Toetsingskader voor business intelligence systemen

Transcriptie

1 Toetsingskader voor business intelligence systemen - IT auditor versus BI omgevingen - postgraduate IT-opleiding Vrije Universiteit Amsterdam Gaston Stassen Niels Kappert Assen, maart 2009

2 Colofon Toetsingskader voor business intelligence systemen binnen UVIT Het doel van het onderzoek is te komen tot een auditinstrument dat gebruikt kan worden binnen de UVIT organisatie bij de totstandkoming of beoordeling van een business intelligence systeem, waarbij gebruik wordt gemaakt van een datawarehouse en informatiebeveiliging voldoende wordt belicht. Scriptie Deze scriptie is geschreven in het kader van de afronding van de postgraduate IT-auditopleiding aan de Vrije Universiteit van Amsterdam. Begeleider Vrije Universiteit Dr. A. Shahim RE Begeleider Univé verzekeringen Dhr. W. van Maaren Auteurs Dhr. G.P.G. Stassen Dhr. N. Kappert

3 Voorwoord Beste lezer, voor u ligt onze afstudeerscriptie ter afronding van de postgraduate ITaudit opleiding aan de Vrije Universiteit. De totstandkoming van deze scriptie was een boeiend en tijdrovend proces. Wat is nu precies business intelligence en datawarehousing en wanneer spreekt men over een datawarehouse? Is het nodig om een business intelligence systeem te beoordelen en zo ja, op welke wijze zou een IT auditor dit dan kunnen doen? Allemaal vragen die wij in deze scriptie trachten te beantwoorden. Waarom dit onderwerp? Wij constateren dat steeds meer organisaties gebruik maken van business inteliigence oplossingen. Dit geldt ook voor de organisatie UVIT, een fusieorganisatie tussen Univé, Vgz, Iza en Trias, waarbinnen wij werkzaam zijn. Zowel Univé, VGZ, Iza en Trias hebben hun eigen business intelligence omgevingen. Hierbij is in alle gevallen gebruik gemaakt van een centraal datawarehouse. Als gevolg van de fusie zullen de verschillende IT landschappen geïntegreerd worden. Vanwege de hoge informatiewaarde, de kosten en lange doorlooptijden bij de ontwikkeling en implementatie van dergelijke systemen is het van belang dat de risico s op een afdoende wijze worden beheerst. Daarom wordt binnen UVIT in toenemende mate vanuit het management gevraagd om een audit uit te voeren op dit type systemen. Kortom, wij verwachten dat de IT auditor steeds vaker zal worden geconfronteerd met de vraag om dergelijke systemen te beoordelen. Naast de te verwachte toenemende vraag is er nog een andere reden waarom wij graag meer inzicht willen krijgen in deze materie. Gedurende de reguliere opleiding is weinig tot geen aandacht besteed aan dit onderwerp. Door het kiezen voor business intelligence hebben wij alsnog op een intensieve wijze kennis en ervaring kunnen opdoen rondom dit onderwerp. Wij hopen met dit onderzoek en deze scriptie een bijdrage te hebben geleverd op welke wijze een IT auditor een business intelligence systeem kan beoordelen. Vanzelfsprekend was de totstandkoming van deze scriptie niet mogelijk geweest zonder de inbreng, wijsheid en ondersteuning van de begeleidende coaches. Gaston en Niels

4 Inhoudsopgave 1 Inleiding en onderzoeksopzet Achtergrond Aanleiding Doelstelling onderzoek Onderzoeksvragen Resultaat van het onderzoek Aanpak Reikwijdte Leeswijzer Business intelligence Inleiding Invalshoek business intelligence? Wat is business intelligence? Gericht proces Bijbehorende voorzieningen BI-cyclus Nut en noodzaak van business intelligence Verwachtingspatroon Informatiekloof Karakteristieken van business intelligence systemen Business intelligence systemen versus operationele systemen Datawarehouse concept Welke kwaliteitsaspecten spelen een rol bij informatiesystemen? Kwaliteitsmodellen en informatiebeveiliging Inleiding Kwaliteitsmodellen binnen UVIT Wat is informatiebeveiliging? Kwaliteitsaspecten informatiebeveiliging Waarom informatiebeveiliging? Informatiebeveiliging binnen UVIT Praktijkonderzoek Aanpak Belangrijkste bevindingen en conclusies Mate van belang van de BI systemen voor UVIT De mate waarin aandacht is voor informatiebeveiliging Risicoinventarisatie Het auditinstrument Inleiding Het toetsingskader Samenvatting...31 Literatuurlijst...33 Begrippenlijst...34 Bijlage I: Kenmerken BI systemen UVIT...36 Bijlage II: Scoremodel BI systemen UVIT...37 Bijlage III: Programma workshop...38 Bijlage IV: Overige onderkende risico s...39 Bijlage V: Lijst van betrokken medewerkers...40

5 1 Inleiding en onderzoeksopzet 1.1 Achtergrond Business intelligence systemen zijn voornamelijk bedoeld om managers van accurate en relevante informatie te voorzien, waardoor strategische beslissingen worden verbeterd. De consequenties van niet accurate en irrelevante data in deze informatiesystemen kunnen leiden tot foutieve beslissingen die desastreuze gevolgen kunnen hebben voor de bedrijfscontinuïteit van een organisatie. De Univé-VGZ-IZA-Trias organisatie (UVIT) is onderhevig aan een fusie waarbij de verschillende IT landschappen geïntegreerd zullen worden. Dat betekent dat keuzes worden gemaakt welke systemen blijven bestaan en welke systemen uitgefaseerd zullen worden. Bij dit selectietraject zal eveneens een keuze worden gemaakt uit de aanwezige business intelligence systemen. Vanuit het oogpunt van de hoge informatiewaarde, de kosten en lange doorlooptijden die vaak gepaard gaan bij de ontwikkeling en implementatie van deze systemen is het van belang dat de risico s aan dergelijke systemen op een afdoende wijze worden beheerst. Daarom wordt binnen UVIT in toenemende mate vanuit het management gevraagd om een audit uit te voeren op dit type systemen. 1.2 Aanleiding Voor een verzekeraar als UVIT is het zorgvuldig omgaan met informatie van het grootste belang. Dit is niet alleen een verplichting naar de klant, maar eveneens een wettelijke verplichting die wordt gecontroleerd door externe toezichthouders. De afgelopen jaren heeft UVIT een serieuze achterstand opgelopen op het gebied van informatiebeveiliging, waardoor UVIT niet meer voldoet aan de minimale normen. Het is dus zaak om de UVIT organisatie zo snel mogelijk weer op het gewenste niveau te brengen. Wij hopen door middel van dit onderzoek hier een positieve bijdrage aan te leveren. Vanuit de IT-audit discipline dient het beoordelen op een gestructureerde, traceerbare en gefaseerde wijze plaats te vinden. In de literatuur is weinig concreets te vinden over de wijze waarop business intelligence systemen dienen te worden beoordeeld. Dit heeft ons doen besluiten om hier onderzoek naar te doen. 1.3 Doelstelling onderzoek De doelstelling van het onderzoek is het realiseren van een toetsingskader welke gebruikt kan worden binnen de UVIT organisatie bij de totstandkoming of bij de beoordeling van bestaande business intelligence systemen, waarbij met name het aspect informatiebeveiliging voldoende wordt belicht. Dit toetsingskader kan door de IT auditor, maar ook door een business intelligence medewerker gebruikt worden bij de opzet en inrichting van een business intelligence systeem. Uit deze doelstelling is de volgende centrale onderzoeksvraag naar voren gekomen. Op welke wijze kan worden getoetst of aan de eisen wordt voldaan die aan een business intelligence systeem worden gesteld op het gebied van de informatiebeveiliging in opzet, bestaan en werking. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 5-40

