Najaar 2011 CHAPNEWS

Transcriptie

1 Najaar 2011 CHAPNEWS

2 Van de Voorzitter De wereld draait dool Afgelopen weken stonden we - als auditors - ineens in het middelpunt van de belangstelling. De berichten over DigiNotar schoten heen en weer, met een minister die ineens in de nacht opdook en persconferenties gaf (het leek wel..) en daarvoor en daarna heel veel gepraat door heel veel deskundigen. Waarbij de één het zus zag, maar de ander heel duidelijk zo. Overigens wel zaken die ons als auditors direct aangaan. Stel je voor dat een CISA had verklaard dat het allemaal in control was en je wel rustig kon gaan slapen. Bij de mensen die er naar mijn mening echt verstand van hebben, beluisterde ik wat minder escalerende en wat meer dempende uitspraken. Verder blijft het opmerkelijk dat je als land - wij dus met z n allen - zulke toch wel belangrijke zaken bij een relatief klein bedrijf belegt. Als het mis gaat, zoals nu, kan zij nooit de schade vergoeden die door haar fouten is ontstaan. In goede dagen wordt er aan verdiend, maar hoe zit het als het mis gaat? De overheid moet zorgen dat ze de cruciale kennis zelf in huis heeft en het werk dan ook zelf doet en niet uitbesteed aan anderen, met in het achterhoofd minimale kosten. Congressen, cursussen en trainingen Colofon Deze nieuwsbrief is een uitgave van ISACA NL Chapter. Redactie: T. Bakker, B. van Staveren en A. Shahim Een schot in de actualiteitsroos bleek ons jaarlijkse congres met NOREA: over Cybercrime o.l.v Job Stierman. Met een aantal geweldige sprekers en met 200 bezoekers was het ook dit jaar weer een groot succes. De CISA en CISM en CRISC trainingen zitten goed vol dit najaar. Dat is mooi; dan weet je dat je als organisatie nuttig bent. Gepland staan nog trainingen over ITIL en SAP in dit najaar en willicht een Cobit 5.0 training en een training Auditing voor accountants. Cobit 5.0 is nu in concept-vorm uitgebracht. Ziet er anders uit dan de vorige versie. Wat een ellende voor alle landen die het vertaald hebben en nu weer aan de bak moeten om bij te blijven. Ik vind het wel jammer dat het muturity model eruit is gehaald. Vond ik erg sterk in Cobit. Als jullie vragen en opmerkingen over de nieuwe versie hebben, dan kunnen die nog op korte termijn worden ingebracht, voordat de nieuwe versie uitkomt. Commentaar direct naar de VS of via het secretariaat van ISACA. Als er nog specifieke behoeftes zijn, dan horen wij die graag. Het redactieadres: ISACA NL Chapter t.a.v. Redactie Nieuwsbrief secretary@isaca.nl 2

3 NOREA en ISACA samen op pad De eerste berichten zijn onverkort gunstig. Lees vooral de introductie van de voorzitter van NOREA in hun jaarboek. De besturen van NOREA en ISACA praten over vergaande samenwerking. Over een aantal randvoorwaarden, voor een totale samensmelting onder de naam van ISACA Internationaal, zijn de besturen het eens. Zo moeten bijvoorbeeld de titels voor de toekomst bewaard blijven en mag de contributie voor de individuele leden niet omhoog gaan. Er zijn vijf werkgroepen ingesteld. In de bestuursvergaderingen van NOREA en ISACA worden de leden verder op de hoogte gebracht. Misschien dat het allemaal nog gaat lukken voor het eind van K.P. Meindertsma President ISACA Netherlands Chapter Cisa Training Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISA examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit najaar weer trainingen ten behoeve van deze examens. Meer informatie over het examen is te vinden op 3

