6 Auditsoftware onder de loep Chris Wauters en Gert van der Pijl

Transcriptie

1 de EDP-Auditor Colofon De EDP-Auditor is een uitgave van de Nederlandse Orde van Register EDP-Auditors Redactieraad drs. J.P. Harmens RE RA drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA Redactie drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. A.J. Tomas RE RI RO drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) Uitgever Reed Business Information BV Postbus AD Amsterdam Tel.: Abonnementen De EDP-Auditor wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor ,50 excl. btw. De verzendtoeslag voor België bedraagt 6,95 en voor de Nederlandse Antillen en overige landen 21,55. De prijs van losse nummers is 22,60 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business Information BV Postbus 4, 7000 BA Doetinchem Tel.: Fax: klantenservice@reedbusiness.nl Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan de EDP-Auditor. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Elsevier Media Amsterdam Tel.: Fax: info.ema@reedbusiness.nl Geldend advertentietarief Vormgeving Studio Putto bno, De Rijp Inhoud 4 Van de redactie 5 Column Tobias Houwert 6 Auditsoftware onder de loep Chris Wauters en Gert van der Pijl 12 Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens 20 Elektronisch stemmen: een auditperspectief Ed Ridderbeekx 33 CobiT 4, hét Governance raamwerk? Joost van Lier en Ton Dohmen 38 IT-audit training Sonam Delma 41 Ketengovernance Ketensamenwerking binnen het publieke domein Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren 48 Een dag uit het leven van P.A. Schellen RE CISA 50 IT-Audit en het Internet Platform voor informatiebeveiliging Loubna Zarrou 53 Boekbespreking Core concepts of information technology auditing Thomas Wijsman 55 Van de NOREA 2 jaargang

2 Van de redactie Stemmen en raamwerken Ruim voor de zomer bereikt u dit tweede nummer van de EDP-auditor in Zoals zo vaak komt ook in dit nummer de breedte van ons vakgebied weer goed tot uitdrukking. In zijn column maakt Tobias Houwert ons op een speelse manier nog eens duidelijk dat naleving van gedrags- en beroepsregels de continue aandacht van de auditor vereist. Daarna geven Chris Wauters en Gert van der Pijl een overzicht van de stand van zaken rond het gebruik van geautomatiseerde audittools. Het is aardig te zien dat deze tools, die een van de ontstaansredenen van het IT-audit vak vormden maar daarna gedurende lange tijd wat minder aandacht kregen, nu weer aan een opmars bezig zijn. Dit zowel door de toegenomen behoefte om in control te zijn als door de slimme toepassingen op het gebied van forensic auditing. Vincent Jentjens schetst vervolgens een raamwerk voor het inrichten van de informatiebeveiliging. Hij is daarbij zo wijs om niet opnieuw het wiel uit te vinden maar zich te baseren op bekende methoden als ITIL en ASL. Een heel ander onderwerp wordt besproken door Ed Ridderbeekx. Hij beschrijft de beveiligingsproblematiek rond stemmachines en laat zien dat er heel wat maatregelen nodig zijn om te garanderen dat een door u uitgebrachte stem ook daadwerkelijk meetelt. Daarna een sprong naar weer een heel ander onderwerp. Onlangs verscheen een nieuwe versie van CobiT: CobiT 4. In ons vorige nummer wezen we u al op de vele informatie die hierover voorhanden is op de ISACA-website. In dit nummer bespreken Joost van Lier en Ton Dohmen de veranderingen in dit veel gebruikte raamwerk. Himalaya ligt het kleine koninkrijkje Bhutan. Margareth van Biene en Gert van der Pijl verzorgden voor leden van de Royal Audit Authority een cursus IT auditing. Sonam Delma, een van de cursisten, doet verslag van de cursus en geeft daarmee een sfeerbeeld vanuit deze totaal andere cultuur. Tenslotte weer terug naar onze eigen situatie. Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren presenteren het slot van hun driedelige artikelreeks over keten governance. Ze gaan daarbij uitvoerig in op de begrippen keten en ketenaudit. En dan natuurlijk onze vaste rubrieken. Peter-Willem Schellen gunt ons een kijkje in een dag van zijn leven als IT-auditor in Noorwegen. Loubna Zarrou bespreekt de internetsite van het Platform Informatiebeveiliging en Thomas Wijsman deelt zijn visie op het boek Core concepts of information technology auditing. Zoals gezegd, een nummer dat vele facetten van ons boeiende vak bestrijkt. Wij hopen dat u er thuis, met het mooie weer in de tuin, of misschien ook wel ver weg in een mooie nieuwe omgeving, weer veel leesplezier mee zult beleven En dan een stap naar de andere kant van de wereld. Midden in de 4 de EDP-Auditor nummer

3 Column In casu: En Ron stond voor het hekje W at was er allemaal goed gegaan tijdens de laatste opdracht die Ron als verantwoordelijk partner RE RA binnen het accountancy- en advies kantoor REFLEX had uitgevoerd en die een half jaar geleden zo mooi was begonnen op de golfbaan? Ron las opnieuw de brief van de Raad van Tucht. De volgende flarden bleven hangen op zijn netvlies: binnen 20 dagen melden aanklacht aanhoren voorbereiden op de verdediging geen ruchtbaarheid tot na de behandeling van de zaak hoor en wederhoor inschakelen onafhankelijke derde. Het ging om een gecompliceerde security audit van Surrender. In het dossier dat hij had laten opstellen door zijn secretaresse, trof hij de brieven aan waarin de directeur van Energies schreef, dat hij zich genoodzaakt voelde om een klacht in te dienen bij de Raad van Tucht. De opdracht had niet tot een bevredigend resultaat geleid en de directeur van Energies vermoedde een mogelijk conflict of interest. Ron had zijn secretaresse gevraagd om tussen de ongelezen post het laatste jaarboek van Norea te achterhalen. Daarin zou hij in ieder geval de laatste versie van de richtlijnen in het kader van de Attestfunctie vinden en hij hoopte daar iets meer te lezen over wat hem mogelijk te wachten stond als het tot een zaak zou komen bij de Raad van Tucht. Ron had zijn agenda voor vandaag leeggemaakt. Hij noteerde 5 mei op het witte vel dat voor hem lag, Bevrijdingsdag galmde het in zijn hoofd. Het was nu serieus, De Winter, kantoorvoorzitter, was vanochtend al langsgeweest omdat hij geluiden had opgevangen over een op handen zijnde tuchtzaak. Hij had Ron op het hart gedrukt om tijdig contact op te nemen met de juridische afdeling. Ron had De Winter gezegd dat hij dacht dat het niet zo n vaart zou lopen. Om elf uur stak Richard, een van de assistenten, zijn hoofd om de deur: Nog een koffie? Ron keek verschrikt op van zijn bureaublad, zijn gedachten waren afgedwaald door de vele s die zijn mailbox en BlackBerry leken aan te vallen. Ja doe maar een extra sterke bak. Richard deed een stap de kamer in en vroeg: Ron, heb je vanmiddag nog even tijd om naar mijn scirptie te kijken? Ik wil voor de zomer mijn RE-studie afronden, ik heb je de scriptie gisteren g d. Ron knikte en vroeg naar het onderwerp van de scriptie, dat hij was vergeten. Richard riep, terwijl hij al met een been buiten zijn kamer stond: Studie naar de NOREA-richtlijnen in het kader van de recente Tuchtzaak tegen M. en de noodzaak van kwaliteitsreviews. Hij doorzocht zijn naar de laatste versie van de scriptie van Richard en haalde enigszins opgelucht adem. Richard was een getalenteerde assistent die veel in zijn mars had. Als hij eenmaal aan een opdracht was begonnen dan wilde hij het onderste uit de kan halen. Ron opende het pdf-bestand en bekeek de inhoudsopgave. De scriptie was logisch opgebouwd en begon met een inleiding over de Richtlijn in het Kader van de Attestfunctie, addendum Jaarboek In een grijs tekstblok las hij: De twee Richtlijnen Opdrachtformulering en -aanvaarding en Rapportage markeren het begin en het einde van een opdracht in het kader van de attestfunctie. Uitgangspunt hierbij is dat het aantoonbaar is dat oordelen en bevindingen in overeenstemming zijn met de doelstelling van de opdracht die is vastgelegd in de opdrachtformulering. en De derde richtlijn behandelt de Dossiervorming. Het dossier behorende bij een opdracht is de basis voor de vaktechnische verantwoording over de uitgevoerde werkzaamheden. (En in rood) Bij een tuchtzaak kan het dossier buitengewoon belangrijk zijn om aan te tonen dat de RE zijn werk heeft uigevoerd conform de in de Richtlijnen gestelde minimumeisen. Ron herinnerde zich weer dat de opdracht helemaal niet soepeltjes was verlopen. Tot een goede opdrachtformulering was het niet gekomen, daar waren ze bij het opstellen van de eindrapportage, de powerpoint presentatie, tegenaan gelopen. Tijdens de presentatie, een maand na het afronden van de opdracht, waren de spanningen in de directiekamer hoog opgelopen. Het zakelijk belang om de beveiligingssoftware van DIGIFLEX aan de man te brengen en de banden die hij nog steeds onderhield met de directie van DIGIFLEX, hadden hem bij deze opdracht in de weg gestaan. Hij kon immers niet de beveiligingskarakteristieken van het product afkraken waar hij jarenlang veel tijd en energie in had gestoken. Hij pakte de telefoon, belde zijn senior manager André en verzocht hem het dossier van Energies op zijn kamer af te geven. Hij kon zich niet herinneren dat hij het dossier voor afronding van de opdracht had afgetekend, zoals gebruikelijk was voor dergelijke omvangrijke security audits. Het werd Ron duidelijk dat hij het een en ander door de drukte had belegd op een niveau waar het niet thuishoorde binnen de organisatie. Hij besloot de juridische afdeling in te schakelen om zijn positie te bepalen. Het was hem wel duidelijk geworden dat hij zich in deze zaak moest verantwoorden met een gedegen onderbouwing over het verloop van de opdracht. Allereerst moest hij het dossier grondig inspecteren om te controleren of alle stukken beschikbaar waren mocht het tot een dossier review komen. En Ron besloot Richard te vragen een presentatie te houden over het onderwerp van zijn scriptie, een goede oefening voor de verdediging van zijn scriptie... en misschien ook wel een nuttige opfrisser voor de rest van het kantoor. Ook de aanbeveling over kwaliteitsreviews wilde Ron in de partnervergadering op de agenda laten zetten. Deze column is geschreven op persoonlijke titel door drs. W.T Houwert RE, werkzaam als projectmanager EDP Audit bij Ernst & Young. 5 de EDP-Auditor nummer