6 1.4 Onderzoeksvragen Om op de onderzoeksvraag een antwoord te kunnen geven dienen enkele subvragen beantwoord te worden: Business intelligence 1. Wat wordt verstaan onder business intelligence? 2. Waarom maken organisaties gebruik van business intelligence? 3. Wat verstaan wij onder een business intelligence systeem? 4. Zijn er verschillen te ontdekken tussen business intelligence systemen en de traditionele operationele systemen? 5. Welke rol speelt een datawarehouse binnen een business intelligence systeem? 6. Welke kwaliteitsaspecten spelen een belangrijke rol bij informatiesystemen? Informatiebeveiliging 7. Wat verstaan we onder informatiebeveiliging en welke set van kwaliteitsaspecten spelen hierbij een rol? 8. Welke beveiligingsrisico s spelen een belangrijke rol bij een business intelligence systeem? Auditinstrument 9. Is het nodig om een business intelligence systeem te auditen? 10. Aan welke beveiligingsaspecten moet een business intelligence systeem voldoen? 11. Waaraan moet de inrichting van een business intelligence systeem voldoen? 12. Hoe kan getoetst worden of in een business intelligence systeem de essentiële (kwaliteit)aspecten zijn benoemd of aanwezig zijn? 1.5 Resultaat van het onderzoek Het resultaat van het onderzoek is een toetsingskader waarin de te stellen eisen op het gebied van informatiebeveiliging zijn opgenomen. Het toetsingskader kan gebruikt worden voor bestaande business intelligence systemen of bij de totstandkoming daarvan. Het gaat om een algemeen instrument met normen, uitgewerkt in termen van beheersmaatregelen, die door de organisaties kunnen worden toegepast om de risico s rondom informatiebeveiliging zo goed mogelijk te verkleinen. Het toetsingskader is zowel toepasbaar voor de IT auditor als voor een medewerker die betrokken is bij de opzet en inrichting van een business intelligence systeem. 1.6 Aanpak Om antwoord op de onderzoeksvragen te kunnen geven is tijdens het onderzoek gebruik gemaakt van de volgende onderzoeksmethoden en technieken: Literatuurstudie; Voorbereiden en uitvoeren praktijkonderzoek bij de verschillende organisatieonderdelen van UVIT; Analyseren van de bevindingen op basis van literatuurstudie en praktijkonderzoek; Ontwikkelen van een toetsingskader. De literatuurstudie is uitgevoerd om een beeld te krijgen van het onderzoeksobject, het onderzoeksterrein en de definities van begrippen. Hierbij is gebruik gemaakt van boeken, (vak)literatuur en internet. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 6-40

7 Na de literatuurstudie is gestart met het voorbereiden van het praktijkonderzoek. Het praktijkonderzoek heeft zich gericht op de verschillende business intelligence systemen binnen de organisatieonderdelen van UVIT. Op basis van de bestudeerde literatuur is een workshop georganiseerd met de verantwoordelijke beheerders en managers van deze systemen met als doel: Vaststellen of er naast de elementen genoemd in de literatuur nog elementen van de praktijk naar voren komen die relevant zijn voor het onderzoek; Nagaan of de bestudeerde literatuur toegepast is binnen de verschillende business intelligence systemen; Vaststellen in welke mate informatiebeveiliging een rol speelt bij de verschillende business intelligence systemen; Inventariseren van risico s en het bedenken van beheersmaatregelen om de onderkende risico s zoveel mogelijk te verkleinen. Voorts hebben we gebruik gemaakt van vragenlijsten en scoremodellen met als doel inzicht te krijgen in de wijze waarop en in welke mate informatiebeveiliging een rol speelt bij de verschillende business intelligence systemen. 1.7 Reikwijdte De reikwijdte van het onderzoek is als volgt afgebakend: Vanuit de IT audit discipline is informatiebeveiliging een belangrijk en actueel onderwerp. In dit onderzoek zal dan ook de focus vooral liggen op dit aspect; Het onderzoek zal zich beperken tot de vier fusie partners van UVIT. Het betreft hier de volgende partners Univé, Vgz, Iza en Trias; Wij richten ons in het onderzoek op de business intelligence systemen waarbij gebruik wordt gemaakt van een centraal datawarehouse; De bronsystemen blijven buiten bereik van het onderzoek. 1.8 Leeswijzer De leeswijzer beschrijft de gekozen structuur van de scriptie en geeft aan waar welke informatie te vinden is. In hoofdstuk 2 wordt het begrip business intelligence vanuit twee invalshoeken beschreven. Het begrip business intelligence wordt gedefinieerd zoals deze in dit onderzoek zal worden gehanteerd. Nut en noodzaak evenals de karakteristieken komen in dit hoofdstuk aan bod. Hoofdstuk 3 staat in het teken van informatiebeveiliging en de kwaliteitsmodellen die gebruikt worden binnen de organisatie UVIT. Vervolgens wordt in hoofdstuk 4 het praktijkonderzoek toegelicht. De aanpak, de resultaten, bevindingen en conclusies worden in dit hoofdstuk beschreven. In hoofdstuk 5 wordt het auditinstrument beschreven en nader toegelicht. Het betreft hierbij een toetsingskader waarin de te stellen eisen op het gebied van informatiebeveiliging zijn opgenomen. Het laatste hoofdstuk omvat een managementsamenvatting en beschrijft de aanleiding, doel en aanpak van het onderzoek evenals de belangrijkste bevindingen en conclusies die gedurende het onderzoek naar voren zijn gekomen. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 7-40

8 2 Business intelligence 2.1 Inleiding De afgelopen jaren is business intelligence in vele organisaties snel ingeburgerd geraakt. Mede onder druk van toenemende concurrentie, wet- en regelgeving en strengere eisen van de externe toezichthouders zoals De Nederlandsche Bank, AFM, NMa en overige instanties heeft het bedrijfsleven steeds meer behoefte aan gedetailleerde informatie over de eigen bedrijfsvoering. Het niet voldoen aan deze eisen kan in extreme gevallen leiden tot sancties voor de individuele bestuurders. Het is dus niet verwonderlijk dat grote investeringen worden gedaan om de relevante bedrijfsgegevens te verzamelen, vast te leggen en toegankelijk te maken. Daarnaast hebben organisaties informatie nodig om succesvol te kunnen opereren. Een organisatie kan nieuwe informatie verkrijgen door gegevens over de interne- en externe omgeving te verzamelen. Het verzamelen van gegevens en de vertaling daarvan in bruikbare informatie en waardevolle acties zijn activiteiten die niet vanzelf gaan. Organisaties moeten daarvoor op gerichte wijze voorzieningen treffen en op structurele wijze de noodzakelijke processen inrichten en uitvoeren. Het vakgebied van business intelligence heeft als doel dit mogelijk te maken. Zeker met het toegankelijker en betaalbaar worden van business intelligence software zijn steeds meer organisaties op allerlei manieren bezig met business intelligence. Kortom, business intelligence is niet meer weg te denken als onderdeel van een effectieve bedrijfsvoering. Maar wat is nu eigenlijk business intelligence? 2.2 Invalshoek business intelligence? Als we in de literatuur op zoek gaan, vinden we verschillende omschrijvingen en definities van het begrip. Wat opvalt, is dat business intelligence eigenlijk een verzamelbegrip is. In grote lijnen staat het voor het verzamelen, analyseren, presenteren en verspreiden van bedrijfsinformatie, die van strategisch belang is. Er bestaat echter geen eenduidige definitie waarin iedereen zich kan vinden. In de literatuur wordt het begrip business intelligence vanuit twee invalshoeken beschreven. Het business perspectief Vanuit het business perspectief wordt business intelligence beschreven als het systematische proces waarbij op basis van de strategie en de daaruit voortvloeiende informatiebehoefte data wordt verzameld en geanalyseerd met als product kennis en informatie. Deze kennis en informatie dragen op hun beurt weer bij aan de strategie. Het technologische perspectief Het technologische perspectief gaat expliciet in op de rol van ICT binnen het business intelligence proces. De nadruk ligt meer op het gebruik van ICT dan op het proces erachter. ICT speelt een rol bij het verzamelen van data en bij het integreren van data via een datawarehouse en bij de verspreiding hiervan binnen de organisatie. Dit wordt vaak aangeduid met het begrip datawarehousing. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 8-40