4 Las Vegas, Global Leadership Conference, mei 2011 Op mei 2011 vond in Las Vegas een Global Leadership Conference plaats waar ongeveer 250 vertegenwoordigers van ISACA chapters aanwezig waren. Namens het ISACA NL Chapter waren onze voorzitter Klaas-Piet Meindertsma en ondergetekende aanwezig. Het doel van deze bijeenkomst was het uitwisselen van kennis en ervaring op het gebied van leiderschap. Na een lange maar ontspannen vlucht arriveerde ik rond lokale tijd op het vliegveld van Las Vegas. Het was bijzonder om vanuit de lucht de Grand Canyon en de Hoover Dam zien, evenals Las Vegas, een stad midden in de woestijn met een strook van enorme hotels inclusief attracties. De bijeenkomst was in het Paris Hotel waarin een replica van de Eiffeltoren nagebouwd was in de schaal 1:2 met bovenin een restaurant met fraai uitzicht over de stad. Aan de overkant was het Ballagio, bekend uit de film Ocean s Eleven, met indrukwekkende fonteinen die zorgen voor een prachtig samenspel van muziek, licht en tientallen meters hoge watergordijnen. In de avond voorafgaand aan de bijeenkomst hebben wij met de deelnemers informeel gegeten in één van de vele restaurants. Een uitstekende mogelijkheid om met andere bestuursleden van chapters in contact te komen en ervaringen uit te wisselen. De eerste dag begon om 9:00 met een vol programma. In een plenaire ochtendsessie is onder andere aandacht besteed aan de strategie van ISACA en de ontwikkeling van Cobit 5 waar heel veel van wordt verwacht. In de middag konden we deelnemen aan verschillende parallelsessies. Ik heb onder andere deelgenomen aan een sessie over het werven en inspireren van vrijwilligers. Deze sessie werd verzorgd door het Denver Chapter waar ongeveer 45 vrijwilligers het bestuur ondersteunen. Voor het succesvol werven en inzetten van vrijwilligers is een persoonlijk en actief contact met de leden essentieel. Aan de hand van verschillende case studies is aangegeven hoe optimaal gebruik kan worden gemaakt van de inzet van vrijwilligers, bijvoorbeeld bij het ontwikkelen en geven van trainingen. Hierbij wordt in toenemende mate ook actief gebruik gemaakt van social media als Twitter en Facebook. Daarnaast heb ik in de middag deelgenomen aan een sessie van het Chapter Support Comittee voor grote chapters (meer dan 1000 leden). Hierin is onder andere aandacht besteed aan de ontwikkeling van een ISACA cloud waarin chapters informatie kunnen opslaan en uitwisselen. Ook is toegelicht hoe chapters gebruik kunnen maken van ISACA templates voor het uniformeren en standaardiseren van websites. In de avond hebben wij met alle deelnemers gedineerd in de Stratosphere, een hoge toren in het oude deel van de stad. Door de zware beveiliging duurde het even voordat we naar boven konden maar daarna konden wij genieten van een prachtig uitzicht over de stad. 4

5 In de middag konden wij weer deelnemen aan verschillende parallelsessies. Ik heb onder andere deelgenomen aan een sessie over het laten groeien en behouden van het aantal leden. De chapters hebben een jaarlijkse groeidoelstelling van minimaal 5% en een ledenbehoud van minimaal 80%. De kunst is om de individuele behoefte van leden te verbinden met de visie, missie en strategie van ISACA. Een aantal chapters heeft daarbij goede ervaringen met het gebruik van social media zoals LinkedIn. Het aanbrengen van nieuwe leden gebeurt meestal via het bestaande netwerk. Daarnaast heb ik een sessie gevolgd over het gebruik van social media. Veel chapters maken in toenemende mate gebruik van Twitter en Facebook. Maar ook andere social media worden steeds vaker gebruikt, zoals LinkedIn en zelfs YouTube. De chapters gebruiken social media met name voor branding, het promoten van bijeenkomsten maar ook het bouwen en verbinden van een gemeenschap. Echter, in de praktijk blijkt dat het gebruiken en onderhouden van social media veel tijd en energie kost. Ter afsluiting was er aan het einde van de tweede dag een informele borrel georganiseerd en konden wij op persoonlijke wijze kennis en ervaring uitwisselen met bestuursleden van andere chapters. Tijdens de borrel was iedereen het er over eens: deze bijeenkomst was een groot succes! Danny Onwezen ISACA NL Chapter 5