4 Artikel Auditsoftware onder de loep Het gebruik van auditsoftware in de Nederlandse auditpraktijk Chris Wauters en Gert van der Pijl Dat de Informatie en Communicatie Technologie (ICT) een steeds essentiëlere rol speelt in het functioneren van de overheid en het bedrijfsleven zal tegenwoordig niemand meer ter discussie stellen. De ICT heeft zich ontwikkeld van een volledig ondersteunende technologie naar een technologie die veelal samenvalt met het primaire bedrijfsproces. Hierdoor is de afhankelijkheid van ICT in de bedrijfsprocessen sterk toegenomen. Ook binnen het auditproces in alle auditdisciplines (bijvoorbeeld financial-, operational- en IT-auditing) krijgt ICT in de vorm van auditsoftware een steeds belangrijkere functie. De vraag is dan ook niet meer óf auditsoftware moet worden ingezet, maar de vraag is hoé dit moet gebeuren. Het gebruik van auditsoftware biedt nieuwe kansen om het auditwerk nog efficiënter en effectiever uit te voeren. Dit artikel heeft als doel om auditsoftware expliciet in de schijnwerpers te zetten. Het is in het bijzonder interessant voor mensen die meer willen weten over de verschillende soorten auditsoftware en het gebruik van auditsoftware binnen het auditvak. Deze bijdrage beschrijft als eerste de achtergronden van auditsoftware en zoomt vervolgens in op de resultaten van een onderzoek naar het gebruik van auditsoftware in de Nederlandse auditpraktijk. Het artikel sluit af met een slotbeschouwing van de twee auteurs. Achtergronden van auditsoftware ir. C. L. Wauters EMEA is Prof. dr. G. J. van der Pijl RE recent werkzaam als adviseur/auditor bij Het Masteropleiding EDPis hoogleraar aan de Expertise Centrum (HEC) in Auditing/IT-auditing van de Den Haag. Voorheen werkte Erasmus School of hij als senior auditor bij de Accounting & Assurance Algemene Rekenkamer. Dit (ESAA). artikel is gebaseerd op zijn slotreferaat voor de Masteropleiding EDP- Auditing/IT-auditing van de Erasmus Universiteit Accountancy, Auditing en Controlling (EURAC). Beide auteurs hebben het artikel op persoonlijke titel geschreven. Begripsbepaling De termen auditsoftware, audittool, Computer Assisted Audit Tool of (CAAT) of ook wel Computer Assisted Audit Technique genoemd, worden veelal gebruikt als verzamelnaam voor alle ICT-middelen die worden ingezet binnen het auditproces. Soms worden deze begrippen ook wel gehanteerd voor specifieke software voor één bepaald auditdoel, zoals het analyseren van databestanden. Dit artikel gaat uit van de eerste meer algemene definitie: Auditsoftware is een ICT-hulpmiddel dat gebruikt wordt binnen het auditproces met als doel het auditproces met ICT te ondersteunen en de effectiviteit en efficiency van de auditor te verhogen. Onder ondersteunen, valt onder andere het vereenvoudigen van de werkzaamheden van de auditor en het in kwalitatieve zin verbeteren van het auditproces. Onder de definitie vallen naast de specifiek ontwikkelde auditsoftware ook utilities of standaardpakketten die in eerste instantie voor andere doeleinden zijn ontwikkeld, maar ingezet worden voor een auditdoel [NORE; 97]. Historie auditsoftware De auditsoftwaremarkt heeft de laatste decennia zeker niet stilgestaan. Vanaf begin jaren 70 werd auditsoftware veelal ingezet binnen mainframe-omgevingen als middel om gegevens te testen [BIEN; 96]. Deze eerste generatie auditsoft- 6 de EDP-Auditor nummer

5 ware voor mainframe-omgevingen was bedoeld om na te gaan of de controls binnen de mainframesystemen werkten zoals ze beoogd waren [CODE; 01]. In de loop van de jaren 80 kwam er tweede generatie software gericht op het verbeteren van de efficiency en toepassingenmogelijkheden voor de individuele auditor. Met deze software kon informatie uit systemen worden gehaald en worden onderworpen aan nadere analyse. Tegenwoordig is er derde generatie software met als primair doel het verbeteren van de audit-organisatie in zijn geheel [CODE; 01]. Categorieën auditsoftware Zoals aangegeven zijn de toepassingsmogelijkheden van auditsoftware de afgelopen decennia sterk verbeterd. In het algemeen kan worden gezegd dat de auditor de computer voornamelijk inzet als [PRAA; 98]: hulpmiddel bij de ondersteuning van zijn werk; hulpmiddel om de gegevens die in geautomatiseerde vorm zijn vastgelegd te kunnen benaderen. In de beginjaren van de auditsoftware was er slechts een zeer beperkt aantal soorten auditsoftware. Door de ontwikkelingen in het auditvak, zoals de op risicoanalyse gebaseerde auditaanpak en de voortschrijdende technologische mogelijkheden zijn er diverse categorieën bijgekomen. In het vervolg van dit artikel worden achtereenvolgende de volgende hoofdcategorieën auditsoftware beschreven: 1. General Audit Software (GAS); 2. Audit Management Software (AMS); 3. Risicomanagement & -analyse software; 4. Netwerk, besturingssysteem & database assessment software; 5. Elektronische dossiers; 6. Overige auditsoftware. Naast deze specifieke soorten auditsoftware gebruiken auditors in hun dagelijks werk ook software voor meer algemene doeleinden, zoals tekstverwerkers, /agenda software, spreadsheets, presentatie software en flowcharting software. Deze wordt in dit artikel niet nader beschouwd. General Audit Software General Audit Software (GAS) is de bekendste en meest gebruikte categorie. GAS wordt vooral gebruikt voor gegevensextractie en analyse, maar kan bijvoorbeeld ook ingezet worden voor een specifiek doel zoals bijvoorbeeld fraudedetectie. GAS is toepasbaar in diverse soorten audits en wordt vooral in de financial audit gebruikt voor het maken van gegevensextracties, het doen van gegevensanalyses, het koppelen van gegevensbestanden, het genereren van steekproeven en het printen van rapportages. Bekende spelers in de General Audit Software zijn de pakketten ACL (Auditing Command Language) en IDEA (Interactive Data Extraction and Analysis). Audit Management Software Audit Management Software (AMS) is software die de audit van risicoanalyse, planning, uitvoering tot rapportage volledig ondersteunt. In deze software wordt de auditmethodologie van de organisatie opgenomen. In AMS is vaak de mogelijkheid geïntegreerd tot het gebruik van elektronische dossiers. Daarnaast is het mogelijk om uitgebreide managementinformatie over de audit te geven. In sommige AMS is er tevens de mogelijkheid tot het uitvoeren van de risicoanalyse en opzetten van enige vorm van kennismanagement. Voorbeelden van spelers op deze markt zijn TeamMate van PriceWaterhouseCoopers en Auditors Work Station (AWS) van Ernst & Young. Risicomanagement & -analyse software De kwaliteit van de interne beheersing van organisaties staat onder andere naar aanleiding van Sarbanes-Oxley en aanverwante regelgeving sterk in de belangstelling. Hierdoor is ook het belang van risicomanagement toegenomen en worden door organisaties vaak risicoanalyses en Control Risk Self Assessments (CSRA s) uitgevoerd. Er is diverse auditsoftware die de uitvoering van risicoanalyses en Control Risk Self Assessment kan ondersteunen [IIA; 97]. Ook zijn er softwarehulpmiddelen beschikbaar voor de balanced business scorecard en voor business risk models. Producten op deze markt zijn bijvoorbeeld TeamMate van PriceWaterhouseCoopers en AutoAudit van Paisley Consulting. Netwerk, besturingssysteem & database assessment software Netwerk, besturingssystemen & database assessment software zijn specifieke toepassingen voor de uitvoering van technische IT-audits. Deze software wordt veelal gebruikt door IT-auditors maar ook door systeembeheerders voor het monitoren, controleren en beoordelen van de configuratie van netwerken, besturingssystemen en databases. Veel van dit soort toepassingen hebben rapportagemogelijkheden waarmee uitgebreide rapportages kunnen worden gemaakt van de huidige instellingen. De software van Internet Security Systems is op dit moment één van door auditors meest gebruikte toepassingen op dit gebied. Elektronische dossiers Veel audit-organisaties werken tegenwoordig niet meer met papieren dossiers, maar hebben volledig elektronische dossiers. Alle evidence van de audit wordt in het digitale dossier opgeslagen, waarna deze eenvoudig ontsluitbaar is. Vaak zitten er in deze software uitgebreide functionaliteiten voor het volledig doorzoeken van de dossiers op zoektermen. Elektronische dossiers zijn vaak onderdeel van Audit Management Software (AMS). Overig Een aantal soorten software is niet goed te plaatsen in de eerdergenoemde hoofdcategorieën. Voorbeelden van deze soort sofware zijn onder andere: 7 de EDP-Auditor nummer