9 2.3 Wat is business intelligence? Zoals in de vorige paragraaf reeds aangegeven wordt het begrip in de literatuur vanuit twee invalshoeken beschreven. Hierbij wordt het begrip zowel gebruikt om het proces (business perspectief) als ook het geheel van de ICT voorzieningen (technologisch perspectief) mee aan te duiden. Business intelligence bevindt zich daardoor nadrukkelijk op de grens tussen organisatie en techniek, tussen sturing en gereedschappen. Wij zijn van mening dat beide invalshoeken, c.q. perspectieven in de begripsomschrijving van business intelligence naar voren moet komen. Dit omdat een effectief business intelligence proces niet zonder ICT kan plaatsvinden en visa versa. Vandaar dat we tijdens het onderzoek en in deze scriptie de volgende omschrijving van business intelligence hebben gehanteerd. Business intelligence is het gerichte proces, met bijbehorende voorzieningen, om gegevens te verzamelen, te integreren en vervolgens te analyseren en de als resultaat daarvan verkregen informatie toe te passen [Hamer,2005] Bovenstaande definitie geeft ons inziens een goede omschrijving van het begrip die zowel invulling geeft aan de organisatorische- als de technische invalshoek. Om meer gevoel te krijgen bij bovenstaande definitie zullen wij in de volgende subparagrafen een aantal elementen van deze omschrijving nader toelichten Gericht proces Business intelligence is gericht op de voor een organisatie relevante zaken. Elke investering of activiteit die met business intelligence te maken heeft, moet uiteindelijk te relateren zijn aan één of meer doelstellingen van de organisatie. Daarnaast is business intelligence in de eerste plaats een set van structurele en continue activiteiten. Business intelligence is geen éénmalig, afgebakend (ICT)- project met een begin- en einddatum. De inrichting en het onderhoud van de voor business intelligence benodigde voorzieningen kunnen in projecten plaatsvinden. De uitvoering van business intelligence is een proces Bijbehorende voorzieningen Voor een effectieve uitvoering van het business intelligence proces zijn systemen nodig die geautomatiseerde ondersteuning bieden en mensen die deze voorzieningen of coördinerend werk verrichten door business intelligence te plannen en aan te sturen. Er is een rijk scala aan instrumenten met bijbehorende methoden en technieken voorhanden ter ondersteuning van business intelligence. Eén van de belangrijkste voorzieningen is het gebruik van een datawarehouse. Later in dit hoofdstuk zullen we nader op het begrip datawarehouse ingaan BI-cyclus Het proces van verzamelen, analyseren en toepassen leidt van gegevens naar informatie en van informatie naar actie. Deze actie zal binnen of buiten de organisatie effect hebben en hoe dan ook tot nieuwe gegevens leiden. Nieuwe gegevens die op hun beurt weer tot nieuwe informatie en nieuwe actie zullen leiden. Business intelligence is daarmee een zich steeds herhalend cyclisch proces. Dit wordt ook wel aangeduid met de BI-cyclus. De BI-cyclus staat voor de continue operationele uitvoering van het verzamelen en analyseren van gegevens en het toepassen van de als resultaat daarvan verkregen informatie. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 9-40

10 Verzamelen Proces Proces business intelligence Toepassen Figuur 2-1: BI-cyclus 1 Figuur 2-1 geeft de BI-cyclus weer met de deelprocessen verzamelen, analyseren en toepassen. Het afgebeelde bedrijf staat symbool voor een willekeurig bedrijfsproces of een verzameling van processen binnen of buiten de organisatie. Het dartbord in het midden van de afbeelding staat symbool voor het richten van business intelligence. Verzamelen is de aanduiding voor de set van activiteiten in het business intelligence proces om gegevens uit bronnen te identificeren, te extraheren, te converteren, te bewerken, te combineren en gestructureerd op te slaan of verder te distribueren. Analyseren heeft betrekking op de activiteiten in het business intelligence proces waarin gegevens informatie worden door context en daarmee betekenis aan gegevens te geven of door op zoek te gaan naar patronen en verbanden in gegevensverzamelingen. Toepassen behelst het verspreiden van en communiceren over de nieuw verkregen informatie naar actoren die deze informatie nodig hebben en in hun werk kunnen toepassen. 2.4 Nut en noodzaak van business intelligence Elke organisatie en elk individu heeft informatie nodig om te kunnen functioneren, om beslissingen te nemen, problemen op te lossen en kansen te benutten. Het verzamelen van gegevens en de vertaling daarvan in bruikbare informatie en acties zijn activiteiten die niet vanzelf gaan. Steeds meer organisaties geven expliciet invulling aan het proces om gegevens te zamelen, te analyseren en de als resultaat daarvan verkregen informatie toe te passen. Waarom doen organisaties dit? Met andere woorden: wat is het nut of de noodzaak van business intelligence? Verwachtingspatroon Uit onderzoek van het onderzoeksbureau Forrester [figuur 2-2] blijkt dat organisaties veel verwachtingen hebben van business intelligence. Redenen die de respondenten van het onderzoek hebben aangegeven waren: 42% van de respondenten gaf aan dat het gaat om sneller en beter te kunnen beslissen. 38% 1 Afgeleid van afbeelding afkomstig van 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 10-40

11 vindt dat het belangrijk is om een concurrentievoordeel te behalen en slechts 12% ziet het ontdekken van trends als belangrijkste reden [Til en Rooij, 2008]. Redenen voor business intelligence ontdekken trend hogere omzet bedrijfsbrede blik lagere kosten % concurrentievoordeel beter/sneller kunnen beslissen Figuur 2-2: Redenen voor BI volgens Forrester Research [Til en Rooij, 2008] Informatiekloof Het merendeel van de organisaties verwacht [figuur 2-2] veel van business intelligence als het gaat om beter en sneller beslissingen te kunnen nemen. Echter, vrijwel alle organisaties hebben te kampen met de zogenoemde informatiekloof. Deze kloof is ontstaan door de spanning tussen enerzijds de beschikbare tijd om op basis van relevante informatie beslissingen te nemen en actie te ondernemen en anderzijds de benodigde tijd om relevante informatie te verkrijgen door gegevens te verzamelen en te analyseren. Deze kloof wordt groter doordat de genoemde beschikbare tijd steeds korter wordt door bijvoorbeeld toenemende concurrentie en de genoemde benodigde tijd steeds langer wordt door bijvoorbeeld de enorme groei van de hoeveelheid data. De steeds groter wordende informatiekloof is voor veel organisaties een serieus probleem [Liautaud en Hammond, 2000]. Figuur 2-3: Informatiekloof 2 De inrichting en uitvoering van business intelligence kan op verschillende manieren helpen de informatiekloof te overbruggen. 2 Afgeleid van afbeelding afkomstig van 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 11-40

