verschillende elementen die gegroepeerd zijn rondom verschillende thema’s. Dit deelonderzoek heeft gerechtvaardigd dat er een samenhang is tussen doelstellingen, principes en normen. In de volgende paragraaf vindt u een korte samenvatting van de resultaten van dit deelonderzoek terug.

(19)

Code of Practice

Bij veel gevonden voorbeelden van een Code of Practice is er een indeling gemaakt gebaseerd op de elementen Doelstelling, Principe, Criterium, Indicator en Bewijs. In onderstaande tabel is een nadere omschrijving met voorbeeld van de elementen opgenomen.

Element Omschrijving

Doelstelling: Een conditie of status welke bereikt en gehandhaafd dient te worden;

Voorbeeld: To ensure that changes are applied correctly and do not compromise the security of the installation.

Principe: Een regel waaraan voldaan zal worden om een bijdrage te leveren aan het behalen van één of meerdere doelstellingen;

Voorbeeld: Changes to any part of the computer installation should be tested, reviewed and applied using a change management process.

Criterium: Een conditie waaraan voldaan moet worden om in overeenstemming te kunnen zijn met het principe. Een criterium is op te vatten als een norm;

Voorbeeld:

Criterium 1:the potential impact of changes , including security impacts, shall be assessed;

Criterium 2: changes shall be formally approved;

Criterium 3: authorized users shall formally accept changes;

Indicator: Een attribuut of eigenschap die gemeten kan worden en op basis waarvan is vast te stellen dat aan het criterium voldaan wordt;

Voorbeeld: %changes formaly approved, % changes formally accepted Bewijs: Informatie of observatie welke aan toont dat aan het criterium wordt voldaan.

Voorbeeld: formaly accepted changes > 95% from sampled registered changes

Door het verzamelen van bewijs of procesgegevens wordt gemeten (indicator) of aan de normen (criteria) voldaan wordt. De normen geven invulling aan de regel (het principe) waarmee de doelstelling verwezenlijkt wordt.

Het verwezenlijken van een doelstelling is onderhevig aan bedreigingen die een risico vormen. Voor het mitigeren van deze risico’s worden

beheersdoelstellingen bepaald.

Deze beheersdoelstellingen vormen het startpunt van een IT-

audit, te weten het opstellen van een stelsel van principes en daarvan afgeleid normenkader.

Principe 1

C 1.1 C 1.2 C 1.3

I 1.2.1 I 1.3.1 I 1.3.2 I 1.3.3 I 1.3.4

B B B

B B

B B B

B B

B B I 1.3.4

I 1.3.3 I 1.3.2

Doel 1

Principe 2

(20)

4.2. Stapsgewijs van uitgangspunt tot beheersdoelstelling

Wij geven in deze paragraaf de stappen weer die wij genomen hebben om te komen tot de verzameling beheersdoelstellingen. In de paragrafen 4.3 t/m 4.6 worden de resultaten van de genomen stappen weergegeven.

Wij hebben de stappen 1 t/m 6 gedefinieerd om te komen van uitgangspunten tot

beheersdoelstellingen. In hoofdstuk 5 zullen wij overgaan tot het formuleren van de principes en de indeling van de principes in het OBB model (stap 7 en stap 8).

Overzicht te nemen stappen:

1. Bepaal de doelstellingen waarop de WMS dienst is gebaseerd;

2. Wijs concrete business attributen toe aan de gekozen doelstellingen;

3. Selecteer de business doelstellingen van CobiT die aansluiten bij de business attributen;

4. Selecteer de COBIT IT doelstellingen die passen bij de CobiT business doelstellingen;

5. Selecteer de COBIT specifieke beheersdoelstellingen binnen IT processen die gerelateerd zijn aan de COBIT IT doelstellingen;

6. Completeer de COBIT IT doelstellingen met doelstellingen uit ISF en ISO 27001 standaard;

7. Formuleer principes passend bij de geselecteerde doelstellingen uit de gehanteerde standaarden;

8. Deel de principes in volgens het OBB model.

Toelichting stap 1 en stap 2.

