Van Rule based naar Principle based IT Audit En hoe leiden wij hiervoor op?

Transcriptie

1 Van Rule based naar Principle based IT Audit En hoe leiden wij hiervoor op? Ronald Paans vrije Universiteit amsterdam 14 november 2006 File: Principle based IT Audit RP 2006 Noordbeek B.V. Tel Inhoud Inhoud Wat verwacht de markt van de IT-auditor en een post graduate opleiding? Hoe ziet de collegestof er uit om daaraan te voldoen? Inzoomen op het nieuwe tweede jaar Wat zijn de moderne speerpunten? Klant versus leverancier + binnen leverancier: goed huisvader en heldere ontkoppelvlakken Gebruik van standaard normenkaders en maatregelenkaders Vind niet zelf het wiel uit! 2 1

2 Profiel van het beroep NOREA Beroepsprofiel Een gekwalificeerde IT-auditor geeft onpartijdige oordelen en adviezen over de kwaliteitsaspecten van IT De kwaliteitsaspecten zijn, mede vanwege de maatschappelijke relevantie, hoog en betreffen effectiviteit, efficiëntie, exclusiviteit, integriteit, controleerbaarheid, continuïteit en beheersbaarheid De IT-auditor handelt in rechtstreekse opdracht van het (top)management, maar kan ook bijstand verlenen aan een (interne dan wel externe) accountant De oordelen hebben betrekking op de volgende IT-objecten: informatiestrategie, management van informatie en informatietechnologie, informatiesystemen, technische systemen, processystemen en operationele ondersteuning. Bron: Jaarboek 2006/2007 NOREA 3 Kennis Basiscompetenties Het beroep van IT-auditor vereist deskundigheid op het gebied van informatietechnologie, bestuurlijke informatievoorziening en organisatiekunde Verder hebben IT-auditors kennis van methoden en technieken voor onderzoek, toetsing en risicoafweging Bovendien hebben zij ervaring op het gebied van IT-kosten en hebben zij specifieke deskundigheid van toepassingsgebieden 4 2

3 Vereist opleidingprogramma NOREA eisen aan opleidingsprogramma, o.a. Informatiestrategie en informatiemanagement Informatiesystemen Technische systemen Automatiseringsondersteuning Aandacht dient te worden besteed aan De functionaliteit op operationeel, tactisch en strategisch niveau De daarin toegepaste technologie en procedures De beheersmaatregelen De (IT-)specifieke risico s en kwaliteitsaspecten De wijze waarop de maatregelen kunnen worden getoetst op bestaan en werking De (compenserende en aanvullende) controle- en beheersmaatregelen vanwege het advies aan de organisatie hieromtrent 5 Relatie naar opleiding Beroeps- en en opleidingsprofiel van van NOREA Actualiteit van van het het beroep Doelstellingen van van de de opleiding(inclusief speerpunten en en verdiepingen) Eindtermen van van de de opleiding Programma // modules van van de de opleiding Bron: NOREA Statuut visitaties RE-opleidingen, 14 maart

4 De VU opleiding VU (geen Post Master, geen Post Initieel etc.) Filosofie: bouwstenen informatie in eerste jaar (BIV, auditing) en tweede jaar (techniek, audit van techniek, beheer), integratie in het derde jaar Eerste jaar is reeds gemoderniseerd Opzet tweede jaar wordt geheel herzien in dit collegejaar 2006/2007 Herstructurering derde jaar is afgerond Examinering is vervangen door een scriptie Visitatie en accreditatie door NOREA is afgerond Titel: Executive Master in IT Auditing (MSc accreditatie is nog niet mogelijk doordat de wetgever nog bezig is met het Post Graduate Onderwijs) 7 Opzet en structuur VU colleges STRUCTUUR Eerste jaar (januari juni) Primair de inrichting van de administratieve organisatie en interne controle. Komt overeen met de betreffende modules in de post graduate opleiding voor registeraccountant Tweede jaar (september mei) Technische vaardigheden en beheer van IT, c.q. kennis die IT auditor zich eigen moet maken voor beroepsuitoefening Derde jaar (september mei) Samenbrengen van de verschillende competenties die tot dan toe zijn opgedaan Leerdoelstelling: integratie tussen de bestuurlijke informatie verzorging, auditing, techniek en het praktische kader van de beroepsuitoefening van de IT auditor 8 4