12 Verkorting van benodigde tijd voor het verkrijgen van relevante informatie. Door efficiënte inrichting en inzet van de juiste instrumenten kan het proces om gegevens te verzamelen en te analyseren sneller verlopen. Hierdoor blijft meer van de beschikbare tijd over om de resulterende informatie toe te passen voor het nemen van beslissingen en het ondernemen van actie; Optimale benutting van beschikbare tijd om relevante informatie toe te passen. Tijdige verspreiding van relevante informatie naar de juiste personen zorgt ervoor dat de beschikbare tijd om informatie toe te passen optimaal benut kan worden. Een belangrijke opmerking is dat het overbruggen van de informatiekloof iets anders is dan het dichten ervan. Met business intelligence kan men de spanning wel verlichten, maar niet opheffen. Dat laatste is vrijwel onmogelijk, vooral doordat veel van de factoren die de informatiekloof veroorzaken een gegeven vormen waar een organisatie nauwelijks of geen invloed op heeft. De verwachting is dan ook dat de informatiekloof in de toekomst nog verder zal toenemen [Liautaud en Hammond, 2000]. 2.5 Karakteristieken van business intelligence systemen Business intelligence systemen worden ontworpen om te voorzien in een architectuur die bedrijfsgegevens toegankelijk en bruikbaar maakt voor kennisverwerkers en beslissingsbevoegden. Het belangrijkste en kenmerkende verschil tussen operationele systemen en business intelligence systemen is de aanwezigheid van gegevens. Bij de ontwikkeling van een operationeel systeem worden aan de hand van nieuwe definities de gegevens in het systeem gebracht. Dit in tegenstelling tot business intelligence systemen die gebruik moeten maken van bestaande gegevens en definities. Business Intelligence systemen kunnen dan ook getypeerd worden als data-driven georiënteerde systemen. Voor operationele systemen geldt dat deze sterk functiegericht zijn. Voor het verzamelen van gegevens zijn binnen BI systemen diverse instrumenten en technische componenten voorhanden. Hierbij vormt een datawarehouse in veel gevallen het hart van de architectuur voor een business intelligence systeem. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 12-40

13 2.5.1 Business intelligence systemen versus operationele systemen In tabel 2-1 worden grofweg de belangrijkste verschillen beschreven tussen operationele (OLTP-) systemen en business intelligence systemen. Tabel 2-1: Verschillen tussen Operationele- en BI systemen Aspect Transactie - / operationele systemen (operationele gegevens) Business intelligence systemen (Informatieve gegevens) Gegevens- Inhoud Gebruiken actuele gegevens en actuele waarde ondersteunen de dagelijkse verwerking op een gedetailleerd transactieniveau Getotaliseerd, afgeleid en gearchiveerd Gegevens zijn geconsolideerd met de waarheid op een bepaald moment Gegevensverzameling is geordend in de tijd Periodiek vindt vastlegging plaats van momenten uit de operatie Soort toegang Gegevensrangschikking Gegevensstabiliteit Gegevensstructuur Toegangsfrequentie Gegevensinvoer Type gebruikers Raadplegen, bewerken, verwijderen, veld na veld Geen rechtstreekse benadering van de gegevensverzameling Op applicatie Dynamisch, verandert voortdurend van waarden moeten zeer regelmatig bewerkt worden Geoptimaliseerd voor transacties Hoog ondersteunen veel gelijktijdige gebruikers Benaderen weinig records per transactie Invoer door mensen Administratieve en operationele gebruikers Raadplegen, aggregeren, toegevoegd aan Soms rechtstreekse benadering van de gegevensverzameling Gegevensverzameling is thematisch Gegroepeerd naar onderwerp Statisch tot aan verversing Omgeving is vrij stabiel Kent in principe alleen maar toevoegingen. Gegevensverzameling is bevroren Momentopnames worden bevroren zodat ze in principe nooit meer aangepast worden Geoptimaliseerd voor complexe queries Gegevensverzameling is geïntegreerd Rapportage is afkomstig uit verschillende bronsystemen Gemiddeld tot laag Grote hoeveelheid records per transacties Invoer door computer-programma s. Ontsluiten van geïntegreerde gegevens is eenvoudiger doordat ze geleverd worden door geautomatiseerde processen in plaats van het handmatig overtikken van lijstjes Analytische en bestuurlijke gebruikers Indexen Weinig en eenvoudige indexen Vaak veel complexe, gecombineerde indexen Responsetijden Zijn geoptimaliseerd voor een goede performance. Max. 3 seconden Tot <= 10 minuten Datawarehouse concept Zoals eerder vermeld bevindt business intelligence zich nadrukkelijk op de grens tussen organisatie en techniek, tussen sturing en gereedschappen. Het concept waarmee business intelligence ondersteund wordt heet datawarehousing. Datawarehousing houdt zich bezig met het proces om de gegevens die nodig zijn voor het realiseren van de sturing op bedrijfsdoelstellingen te verzamelen, te integreren en voor te bereiden op het gewenste gebruik. Gegevens voor business intelligence worden bewaard in een datawarehouse. Een datawarehouse is een geautomatiseerde omgeving die is ingericht voor het opslaan van grote hoeveelheden gegevens gedurende langere tijd. Het doel daarvan is te 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 13-40

14 beschikken over alle gegevens die voor een organisatie in het kader business intelligence van belang kunnen zijn. Datawarehousing beoogt alle relevante gegevens, die afkomstig zijn uit interne- en externe bronnen, te extraheren, te schonen, te integreren en beschikbaar te stellen op tactisch en strategisch niveau. Dit proces wordt ook wel ETL genoemd: ETL staat voor extract, transform and load, ofwel het extraheren, transformeren en laden van gegevens van een bronsysteem in een datawarehouse. Het datawarehouse ontkoppelt in feite de primaire processystemen en de ondersteunende systemen van de managementrapportages en analysetoepassingen. Het datawarehouse vormt het hart voor een business intelligence systeem. Het is een omgeving en geen product. Het is een architectuur voor een informatiesysteem om gegevens uit bronnen te integreren en langdurig te bewaren met als doel een zo optimaal mogelijke toegang tot deze gegevens te bieden. Uit het voorgaande moge duidelijk zijn dat business intelligence en datawarehousing onlosmakelijk met elkaar verbonden zijn. In de volgende paragraaf zullen we dieper ingaan op het begrip datawarehouse Het datawarehouse In de literatuur worden allerlei definities voor het begrip datawarehouse gebruikt. De definitie van Bill Inmon, één van de belangrijkste grondleggers van datawarehousing, wordt het meest toegepast. In 1996 omschreef Bill Inmon een datawarehouse als volgt: a subject oriënted, integrated, non-volatile and time variant collection of data in support of management s decisions [Inmon,1996] Oftewel: een datawarehouse is een naar onderwerp gestructureerde database, met geïntegreerde, tijdsafhankelijke gegevens die nauwelijks veranderen, ter ondersteuning van het beslissingsproces van managers. Men kan stellen dat een datawarehouse een gegevensverzameling is met de volgende kenmerken: Gegevens zijn gegroepeerd naar onderwerp die relevant en betekenisvol zijn voor gebruikers met als belangrijkste doelen om de structuur zo duidelijk mogelijk te maken; Gegevensverzameling is statisch. De gegevens worden na opslag niet meer gewijzigd, verwijderd of overschreven; Integratie van gegevens uit meerdere bronnen. Dankzij de integratie-eis is het voor de gebruiker veel eenvoudiger geworden om over de juiste gegevens te beschikken; Gegevensverzameling is geordend in de tijd. Het datawarehouse is gebaseerd op het periodiek vastleggen van momenten uit de operationele bedrijfsvoering. De gegevens vormen een weergave of snapshot van de situatie in de organisatie zoals die was op het moment van laden; Ondersteunend voor het management bij het nemen van beslissingen. Hoewel nog steeds een belangrijk kenmerk, geldt de laatste jaren dat een datawarehouse in het kader van business intelligence, in combinatie met verschillende andere instrumenten, meerdere doelgroepen kan bedienen Generiek lagenarchitectuur De definitie van een datawarehouse als uitsluitend een gegevensverzameling is te beperkt. De centrale gegevensverzameling is nog steeds het hart van de 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 14-40