De principes dienen te zijn afgeleid van de uitgangspunten die Getronics en klanten nastreven voor de Workspace Management Services. Deze uitgangspunten vinden hun oorsprong in bijvoorbeeld business eisen, contract eisen, leveranciers eisen en eisen vanuit wetgeving. Om tot een coherent stelsel van principes te komen, dienen deze uitgangspunten zo concreet mogelijk gemaakt te worden. Wij kiezen ervoor om volgens de aanpak van SABSA [ Sherwood, 2005] de in hoofdstuk 2 genoemde uitgangspunten te concretiseren. Wij kiezen voor SABSA, omdat deze methodiek concrete handvaten geeft om kwaliteitaspecten te koppelen aan doelstellingen.

Het SABSA model biedt een gestructureerde aanpak om uitgaande van business doelstellingen te komen tot een definitie van een informatiebeveiligingsarchitectuur. Deze business

doelstellingen worden door SABSA aangeduid als de business drivers. Vervolgens wordt er aan iedere business driver één of meerdere aspecten toegekend. Deze aspecten maken de

business drivers concreet en het behalen van deze business drivers meetbaar. De aspecten worden door SABSA aangeduid als business attributes.

(21)

SABSA hanteert een standaard verzameling van veel voorkomende business attributen. Deze zijn ingedeeld in zeven categorieën (zie Appendix IV):

• Gebruikers Attributen – gebruikers wensen en eisen;

• Management Attributen – het besturen en beheersen van een systeem;

• Operationele Attributen – de dagelijkse operationele eisen;

• Risk Management Attributen – eisen met betrekking tot bedrijfsrisico’s;

• Wet en Regelgeving Attributen – eisen met betrekking tot naleving;

• Technische Strategie Attributen – eisen met betrekking tot de technische architectuur;

• Business Strategie Attributen – stuur informatie voor het bestuursorgaan.

Onderstaand voorbeeld zoals gegeven in [Sherwood, 2005] laat zien hoe, op basis van een doelstelling (business driver), een specifiek business attribuut gekozen wordt. Vervolgens wordt binnen de context van de bedrijfsactiviteiten het business attribuut gedefinieerd.

Business Driver Maintaining the privacy of personal and business information that is stored, processed and communicated by XYZ systems

Business Attribute

Privacy Definition

business attribute

The privacy of customer information should be protected in accordance with relevant privacy or ‘Data Protection’ legislation in each country where XYZ operates, and so as to meet the reasonable expectations of the customers for privacy of their information. Unauthorized disclosure should be prevented and attempted unauthorized disclosure should be reported Toepassing van business attributen betekent dat naast uitsluitend relevante principes

gedefinieerd worden, ook dat de naleving van deze principes wordt aangetoond, en daarmee het behalen van doelstellingen meetbaar wordt gemaakt.

Toelichting stap 3 t/m stap 6

Door toepassing van SABSA in stap 1 en stap 2 kunnen wij business attributen koppelen aan de uitgangspunten van de Workspace Management diensten. Op basis van deze business attributen kunnen wij de control objectives en key controls uit COBIT selecteren die relevant zijn voor het stelsel van principes waar wij naar op zoek zijn.

(22)

4.3. WMS doelstellingen

Uit het Getronics jaarverslag 2005 hebben wij de verzameling van business drivers kunnen extraheren voor de Workspace Management Services. Deze zijn daarin als volgt weergegeven:

• De werkomgeving o is veilig;

o wordt goed beheerd;

o is continue beschikbaar;

o beschikt over optimaal presterende applicaties.

• De dienst Workspace Management Services o is flexibel;

o bezit hoog aanpassingsvermogen;

o wordt op een gecontroleerde en consistente manier geleverd;

o is hoogwaardig en essentieel;

o wordt ondersteund door diepgaande technische kennis en expertise;

Gezien de gegeven onderzoekstijd zullen wij ons beperken tot het vaststellen van de business attributen kenmerkend voor de volgende expliciet gestelde business drivers.