5 Jaar 1 Jaar 2 Overzicht VU leerplan Jaar 3 Organisatie Inleiding audit Audit benadering Techniek Techniek Audit Applications ERP etc. Midrange DBMS Web Small, C/S TCP/IP Firewall Mainframe Network Tools Applicaties Controls Beheer Integratie Administratieve Organisatie en Controleleer Handel Industriële Dienstverlening Financiële Overheid bedrijven instellingen Groothandel Massa/Stuk G beweging Publiek Detail Productie Ruimten Bank Privaat Diensten Verzekering 9 Tweede jaar Module (5) (5) Introductie IT IT audit Module (11) (11) Techniek en en audit van van platformen Hardware base base Operating system system Logical Logicalsecurity XP/ case case Middleware C Unix Unix + case case i5/os i5/os = AS/400 AS/400 Physical security Totaal 37 dagen Module (11) (11) Techniek en en audit van van datacommunicatie OSI OSI model model C Netwerk architecturen Cryptografy LAN, LAN, TCP/IP TCP/IP Firewall Wireless, , , VOIP VOIP Web Web architecturen Security beheer beheer Casus C Casus C Module (11) (11) Inrichting en en audit van van IT IT beheer CobiT CobiT ITIL ITIL Tactical processes: SLM, SLM, costing costing and and charging, security C Operational processes: change, change, incident and and problem management Project Project risk risk management Information system system development Application controls Sourcing, SOx SOx and and SAS SAS Case: Case: Outsourcing Risk Risk management = Tentamencasus uitwerken 10 5

6 Rode lijn in tweede jaar Rode lijn in tweede jaar Code voor Informatiebeveiliging (Code of Practice, ISO / ISO 27002) voor maatregelen US standard NIST Recommended security controls for federal information systems voor normen Module IT audit: aanpak van audit en rapportage Module Platformen: matrix benadering en het faciliteren van applicaties als doelstelling Module Datacom: hoe ziet de moderne web wereld er uit en hoe vorm je daar een oordeel Module Inrichting en audit van beheer: CobiT, ITIL, (project) risk management, applicatie ontwikkeling, applicatieve controls, outsourcing 11 Module 2.1 Module 2.1 (5) Module: IT Auditing Module 2.1 (5) Introductie Studenten hebben weinig ervaring met IT IT audit audit Module opdrachtuitvoering en rapportage Module Module Module (11) (11) (11) (11) Techniek Techniek en en audit audit 5 weken aan begin 2 de Techniek Techniek en en van van jaar audit audit van van datacommunic datacommunic platformen Basisbegrippen platformen atie atie Workshop Intake en opdrachtformulering Normenkader Bevindingen omschrijven Concept rapport Afstemmen met auditee Eindrapport Leerdoelstelling: Het klassieke ambachtelijke werk aanleren van scope, kwaliteitsaspecten, normen opstellen, toetsen, negatieve en positieve bevindingen vastleggen, risico s inschatten en aanbevelingen opstellen Ervaring in 2006/2007: Meer individuele coaching nodig Module Module (11) (11) Inrichting Inrichting en en audit audit van van IT IT beheer beheer 12 6

7 Module 2.2: Matrix benadering voor Platformen Basis: Hardware OS Access Control Mechanieken: I/O: schijf + logging I/O: netwerk Middleware Webarchitecturen Java,.NET, etc. Faciliteren van Applicaties 13 Why should an IT-auditor know something about hardware & OS? Strength of controls Controls form a column. When the control is located lower, it is more effective and has more strength User controls Enforce compliance / strength Application controls Controls in middleware Controls in operating system Controls in hardware Place of control Examples: Supervisor Mode versus Problem Program Mode Measures for disk I/O Multiple virtual storage etc. 14 7