6 COBIT 5 Public Exposure Extended Members Strongly Urged to Comment Act now to take advantage of a great and rare opportunity to have your voice heard, contribute to the profession and earn up to 10 free continuing professional education (CPE) hours! Two COBIT 5 documents are available for public comment. The deadline for comments has been extended so that we can incorporate feedback from as many professionals as possible. Reviewing the exposure drafts will also put you a step ahead when COBIT 5 is released. As one COBIT trainer and lecturer explains, I have to be well prepared to provide my trainees with accurate information on the new or changed approach to IT governance found in COBIT 5 what better way to find out than to look at specific processes or problems and compare what is in COBIT 4.1 with what will be in COBIT 5? Your comments are critical. They will help ensure that COBIT 5 represents what professionals truly need and value, and they help ISACA validate the quality and acceptability of the COBIT 5 development work, which is crucial to its position as a generally accepted reference source. In addition, your participation is a great way to contribute to the IS- ACA community. According to one Certified Information Systems Manager (CISM ), Often, the opportunity to participate as a volunteer committee member does not arise, so reviewing standards or certification questions provides a vehicle for satisfying the desire to give back. All levels of participation are encouraged and welcome you can choose to comment on all or specific parts of the draft documents. To comment, download COBIT 5: The Framework Exposure Draft and COBIT 5: Process Reference Guide Exposure Draft on the CO- BIT 5 Exposure page of the ISACA web site. After reviewing the documents, use the questionnaire on the same web page to provide feedback. To add more details, please use the feedback form that is also on that web page. 10,000 Earn the CRISC Certification The newest certification from ISACA, Certified in Risk and Information Systems Control (CRISC ), reached a milestone in the month of June when the 10,000th professional was certified. The opportunity to earn the certification under the rigorous grandfathering provision began 1 April 2010 and ended 30 June 2011, and more than 16,000 applications were received during that period. The grandfathering program allowed IT professionals who have significant experience with risk identification, assessment and evaluation; risk response; risk monitoring; information systems (IS) control design and implementation; and IS control monitoring and maintenance to earn the CRISC credential without taking the exam. With the grandfathering period now closed, individuals wishing to become CRISCcertified are required to pass the CRISC exam, which will next be held on 10 December To learn more about this certification, including exam information, please visit for further information. 6

7 Tips to Manage Innovation Risk Information security practices have become an innovation inhibitor in many companies. We all know that the main purpose of security should be to reduce risk. On the other hand, innovation is often considered the exact opposite of security in terms of increasing risk for the organization. Therefore, the combination innovation within security is considered dangerous. Over the past couple of years, I have been involved in some astonishing business process and technological innovations that have required a fundamental change in the way I think about and implement security controls. The result has been that security in those companies has started to become the main differentiator, by assuming more risk and finding new ways to back up business needs. This has convinced me of the extraordinary opportunity for security areas around the world as agents of change. The following are 7 tips to manage innovation risk: 1. At the very least, security and risk managers should try not to obstruct innovation that does not pose a life-threatening risk to the organization; 2. Even though proper risk management may help organizations prevail, it normally leaves out adaptation risks that, when taken into consideration, allow organizations to be better prepared for changes in the external competitive environment; 3. An organization has to be able to adapt quickly to future disruptive changes in the environment. Innovation is the equivalent of mutations within the evolution of a species; in the same way, enterprises must continuously test new options; 4. Innovating at the same time in different directions could prove harmful or even fatal. Too many simultaneous and unrelated changes lead to a less-adapted position; 5. Disruptive innovation should be focused on developing and enhancing our competitive advantages. It is much more probable that we will succeed from innovating within our strengths. Innovating in other less-strategic aspects of our business will distract resources, and even if proven successful, they may not materialize in a long-term survival advantage; 6. A very good mechanism by which to innovate is coevolution. In this process, two or more organizations work together by focusing on enhancing each of their competitive advantages. This allows more complex innovations with less risk for the partnership. This approach works well when small and fast companies partner with large and solid organizations. A good rule of thumb is that the target markets for the partnering organizations should not overlap, or the collaboration will eventually fail; 7. Digital risk managers are growing to be one of the most important strategic decision makers in an organization. Security innovation is an opportunity for organizations and professionals willing to think differently. For additional guidance on risk, please visit for further information. 7