• Een veilige werkplek;

• Een goed beheerde werkplek;

• Een continue beschikbare werkplek.

Wij hebben bewust voor deze drie business drivers gekozen, omdat deze drivers voor een IT auditor het meest gangbaar zijn.

Aangezien Getronics bovenstaande business drivers dient te realiseren door middel van het leveren van een dienst voegen wij hier de volgende impliciet gestelde business drivers aan toe:

• De geleverde dienst is veilig;

• De geleverde dienst is beschikbaar;

• De door Getronics gebruikte infrastructuur voor de levering van de dienst is veilig;

Zoals eerder aangegeven zullen wij ons beperken tot de diensten Network Services en System Services.

4.4. WMS Business Attributen

Aan de hand van SABSA zijn wij tot een verzameling van generieke business attributen gekomen voor de doelstellingen veilig, beschikbaar en goed beheerd ( zie volgende tabel). Zij zijn niet specifiek geplaatst binnen het OBB model. Iedere attribuut is namelijk opnieuw te definiëren als deze binnen de verschillende lagen van het OBB model geplaatst wordt. In de eerste kolom staan de business attributen uit SABSA die wij van toepassing vonden gezien de eerder genoemde business drivers, in de tweede kolom staat onze definitie/omschrijving van de business attribuut.

(23)

Veilig

Confidential Ongeautoriseerde openbaarmaking van informatie wordt voorkomen;

Ö Private De privacy van persoonlijke informatie zal overéénkomstig de wet worden beschermd;

Integrity Ongeautoriseerde acties ( wijzigingen en verwijderingen) wordt voorkomen;

Ö Identified Alle personen die toegang hebben worden uniek geïdentificeerd;

Alleen acties welke expliciet zijn toegestaan zullen worden uitgevoerd;

Alleen geautoriseerde personen krijgen toegang tot systemen;

Ö Authorized

Netwerkverkeer zal alleen worden toegestaan indien geautoriseerd door een firewall;

Alleen die personen wiens identiteit geverifieerd kan worden kunnen geautoriseerd worden om acties uit te voeren;

Ö Authenticated

De identiteit van beheerders dient op basis van two-factor authentication te worden vastgesteld

Beschikbaar

Available Het object zullen volgens het afgesproken niveau in de Service Level Agreement beschikbaar zijn

Ö Resilient Kritieke systemen en netwerk componenten zijn robuust en betrouwbaar en worden dubbel uitgevoerd.

Ö Recoverable Het object is na een calamiteit herstelbaar binnen de in de Service Level Agreement afgesproken periode;

Ö Continuous Het object is bij voortduring zonder onderbreking beschikbaar;

Goed beheerd

Effective Maatregelen en activiteit dragen in hoge mate bij aan de doelstellingen van zowel de klant als van Getronics;

Ö Controlled Management zal bewaken dat de gedefinieerde doelstellingen worden gerealiseerd en bij afwijkingen corrigerende maatregelen treffen;

Ö Measured De performance van de dienst wordt gemeten volgens de in de SLA afgesproken indicatoren. De waarde van de indicatoren worden aan de klant, als input voor zijn review proces, gerapporteerd;

Ö Owned Alle objecten en processen zijn toegewezen aan een eigenaar;

Ö Segregated Fraude gevoelige activiteiten worden middels functie scheiding voorkomen;

Ö Educated Medewerkers van Getronics zijn bekwaam voor de uitvoering van hun taken;

Ö Monitored Activiteiten en veranderingen worden bewaakt;

Compliant Bij de inrichting van processen, procedures en systemen zullen alle van toepassing zijnde wetgeving, contracten, beleidsrichtlijnen en verplichte standaarden worden nageleefd.