8 Internal controls voor jaarrekening Controllers Internal Audit Verantwoordelijk: CFO Accountant Etc. Administratieve processen in administratieve afdelingen Informatiesystemen Applicatieve controls IT technische en organisatorische infrastructuur General IT controls Jaarrekening User controls: functiescheiding, aansluitingen, netwerk van controletotalen, etc. Een deficiëntie in de General IT controls mag de effectiviteit van de User controls niet verstoren! 15 The model for OS THE MODEL FOR THE OPERATING SYSTEM The hardware and operating system provides all the functionality required to execute applications Network Transport Task management Spooling system WORK The application OS support Security I/O Virtual memory management Logging 16 8

9 Modules 2.3 en 2.4 Gebruikers Web-omgeving Bedrijfsprocessen AO/IC Bedreigingen Interne kwaliteit (web based) Applicaties Hoe beheerst men het: ITIL Hoe bouwt men het en welke controls zitten waar Wat kost het en wat levert het op (uit oogpunt IT Auditor) 17 Modules 2.3 en 2.4 Web-omgeving Bedreigingen in de moderne e-wereld, is uw webomgeving er klaar voor? (web based) Applicaties Outsourcing: SOx en SAS70 Offshoring: SO + exploitatie draait nu ergens anders Certificering 18 9

10 Motto: Van rule based naar principle based Motto: Van rule based naar principle based IT Audit was van oudsher een ambachtelijk beroep, gebaseerd op gedegen normenkaders en lange werkprogramma s IT-audit-rapporten blonken uit door degelijkheid en omvang (en saaiheid) Wij leren onze studenten en juniors nog steeds deze aanpak Maar er moeten ook andere methoden zijn om tot een deugdelijke grondslag te komen voor de oordeelsvorming over de kwaliteit van IT Niet alleen moet het vak leuk blijven, maar ook efficiënt en effectief, leidend tot een helder oordeel over wat wel en wat niet goed is 19 Jurassic IT: ontstaan van de IT kwaliteitseisen JURASSIC IT Mainframes: in 1950 was de verwachting dat één mainframe voldoende was voor Europa Begonnen met de Closed Shop Toepassingen: administratie en wetenschappelijk berekeningen Integriteit en vertrouwelijkheid snel onder controle Beschikbaarheid was de belangrijkste zorg HISTORY: IBM Model 1620 (1959) Decimal variable word length No general registers, to sum numbers a table was used Memory 60 k Price: $ (some delivered) 20 10

11 Jurassic IT audit ONTSTAAN VAN IT AUDIT IT audit is langzaam gegroeid vanuit de accountancy Zij controleerden de boekhouding en AO/IC, en zagen die langzaam de computer inschuiven Eerste poging begin 80er jaren: AC-accountant (AC = Accountant en Computer) Vooral kopiëren van bestanden uit het mainframe en op eigen computer met eigen software de boekhouding controleren ANALYSE KOPIE Dit was de Jurassic IT Audit 21 Het hulpmiddel van de Jurassic IT audit De Nederlandsche Bank: Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen 20 september 1988 Bijna een normenkader: Sectie 5, B, 2.9: Beveiligen van gevoelige informatie tijdens transport tegen ongeautoriseerd raadplegen of veranderen (datatransmissie met behulp van communicatienetwerken, tapetransport, transport van PC-gegevensdragers enz.) Ideaal hulpmiddel voor het afvinken, en de basis voor vele DNB-gesprekken met bankdirecties, interne en externe accountants, en IT-auditors In die tijd: alles werd uitgebreid uitgeschreven soms werd dat vooral papieren veiligheid ( rule based) 22 11