6 1. Licentie controle sofware; Specifieke software om toezicht te houden op het gebruik van softwarelicenties. 2. Specifieke software ter beoordeling van controls/ configuratie van ERP-systemen. 3. Simulatie/testsoftware; Simulatiesoftware of testsoftware is software waarmee simulaties kunnen worden gedaan of delen van een systeem kunnen worden getest op aanwezige fouten. 4. Enquête sofware; Software voor het digitaal uitzetten en analyseren van enquêtes. Gebruik van auditsoftware Een logische vraag die gesteld kan worden, is: in welke mate wordt er gebruik gemaakt van deze soorten auditsoftware? En welke auditsoftware-fabrikant wordt binnen iedere categorie het meest gebruikt? Het blijkt dat er binnen Nederland weinig tot geen kwantitatief onderzoek is gedaan naar het daadwerkelijke gebruik van auditsoftware. Internationaal wordt er ieder jaar door the Institute of Internal Auditors (IIA) in het vakblad The Internal Auditor een onderzoek gepubliceerd over het gebruik van auditsoftware [IIA; 05]. Vanwege het ontbreken van kwantitatief onderzoek binnen Nederland is door de auteurs een digitale enquête gehouden onder een groep Nederlandse auditors. De resultaten hiervan zijn vergeleken met het internationale onderzoek van de IIA van augustus 2004 [IIA; 04]. Dit beperkte onderzoek geeft een globaal en indicatief beeld van het auditsoftwaregebruik binnen Nederland. De resultaten van dit onderzoek worden in het vervolg van dit artikel nader besproken. Respondenten In totaal hebben 95 auditors de vragenlijst volledig afgerond (deels ingevoerde vragenlijsten zijn ook verwerkt), waarbij de helft van de respondenten werkzaam is als interne auditor en de helft als externe auditor. Het merendeel (85 procent) van de respondenten werkt in het IT-audit vakgebied en een klein deel is werkzaam als operational auditor (17 procent) of als financial auditor (14 procent) (zie eerste figuur: Beroepsgroep) Resultaten onderzoek Een deel van de resultaten van het onderzoek is weergegeven in de afzonderlijke diagrammen. Niet alle categorieën auditsoftware zijn binnen het auditvak al volledig ingeburgerd. Zo wordt er bijvoorbeeld nog relatief weinig gebruik gemaakt van specifieke tools voor risicomanagement en -analyse. 57 procent van de auditors geeft zelfs aan deze tools nooit te gebruiken en 35 procent zegt ze een paar keer per maand te hanteren. Ook is het opvallend dat in het hedendaagse digitale tijdperk één op de drie ondervraagde auditors nog géén gebruik maken van de mogelijkheden van digitale dossiers. Op basis van de IIA onderzoeken van de afgelopen jaren kan worden geconstateerd dat het gebruik in de loop van de jaren langzaam toeneemt. De data-analyse en extractie software en Audit Management Software worden van de verschillende categorieën het meest gebruikt. De Audit Management Software wordt het meest gebruikt voor digitale dossiervorming, maar wordt onder andere ook gebruikt voor risico-analyse, planning, tijd/urenverantwoording, kennisdeling en rapportage. Wat verder opviel, was dat ondanks het bestaan van gespecialiseerde auditsoftware de standaard Office pakketten zoals MS Excel, MS Access en MS Word nog veelvuldig gebruikt worden voor diverse specifieke audittaken. Vooral MS Excel is in diverse segmenten de absolute winnaar, bijvoorbeeld bij de audit management software, de risicomanagement/analyse software en bij de Control Risk Self Assessment software. Conclusies en slotbeschouwing Gebruik van auditsoftware We concluderen dat de markt voor auditsoftware de laatste jaren niet heeft stilgestaan. Auditsoftware is uitgegroeid van eenvoudig hulpmiddel tot zeer geavanceerde software die de audit van begin tot eind kan ondersteunen. Uit de resultaten van het onderzoek blijkt dat sommige categorieën auditsoftware nog beperkt gebruikt worden. We bevelen daarom aan dat audit-organisaties het auditsoftwaregebruik binnen hun organisatie eens onder de loep te nemen. Een onderzoek naar de (on)mogelijkheden van auditsoftware binnen de organisatie en het inzichtelijk maken van de huidige mate van auditsoftwaregebruik kunnen bijdragen aan een strategische visie op de inzet van ICT binnen het auditproces. Ook kan geanalyseerd worden of de gebruikte auditsoftware wel het beoogde effect heeft gerelateerd aan de doelstellingen die de organisatie bij de invoering er mee had. Binnen welke beroepsgroep valt u? (meer dan één antwoord mogelijk) Antwoordmogelijkheid Aantal Percentage IT-auditor % Financial auditor % Operational Auditor % Anders 5 5 % 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% IT-auditor Financial auditor Operational auditor Anders 8 de EDP-Auditor nummer

7 Hoe vaak gebruikt u data-extractie en analyse software? Antwoordmogelijkheid Aantal Percentage Nooit % Af en toe (paar keer per maand) % Vaak (paar keer per week) % (Bijna) altijd 9 8 % 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Nooit Af en toe (paar keer per maand) Vaak (paar keer per week) (Bijna) altijd g q Welke data-extractie gebruikt u het meest frequent? 100% 90% Antwoordmogelijkheid Aantal Percentage MS Acces 8 9 % ACL % IDEA % MS Excel % Intern product namelijk: 7 8 % Anders namelijk: 9 10% 80% 70% 60% 50% 40% 30% 20% 10% 0% MS Access ACL IDEA MS Excel Intern product Anders Hoe vaak gebruikt u Audit Management software? 100% 90% Antwoordmogelijkheid Aantal Percentage Nooit % Af en toe (paar keer per maand) % Vaak (paar keer per week) % (Bijna) altijd % 80% 70% 60% 50% 40% 30% 20% 10% 0% Nooit Af en toe (paar keer per maand) Vaak (paar keer per week) (Bijna) altijd Welke Audit Management gebruikt u het meest frequent? 100% g q 90% Antwoordmogelijkheid Aantal Percentage AWS 5 7 % Audit Leverage 1 1 % Auto Audit 2 3 % MS Excel % Team Mate 4 6 % Intern product namelijk: % Anders namelijk: % 80% 70% 60% 50% 40% 30% 20% 10% 0% AWS Audit Leverage Auto Audit MS Excel Team Mate Intern product Anders Waar gebruikt u Audit Management sofware voor? (meer dan één antwoord mogelijk) 100% Antwoordmogelijkheid Aantal Percentage 1 Risico-analyse % 2 Planning % 3 Tijd/urenverantwoording % 4 Digitale dossiervorming % 5 Kennisdeling/kennismangement % 6 Rapportage % 7 Anders namelijk: 6 9 % 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% de EDP-Auditor nummer

8 Maakt u gebruik van elektronische auditdossiers? 100% 90% Antwoordmogelijkheid Aantal Percentage Ja % Nee % 80% 70% 60% 50% 40% 30% 20% 10% 0% Ja Nee Hoe vaak gebruikt u risicomanagement/analyse software? 100% 90% Antwoordmogelijkheid Aantal Percentage Nooit % Af en toe (paar keer per maand) % Vaak (paar keer per week) 4 4 % (Bijna) altijd 4 4 % 80% 70% 60% 50% 40% 30% 20% 10% 0% Nooit Af en toe (paar keer per maand) Vaak (paar keer per week) (Bijna) altijd Welke risicomanagement/analyse gebruikt u het meest frequent? 40% Antwoordmogelijkheid Aantal Percentage MS Acces 3 6 % Audit Leverage 0 0% Auto Audit 1 2 % MS Excel % ACL 0 0 % TeamMate 2 4% MS Word 6 13 % Intern product namelijk: % Anders namelijk: 9 19 % 35% 30% 25% 20% 15% 10% 5% 0% MS Access Audit Levarage Auto Audit MS Excel ACL Team Mate MS Word Intern Anders product Hoe vaak gebruikt u netwerk, besturingssysteem en 100% database software tools? 90% 80% Antwoordmogelijkheid Aantal Percentage Nooit % Af en toe (paar keer per maand) 3 33 % Vaak (paar keer per week) 5 5 % (Bijna) altijd 4 4 % Welke netwerk, besturingssysteem en database software tools gebruikt u het meest frequent? 70% 60% 50% 40% 30% 20% 10% 0% Nooit Af en toe (paar keer per maand) Vaak (paar keer per week) (Bijna) altijd Antwoordmogelijkheid Aantal Percentage ISS Internet Scanner 6 14 % Enterprise security manager 0 0% Bindview 1 2 % Intrusion security analist 2 5 % Pentasafe 3 7 % Cybercop scanner 0 0% Oracle tools 6 14 % Microsoft tools 7 16 % Intern product namelijk: % Anders namelijk: 9 20 % 40% 35% 30% 25% 20% 15% 10% 5% 0% ISS Internet scanner Enterprise Bind Intrusion security manager view security analist Penta safe Cybercop sanner Oracle tools Microsoft tools Intern Anders product 10 de EDP-Auditor nummer