8 BEVEILIGING EN ARCHITECTUURRAAMWERKEN Informatietechnologie (IT) is heden ten dage nauw verweven met de bedrijfsvoering. Beslissingen aangaande IT zijn daarom ook meer dan ooit verweven met beslissingen over de bedrijfsvoering. Een samenhangende, bedrijfsbrede architectuur van de bedrijfsvoering en IT helpt managers bij het inschatten van de reikwijdte en gevolgen van hun beslissingen. In de architectuur worden de afspraken vastgelegd waar iedereen (business en IT) zich aan heeft te houden ter waarborging van de afstemming tussen business en IT. De waarde van een architectuur laat zich niet alleen beoordelen op de inhoud maar ook op het proces om tot een architectuur te komen. Naast het feit dat auditors architectuur gebruiken als toetsingsinstrument tijdens hun controles, kan de auditfunctie worden ingezet om de kwaliteit van architectuur te beoordelen. Hierdoor krijgen de belanghebbenden een indruk van de effectiviteit van architectuur als beheersmaatregel. De auditor richt zich op het geven van zekerheid over de beheersbaarheid en controleerbaarheid van een onderzoeksobject. Dit artikel geeft hiervoor enkele handvatten. Allereerst geven we een theoretisch kader van architectuur. Vervolgens beschrijven we de drijfveren voor architectuur en geven we een overzicht van de verschillende architectuurraamwerken.ten slotte gaat het artikel in op de volwassenheid van architectuur en de rol van audit. Theoretisch kader Architectuur wordt algemeen beschouwd als een middel om de complexe relatie tussen business en IT te beheersen. Met de sterk groeiende afhankelijkheid van IT is ook de complexiteit van de informatiehuishouding toegenomen, de kosten zijn gestegen en de flexibiliteit lijkt te zijn afgenomen. Wat is architectuur? Vraag 5 architecten wat architectuur is, en je krijgt waarschijnlijk 5 verschillende antwoorden. De definitie van architectuur is essentieel om de cruciale kenmerken van architectuur te onderkennen. Volgens Van Dale is architectuur bouwkunst / bouwstijl. Deze definitie geeft de relatie weer met de fysieke bouwkunst. Architectuur is van Griekse afkomst en wordt in verband gebracht met de constructie en het ontwerp van bouwwerken. In de IT wordt architectuur eveneens gezien als het ontwerpen van een bouwwerk, zoals een klassieke architect dit doet. Rijsenbrij (2005) definieert architectuur als een verzameling van architectuurprincipes, verbijzonderd naar regels, richtlijnen en standaarden. Hierbij zijn principes richtinggevende uitspraken ten behoeve van essentiële beslissingen, een fundamenteel idee, bedoeld om een algemene eis te vervullen. Een goed en relevant principe heeft verschillende kenmerken (Jochem et al., 2005), namelijk: het is een drijfveer voor gedrag in een organisatie; het is een achterliggend uitgangspunt; het is goed te communiceren; het is robust; het wordt herkend en gedragen door het management. 8