12 Rule based RULE BASED in detail alles voorschrijven Voorbeeld, NAVO standaard voor informatieclassificatie Art Aangetekende brieven met aangegeven waarde mogen niet ter verzending worden aangeboden, indien het adres met potlood is geschreven het adres is opgeplakt het adres met de schrijfmachine is geschreven en door onderstreping een snee in het papier is ontstaan vensterenveloppen zijn gebruikt de postzegels en de op de postdienst betrekking hebbende stroken zonder enige tussenruimte naast elkaar zijn opgeplakt of over twee zijden van de verpakking zijn gevouwen de vermelding van het bedrag van de aangegeven geldswaarde met potlood of inktpotlood is geschreven etc. 23 Rule based versus Principle based RULE BASE versus PRINCIPLE BASED RULE BASED geeft geen ruimte voor eigen initiatief en eigen verantwoordelijkheid Alles wordt voorgeschreven, dus men wacht op instructies. Men pakt niets vooraf op, want het zal toch wel niet mogen volgens de regeltjes. Audit is hierbij vooral afvinken Moderne aanpak voor Corporate Governance behaal op verantwoorde wijze de doelstellingen en/of winst en laat zien dat risico s goed worden afgewogen en men in control is Moderne aanpak voor IT Governance zorg voor het leveren van de diensten met de afgesproken kwaliteit en laat zien dat dit op een verantwoorde wijze gebeurd Dit geeft de leiding van IT de ruimte hun business kosteneffectief in te richten volgens hun eigen normen en standaarden Belangrijk: zij moeten kunnen aantonen hoe zij het doen! 24 12

13 Rule based versus Principle based Rule Based Audit Analytische decompositie tot de kleinste details Bevindingen blijven laag hangen in de organisatie Principle Based Audit Meer synthese van detailbevinding tot conclusies over wezenlijke problemen en oplossingen Verbeteringen liggen op hoger niveau binnen de organisatie Men verbetert de control Rule based audit Regel N: goed / fout Principle based audit Bevinding Control Verbetering 25 Moderne IT: ontkoppelvlakken In charge, budgets Knowledge Use User organisation Requirement owner behoeftesteller IV/IM functions End user Requirement Obligation to provide results Contract / SLA Deliver services (verification of agreements) Feedback IV/IM = Informatie Voorziening / Information Management IT organisation Telematica architecture: Translation of functional and quality requirements System development Exploitation RUN BUILD DESIGN 26 13

14 IT service provider (intern of extern) After the requirements are specified correctly, select on basis of costs and quality ( smart buyer ) USER ORGANIZATION(S) CONTRACTS AND SERVICE LEVEL AGREEMENTS One single counter SERVICE PROVIDER(S): Internal or External ONDERLIGGENDE AGREEMENTS (transparent to the users) CYCLE/TRANSPORT PROVIDER(S): Internal or External 27 Ontkoppelvlak Demand en Supply Bedrijfsproces klant IV behoefte Ontkoppelvlak tussen IV behoefte (Demand) en IV functionaliteit en kwaliteit (Supply) Klant Vraagt dienstverlening Kiest o.a. via eigen analyse de gewenste kwaliteit uit kwaliteitsmatrix Bepaalt impact L/M/H Impact analyse Programma van eisen (Demand) Leverancier (Supply): IV functionaliteit en kwaliteit Keuze Vereist minimum - Max duur dataverlies Vertrouwelijkheid - dataclassificatie Aansluitvoorwaarden, Werkafspraken & Procedures Diensten Portfolio + Kwaliteitsmatrix Beschikbaarheid - Percentage - Max down tijd Basis / Midden / Hoge kwaliteit 99,0 % 2 uur 5 /jaar 1 dag 1 /jaar 1 week 0,3 /jaar 8 uur Intern 99,5 % 2 uur 2 /jaar 1 dag 0,5 /jaar 1 week 0,1 /jaar 4 uur Confidentieel 99,9 % 2 uur 1 /jaar 1 dag 0,3 /jaar 1 week 0,01 /jaar Geen Geheim 28 14