Ö Accountable Alle door personen uitgevoerde acties kunnen worden verantwoord;

Ö Auditable De acties uitgevoerd door geautoriseerde personen en de resultaten van deze acties zijn vastgelegd;

Efficient De kosten die worden gemaakt voor het uitvoeren van maatregelen en activiteiten staan in juiste verhouding met de opbrengsten;

4.5. COBIT Business Doelstellingen en IT processen

De volgende stap is het bepalen van de COBIT IT processen die gerelateerd zijn aan de vastgestelde business attributen. Het is niet onze bedoeling om hierbij compleet te zijn, maar om vooral de aanpak te schetsen die gevolgd wordt. Wij zullen ons voornamelijk concentreren op die beheersdoelstellingen die volgens COBIT primair gerelateerd zijn aan de COBIT aspecten confidentiality, integrity en availability. COBIT 4.0 biedt in zijn Appendix I een manier om

business doelstellingen te vertalen naar IT doelstellingen en IT processen. Deze vertaling is in dit document opgenomen in Appendix V en VI. De COBIT werkwijze biedt ons een

(24)

gestructureerde manier om de Getronics doelstellingen te vertalen naar IT processen van belang voor de WMS dienst. Daarvoor dienen wij de Getronics doelstellingen te plaatsen naast de COBIT doelstellingen. Dit is weergegeven in onderstaande tabel.

Getronics Goal

COBIT IT Goal

COBIT Process

PO2 Define the Information Architecture veilig 4 Optimise the use of information

Account for and protect all IT assets DS11 Manage Data

PO9 Assess and manage risks DS5 Ensure System Security DS9 Manage the Configuration veilig 14 Account for and protect all IT assets

DS12 Manage Physical Environment veilig

beschikbaar 18 Establish clarity of business impact of

risks to IT objectives and resources PO9 Assess and manage risks DS5 Ensure System Security DS11 Manage Data veilig 19 Ensure critical and confidential

information is withheld from those who

should not have access to it DS12 Manage Physical Environment veilig 20 Ensure automated business

transactions and information exchanges can be trusted

DS5 Ensure System Security

DS4 Ensure continuous service beschikbaar 21 Ensure IT service can properly resist

and recover from failures due to error,

deliberate attack or disaster DS12 Manage Physical Environment AI6 Manage changes DS4 Ensure continuous service beschikbaar 22 Ensure minimum business impact in

the event of an IT service disruption or

change DS12 Manage Physical Environment

beschikbaar 23 Make sure that IT services are

available as required DS4 Ensure continuous service AI6 Manage changes veilig 26 Maintain the integrity of information and

processing infrastructure DS5 Ensure System Security

PO4 Define the IT Processes, Organisation and Relationships

beheerd 2 Respond to governance requirements in line with board direction

ME1 Monitor and Evaluate IT Performance Opgemerkt dient hier te worden dat wij, door COBIT als leidraad te nemen, geenszins aannemen hiermee alle aspecten ten aanzien van de doelstellingen in kaart gebracht te

hebben. Om uiteindelijk compleet te zijn in ons stelsel van principes zullen wij alle doelstellingen in de drie marktstandaarden en de normenkaders van klanten moeten betrekken bij onze

aanpak.

(25)

4.6. COBIT beheersdoelstellingen, ISF maatregelen en ISO 27001 maatregelen Voor alle IT processen worden door COBIT beheersdoelstellingen geformuleerd. Door de relatie tussen de COBIT beheersdoelstelling en de business attributen aan te brengen kunnen wij de doelstellingen bepalen die voor de formulering van de principes van belang zijn. Door tevens de gerelateerde ISF en ISO 27001 relaties aan te brengen zijn wij instaat op basis van de teksten in deze drie standaarden principes te formuleren. De principes zijn weergegeven in Hoofdstuk 5.