15 infrastructuur. Er komt echter zoveel meer bij kijken. Een datawarehouse is een infrastructuur inclusief alle processen die met die gegevensverzameling verbonden zijn. Bij de inrichting van een business intelligence systeem wordt vaak gebruik gemaakt van het datawarehouse lagenarchitectuur [figuur 2-4]. Figuur 2-4: Datawarehouse lagenarchitectuur Het lagenmodel De architectuur bestaat uit totaal vijf lagen, waarvan twee vaste- en drie procesmatige lagen. De buitenkant van een business intelligence systeem wordt omringd door de twee vaste lagen. Aan de linkerkant staan de bronsystemen of OLTP applicaties met de aanwezige brongegevens centraal en aan de andere kant bevindt zich de gebruikerstoegangslaag. Dit is de laag waarbij gebruikers in staat worden gesteld om rapporten te raadplegen, queries uit te voeren en analyses te doen. Het onderscheidende karakter van een datawarehouse architectuur zijn in feite de activiteiten binnen de drie proceslagen van het business intelligence systeem. Deze activiteiten zijn onderverdeeld in drie proceslagen: gegevensacquisitie, -opslag en gegevensdistributie [Bischoff and Alexander, 1997]. Gegevensacquisitie De belangrijkste functie van deze laag is de gegevensoverdracht en de integratiefunctionaliteit. In deze laag vinden alle bewerkingen plaats die nodig zijn voor extractie, transformatie en laden richting het datawarehouse. Dit houdt in het verzamelen van gegevens, controleren en eventueel schoonmaken, transformeren en integreren van gegevens uit bronsystemen en vervolgens het laden en eventueel aggregeren van deze gegevens in het datawareshouse. Dit wordt ook wel het ETL proces genoemd. Gegevensopslag De belangrijkste functie van de laag gegevensopslag is de aanwezigheid van een opslagplaats voor de gegevens. Opslag is de activiteit waarbij gegevens op georganiseerde wijze worden opgeslagen voor later gebruik. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 15-40

16 Gegevensdistributie De laatste laag is de gegevensdistributielaag, welke het toegangspunt verzorgt voor de gebruikers richting het datawarehouse en datamarts. Daarnaast voorziet deze laag ook in gereedschappen ter ondersteuning van de gegevenspresentatie en analytische functies. De hierboven beschreven 5-lagenarchitectuur kom je in de praktijk in verschillende verschijningsvormen tegen. Voor een nadere uitleg van de verschillende verschijningsvormen verwijzen wij naar het academisch proefschrift Logistics of information flow van de heer A. Shahim. Deze verschijningsvormen verschillen niet veel van elkaar en zijn allemaal gebaseerd op dezelfde architectuur zoals hierboven beschreven. Om deze reden hebben wij tijdens het onderzoek het 5-lagen architectuurmodel als basis gekozen voor de rest van ons onderzoek Welke kwaliteitsaspecten spelen een rol bij informatiesystemen? In de literatuur wordt kwaliteit in een aantal dimensies onderscheiden: de procesdimensie, de productdimensie en de informatiedimensie [Delen, Kouwenhoven en Rijsenbrij, 1992]. Bij een informatiesysteem wordt onderscheid gemaakt tussen de functionaliteit van het systeem en de kwaliteit van het systeem. De functionaliteit van een systeem bestaat uit dat waarin het informatiesysteem de gebruiker ondersteunt. Gedurende het onderzoek zullen wij ons beperken tot de kwaliteitsattributen van de productdimensie. Bij het vaststellen van de set van kwaliteitsattributen hebben we gebruik gemaakt van een aantal standaarden. Als basis hebben we gebruik gemaakt van de beschrijving van de kwaliteitsattributen zoals deze in de testmethode TMAP zijn opgenomen. Daarnaast hebben we gekeken naar andere informatiebronnen, waaronder de internationale standaard ISO9126, met als doel een volledig beeld te krijgen van relevante attributen. Binnen de organisatie UVIT is TMap de standaard voor testen, inclusief de TMap set aan kwaliteitsattributen. Door deze keuze sluiten wij naadloos aan op de set van kwaliteitsattributen die bekend zijn binnen de organisatie. Dit zal de communicatie ten goede komen en mogelijke misverstanden voorkomen. Dit is de reden waarom wij de Tmap set van kwaliteitsattributen als basis hebben gebruikt en niet ISO9126. In tabel 2-2 worden de kwaliteitsattributen beschreven vanuit de productdimensie. De productdimensie wordt onderscheiden in een statische en een dynamische dimensie. De statische dimensie beschrijft de beheereigenschappen van een informatiesysteem, ofwel die wordt ervaren door het systeembeheer- en onderhoudspersoneel. De dynamische dimensie beschrijft de gebruikerseigenschappen van een informatiesysteem, ofwel de kwaliteit van de informatievoorziening in werking [Delen, Kouwenhoven en Rijsenbrij, 1992]. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 16-40

17 Statische productkwaliteit De statische productkwaliteit heeft betrekking op wijzigingen van het systeem. We kunnen daarin de volgende attributen onderscheiden: Tabel 2-2: Kwaliteitsattributen statische productkwaliteit Kwaliteitsattribuut Omschrijving Flexibiliteit De mate waarin de gebruiker zelf uitbreidingen of variaties op het systeem kan aanbrengen zonder dat de programmatuur Testbaarheid Portabiliteit Connectiviteit Herbruikbaarheid Geschiktheid van de infrastructuur wordt aangepast. Het gemak waarmee het systeem kan worden aangepast aan nieuwe wensen van de gebruiker, aan de veranderde externe omgeving of om fouten te herstellen. Het gemak en de snelheid waarmee de functionaliteit en het prestatieniveau van het systeem (na iedere aanpassing) getest kunnen worden. De diversiteit van het hardware- en softwareplatform waarin het systeem kan draaien en het gemak waarmee het object kan worden overgebracht van de ene omgeving naar de andere omgeving. Het gemak waarmee de koppeling met andere informatiesystemen of binnen het systeem tot stand kan worden gebracht of kan worden gewijzigd. De mate waarin delen van het systeem opnieuw kunnen worden gebruikt voor de ontwikkeling van andere toepassingen. Betreft de mate waarin het systeem binnen een bepaalde technische infrastructuur kunnen worden ingepast. Dynamische productkwaliteit De dynamische productkwaliteit heeft betrekking op het gebruik van het informatiesysteem. We kunnen daarin de volgende attributen onderscheiden. Tabel 2-3: Kwaliteitsattributen dynamische productkwaliteit Kwaliteitsattribuut Juistheid Volledigheid Tijdigheid Exclusiviteit Onderhoudbaarheid Controleerbaarheid Bedrijfszekerheid Omschrijving De mate waarin het systeem de aangeboden invoer en mutaties correct volgens de specificaties verwerkt tot consistente gegevens. Dit alles moet leiden tot informatie die een waarheidsgetrouwe afbeelding vormt van de werkelijkheid. De zekerheid dat het systeem alle invoer en mutaties verwerkt, zodat geen doublures of manco s ontstaan. De informatie moet een volledige afbeelding vormen van de werkelijkheid. De mate waarin de informatie op tijd beschikbaar komt om de maatregelen te nemen waarvoor die informatie bedoeld was. Dit leidt tot informatie die de werkelijkheid weergeeft zoals die is op het moment dat de informatie wordt geproduceerd. De mate waarin men kan garanderen dat de gegevens en de objecten alleen gemuteerd of geraadpleegd kunnen worden door personen die daartoe bevoegd zijn. Het gemak waarmee de juistheid en volledigheid van de gegevens (in de loop van de tijd) gecontroleerd kunnen worden. De mate waarin het systeem, c.q. de gegevensverwerking vrij blijft van storingen. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 17-40