9 Door de ontwikkelingen op de auditsoftwaremarkt te volgen kunnen audit-organisaties blijven innoveren in hun geautomatiseerde methoden en technieken. Individuele auditors worden aangespoord om open staan voor de ontwikkelingen in hun eigen vakgebied en deze ontwikkelingen actief te blijven volgen. Op zeer veel audit-toepassingsgebieden is auditsoftware te verkrijgen. Audit-organisaties zullen dan ook weloverwogen keuzes moeten maken welke auditsoftware het beste past bij het gekozen auditdoel. Opvallend is dat het gebruik van elektronische dossiers in 2005 nog niet volledig is ingeburgerd. Ongeveer een derde van alle auditors gaf aan nog niet met digitale dossiers te werken. Een algemene indruk is dat organisaties wel nadenken over digitale dossiers maar toch nog niet allemaal de stap hebben durven zetten. Waarom dit het geval is, is niet nader onderzocht, maar is wel degelijk een interessante vraag. De voordelen van elektronische dossiers lijken groot, maar de overstap is voor veel organisaties blijkbaar erg gecompliceerd. Belangrijk is dat de afweging óf en hoe deze stap wordt genomen zorgvuldig wordt uitgevoerd en auditors zouden dan ook intensief bij deze afweging moeten worden betrokken. De beroepsorganisaties zouden tevens een belangrijke rol kunnen spelen in kennisdeling en -uitwisseling op dit terrein. zou kunnen worden. Ook heeft specifieke auditsoftware mogelijkheden die met de standaard officetoepassingen überhaupt niet mogelijk zijn. We bevelen audit-organisaties dan ook aan om te evalueren of de standaard officetoepassingen daadwerkelijk voorzien in de behoefte en of met specifieke auditsoftware geen voordelen zijn te behalen in de efficiëntie of effectiviteit van de audit. Bronnen [BIEN; 96] IT Auditing: An object oriented approach, Prof. M. van Biene- Hershey, [CODE; 01] CAATTs & other BEASTs, David G. Coderre, 2nd edition, [IIA; 97] Automating the Self Assessment Proces, The Internal Auditor, augustus [IIA; 04] Get the most out of audit tools, Russell A. Jackson, The Internal Auditor, augustus [IIA; 05] Opening the Door, Neil Bakker, The Internal Auditor, augustus [NORE; 97] Studierapport nr 2: Een kwaliteitsmodel voor Register EDPauditors, NOREA, [PRAA; 98] Inleiding EDP-auditing; Jan van Praat, Hans Suerink, Kluwer BedrijfsInformatie, Onderzoek naar (gebruik) auditsoftware Het vorig punt maakt duidelijk dat auditsoftware erg belangrijk kan zijn voor het vakgebied. Desondanks besteden de auditvakbladen weinig aandacht aan de ontwikkelingen op het gebied van auditsoftware. Het aantal recente Nederlandse publicaties over auditsoftware en het gebruik ervan bleek ronduit teleurstellend. Voor zover wij konden vaststellen is er geen recent kwantitatief onderzoek gedaan naar het gebruik van auditsoftware binnen de Nederlandse auditpraktijk. Een algemene aanbeveling van ons zou dan ook zijn om meer aandacht te schenken aan auditsoftware en een vergelijkbaar onderzoek als het jaarlijkse IIA-onderzoek binnen Nederland periodiek uit te voeren. Dit zou bijvoorbeeld door één van de Nederlandse beroepsorganisaties kunnen worden gedaan. De ontwikkelingen op dit terrein zouden we hiermee actief kunnen monitoren en het gebruik van auditsoftware verder kunnen stimuleren. Standaard officeprogrammatuur binnen de audit Een van de meest in het oog springende conclusies uit de onderzoeken was dat standaard officepakketten zoals MS Excel en MS Word veelvuldig worden ingezet voor specifieke audittaken. Men kan zich afvragen of dit ook erg is. Op zich is het gebruik van standaard officetoepassingen voor auditdoeleinden naar onze mening mogelijk, mits de toepassingen voldoende betrouwbaar zijn en voorzien in de behoefte van de auditor. Wel kan worden geconstateerd dat de additionele mogelijkheden van specifieke auditsoftware vergaand zijn, waarmee het werk van de auditor mogelijk versneld en vereenvoudigd Noten 1) Een voorbeeld van 2e generatie auditsoftware is data Analyse en extractie software 2) Een voorbeeld van 3e generatie auditsoftware is Audit Management Software 3) Flowchartingsoftware is software voor het maken van diverse soorten diagrammen, bijvoorbeeld Data Flow Diagrammen (DFD s), Entiteit Relatie Diagrams (ERD s), of organogrammen. 4) Website ACL: 5) Website IDEA: 6) Website PriceWaterhouseCoopers: 7) Website Ernst & Young: 8) Website Paisley Consulting: 9) Website Internet Security Systems: 10) De website van de IIA is te vinden via: 11) Bij deze vraag was het mogelijk om meerdere antwoorden te geven. 12) De inhoud van de tabellen is van links naar rechts weergegeven in de staafdiagrammen. 11 de EDP-Auditor nummer

10 Artikel Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens Service Management is het beheersen van alle aspecten die van invloed zijn op de ICT-dienstverlening op zodanige wijze dat de met de klant afgesproken kwaliteit en kosten worden gewaarborgd [Sch04]. Het bekendste voorbeeld hiervan is ITIL. ITIL is ontstaan doordat organisaties steeds meer afhankelijk werden van de IT om de bedrijfsdoelstellingen te realiseren. Deze toenemende afhankelijkheid leidde tot een groeiende behoefte om de IT-dienstverlening beter af te stemmen op de bedrijfsdoelstellingen en de eisen en verwachtingen van de klanten. De IT moest van intern gericht naar extern gericht groeien. Drs. Vincent Jentjes is consultant informatiebeveiliging bij Hintech Security Informatiebeveiliging Bij informatiebeveiliging draait het om het verantwoord en bewust stellen van betrouwbaarheidseisen aan processen en systemen. Procesverantwoordelijken moeten in staat worden gesteld om deze verantwoordelijkheid te kunnen nemen. Dit artikel schetst een Security Service Management Framework dat een organisatie de mogelijkheid biedt om informatiebeveiliging vanuit een Service Management gedachte in te richten, te exploiteren en te beheren. Met behulp van dit security framework kunnen procesverantwoordelijken gefundeerd keuzes maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten. Op het gebied van informatiebeveiliging is eenzelfde trend waar te nemen. Informatiebeveiliging wordt, onder andere gevoed door wet- en regelgeving (SOX, Voorschrift Informatiebeveiliging Rijksdienst, Wet bescherming persoonsgegevens), een steeds belangrijker onderwerp in organisaties. In de praktijk blijkt het lastig om de informatiebeveiliging goed en werkend te implementeren. Eén van de redenen hiervoor is dat informatiebeveiliging zich begeeft in verschillende werelden. Informatiebeveiliging is van oudsher een ICT aangelegenheid. Het heeft zich vanuit hier ontwikkeld tot een specialistisch vakgebied met eigen functionarissen (security officers en managers), een eigen jargon, verenigingen en vakbladen. De aansluiting met de business is hierdoor wel eens lastig te maken. De business, veelal vertegenwoordigd door de proceseigenaar of procesverantwoordelijke, heeft de verantwoordelijkheid over het te treffen beveiligingsniveau. Door het specialistische karakter van het vakgebied, de verschillende zienswijzen (risicomanagement versus businessmanagement) sluiten deze werelden niet naadloos op elkaar aan. Het gedegen opzetten en inrichten van de informatiebeveiliging vereist dan ook een goede afstemming met betrekking tot de eisen en verwachtingen van de klant. Met Service Management, afgestemd op het vakgebied van de informatiebeveiliging, kan een organisatie informatiebeveiligingsdiensten aanbieden die zijn toegesneden op de behoefte van de klant. Hierdoor worden de twee verschillende werelden dichter bijeen gebracht. Dit artikel schetst een Service Management framework, afgestemd op informatiebeveiliging, vanuit de volgende vraagstelling: Op welke manier kan Service Management worden ingericht zodat het een bijdrage levert aan de inrichting, exploitatie en het beheer van informatiebeveiliging en de hierop afgestemde beveiligingsdienstverlening? Om deze vraag te kunnen beantwoorden, worden eerst de uitgangspunten van het Service Management framework, genaamd het Information Security Management Framework (ISMF) beschreven. Aan de hand van deze uitgangspunten wordt het ISMF verder uitgewerkt. Het artikel wordt afgesloten met een beschrijving van de toepassingsmogelijkheden van het ISMF. Uitgangspunten ISMF Het ISMF vindt haar oorsprong in het afstudeerreferaat Uitbesteden van informatiebeveiliging van de opleiding 12 de EDP-Auditor nummer

11 Bewaken EDP-auditing aan de Erasmus Universiteit te Rotterdam [Jen06]. In het referaat zijn de uitkomsten beschreven van een onderzoek naar de mogelijke manieren om niet alleen de technische kant / hard controls van informatiebeveiliging (de managed security services) uit te besteden, maar ook de procedurele en soft controls (bewustwording, naleving gedragsregels). Het ISMF wordt in dit referaat gehanteerd als een framework dat organisaties voorbereidt op eventuele uitbesteding van informatiebeveiliging. Het ISMF heeft een voorbeeld genomen aan ITIL (Information Technology Infrastructure Library) en ASL (Application Services Library). Beide modellen zijn gebaseerd op best practices en voorbeelden van Service Management modellen die veel organisaties gebruiken om (onderdelen van) de IT-organisatie in te richten en te beheren. ITIL is een algemeen aanvaarde standaard om technisch beheer in te richten. In dezelfde lijn der gedachte is ASL (Application Services Library) ontwikkeld. ASL richt zich op het beheer van de applicaties. ITIL en ASL hebben als kenmerk dat ze bestaan uit verschillende, op elkaar afgestemde processen, waarbij taken, verantwoordelijkheden, bevoegdheden en resultaatsverplichtingen duidelijk zijn vastgelegd. Echter, daar waar ITIL zich richt op het beheren en exploiteren van de IT-infrastructuur en ASL op de applicatie gerelateerde aspecten hiervan, daar richt het ISMF zich op het inrichten, exploiteren en beheren van de informatiebeveiliging van toepassing op de gehele organisatie. Het ISMF verschilt bijvoorbeeld van ITIL Security Management (ITIL SM) doordat het proces ITIL SM alleen kan functioneren bij het bestaan en de (goede) werking van de andere ITIL processen [Ko04]. ITIL SM geeft aanwijzingen aan de ITIL processen met betrekking tot de inrichting van de beveiligingsgerichte activiteiten. De ISMF processen daarentegen zijn opzichzelfstaande, onafhankelijke processen die de klant ondersteunen bij de verschillende aspecten van beveiliging. Het ISMF is gebaseerd op de volgende uitgangspunten: De procesbenadering De activiteiten voor de ontwikkeling, exploitatie en beheersing van informatiebeveiliging zijn gegroepeerd in processen. Het voordeel van een procesbenadering is dat het ISMF organisatieonafhankelijk is. Door de groepering van de activiteiten in tien beveiligingsprocessen is het mogelijk om de processen los van de feitelijke organisatievorm te beschrijven. Zo kunnen de activiteiten die deel uitmaken van het risicoanalyseproces, bijvoorbeeld uitgevoerd worden bij afdelingen als ICT, management, P&O, et cetera. Verschillende afdelingen van de organisatie nemen dus onderdelen van het proces op zich. Hiernaast biedt de procesbenadering grote voordelen voor het sturen op de kwaliteit (effectiviteit en efficiëntie) van het proces. Omdat een proces een afgebakend geheel is, kunnen de activiteiten en taken, verantwoordelijkheden en bevoegdheden van procesmanagers duidelijk vastgelegd worden. Hierdoor is het mogelijk met behulp van prestatie-indicatoren vaste meetpunten in het proces in te bouwen. Een model dat veelal wordt gebruikt bij het sturen op de kwaliteit is de PDCA-cirkel van Deming. Door herhaaldelijk de stappen Plan, Do, Check en Act - te doorlopen kan de kwaliteit van het proces worden verbeterd. Het ISMF past de PDCAcirkel op twee manieren toe. Per ISMF proces wordt de PDCA-cirkel toegepast om het proces te optimaliseren. Door de afspraken met de klant regelmatig te evalueren, kan het proces beter afgestemd worden op de behoefte van de klant. Hiernaast wordt de PDCA-cirkel toegepast om de kwaliteit van de informatiebeveiliging te borgen en te vergroten. Doordat het ISMF voor iedere stap uit de Plan, Do, Check, Act-cirkel één of meerdere processen definieert wordt de cirkel voor het totaal tevens doorlopen (zie figuur 1). Zo worden in de strategische processen het beleid en de informatiebeveiligings-strategie opgesteld. Hiermee wordt de Plan-fase uit de Deming cirkel afgedekt. De implementatieen beheerprocessen zorgen voor de implementatie en het onderhoud van de informatiebeveiliging. Deze processen zorgen door de invullen van de Do-fase uit de Deming cirkel. De ISMF managementprocessen dragen zorg voor de coördinatie en controle op de informatiebeveiliging. Onderdeel hiervan is het controleren of de security doelstellingen wel volgens de planning en normen zijn gehaald. Hiermee wordt de Check opgepakt. Als laatste dragen de verbeterprocessen bij tot het bijstellen van de informatiebeveiligingsdoelstellingen; de Act-fase. De servicegedachte Figuur 1: Deming cirkel ACT PLAN DO CHECK Het proces van het effectief en efficiënt beheren en beheersen van de kwaliteit van de dienstverlening aan de klant speelt een belangrijke rol. De klant bepaalt het gewenste niveau van beveiliging en de af te nemen beveiligingsdiensten. Als insteek geldt het leveren van continue dienstverle- 13 de EDP-Auditor nummer