9 Een ander definitie is die van IEEE 1471 (2000). Architectuur is gedefiniëerd in IEEE als the fundamental organization of a system embodied in its components, their relationships to each other, and to the environment, and the principles guiding its design and evolution. Volgens de definitie beschrijft een architectuur niet alleen componenten en hun samenhang, maar ook de relatie met de omgeving is van essentieel belang. Naast een modelmatige benadering van architectuur geeft de definitie aan dat architectuur ook procesmatige aspecten bevat. In het bijzonder geeft het principes voor het werken (ontwerpen) onder architectuur en zou een architectuur expliciet aandacht moeten besteden aan evolutie-aspecten. Bij het kiezen van een definitie voor de eigen organisatie is het van belang een definitie te kiezen die zo concreet mogelijk aangeeft wat aard en scope zijn van architectuur. Als architectuur zich vooralsnog beperkt tot IT is het raadzaam om dat in de definitie ook aan te geven. Als de architectuur zich louter beperkt tot het opstellen van principes en standaarden die richting geven aan het ontwerp, is het aan te bevelen deze te noemen. Ontwerpdomeinen. Zoals er geen uniforme terminologie en definitie bestaat binnen de architectuur, bestaat er ook geen uniforme theorievorming en begripsbepaling betreffende architectuur. Zo is er theorievorming over architectuur te vinden onder termen als business architectuur, informatiearchitectuur, IT-architectuur, digitale architectuur en enterprise architectuur. De termen business, informatie en IT-architectuur refereren naar verschillende ontwerpdomeinen binnen de organisatie. De business architectuur (ook wel bedrijfsarchitectuur genoemd) gaat over processen. Informatiearchitectuur wordt gezien als een verzameling architecturen die zich bevinden tussen de businessarchitectuur en de technische architectuur. Een IT-architectuur (technische architectuur) geeft een beeld van de verschillende technische componenten in hun onderlinge samenhang. Digitale architectuur, een term onder andere gebruikt door Rijsenbrij, Gartner en Forrester, verwijst impliciet naar het digitale of IT aspect binnen de onderneming, terwijl dit ook een ontwerpdomein is binnen het systeemtype enterprise (Buitenhuis, 2007). Enterprise architectuur is een verzameling van deelarchitecturen binnen het business domein, het informatiedomein en het IT-domein. Bij ieder architectuurtraject dient inzicht te worden verkregen in de huidige situatie (ISTarchitectuur). Vanuit de businesseisen en de IST-situatie wordt vervolgens de SOLLarchitectuur bepaald. Omdat het meestal om grote veranderingen gaat dient de migratie van IST naar SOLL in fasen (plateaus) te worden gerealiseerd. IST (As-Is) Inventarisatie van huidige technische componenten en processen Migratieplan Het migratiepad Om de SOLLsituatie te realiseren SOLL (To-Be) Architectuur Business Informatie Technologie Figuur 1. Van IST naar SOLL 9

10 S Chapnews Toepassingen Architectuur is een centraal referentiepunt voor business en IT-kwesties en de relatie daar tussen, en is volgens Tout (2007) daardoor geschikt als: 1. Alignmentinstrument: Een voorkomende toepassing voor architectuur is die van het realiseren van business- IT-alignment. Architectuur is geen eindproduct of doel op zich maar wel een hulpmiddel bij het afstemmen van de organisatiedoelstellingen. Architectuur is dus één van de instrumenten in het zorgen voor alignment tussen Business en IT. Het is een middel om bedrijfsstrategie en de IT-strategie optimaal op elkaar af te stemmen. Zie de sectie drijfveren voor architectuur over architectuur als alignmentinstrument; 2. Veranderinstrument: De verschillende manieren waarmee omgegaan kan worden met een architectuur kent analogieën met de wijze waarop organisaties veranderd kunnen worden. Architectuur en veranderen met elkaar in verband te brengen is niet nieuw. Architectuur beoogt immers veranderingen te beschrijven en te begeleiden. Het resultaat van de verandering wordt van tevoren zorgvuldig omschreven en gedefinieerd. Er vindt een hoge mate van sturing plaats; 3. Communicatiemiddel: Het gaat bij het beschrijven van een architectuur om het in kaart brengen van een huidige en een gewenste situatie. Hierdoor wordt het mogelijk om te bepalen wat reeds is gerealiseerd en wat het einddoel is. Door een complexe situatie in begrijpbare modellen te beschrijven, wordt de situatie beter hanteerbaar. Hiermee kunnen beslissingstrajecten in organisaties aanzienlijk beter verlopen. Daarnaast is het een communicatiemiddel richting management en opdrachtgever; 4. Samenwerkingsinstrument: Samenwerking staat de laatste jaren steeds meer in de belangstelling. maar als instrument om samenwerking binnen organisaties te bevorderen. Hierbij wordt gekeken naar de horizontale samenwerking en verticale samenwerking. Het is een S Het is een 5 Figuur 2. Communicatieprobleem door het ontbreken van een gezamenlijk referentiekader 10