18 Tabel 2-4: Kwaliteitsattributen dynamische productkwaliteit (vervolg) Kwaliteitsattribuut Omschrijving Robuustheid De mate waarin het systeem, c.q. de gegevensverwerking ook na een storing gewoon door kan gaan. Herstelbaarheid Het gemak en de snelheid waarmee het systeem, c.q. de gegevensverwerking na een storing herstel kan worden. De mate waarin de kern van het systeem, c.q. de gegevensverwerking kan worden voortgezet nadat een deel daarvan is uitgevallen. Het gemak waarmee de informatievoorziening op een andere locatie kan worden voortgezet. Degradatiemogelijkheid Uitwijkmogelijkheid Gebruikersvriendelijkheid Zuinigheid Dekkingsgraad bedrijfsprocessen Ondersteuning besluitvorming Het bedieningsgemak van het systeem door de eindgebruikers. De verhouding tussen het prestatieniveau van het systeem en de hoeveelheid hulpbronnen die daarvoor gebruikt worden. Betreft de mate waarin een systeem de bedrijfsprocessen ondersteunt. Hierbij wordt rekening gehouden met het belang van de processen voor de bedrijfsvoering. Betreft de waarde die de informatievoorziening heeft als achtergrond en onderbouwing voor de besluitvorming. In het volgende hoofdstuk zal in detail worden ingegaan op de kwaliteitsaspecten die betrekking hebben op het gebied van de informatiebeveiliging. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 18-40

19 3 Kwaliteitsmodellen en informatiebeveiliging 3.1 Inleiding Vandaag de dag zijn veel kwaliteitsmodellen (methoden, modellen en standaarden) beschikbaar om kwaliteitsverbetering te realiseren op het gebied van de informatievoorziening. Deze modellen worden vaak gebruikt om de complexe werkelijkheid in een overzichtelijk geheel te vangen. In feite dwingen de modellen de managers en medewerkers om naar een specifiek aantal aspecten van de organisatie te kijken. Ook op het gebied van informatiebeveiliging zijn tal van modellen beschikbaar. De kwaliteitsmodellen zijn vaak gebaseerd op normen. Die normen hebben een eigen achtergrond, bijvoorbeeld wet- en regelgeving, branchemodellen (best practises) of een beroepsorganisatie. 3.2 Kwaliteitsmodellen binnen UVIT Binnen de UVIT organisatie kiest het management bewust om gebruik te maken van bestaande kwaliteitsmodellen die bijdragen aan de verbetering van de kwaliteit van de informatievoorziening. In onderstaande tabel worden de belangrijkste kwaliteitsmodellen weergegeven die door het management van UVIT breed zijn omarmd. Tabel 3-1: Selectie kwaliteitsmodellen binnen UVIT Kwaliteitsmodel INK RUP Omschrijving Bieden van handvatten voor besturing van de gehele bedrijfsvoering en duurzame verbetering van de bedrijfsvoering Best practice voor uitvoeren van IT ontwikkelingsprojecten TMap ITIL BiSL BSC MSP Prince2 COBIT ISO17799:2000 ISO27001:2005 NEN7510 Een aanpak voor gestructureerd testen van informatiesystemen Best practices voor IT servicemanagement Procesmodel en best practices voor operationeel functioneel beheer en informatiemanagement Meet- en stuurinstrument te gebruiken voor vertaling strategie in operatieve termen Best practices voor programmamanagement Best practices voor projectmanagement Het management en proceseigenaren middels een Information Technology (IT) Governance model ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico s. Code voor Informatiebeveiliging en beschrijft normen en maatregelen die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Is een standaard voor informatiebeveiliging, waarin wordt beschreven hoe Informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO te effectueren. Geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg dient te treffen ter beveiliging van de informatievoorziening 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 19-40

20 Zoals uit tabel 3-1 blijkt wordt binnen UVIT diverse best practises en andere vormen van wet- en regelgeving gehanteerd die betrekking hebben op informatiebeveiliging waaronder ISO 17799:2000, ISO27001:2005 en NEN Wat is informatiebeveiliging? Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, van belang is voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatie komt in veel vormen voor. Het kan afgedrukt of geschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm de informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd voldoende beveiligd te zijn. Informatiebeveiliging wordt gedefinieerd als het inrichten en onderhouden van een stelsel van maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en informatiesystemen te waarborgen. Informatiebeveiliging [figuur 3-1] is gebaseerd op drie beveiligingsprincipes [ISO17799:200]: Integriteit Vertrouwelijkheid (Geautomatiseerde) informatievoorziening Beschikbaarheid 1. Vertrouwelijkheid: het beschermen van gevoelige informatie tegen ongeautoriseerde kennisname; 2. Integriteit: het waarborgen van de correctheid en de volledigheid van informatie en computerprogrammatuur; 3. Beschikbaarheid: zekerstellen dat informatie en essentiële diensten op de juiste momenten beschikbaar zijn voor gebruikers. Figuur 3-1: Informatiebeveiliging Informatiebeveiliging wordt bereikt door een passende verzameling beveiligingsmaatregelen in te zetten, bijvoorbeeld beleid, gedragsregels, procedures, organisatiestructuren en softwarefuncties. Deze maalregelen moeten worden vastgesteld om te waarborgen dat de (beveiligings-)doelstellingen van de organisatie worden bereikt. Informatiebeveiliging heeft impliciet ook betekenis voor het management. Het management stelt vast aan welke eisen de informatiebeveiliging moet voldoen. Afhankelijk van interne en externe omstandigheden worden deze eisen bijgesteld. Complicerende factor voor het management is dat de organisatie (een afdeling) deel uitmaakt van bredere informatieketens. Zowel op het niveau van de primaire processen en de verantwoording daarover als op het vlak van middelen en infrastructuren is elke organisatie afhankelijk van vele relaties met de buitenwereld. Voorts moet daarbij worden aangetekend dat Informatiebeveiliging ook geen activiteit is die op enig tijdslip 'klaar' is. Informatiebeveiliging heeft niet zozeer te maken met het 'op orde' hebben van zaken, maar des te meer met het beheersen van de kwetsbaarheden. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 20-40

21 3.3.1 Kwaliteitsaspecten informatiebeveiliging Het onderzoek richt zich in het bijzonder op de kwaliteitsaspecten rondom informatiebeveiliging. Vanuit de IT audit discipline wordt dit geconcretiseerd in de navolgende kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid [ISO17799:2000]. Uitgaande van een business intelligence systeem komen wij tot de volgende definities: Beschikbaarheid De mate waarin het business intelligence systeem in bedrijf is op het moment dat de organisatie het nodig heeft; Het bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Integriteit De mate waarin gegevens en informatie in een business intelligence systeem in overeenstemming is met de afgebeelde werkelijk op het gebied van juistheid, volledigheid en tijdigheid. Vertrouwelijkheid De mate waarin uitsluitend geautoriseerde personen, programmatuur of apparatuur via geautoriseerde procedures en beperkte bevoegdheden toegang kunnen krijgen tot gegevens die beschikbaar zijn in het business intelligence systeem. In tabel 3-2 geven we weer welke kwaliteitsattributen een rol spelen bij informatiebeveiliging. Deze hebben we gecategoriseerd onder de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Voor de definities van de kwaliteitsattributen verwijzen we naar de omschrijvingen zoals deze zijn beschreven in hoofdstuk 2 tabel 2-3. Tabel 3-2: Kwaliteitsaspecten en attributen informatiebeveiliging Waarom informatiebeveiliging? Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. De beschikbaarheid, integriteit en vertrouwelijkheid ervan kunnen van essentieel belang zijn voor het behoud van de concurrentiepositie, cashflow, winstgevendheid, naleving van de wet en het commerciële imago van de organisatie. In toenemende mate worden organisaties en hun informatiesystemen en netwerken geconfronteerd met beveiligingsrisico's uit allerlei bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 21-40