12 ning door het maken van goede afspraken over het service level en een zo spoedig mogelijk herstel van het afgesproken service level bij de constatering van een afwijking. De focus is dus dienstverlening en de service die geleverd wordt. Een toekomstgerichte visie Tijdig anticiperen op ontwikkelingen draagt zorg voor continuïteit van de ondersteuning en voorkomt desinvesteringen. Toekomstgericht denken is essentieel voor informatiebeveiliging. Informatiebeveiliging is niet zomaar van de ene op de andere dag ingevoerd in een organisatie. Veelal is het een proces dat jaren in beslag neemt. Bedreigingen aangaande de afhankelijkheid en kwetsbaarheid veranderen iedere dag. Het is daarom ook zaak om bij de inrichting en het onderhoud van de informatiebeveiliging voorbereid te zijn op de veranderende omgeving. Het hebben van een toekomstvisie en een beveiligingsstrategie is daarom essentieel. Scheiding tussen beheer en onderhoud / vernieuwing Veelal wordt het onderscheid tussen beheer en vernieuwing niet zo expliciet gemaakt. Hierdoor wordt aan het beheer van informatiebeveiliging te weinig aandacht besteed. Immers, wanneer informatiebeveiliging eenmaal is geïmplementeerd, dient het beheerd te worden. Niet alleen het beheer op ICT-vlak (updates van firewalls, virusscanners, en dergelijke) is van essentieel belang, maar ook het beheer op het menselijk aspect van informatiebeveiliging is belangrijk. Het informatiebeveiligingsbewustzijn bijvoorbeeld verdient constante aandacht. Naast beheer verdient het vernieuwen en aanpassen van de informatiebeveiliging aan de veranderende (organisatie)omgeving aandacht. Het Information Security Management Framework Bovenstaande uitgangspunten zijn samengebracht in het Information Security Management Framework. Het framework bestaat uit tien processen. De processen komen niet allemaal voort uit de informatiebeveiliging. Veel ervan zijn afkomstig van terreinen als management en dienstverlening. De tien processen zijn ingedeeld vijf clusters, verdeeld over strategisch, tactisch en operationeel niveau (zie figuur 2). Strategische processen Het beveiligingsbeleid is veelal het vertrekpunt voor de inbedding van de informatiebeveiliging in de organisatie. Het is het essentiële instrument voor de aansturing en coördinatie van de verschillende beveiligingsprocessen in de organisatie. Het beleid wordt opgesteld op basis van onder andere de missie, strategie en doelstellingen van de onderneming onder verantwoordelijkheid van het businessmanagement. Naast het beleid zal de beveiligingsstrategie bepaald moeten worden. In deze strategie wordt uiteengezet hoe informatiebeveiliging wordt ingezet in de organisatie. De strategische processen richten zich op de ontwikkeling van een toekomstvisie op de informatiebeveiliging, de vertaling van die visie naar beleid en de inrichting van de beveiligingsorganisatie. Afhankelijk van de organisatie, het ambitieniveau, et cetera worden processen uit het ISMF gekozen en ingericht. Figuur 2: Information Security Management Framework 14 de EDP-Auditor nummer

13 In dit cluster wordt het volgende proces onderscheiden: - Security Policy & Strategic Management (SPSM) Het doel van het proces Security Policy & Strategic Management is om informatiebeveiliging beleidsmatig en strategisch vorm te geven. In dit proces wordt het beveiligingsbeleid gedefinieerd en de informatiebeveiligingsstrategie opgesteld. Met het beveiligingsbeleid wordt bepaald waaraan de informatiebeveiliging dient te voldoen, wat het ambitieniveau is en welke ISMF-processen ingericht worden. De informatiebeveiligingsstrategie schrijft voor hoe de informatiebeveiliging past binnen de organisatiedoelstellingen en strategie. Managementprocessen Groot probleem, ingegeven door de complexiteit van informatiebeveiliging, is vaak het overzicht bewaren in de gedefinieerde risico s, de beveiligingsmaatregelen, de implementatiestatus, et cetera. De managementprocessen hebben een bewakende en planmatige invalshoek. Planning, kwaliteitbewaking, risicomanagement, afspraken met klanten en leveranciers zijn in dit cluster de aandachtspunten. In dit cluster worden de volgende processen onderscheiden: - Security Quality & Audit Management (SQAM) Het doel van het proces Security Quality & Audit Management is het evalueren van en rapporteren over de effectiviteit en kwaliteit van de ISMF processen. Hiernaast biedt dit proces ondersteuning bij de voorbereiding voor een onafhankelijke audit op de informatiebeveiliging zelf. De verantwoordelijkheid over dit proces wordt belegd bij een Security Quality Manager. Deze stelt een Security Audit Programma op aan de hand van het gedefinieerde beleid, strategie en de Security Service Level Dossiers (zie proces SSLM). De per proces gedefinieerde prestatie-indicatoren vormen een belangrijk meetinstrument voor het meten van de effectiviteit en kwaliteit van het proces. Hiernaast wordt gebruik gemaakt van het Security Programma en werkplannen (zie proces SPM), die gedefinieerd worden in het Security Planning proces. De Security Quality Manager rapporteert zijn bevindingen aan de security procesmanagers, aan klanten en aan het management. - Security Service Level Management (SSLM) Informatiebeveiliging is geen opzichzelfstaand proces. Informatiebeveiliging is van toepassing op alle processen in de organisatie. Dit betekent dat voor ieder proces in de organisatie bepaalde beveiligingsactiviteiten uitgevoerd moeten worden. Het doel van het proces Security Service Level Management is het (maken en) beheren van de afspraken tussen de (security)dienstverleners en de klantenorganisatie - proces- en systeemeigenaren (intern/extern) - met betrekking tot de te leveren beveiligingsdiensten en betrouwbaarheidseisen. Binnen de Service Level wordt onderscheid gemaakt tussen twee soorten dienstverleners. Ten eerste zijn er dienstverleners in de organisatie die diensten verlenen waaraan de klant betrouwbaarheidseisen kan stellen. Hierbij kan gedacht worden aan de afdeling P&O die met de klant afspraken maakt over de exclusiviteiteisen die aan personeelsdossiers worden gesteld. Of de IT-afdeling die afspraken maakt over de beschikbaarheid van een bepaald systeem. Echter, als de IT-organisatie gebruik maakt van ITIL Service Level Management, dan dient de beveiligingsparagraaf als input voor de ICT-gerelateerde diensten. Ten tweede zijn er de dienstverleners, vaak vormgegeven in de vorm van een beveiligingsorganisatie, die de klant ondersteunen bij het onderwerp informatiebeveiliging. In de producten en dienstencatalogus (welke is afgeleid van de output van de ISMF processen) staat beschreven welke producten en diensten worden geleverd. Hierbij kan gedacht worden aan ondersteuning bij bijvoorbeeld het opstellen van het beveiligingsbeleid, het uitvoeren van risicoanalyses en bewustwordingsprogramma s. De Security Service Level Manager stemt de eisen en wensen van de klant af op het gedefinieerde beveiligingsbeleid. De afspraken komen in het Security Service Level Dossier (SSLD) te staan. In dit dossier staan naast de afspraken verwijzingen naar de werkplannen (zie proces SPM) waarin op detailniveau staat beschreven hoe en wanneer de afspraken gerealiseerd worden. - Security Program Management (SPM) Informatiebeveiliging kan uitgroeien tot een zeer complex geheel. Zeker in grote organisaties, met verschillende locaties, voorzien van verschillende IT-infrastructuren en -systemen, kan informatiebeveiliging het nodige beslag gaan leggen op de financiële en personele capaciteit. Immers, hoe meer locaties, infrastructuren en systemen, hoe meer risicoanalyses uitgevoerd worden en hoe meer beveiligingsmaatregelen geïmplementeerd moeten worden. SPM zorgt voor het implementatiemanagement van de informatiebeveiliging. Het proces heeft als doel het plannen, afstemmen en begeleiden van de verschillende implementaties. In dit proces vindt het management over de implementatie van de informatiebeveiliging plaats. Er worden door de Security Planner implementatiewerkplannen opgesteld, rapportages over de totale implementatiestatus afgegeven, et cetera. De Security Planner draagt zorg voor het Security Programma bestaande uit een samenhangend portfolio aan werkplannen. Een werkplan is een plan waarin op een projectmatige wijze staat aangegeven wie, wat in een bepaalde tijd voor activiteiten moet ondernemen. In het Security Programma staat de prioritering, en de samenhang van en afstemming tussen de werkplannen. Input voor het Security Programma en werkplannen zijn het beveiligingsbeleid, de strategie en het SSLD. 15 de EDP-Auditor nummer