Business Attribuut

COBIT 4.0 ISF ISO 27001

Segregated PO4.11 Segregation of Duties A.10.1.3 Segregation of duties PO6.5 Communication of IT

Objectives and Direction

SM1.1 Management Commitment

5.1 Management commitment DS5.1 Management of IT

Security

DS5.2 IT Security Plan SM1.2 Security Policy A.5.1.1 Information security policy

Controlled

PO4.8 Responsibility for Risk, Security and

Compliance

SM2.3 CI5.1 NW4.1

Local security co- ordination SM.2.4

CI5.1 Security Awareness A.8.2.2 Information security awareness, education and training Educated DS7 Educate and Train

Users

SM2.5 Security education Confidentiality

Availability PO2.3 Data Classification

Scheme SM3.1 Security classification A.7.2 Information classification Auditable

Accountable

4.3.3 Control of Record Confidentiality

Integrity Availability Compliance

PO9 Assess and Manage

Risks SM3.3 Information risk

analysis 4.2.1 Risk analysis

Private SM4.2 Information privacy

Controlled

Owned PO4.9 Data and system

ownership SM3.2 Ownership A.7.1.2 Ownership of assets Availability DS9 Manage the

Configuration SM4.3 Asset Management A.7.1.1 Inventory of assets DS12 Manage the physical

environment

SM4.4 Physical protection A.9.1 Secure areas DS12.3 Physical Access CI2.8 Physical Access

DS11 Manage Data CI3.2 Back-up A.10.5 Back-up

A.10.1.2 Change Management AI6 Manage Changes CI3.3 Change Management

A.12.5.1 Change control procedures Availability

Integrity

DS10 Manage Problems

Confidentiality

Integrity DS5.9 Malicious Software Prevention, Detection and Correction

SM5.1 Virus protection A.10.4 Protection against malicious and mobile code

Availability

Continuity DS4 Ensure Continuous

Service SM4.5 Business Continuity A.14.1 Information security aspects of business continuity

management

(26)

Business Attribuut

COBIT 4.0 ISF ISO 27001

AI3.2 Infrastructure Resource Protection and

Availability

DS5.5 Security Testing, Surveillance and Monitoring

CI1.4 System Monitoring A.10.10 Monitoring

DS1 Define and Manage

Service Levels CI1.2 Service agreements Monitored

DS3 Manage Performance

and Capacity A.10.3.1 Capacity

Management DS5.3 Identity Management

DS5.4 User Account Management

CI4.2 User Account

Management A.11.2 User Access

management Authorized

CI4.1 Access control

arrangements A.11.1 Business requirement for access control

Op basis van de beheersdoelstellingen uit de drie gebruikte standaarden zouden wij nu in staat moeten zijn om te bepalen wat er als regel dient te gebeuren om invulling te geven aan de beheersdoelstelling. Als voorbeeld werken wij een principe uit voor het attribuut educated. Op gelijke wijze zullen wij al onze principes definiëren.

CobiT DS7 ISF SM2.4 ISO 27001 A.8.2.2

Ensure effective and efficient use of applications and technology solutions and user compliance with policies and procedures

To ensure all relevant individuals understand the key elements of information security and why it is needed, and understand their personal information security responsibilities.

Means a clear understanding of IT user training needs, execution of an effective training strategy and measurement of the results

Specific activities should be undertaken, such as a security awareness programme, to promote security awareness to all individuals who have access to the information and systems of the enterprise.

All employees of the organization and, where relevant, contractors and third party users shall receive appropriate awareness training and regular updates in organizational policies and procedures, as relevant for their job function.

Principe

Educated: All employees and contractors of Service Provider SHALL receive appropriate training and regular updates in organization policies and procedures to ENSURE they understand their personal information security responsibilities and to ENSURE the effective and efficient use of applications and technology.

4.7. Samenvatting

Wij hebben door de stappen 1 t/m 6 uit te voeren de uitgangspunten van Getronics voor de dienst Workspace Management Systemen weten te koppelen aan relevante

beheerdoelstellingen. Ons uitgangspunt is dat wij nu voldoende basis hebben om vanuit de geformuleerde beheersdoelstellingen principes te definiëren. De definitie van een principe is verder uitgewerkt in hoofdstuk 5.