22 Nieuwe oorzaken van schade, zoals computervirussen, computer hacking en het weigeren van dienstverlening komen steeds vaker voor en worden steeds ambitieuzer en steeds meer geavanceerd. Afhankelijkheid van informatiesystemen en -diensten betekent dat organisaties steeds kwetsbaarder worden voor bedreigingen van de beveiliging. De onderlinge verbondenheid van openbare en particuliere netwerken en het delen van informatiemiddelen maken het steeds moeilijker om de toegang te beveiligen. Veel informatiesystemen zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is beperkt en dient te worden ondersteund door passend beheer en procedures [ISO17799:2000]. Omdat een organisatie en de wereld daaromheen voortdurend verandert, veranderen ook de risico s die een organisatie loopt en de wijze waarop het management daarmee wil omgaan. Evaluatie Beleid en organisatie Bewaking Informatie beveiliging Informatie Implementatie Selectie Dit heeft weer consequenties voor het stelsel van beveiligingsmaatregelen dat geïmplementeerd zou moeten zijn. Teneinde te kunnen waarborgen dat een adequaat niveau van informatiebeveiliging gehandhaafd blijft, moet het informatiebeveiligingsproces periodiek worden doorlopen. Overbeek, Roos Lindgreen en Spruit [Overbeek, e.a., 2008] onderkennen in dit iteratieve proces zes stappen [figuur 3-2]. Figuur 3-2: Informatiebeveiligingproces Informatiebeveiliging binnen UVIT UVIT is een fusieorganisatie, waarin de bedrijfsvoering van vier verzekeringsorganisaties wordt samengevoegd tot één geheel. UVIT hecht eraan dat zij voor, tijdens en na de fusie een betrouwbare en transparante partner is voor al haar stakeholers. Een belangrijk onderdeel hiervan is dat de informatiesystemen van UVIT voldoen aan de kwaliteitsaspecten van informatiebeveiliging: Beschikbaarheid Integriteit Vertrouwelijkheid Vooral de afgelopen jaren heeft UVIT een serieuze achterstand opgelopen op het gebied van informatiebeveiliging, waardoor UVIT niet meer voldoet aan de minimale normen. Om hier invulling aan te geven zijn binnen de organisatie diverse voorschriften voorhanden die ingaan op informatiebeveiliging, waaronder het Informatiebeveiligingsbeleid UVIT, BCM beleid en het Autorisatiebeheer beleid. Om een betrouwbare en transparante partner te worden voor haar stakeholders heeft UVIT als organisatie een programma opgestart: Programma UVIT Informatiebeveiliging. Uiteindelijk doel van het programma is: De informatiebeveiliging van de UVIT-organisatie op het gewenste niveau brengen. Om hieraan te voldoen is het programma opgedeeld in vijf projecten die hier in het kort zullen worden beschreven: 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 22-40

23 1. Autorisatiemanagement: Een werkwijze waardoor alleen toegang wordt verstrekt tot de geautomatiseerde systemen aan bevoegd medewerkers die daartoe een belang hebben. Het implementeren van beleid en processen zodat enkel bevoegden toegang hebben tot systemen en gegevens. Tevens het implementeren van een proces ter controle hierop. 2. Business Continuity Management: Inregelen dat UVIT de juiste maatregelen neemt in geval van calamiteiten of andere verstoringen met als doel de borging van continuïteit van bedrijfsprocessen. 3. IT Continuity: Borgen van de continuïteit van de IT systemen in geval van calamiteiten of andere verstoringen. 4. Changemanagement: Het implementeren van beleid en processen zodat wijzigingen in informatiesystemen alleen worden doorgevoerd wanneer deze goedgekeurd zijn door de gebruikersorganisatie. Tevens implementeren van een proces zodat de juiste mensen worden betrokken. 5. IT-security: Treffen van aanvullende technische beveiligingsmaatregelen om gegevens en infrastructuren te beschermen. Om het programma in goede banen te leiden is er een programmateam ingericht. Onderstaande afbeelding [figuur 3-3] geeft weer hoe dit programma geleid wordt en wie erbij betrokken zijn. Figuur 3-3: Programmainrichting Informatiebeveiliging 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 23-40

24 4 Praktijkonderzoek 4.1 Aanpak Na de literatuurstudie zijn we gestart met het voorbereiden van het praktijkonderzoek. Het praktijkonderzoek heeft zich gericht op de verschillende business intelligence systemen binnen de organisatieonderdelen van UVIT. Alvorens over te gaan tot de opzet en de uitwerking van het toetsingkader hebben wij ons eerst de vraag gesteld waarom het nodig is om een business intelligence systeem te beoordelen. Door beantwoording van deze vraag kunnen we de noodzaak alsmede de rechtvaardiging onderbouwen voor het realiseren van een toetsingskader. Bij de beantwoording van deze vraag hebben we gebruik gemaakt van vragenlijsten en scoremodellen. Via deze vragenlijsten en scoremodellen is inzicht verkregen in de mate waarin informatiebeveiliging een rol speelt bij de verschillende business intelligence systemen. Door het verzamelen van relevante kenmerken enerzijds en de uitkomsten van de scoremodellen anderzijds hebben we inzicht verkregen in: 1. de mate van belang van deze systemen voor de organisatie UVIT en welke gegevensverzamelingen via deze systemen worden ontsloten en beschikbaar worden gesteld; 2. de mate waarin aandacht is voor de informatiebeveiliging en een indicatie van de huidige inrichting daarvan. Vervolgens is via een workshop aanvullende informatie verkregen ten aanzien van de opzet en inrichting van de verschillende BI systemen. Het inventariseren van risico s en bedenken van beheersmaatregelen was eveneens een belangrijk onderdeel van de workshop. Alle resultaten gedurende het onderzoek zijn voor open aanmerkingen teruggekoppeld aan de betrokken deelnemers. In bijlage V vindt u een overzicht van alle deelnemers die direct of indirect bij het onderzoek betrokken zijn geweest. Bij de totstandkoming van het toetsingskader is, naast de door UVIT gebruikte kwaliteitsmodellen, afstemming gezocht met de IT audit afdeling van de interne accountsdiens (IAD). Het doel van deze afstemming was draagvlak creëren voor het gebruik van het toetsingskader binnen de IAD. Dit heeft ertoe geleid dat de IAD het toetsingkader op korte termijn als auditinstrument zal gaan gebruiken. 4.2 Belangrijkste bevindingen en conclusies In deze paragraaf worden de belangrijkste bevindingen en conclusies beschreven Mate van belang van de BI systemen voor UVIT Hieronder een opsomming van de belangrijkste bevindingen: De doorlooptijd om een initiële business intelligence systeem te bouwen en te implementeren bedroeg meer dan 1 jaar; De totale kosten voor de bouw en implementatie bedroeg gemiddeld 1.5 miljoen per systeem; De jaarlijkse exploitatiekosten worden geschat op gemiddeld 1 miljoen per systeem per jaar; Alle onderzochte systemen bevatten vertrouwelijke gegevens op het gebied van klant- en financiële gegevens tot een zeer gedetailleerd niveau; 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 24-40

25 Voor alle systemen geldt dat het systeem de secundaire processen ondersteunt. Het betreft hier de processen rondom Risicobeheer, Marketing, Verkoop en Financiën. Conclusie Bovenstaande bevindingen tonen aan dat de business intelligence systemen een belangrijke plaats innemen binnen de bedrijfsvoering. Niet alleen vanwege de lange doorlooptijden en de hoge kosten die gepaard gaan met de ontwikkeling en de implementatie van dergelijke systemen, maar zeker ook door de aanwezigheid van vertrouwelijke gegevens die in deze systemen zijn opgeslagen. Het verantwoordelijk management heeft dan ook de taak om deze systemen adequaat in te richten en potentiële risico s op een aanvaarbaar niveau te brengen door afdoende beheersmaatregelen in te richten De mate waarin aandacht is voor informatiebeveiliging Door gebruik te maken van een scoremodel is inzicht verkregen in de wijze waarop informatiebeveiliging een rol speelt bij de verschillende BI systemen. In het scoremodel zijn in totaal 21 kwaliteitsattributen opgenomen. Aan de verantwoordelijke managers is gevraagd de 15 belangrijkste kwaliteitsattributen aan te geven en deze te voorzien van een onderlinge rangorde. In tabel 4-1 worden de resultaten weergegeven van deze meting. Hierbij wordt geen onderscheid gemaakt in de verschillende BI systemen afzonderlijk, maar is een totaalscore over alle BI systemen bepaald. Voor een overzicht van de afzonderlijke score per systeem verwijzen we naar bijlage II. Tabel 4-1: Overallscore kwaliteitsattributen Resultaten scoremodel kwaliteitsattributen informatiesysteem Mate van aandacht voor kwaliteitsattribuut Rang- Orde # punten (max. 60 pnt) Kwaliteitsattribuut Beoordeling huidige inrichting # punten (max. 40 pnt) 1 54 Ondersteuning besluitvorming Dekkingsgraad processen Juistheid Bedrijfszekerheid Volledigheid Gebruikersvriendelijkheid Onderhoudbaarheid Tijdigheid Robuustheid Herstelbaarheid Flexibiliteit Testbaarheid Zuinigheid Herbruikbaarheid Connectiviteit Geschiktheid van de infrastructuur Controleerbaarheid Exclusiviteit Degradatiemogelijkheid Uitwijkmogelijkheid Portabiliteit - - Vet gedrukt zijn de kwaliteitsattributen die betrekking op het kwaliteitsaspect informatiebeveiliging Cijfer 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 25-40