14 - Security Risk Management (SRM) Het doel van dit proces is om voor objecten, processen en diensten het risicoprofiel (norm) en de beveiligingsmaatregelen te definiëren, te managen en wijzigingen hierop efficiënt en effectief af te handelen. Security Risk Management ondersteunt de klant en het management bij het bepalen van de te aanvaarden risico s en de te treffen beveiligingsmaatregelen. Hierbij kan gedacht worden aan het uitvoeren van Afhankelijk en Kwetsbaarheidsanalyses (A&K). Beheerprocessen Informatiebeveiliging houdt zich helaas niet vanzelf in stand. Er doen zich altijd incidenten voor die niet voorzien zijn. Hiernaast verslapt de aandacht voor informatiebeveiliging op den duur. Dagelijks beheer is dan ook noodzakelijk wil men op het gedefinieerde betrouwbaarheidsniveau blijven. De beheerprocessen dragen zorg voor het dagelijkse beheer van de informatiebeveiliging door een optimale inzet van de in gebruik zijnde informatiebeveiligingproducten en -diensten te realiseren. In dit cluster worden de volgende processen onderscheiden: - Security Incident Management (SIM) Het process Security Incident Management is meer dan alleen het registreren van incidenten. Het doel van dit proces is om het vooraf gedefinieerde kwaliteitsniveau van de informatiebeveiliging te handhaven door afwijkingen van de normsituatie zo snel mogelijk te detecteren en te verhelpen. Security Incident Management zorgt voor het aannemen, registreren, afhandelen en afsluiten van beveiligingsincidenten. Een onderdeel van Security Incident Management is, wat in ITIL termen wordt aangeduid als Problem Management, het analyseren en oplossen van repeterende (veel voorkomende) incidenten. De Security Incident Manager probeert bij veel voorkomende incidenten te achterhalen wat de achterliggende oorzaak is en doet hiervoor verbetervoorstellen aan het management en de klant. Wanneer een organisatie het ITIL proces Incident Management heeft ingericht, vervangt dit het aannemen, registreren, afhandelen en afsluiten van incidenten van het proces Security Incident Management. Er moet wel een koppeling gelegd worden met het proces Security Incident Management om repeterende incidenten te op te lossen en de aansluiting op de overig ISMF processen te maken. - Security Configuration Management (SCM) Om informatiebeveiliging te kunnen beheren en managen, is het van vitaal belang dat er betrouwbare en accurate informatie beschikbaar is over alle aspecten van de informatiebeveiliging. Het doel van het proces Security Configuration Management is te zorgen voor deze accurate en betrouwbare informatie. Ter ondersteuning van dit proces wordt gebruik gemaakt van de Security Configuration Database. In de Security Configuration Database worden onder andere de volgende zaken bijgehouden: - Beleid en strategie documenten. - Lijst van objecten, processen en diensten (assets). - Risicoprofielen per object, proces en dienst. - De beveiligingsmaatregelen gedefinieerd per object, proces, dienst. - Het Security Service Level Dossier. - De status van implementatie, programma s en werkplannen. - Beveiligingsincidenten. - Het Auditprogramma. De database wordt beheerd en ingericht door de Security Configuration Manager. De Security Configuration Manager vult de database, verleent toegang tot de database en verzorgt op aanvraag statusrapportages. Security Configuration Management is de spil in het management van de informatiebeveiliging. Ieder ISMF-proces levert informatie aan en krijgt informatie uit de database. De Security Configuration Database is een andere dan de CMDB die binnen ITIL wordt gebruikt. In de CMDB die in het ITIL proces Configuration Management wordt gebruikt, worden onder andere alle CI s met classificatie geregistreerd. De Security Configuration Database richt zich enkel op het beheer van de (informatie)beveiliging. - Security Awareness Management (SAM) In veel informatiebeveiligingsimplementatietrajecten wordt gebruik gemaakt van een bewustwordingscampagne om het bewustzijn inzake informatiebeveiliging te verhogen. Helaas is een bewustwordingscampagne veelal een eenmalige actie. Wanneer het bewustwordingsprogramma is afgesloten, daalt het bewustzijn al weer heel snel. Het doel van het proces Security Awareness Management is het opleiden, bewustmaken en bewust houden van alle medewerkers in de organisatie aangaande de informatiebeveiliging. De Security Awareness Manager stelt een lange termijn bewustwordingsprogramma op. Belangrijke input voor het bewustwordingsprogramma komt uit het proces Security Incident Management en Security Opportunities & Threats Management. Tevens voert de Security Awareness Manager eigen onderzoeken uit naar de status van het bewustzijn. Het Awareness programma wordt afgestemd met de overige communicatie-uitingen in de organisatie en met het proces Security Program Management. De Security Awareness Manager adviseert de Security Planner bij het opstellen van het Security Programma en de werkplannen. Het doel hiervan is dat bewustwording van informatiebeveiliging een integraal onderdeel van de implementatie wordt. Hiernaast adviseert de Security Awareness Manager de Security Implementation Manager bij de praktische uitvoering van de werkplannen met betrekking tot de bewustwording. Hierbij moet gedacht worden aan het adviseren over communicatiemiddelen, communicatiekanalen, et cetera. Implementatieprocessen De daadwerkelijke implementatie van de beveiligingsnorm 16 de EDP-Auditor nummer

15 vergt, gezien de complexiteit en hoeveelheid aan beveiligingsmaatregelen, een projectmatige aanpak. De implementatieprocessen richten zich op de implementatie van beveiligingsmaatregelen, volgens tijd, geld en budget. In dit cluster wordt het volgende proces onderscheiden: - Security Implementation Management (SIM) In het proces Security Planning worden werkplannen opgesteld, die in het proces Security Implementation Management uitgevoerd worden. Het doel van dit proces is het implementeren van de beveiligingsmaatregelen op lokaal / asset niveau op een projectmatige wijze. Afhankelijk van de grootte van het werkplan wordt dit projectmatig opgepakt. Per werkplan bestaat er een proces Security Implementation Management, met als verantwoordelijke de Security Implementation Manager. De Security Implementation Manager is de projectleider die zorgt voor de uitvoering van het werkplan. Hij rapporteert aan de Security Planner. Verbeterprocessen Informatiebeveiliging is een continu proces. Bedreigingen in de omgeving veranderen constant. Het aanpassen en verbeteren van de informatiebeveiliging is hierdoor uitermate belangrijk. De verbeterprocessen richten zich op het proactief zoeken naar mogelijke bedreigingen en het doen van verbetervoorstellen. In dit cluster wordt het volgende proces onderscheiden: - Security Opportunities and Threats (SOT) Het doel van dit proces is om nieuwe bedreigingen en kansen te herkennen en voorstellen te doen tot verbetering van de informatiebeveiliging. Dit proces kijkt voornamelijk naar de toekomst en probeert trends en nieuwe bedreigingen in de buitenwereld waar te nemen, te voorspellen en verbetervoorstellen te doen. Praktisch voorbeeld is het lid zijn van een CERT. Hiernaast communiceert het proces bijvoorbeeld over de impact van nieuwe wet en regelgeving naar het management. Toepassingsmogelijkheden van het ISMF Het ISMF kan, zoals gezegd, worden toegepast om informatiebeveiliging op een gestructureerde manier in te richten, te exploiteren en te beheren. Hiernaast kan het ISMF nog voor een aantal andere doeleinden worden toegepast: - Het vormgeven van een Security Service Organisation. - Als voorbereiding op of als inrichting van uitbesteding van informatiebeveiliging. - Audit normenkader. Security Service Organisation Het ISMF is uitermate geschikt om een informatiebeveiligingsbeheerorganisatie / Security Service Organisation (SSO) in te richten. Het grote voordeel van een SSO, ingericht volgens de ISMF processen, is dat de informatiebeveiliging op een servicegerichte manier aangeboden kan worden. De klant wordt in staat gesteld om zelf betrouwbaarheidseisen aan processen en systemen te stellen en hier verantwoording voor te nemen. De SSO ondersteunt de klant hierbij op strategisch, tactisch en operationeel niveau in de organisatie. Afhankelijk van de wensen van de organisatie kan een SSO beveiligingsproducten en -diensten via de bijbehorende processen leveren. In tabel 1 zijn de ISMF processen weergegeven met een aantal mogelijke te leveren producten en diensten. De te leveren producten en diensten worden in het Security Service Level Dossier vastgelegd. De gemaakte afspraken worden meetbaar door prestatie-indicatoren per product of dienst te definiëren. Neem als voorbeeld de ondersteuning bij het uitvoeren van risicoanalyses in het proces Security Risk Management. Tussen de klant en de SSO worden afspraken gemaakt over het aantal uit te voeren risicoanalyses per tijdseenheid, de manier van rapporteren, het aantal reviews over door de klant zelf uitgevoerde risicoanalyses, et cetera. Afhankelijk van de wensen van de klant worden bepaalde producten en diensten ingekocht. Uitbesteden van informatiebeveiliging Uitbesteden is het, op basis van een contract, voor lange duur overdragen naar een externe partij van de management- of beheerverantwoordelijkheid van één of meer dienstverleningstaken [KV04]. Hierbij kan al dan niet sprake zijn van de overdracht van medewerkers en middelen naar de uitbestedingsleverancier. Een logische stap na het inrichten van een SSO is deze over te dragen naar een externe partij. De gedachte hierachter is dat informatiebeveiliging een steeds prominentere rol in de organisatie inneemt en hierdoor steeds meer op de budgetten van de primaire processen drukt. Uitbesteding van informatiebeveiliging zou kunnen leiden tot kostenreductie en verhoging van de kwaliteit. Het uitbesteden van informatiebeveiliging gebeurt voornamelijk op het ICT-beveiligingsvlak in de vorm van managed security services (diensten die zich onder andere richten op het inrichten, onderhouden en monitoren van firewalls, virusscanners en overige netwerkbeveiliging). Omdat deze diensten relatief goed meetbaar zijn, zijn goede afspraken te maken over de resultaatverplichtingen. Informatiebeveiliging is echter breder. Naast technische aspecten zijn de procedurele en menselijke aspecten minstens zo belangrijk. Ook hiervoor geldt dat de uitbestedingsleverancier moet kunnen waarborgen dat de aangegane verplichtingen nagekomen kunnen worden. Vanwege onder andere de borging in het proces Security Awareness Management (SAM), is het ISMF een instrument om ook de procedurele en menselijke aspecten gestructureerd (kwantificeerbaar en kwalificeerbaar) uit te voeren. In het afstudeerreferaat Uitbesteden van informatiebeveiliging [Jen06] wordt het onderwerp uitbesteden van informatiebeveiliging verder uitgewerkt. 17 de EDP-Auditor nummer