11 Beveiliging als vast onderdeel van architectuur Volgens Rijsenbrij (2005) is beveiliging een vast onderdeel van een geïntegreerde architectuurbenadering en beslaat alle vier werelden in samenhang. Deze vier werelden zijn het organisatiegebeuren, informatieverkeer, applicatielandschap en de technische infrastructuur. De beveiligingsarchitectuur beschrijft de manier waarop beveiliging wordt vormgegeven en beschouwt de beveiligingsmaatregelen van gebruiker tot dienst, een end-to-end beschouwing. Elke wereld heeft zijn eigen beveiligingsprincipes, die soms ook nog op gespannen voet staan met de principes uit die wereld zelf (Rijsenbrij, 2005). Het bovengenoemde houdt dus in dat een beveiligingsarchitectuur geen ander document hoeft te zijn dan de andere architecturen. Beveiligingsaspecten kunnen dus ook in elk van de onderliggende architecturen zijn beschreven. Het is wel belangrijk dat het geheel is aangesloten, waardoor de traceerbaarheid van uitgangspunten en eisen naar maatregelen gewaarborgd wordt. Volgens de GvIB Expert Brief (Bel e.a., 2006) zijn kritieke succesfactoren voor het ontwikkelen van een beveiligingsarchitectuur: Het hebben van beleid en een classificatiesysteem voor beveiliging; Bruikbaarheid voor de doelgroepen en de beleving dat met een beveiligingsarchitectuur de complexiteit wordt gereduceerd, en een betere beveiliging kan worden gerealiseerd. Vanuit een beveiligingsoogpunt zijn de belangrijkste doelgroepen voor architectuur weergegeven in de onderstaande tabel. Afhankelijk van de organisatie kunnen mogelijk nog andere specifieke doelgroepen worden onderkend. Tabel 1. Doelgroepen architectuur (Bel e.a., 2006) (IT) Architecten Ontwerpers Security specialisten Business managers Architecten hebben de beveiligingsprincipes nodig om de juiste bouwstenen op de juiste plaats te kunnen definiëren met hoogniveau beveiligingseisen. Ontwerpers hebben de beveiligingsprincipes nodig om bouwstenen en services te ontwerpen volgens deze principes in de context van de beveiligingsarchitectuur. Specialisten gebruiken de architectuur om de organisatie consistent te adviseren over beveiliging eisen waar services en systemen aan moeten voldoen. Business managers financieren de beveiliging, stellen de eisen en kunnen uit de architectuur op hoofdlijnen opmaken hoe hun business informatie wordt beveiligd. Door gestructureerd te werken volgens een beveiligingsarchitectuur kunnen zij beter verantwoorden dat zij stelselmatig werken aan een goede bescherming van bedrijfsinformatie en Auditors Auditors kunnen de architectuur gebruiken als toetsingsinstrument tijdens hun controles. 11

12 Voorbeeld: een korte beschrijving van NORA Burgers en bedrijven verwachten een goed functionerende overheid. Interoperabiliteit 1 is hiervoor een belangrijke voorwaarde. NORA, de Nederlandse Overheid Referentie Architectuur 2, is een raamwerk dat overheidsorganisaties helpt om deze interoperabiliteit te realiseren. De NORA hanteert de definitie van het IEEE voor architectuur, namelijk: Architectuur is de beschrijving van de fundamentele opbouw van een systeem, bestaande uit: Zijn componenten; Hun onderlinge relaties en die tot hun omgeving; De principes voor hun ontwerp en evolutie. In de NORA versie 2.0 worden fundamentele principes en architectuurprincipes voor de inrichting van de e- overheid gepresenteerd. De fundamentele principes hebben betrekking op: Hogere kwaliteit van de dienstverlening; Administratieve lastenverlichting; Transparantie; Proactieve dienstverlening; Een integrale en betrouwbare overheid; Verbeteren van de doelmatigheid. Beveiliging & Privacy Beheer Wie? Wat? Hoe? Bedrijfs architectuur Organisatie Diensten Producten Processen Informatie architectuur Medewerkers applicaties Berichten Gegevens Informatieuitwisseling Technische architectuur Technische componenten Gegevensopslag Netwerk Figuur 3. Architectuurraamwerk voor de NORA 1. Het delen van informatie door overheidsorganisaties. 2. Een referentiearchitectuur is een instantie van een architectuur welke in vergelijkbare situaties hergebruikt kan worden. 12