15 IT audit vandaag DE IT AUDIT VANDAAG Complexe netwerk infrastructuur die vele bedreigingen kent Gedistribueerde verwerking met vele kopieën van gevoelige gegevens Complexe applicaties met hoge toegankelijkheid Bedrijfsprocessen die steeds meer afhankelijk worden van de IT Hinder van virussen, trojaanse paarden, spyware etc, Mondiale aanpak: waar staan uw gegevens en waar uw applicaties? De kosten van IT liggen onder vuur Meer aandacht van toezichthouders en wetgevers: DNB, AFM, Sarbanes Oxley, etc. Meer risico s voor accountants: claims, imago Krapte op de IT-audit markt: te weinig aanbod van echt ervaren IT-auditors verhoging van de efficiëntie van het IT-audit-vak is dringend nodig 29 De moderne aanpak DE MODERNE AANPAK VAN IT AUDIT Laat het inrichten over aan de vakmensen binnen de IT. Het hoe is minder belangrijk Het principe voor de IT-er Doe wat je zegt Toon aan wat je doet En doe het verantwoord Zij zijn in staat de complexe IT te runnen. Zij zijn ook in staat, mede aan de hand van vele boekjes, de zaak veilig in te richten (in feite het principe van een goed huisvader ) Laat hen een deugdelijk systeem van beveiliging en interne controle inrichten; geef hen de principes, niet de regeltjes Wij als IT auditors moeten toetsen of dat systeem werkt 30 15

16 Het ideaal van de IT-auditor Van het gegevensgerichte vinken Naar een geolied systeem met check and balance Via goed huisvaderschap van de ITers Waar wij ons oordeel over vormen 31 Uitrollen IT Security Beleid IT Security Objectonafhankelijk normenkader (niveau CoP, ISO 27002) Beschrijving objectafhankelijke maatregelenkaders met checks & balances (baseline per objectgroep en add-on) Vaststellen Afstemmen Afstemmen Overleg en toelichting Uitdragen en implementeren Directie Management Werkvloer (goede huisvaders ) IT auditors Uitrollen: top down Zorg dat kaders herkenbaar zijn voor de werkvloer en daar een draagvlak hebben 32 16

17 NIST Objectonafhankelijk normenkader Waarom zelf opstellen, als er goed materiaal op Internet staat (gratis) NIST Recommended security controls for federal information systems NIST = National Institute of Standards and Technology, US Department of Commerce Deze standaard is een bundeling van Code of Practice (ISO 17799), militaire US Standard DoD etc. Pragmatische aanpak, heldere indeling Gaat uit van risico / impact-analyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in driedeling high, moderate en low impact Normen: baseline plus een impact-afhankelijke delta Voordeel: men hoeft niet zelf het normenkader te ontwerpen en het onderhoud wordt daar gedaan

18 Indeling normenkader Bedrijfsprocessen Informatiesysteem Gebaseerd op belang van proces en afhankelijkheid van IT, een impact-classificatie CNTL NR Group Control name Access control Low impact Control baseline Moderate impact High impact AC-1 Access control policies and procedures AC-1 AC-1 AC-1 AC-2 Account Management AC-2 AC-2 (1) (2) (3) (Delta s) AC-2 (1) (2) (3) (4) 35 Groups of controls NIST Groups of Controls 1. Access control 2. Awareness and training 3. Audit and accountability 4. Certification, accreditation and security assessments 5. Configuration management 6. Contingency planning 7. Identification and authentication 8. Incident response 9. Maintenance 10. Media protection 11. Physical and environmental protection 12. Personnel security 13. Risk Assessment 14. System and services acquisition 15. System and communications protection 16. System and information integrity 36 18

19 Examinering aan de VU Schriftelijk slotexamen Er was een theoretisch gedeelte van het slotexamen over de gehele scope van het vakgebied. Dit was tot 2004/2005 een schriftelijk open boek examen Dit is vervangen door de tentamencasussen in het 2 de en 3 de jaar als toetsmomenten tijdens de modules Slotexamen Casus Er was een klassieke slotexamencasus tot 2005/2006: een casusuitwerking van ongeveer 3 uur in de vorm van een schriftelijk examen Deze is vervangen door een scriptie naar eigen keuze, op academisch niveau. Hierbij wordt een praktijkcasus uitgewerkt door 1 of 2 studenten onder begeleiding van een bedrijfsinterne coach en een VU docent Mondeling slotexamen Slotexamen van 1 uur met scriptie als uitgangspositie en verder over collegestof en vakgebied De kandidaat dient individueel blijk te geven van vaardigheden en inzicht in het vakgebied van de IT-auditor 37 Epiloog VAN regels opstellen door IT auditors NAAR principes opleggen en ITers zelf hun eigen regels laten opstellen en invullen EN laten aantonen dat het juist is VIA principle based IT Audit 38 19