16 Proces Product / dienst Uitleg product / dienst SPSM SQAM - Beleidsdocument Informatiebeveiliging - Advisering over het beleid - Security Audit Programma - Resultaten uitgevoerde audits Beleid en strategie t.a.v. informatiebeveiliging Advisering over het opstellen en uitvoeren van het beleid inzake informatiebeveiliging. Het lange en korte termijn auditprogramma t.b.v. de kwaliteit van de informatiebeveiliging. Rapporten per uitgevoerde audit SSLM SPM SIM - Security Service Level Dossiers - Klantrapportages - Advisering - Security Programma - Implementatie werkplannen - Rapportages implementaties - Incident registraties en verwerkingen - Incident rapportages - Escalatie procedures - Workarounds Dossier met gemaakte afspraken tussen klant en dienstverlener (SLA voor de security ondersteuning) Rapportages per proces over de geleverde dienstverlening. Deze staan los van de audit rapporten. Advisering van klanten over de af te nemen security diensten Het lange termijn projectprogramma ter ondersteuning en afstemming van de verschillende informatiebeveiligingsprojecten. De implementatieplannen (IB-plannen) per business unit. De voortgangsrapportages inzake de implementatie van de informatiebeveiliging. Servicepunt voor het registreren en verwerken van beveiligingsincidenten. Rapportages over de beveiligingsincidenten (aantal, repeterende, etc.) Advisering over de escalatieprocedures bij grote incidenten. SCM - Rapportages - Producten uit alle Security processen - Vragen beantwoorden Adviseren over en zoeken naar workarounds bij incidenten die primaire en secundaire processen verstoren. Op verzoek het uitdraaien van allerlei rapportages (statussen, voortgangen, etc.) Verzamelen van alle producten afkomstig uit alle security processen. Op verzoek het beantwoorden van vragen over de security processen. SAM SIM SRM SOT - Awareness programma s - Workshops risicomanagement - Managementgames Onderzoeksrapportages bewustzijn Statusrapportages Advisering bij opstellen implementatieplan - A&K Risicoanalyses - Beveiligingsplan Calamiteitenplan Beveiligingsmaatregelen Rapportages CERT Het geven van advies over, en opstellen van, bewustwordingsprogramma s. Op verzoek geven van risicomanagement workshops. Op verzoek geven van managementgames. Uitvoeren van audits naar het beveiligingsbewustzijn en hierover rapporteren aan de klant / opdrachtgever Voortgangsrapportages, Issue log, etc. Advisering bij opstellen implementatieplan / IB-plan (Ondersteunen bij) uitvoeren van A&K-analyses Adviseren over / opstellen van beveiligingplan Adviseren over / opstellen van calamiteitenplan Adviseren over / opstellen van beveiligingsmaatregelen / baselines (ISO 17799, NEN7510, Wbp) Rapporteren over potentiële nieuw bedreigingen. Tabel 1: ISMF processen en diensten 18 de EDP-Auditor nummer

17 Audit normenkader Het ISMF kan verder worden ontwikkeld als auditraamwerk om de kwaliteit van de inrichting, de exploitatie en het beheer van informatiebeveiliging mee te toetsen. Het ISMF levert zowel voor de klant als de leverancier herkenbare toetsingscriteria. Het auditraamwerk bevat tien objecten (processen) van informatiebeveiliging waarvoor duidelijke doelstellingen zijn gedefinieerd. Deze doelstellingen zijn het uitgangspunt bij ontwerp, inrichting en naleving van de informatiebeveiliging. Deze doelstellingen kunnen verder vertaald worden in beheersmaatregelen waarop geaudit kan worden. Bij een audit op de beveiliging van bijvoorbeeld een informatiesysteem, kan het ISMF worden gehanteerd als normenkader voor de inrichting, de exploitatie en het beheer van de beveiliging. Het normenkader kan verder aangevuld worden met beveiligingsmaatregelen uit de Code voor Informatiebeveiliging / ISO 17799, waarmee de beveiliging van het informatiesysteem getoetst kan worden. Conclusie Informatiebeveiliging gaat een steeds prominentere rol spelen in organisaties. Een professionele ondersteuning van de proces- of systeemeigenaar is hiervoor een must. De tijd dat informatiebeveiliging als een dirigerend onderdeel vanuit de ICT-afdeling opgedrongen kon worden, is definitief voorbij. Proceseigenaren moeten in staat worden gesteld om zelfstandig gefundeerde keuzes te maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten. Informatiebeveiliging wordt in veel organisaties nog niet bezien vanuit het dienstverleningsperspectief. Door toepassing van het ISMF wordt informatiebeveiliging als een portfolio aan producten en diensten aan de klantorganisatie aangeboden, afgestemd op de behoeften van de klant. Literatuur [Jen06] Jentjens V.L.M. (2006), Uitbesteden van informatiebeveiliging, Afstudeerreferaat EDP-auditing, Erasmus Universiteit Rotterdam. [KV04] Kateman H., Vries L. de (2004), Sourcing in de praktijk, Pink Roccade. [KO04] Kossen F. (2004), Besturing en beheersing van informatiebeveiliging bij de Rechterlijke Organisatie, Afstudeerreferaat EDP-Auditing, Erasmus Universiteit Rotterdam. [Sch04] Scheffel, P. (2004), Het doel, de weg en de rugzak, Een gids voor praktisch ICT service management, van Haren Publishing. Website: 19 de EDP-Auditor nummer

18 Artikel Elektronisch stemmen: een auditperspectief Ed Ridderbeekx De kans is groot dat u afgelopen maart gebruik heeft gemaakt van uw democratisch recht om uw stem uit te brengen voor de vertegenwoordiging in de gemeenteraad van uw woonplaats. De kans is ook groot dat u daarvoor gebruik hebt gemaakt van een stemcomputer. Ongetwijfeld heeft u s avonds of daags na de verkiezingen kennis genomen van de uitslag, al dan niet met vreugde. Maar hoe weet u nu dat de uitslag klopt? Hoe weet u dat uw stem inderdaad in de uitslag is meegenomen? En, hoe weet u dat uw stem in de uitslag is meegenomen voor de partij en kandidaat waarop u veronderstelde te stemmen toen u plaatsnam achter het bedieningspaneel van de stemcomputer en op het knopje van uw keuze drukte? Drs. E.J.M. Ridderbeekx RE CISA is kiesgerechtigd Nederlands staatsburger. Hij werkt als IT Audit Manager bij Fortis, is lid van de redactiecommissie van de EDP Auditor, en schrijft op persoonlijke titel. Reacties kunnen naar ed@ridderbeekx.com. Elektronisch stemmen is het proces waarbij, eenvoudig gezegd, kiezers met behulp van machines of computers hun stem uitbrengen en waarbij die machines en computers zorgen voor de registratie, de opslag, en de telling van de stemmen. De term elektronisch geeft het speciale karakter van dit stemproces aan: het staat in contrast met de meer traditionele manier van stemmen, waarbij de kiezer zijn stem registreert op een stembiljet, een stembus dient voor de opslag van de stemmen, en de formulieren uiteindelijk handmatig worden geteld. Voor de goede orde: we hebben het in dit artikel over het stemmen als uitoefening van een democratisch recht door burgers. Dat kan gaan om zetels in het nationale parlement, de verkiezing van gemeenteraadsleden, of afgevaardigden voor Provinciale Staten; het kan ook gaan om het peilen van de mening van kiesgerechtigden over een schijnbaar eenvoudige ja/nee vraag, zoals bij een referendum. Over elektronisch stemmen is heel veel geschreven. Zowel op politiek niveau, in de dag- en weekbladpers (met name ten tijde van verkiezingen), maar ook in de meer wetenschappelijke literatuur van informatica en informatiebeveiliging is veel lezenswaardig materiaal te vinden. Het debat tussen voor- en tegenstanders is soms hevig. De discussie (waarop we, verderop in dit artikel, uitgebreid zullen terugkomen) komt er kort gezegd op neer dat de voorstanders de accuratesse, efficiency en flexibiliteit van de inzet van computers roemen, terwijl de tegenstanders beweren dat het inzetten van dergelijke elektronische middelen dusdanig grote risico s met zich meebrengt dat afbreuk wordt gedaan aan fundamentele democratische principes en burgerrechten. Ook de NOREA heeft zich in 2004 in de discussie gemengd bij monde van Adri de Bruijn in een artikel in de Automatisering Gids [BRUIJ04] 1. Enerzijds is dat bijzonder, want naar mijn weten zijn er tot op heden geen andere professionele audit-organisaties die zich hebben uitgesproken over de pro s en contra s van elektronisch stemmen. Anderzijds is het vanzelfsprekend dat er vanuit de ITaudit-professie aandacht is voor dit thema; als deskundigen bij uitstek in de problematiek rondom betrouwbaarheid van geautomatiseerde processen zouden we in staat moeten zijn een zinvolle bijdrage te leveren aan de discussies. In dit artikel zal ik dan ook, vanuit het perspectief van een auditor en met een soort audit textbook approach, een aantal betrouwbaarheidsaspecten van stemcomputers bespreken en uitleggen. 20 de EDP-Auditor nummer