13 De architectuurprincipes zijn geordend op basis van een architectuurraamwerk (zie figuur 3). Het architectuurraamwerk bestaat uit een matrix met drie architectuurlagen (bedrijfsarchitectuur, informatiearchitectuur, technische architectuur) en drie dimensies (wie, wat, hoe). Deze dimensies representeren verschillende componenten binnen een laag. Daarnaast zijn er twee algemene dimensies die op alle lagen en componenten betrekking hebben: beheer en beveiliging & privacy. Op de bedrijfslaag gaat het bijvoorbeeld om de veiligheid van medewerkers, producten en bedrijfsprocessen. Op de middelste laag ligt de nadruk op de informatiebeveiliging: van applicaties (beschikbaarheid), van gegevens (integriteit) en van de communicatie (vertrouwelijkheid). Op de onderste laag (techniek) spreken we over authenticatie (PKI, etc.) en encryptie, naast de fysieke aspecten (firewalls, etc.). Beveiliging & privacy Een goed functionerende informatievoorziening is een belangrijk onderdeel van de bedrijfsvoering van de overheid geworden en het wordt, met onder meer de komst van de e-overheid, steeds belangrijker. Samenwerking van de overheidsorganisaties brengt een aantal zaken met zich mee. Een organisatie moet een bepaald niveau van beheersing hebben bereikt om op een verantwoorde wijze te kunnen samenwerken en aan de e-overheid te kunnen bijdragen. Dit kan worden gezien als de baseline voor beveiliging. Een mate van beheersing waarover zij ook verantwoording aflegt. Het betreft de volgende aspecten: De organisatie beheerst haar informatiebeveiliging; De organisatie beheerst haar bescherming van persoonsgegevens ter bescherming van de persoonlijke levenssfeer van de betrokkenen. Hierbij speelt de WBP (Wet Bescherming Persoonsgegevens) een grote rol; De organisatie beheerst de continuïteit van haar belangrijkste bedrijfsprocessen. Samenwerking van organisaties leidt tot het maken van gezamenlijke afspraken over het op elkaar afstemmen en afgestemd houden van de informatiebeveiliging- en privacystelsels, van beleid tot en met controle. Hierbij kunnen ook afspraken over gemeenschappelijke voorzieningen een rol spelen. De NORA geeft richtlijnen betreffende deze afspraken: De samenwerkende partijen richten gezamenlijk de governance in voor hun informatiebeveiliging, privacy en continuïteit van de bedrijfsvoering; Alle organisaties in de e-overheid dragen bij en maken gebruik van een te ontwikkelen gemeenschappelijk normenkader ten behoeve van bijvoorbeeld audits; E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee burgers en bedrijven zaken met haar kunnen doen; Informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen vormen een integraal onderdeel van een service of dienst. Drijfveren voor architectuur Burke (2002) noemt drie belangrijke drijfveren voor het inzetten van (enterprise) architectuur in organisaties, namelijk: 1. Business IT alignment; 2. De wendbaarheid van de business ook wel business agility genoemd; 3. Kostenbesparing op de IT middelen. 13

14 Business IT alignment Business IT alignment is historisch gezien het belangrijkste argument geweest om enterprise architectuur op de agenda te zetten en blijft nog steeds een belangrijke drijfveer (Burke, 2002; Van der Raadt et al., 2004). Alignment is een issue op die plekken waar twee partijen samenwerken. Hetzij tussen IT en business is of tussen businessonderdelen onderling. Business IT alignment gaat over het effectief en efficiënt gebruik van IT investeringen en bedrijfsmiddelen, teneinde het realiseren van business strategieën en het behalen van bedrijfsdoelen mogelijk te maken. Dit komt neer op samenwerken, luisteren en begrip hebben voor elkaars belangen. Het is een proces dat onder andere gefaciliteerd kan worden door de juiste opzet van de architectuurprocessen. Business? IT Figuur 4. Alignment gap Het vraagstuk van Business IT alignment staat al een groot aantal jaren in de schijnwerpers. Het alignment model van Luftman (Luftman, 2003) en Henderson en Venkamatran (Henderson et al. 1993) kan worden gezien als startpunt voor de aandacht voor alignment. De modellen richten de aandacht op de wijze waarop de strategie van een organisatie in lijn kan worden gebracht met de IT-strategie en welke weerslag dit heeft voor de huidige bedrijfsprocessen en hun ondersteuning door IT. Het door Henderson en Venkatraman ontwikkelde Stategisch Alignment Model is het begin van een lange reeks publicaties over het alignment-vraagstuk. In de loop van de tijd zijn er veel wijzigingen van het model gesuggereerd, zoals het Amsterdams Informatie Management (AIM) model (Abcouwer et al. 1997; Maes 2007). 14