19 Belang van verkiezingen Het recht (en in sommige landen: de plicht) om te kiezen, is een van de fundamenten van een democratie. Verkiezingen zijn een duidelijke belichaming van dit recht: burgers kiezen hun politieke vertegenwoordiging op verschillende bestuursniveaus (gemeenteraad, provincie, nationaal en Europees parlement) en hebben daarmee invloed op maatschappelijke keuzes die door hun vertegenwoordiging zullen worden gemaakt. In al deze gevallen geven burgers uiting aan hun keuze door te stemmen. Ieder 2 heeft een stem, alle stemmen tellen mee, en de uitslag van de stemming bepaalt hoe de burgers politiek zullen worden vertegenwoordigd. Zo wordt ervoor gezorgd dat ieders individuele stem van invloed is op de maatschappelijke keuzes die de gemeenschap als geheel maakt, volgens het principe de meeste stemmen hebben het meeste gewicht. Het is dus van het grootste belang dat het verkiezingsproces betrouwbaar is, ongeacht of computers daarbij een rol spelen of niet. Wat die betrouwbaarheid precies inhoudt, zullen we later zien; het volstaat op deze plaats om te onderstrepen dat de kiezer ervan op aan moet kunnen dat zijn stem meetelt. Als dat, om welke reden dan ook, niet kan worden gegarandeerd en bewerkstelligd, dan zal ontoelaatbaar afbreuk worden gedaan aan de legitimiteit van de verkiezingsuitkomsten (bijvoorbeeld de zetelverdeling in de Tweede Kamer) en de legitimiteit van de politieke keuzes die daaruit voortkomen (bijvoorbeeld een nieuwe wetgeving). Onbetrouwbare verkiezingen zijn een zaag aan de stoelpoten van de democratie. Essentieel is evenzeer dat de kiezers vertrouwen hebben in het verkiezingsproces. Ontbreekt het daaraan, dan zal dat ongewenste maatschappelijke consequenties kunnen hebben, variërend van een lage verkiezingsopkomst ( mijn stem telt toch niet mee ) tot sociale onrust ( de president moet worden afgezet want hij is niet op een eerlijke manier gekozen, op de barricades! ). Een betrouwbaar proces en vertrouwen in dat proces zijn op een interessante manier aan elkaar gerelateerd. Je zou kunnen zeggen dat een betrouwbaar verkiezingsproces niet garandeert dat de burgers ook vertrouwen in dat proces zullen hebben, maar dat een onbetrouwbaar verkiezingsproces in ieder geval het vertrouwen van de kiezers zal ondermijnen. Betrouwbaarheid is een kwaliteit, die is geïncorporeerd in het ontwerp en de implementatie van het proces. Het is een inherente eigenschap, die tot op zekere hoogte kan worden geobjectiveerd, gemeten en aangetoond. Vertrouwen ligt aan de kant van de gebruiker van een proces, en heeft te maken met de perceptie die de gebruiker heeft over de kwaliteit van het proces. Vanwege hun grote belang zijn verkiezingen (en de gang van zaken rondom verkiezingen) in democratieën doorgaans verankerd in de wet (in Nederland in de Kieswet [KIES05] en, aanvullend, in het Kiesbesluit [KIES04]), en is het de verantwoordelijkheid van de overheid om de burgers niet alleen een betrouwbaar verkiezingsproces te bieden, maar ook al het mogelijke te doen om het vertrouwen van de burgers in de betrouwbaarheid van dat proces te winnen en te behouden. Binnen een Nederlandse context kan het ter sprake brengen van betrouwbaarheid en vertrouwen mogelijk als onnodig of zelfs triviaal worden gevoeld. We leven in een relatief stabiele maatschappelijke omgeving, met een robuuste traditie als het gaat om democratie en vrijheid van meningsuiting. Politici zullen zich in Nederland waarschijnlijk eerder neerleggen bij een smadelijke verkiezingsnederlaag dan dat ze het in hun hoofd zullen halen het verkiezingsproces op een illegale manier in hun voordeel te beïnvloeden. En in Nederland ben je relatief veilig als je de buurman machtigt voor jou te stemmen. Dat is niet overal zo. Het is, bij het lezen van het vervolg van het artikel, goed om te bedenken dat verkiezingen ook worden gehouden in landen waar politieke groeperingen opereren die weinig scrupules hebben om democratische mechanismen (zoals een verkiezing) te manipuleren, om zo schijnbaar legitiem een machtspositie te verkrijgen of te behouden, en waar het onthullen van je politieke voorkeur aan de buurman je duur kan komen te staan. Juist in zulke omstandigheden wordt het belang van betrouwbaarheid van het verkiezingsproces en van het vertrouwen van het electoraat het meest duidelijk. Afgezien van deze regionale verschillen hebben we dan mondiaal ook nog te maken met groeperingen die belang denken te hebben bij het verstoren van democratische en politieke stabiliteit. Voor deze lieden kunnen verkiezingen een heel dankbaar doelwit zijn. Een generieke beschrijving en afbakening van elektronisch stemmen In het voorgaande is de maatschappelijke betekenis van verkiezingen aan de orde gesteld. In deze paragraaf zullen we ingaan op elektronisch stemmen, en het thema op een zinvolle manier afbakenen ten behoeve van het verdere verloop van het artikel. Het verkiezingsproces als geheel is tamelijk breed. Het begint bij de registratie van kiesgerechtigden, en eindigt met het vaststellen van de verkiezingsuitslag. In een rapport van Het Expertise Centrum (HEC) is een bruikbaar procesmodel opgenomen, dat aan de basis ligt van onderstaande bespreking [HEC00]. Met stemmen wordt in dit artikel gedoeld op een aantal onderdelen van het verkiezingsproces, te weten: De stemuitbrenging door een kiesgerechtigde De stemopneming Het verwerken van de stemtotalen Zaken als de stemoproep, het vaststellen van de kiesgerechtigdheid van een kiezer, en de registratie van politieke groeperingen vallen buiten de scope van dit artikel, alhoewel ze deel uitmaken van het bredere verkiezingsproces. Er wordt 21 de EDP-Auditor nummer

20 van een situatie uitgegaan, waarin de kiezer zijn stem uitbrengt in een stemlokaal waar stemcomputers staan opgesteld. De situatie waarbij de kiezer op afstand, bijvoorbeeld per telefoon of per internet, zijn stem uitbrengt, brengt een additionele problematiek met zich mee (zie onder andere [HEC00]) die in dit artikel niet aan de orde wordt gesteld. Van elektronisch stemmen is sprake als geautomatiseerde hulpmiddelen worden ingezet bij elk van de bovengenoemde drie onderdelen. De rol die geautomatiseerde hulpmiddelen daarbij zouden kunnen spelen, is als volgt te omschrijven: Stemuitbrenging Dit is de fase waarin de kiezer zijn stem uitbrengt. Een stemcomputer draagt zorg voor de dialoog met de kiezer. Deze maakt zijn keuze door het indrukken van een knopje op een paneel of het aanraken van een touch screen. De stemcomputer presenteert de gemaakte keuze ter validatie aan de kiezer, die hier nog een correctiemogelijkheid heeft. Nadat de kiezer zijn keuze heeft bevestigd, is er een confirmatie van de stemcomputer dat de kiezer daadwerkelijk heeft gestemd, en wordt de stem elektronisch door de computer geregistreerd. Stemopneming Nadat de termijn voor het uitbrengen van de stemmen is verlopen (bij sluiting van het stemlokaal) draait de stemcomputer een lijst uit met de stemtotalen per kandidaat, op basis van de gegevens die in zijn geheugen zijn opgeslagen. Die lijst wordt, samen met het geheugen, naar een verzamelpunt (bijvoorbeeld op gemeentelijk niveau) gebracht ter verdere verwerking. Verwerken van de stemtotalen De geheugens van de stemcomputers worden (mogelijk in een iteratief proces) op een centrale plaats opnieuw met behulp van geautomatiseerde apparatuur uitgelezen en de stemtotalen worden bepaald. Stemcomputers In de vorige paragraaf is slechts in zeer algemene zin de gang van zaken bij elektronisch stemmen uit de doeken gedaan. De exacte en specifieke werkwijze bij een stemproces met computers is sterk afhankelijk van de procedurele specificaties en de gebruikte stemcomputers. In dit artikel wordt uitgegaan van stemcomputers van het type dat in de Angelsaksische literatuur wordt aangeduid als Direct Recording Electronic ofwel DRE. Kenmerkend hierbij is dat een uitgebrachte stem direct elektronisch wordt opgeslagen; dit in tegenstelling tot bijvoorbeeld de ponskaartsystemen die tot zoveel commotie leidden bij de Amerikaanse presidentsverkiezingen in Daarbij werd een stem uitgebracht door het ponsen van een gaatje in een kaart; die kaarten werden vervolgens geautomatiseerd gelezen (voorzover dat mogelijk was). In feite was hier dus sprake van computer assisted counting. Een DRE heeft deze fysieke tussenstap niet. Er kunnen drie typen DREs worden onderscheiden [FISC03]. Bij het eerste type is het bedieningspaneel een één-op-één weergave van het oude, vertrouwde stembiljet. Alle lijsten, partijen, en namen van kandidaten zijn zichtbaar. Naast de naam van iedere kandidaat bevindt zich een knopje; indrukken van dat knopje activeert een schakeling die een lampje laat branden of de naam van de betreffende kandidaat op een display laat zien. De kiezer kan vervolgens de stem daadwerkelijk uitbrengen door het indrukken van een stemknop, of kan desgewenst zijn keuze nog corrigeren. Bij een tweede type wordt de inhoud van het stembiljet op een computerscherm weergegeven (meestal op meerdere pagina s). Met behulp van navigatiemiddelen op het toetsenbord (pijltjes, de entertoets) baant de kiezer zich een weg door het virtuele biljet en maakt zijn keuze. Bij een derde type is de toetsenbordnavigatie vervangen door een touch screen. Aangezien de problematiek die gemoeid is met het gebruik van deze typen machines, met name verschilt in de user interface, maar voor het overige vergelijkbaar is, zal in het vervolg van het artikel geen onderscheid worden gemaakt tussen deze typen. Als de term stemcomputer wordt gebruikt, wordt gedoeld op DREs in zijn algemeenheid. Problematiek van elektronisch stemmen Waar spitst de discussie rondom stemcomputers zich nu precies op toe? Op het eerste gezicht lijkt het dat we van doen hebben met een eenvoudig te automatiseren proces. Het bouwen van een dialoogje met de kiezer, het registeren van een druk op de knop of een aanraking van het scherm, het opslaan daarvan, en vervolgens een triviale sommering om een totaal te bepalen, dat alles levert schijnbaar geen al te grote uitdaging op voor goede systeemontwikkelaars en programmeurs. Bij nadere beschouwing blijkt echter dat het proces complexe karakteristieken krijgt doordat er strakke eisen aan gesteld worden die - omdat ze vaak geworteld zijn in democratische principes en fundamentele rechten van burgers - nauwelijks ruimte voor keuzes overlaten en niet persé gemakkelijk realiseerbaar zijn in een geautomatiseerde omgeving. Hét centrale probleem bij elektronisch stemmen, is dat de kiezer geen manier heeft om vast te stellen dat zijn stem wordt geregistreerd zoals hij die heeft uitgebracht en dat zijn stem bij de verwerking van de stemtotalen wordt meegenomen. Weliswaar bevestigt de stemcomputer de keuze van de kiezer en moet de kiezer die keuze bevestigen, maar vervolgens verlaat de kiezer het stemhokje en moet hij er gewoon op vertrouwen dat de stemcomputer en het proces daaromheen betrouwbaar is, en dat de geautomatiseerde verwerking van de stemtotalen op een goede manier gebeurt. Zijn uitgebrachte stem is op dat moment niet anders dan een digitale representatie in het geheugen van de stemcomputer, en de kiezer heeft geen bewijs van hoe hij heeft gestemd, en zelfs al had hij dat wel, hij heeft geen mogelijk- 22 de EDP-Auditor nummer