26 Conclusie Aan de hand van de gegevens uit de tabel kunnen we de volgende conclusies opmaken: De kwaliteitsattributen Controleerbaarheid, Exclusiviteit, Degradatiemogelijkheid en Uitwijkmogelijkheid scoren in de totale rangorde laag. Opvallend hierbij is dat het attribuut Uitwijkmogelijkheid helemaal geen score heeft opgeleverd. Aan de hand van deze gegevens kunnen we vaststellen dat het verantwoordelijke management weinig tot geen aandacht heeft voor het kwaliteitsaspect Vertrouwelijkheid. Bovendien wordt de huidige inrichting op voornoemde attributen als niet voldoende beoordeeld. Het belang van het kwaliteitsaspect Beschikbaarheid speelt bij BI-systemen minder dan bij operationele systemen. Dit komt doordat bij problemen de operationele bedrijfsvoering niet geraakt wordt en deze ongestoord doorgang kunnen vinden. Vanuit deze context is het logisch dat dit aspect relatief laag scoort in de meting. De kwaliteitsattributen juistheid, volledigheid en tijdigheid, als onderdeel van het kwaliteitsaspect integriteit, scoren hoog ten opzichte van de andere kwaliteitsattributen. Hieruit kunnen we vaststellen dat het informatiebeveiligingsaspect op het gebied van integriteit voldoende aandacht heeft bij het management. De inrichting van bovengenoemde attributen wordt als voldoende beoordeeld Risicoinventarisatie In navolging op de vragenlijst en scoremodellen hebben we in de maand december 2008 een workshop georganiseerd. De betrokken deelnemers in deze workshop waren de verantwoordelijke BI managers. De workshop stond in het teken van het uitvoeren van een risicoanalyse op het gebied van informatiebeveiliging. Eén van de belangrijkste doelstellingen van deze analyse was om inzicht te krijgen in de bedreigingen die zich voor kunnen doen in een BI systeem. Voor het programma van de workshop, alsmede de totale opsomming van de geïnventariseerde risico s verwijzen wij u naar het uiteindelijke toetsingskader. Tijdens de workshop zijn risico s onderkend die buiten de scope vallen van het aandachtsgebied informatiebeveiliging. Deze niet gerelateerde beveiligingsrisico s zijn voor de volledigheid opgenomen in bijlage IV. Een ander belangrijk onderdeel van de workshop bestond uit heb bedenken van beheersmaatregelen voor de onderkende bedreigingen. De geïnventariseerde risico s met de bijbehorende beheersmaatregelen vormden de basis voor het uiteindelijk toetsingskader. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 26-40

27 5 Het auditinstrument 5.1 Inleiding Door ons zijn op systematische wijze aan de hand van de in paragraaf onderscheiden datawarehouse lagenarchitectuur de risico s geïnventariseerd en gerelateerd aan de verschillende kwaliteitsattributen. Op basis van de kwaliteitsattributen hebben wij de risico s geclassificeerd naar informatiebeveiligingsrisico s en overige risico s. Op basis van de risicoanalyse zijn beheersmaatregelen gedefinieerd die de grondslag vormen voor het toetsingskader. Het toetsingskader bevat uitsluitend risico s en beheersmaatregelen op het gebied van informatiebeveiliging. In het toetsingskader worden de feitelijke normen uitgewerkt in termen van beheersmaatregelen. Bij de samenstelling van het toetsingskader is niet alleen gebruik gemaakt van de door UVIT gebruikte kwaliteitsmodellen, maar ook van diverse andere relevante informatiebronnen. Tot slot hebben wij de risico s ingedeeld naar een 5-tal aandachtsgebieden waaronder beleid, autorisatiebeheer, personeel, wijzigingsbeheer en monitoren van systemen. 5.2 Het toetsingskader Op de volgende pagina treft u het toetsingskader aan. Voor de volledigheid geven we een korte toelichting op de gebruikte kolommen. 1. Aandachtsgebied: Hierin wordt invulling gegeven aan de 5 aandachtsgebieden zoals beschreven in paragraaf Kwaliteitsaspect Informatiebeveiliging: Deze kolom bevat de kwaliteitsaspecten op het gebied van Informatiebeveiliging (BIV), zoals beschreven in paragraaf Risicobeschrijving: Hierin zijn de risico s afkomstig uit de workshop beschreven. 4. Datawarehouse Laag: Hierin wordt invulling gegeven aan de lagen zoals wij die benoemd hebben in paragraaf Nr: Betreft het nummer van de beheersmaatregel. 6. Beheersmaatregel: In deze kolom staat de beheersmaatregel beschreven waarmee het bijbehorende risico kan worden verkleind. Ten aanzien van het gebruik van het toetsingkader geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 27-40

28 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 28-40

29 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 29-40

30 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 30-40

31 6 Samenvatting Dit hoofdstuk omvat een managementsamenvatting en beschrijft de aanleiding, doel en aanpak van het onderzoek evenals de belangrijkste bevindingen en conclusies die gedurende het onderzoek naar voren zijn gekomen. In het kader van de afronding van de postgraduate IT audit opleiding is een onderzoek uitgevoerd naar de wijze waarop een business intelligence systeem op het gebied van informatiebeveiliging getoetst kan worden. De keuze is mede ingegeven doordat er weinig tot geen informatie voorhanden is en wij voorzien in een toenemende vraag om dergelijke systemen te beoordelen. Daarnaast heeft UVIT de afgelopen jaren een serieuze achterstand opgelopen op het gebied van informatiebeveiliging. Het uiteindelijke doel van het onderzoek is het realiseren van een toetsingskader. Dit toetsingskader kan zowel worden gebruikt bij de totstandkoming als bij de beoordeling van een bestaande business intelligence systeem. Het toetsingskader is tot stand gekomen door middel van literatuurstudie en de resultaten die voort zijn gekomen uit het praktijkonderzoek. Het onderzoek heeft zich beperkt tot de business intelligence systemen van UVIT. UVIT is de fusie organisatie tussen Univé, VGZ, IZA en Trias. Hieronder een opsomming van de belangrijkste bevindingen en conclusies die gedurende de literatuurstudie en praktijkonderzoek naar voren zijn gekomen. Literatuurstudie: Er bestaat geen eenduidige definitie voor het begrip business intelligence waarin iedereen zich kan vinden. We kunnen vaststellen dat business intelligence zich nadrukkelijk op de grens bevindt tussen organisatie en techniek. Business intelligence is in de eerste plaats een set van structurele en continue activiteiten. Business intelligence is daarom een zich steeds herhalende cyclisch proces en geen éénmalig afgebakende (ICT) project. Vrijwel alle organisaties hebben te maken met de zogenoemde informatiekloof. Deze kloof is ontstaan door de spanning tussen enerzijds de beschikbare tijd om op basis van de relevante informatie beslissingen te nemen en actie te ondernemen en anderzijds de benodigde tijd om relevante te krijgen door gegevens te verzamelen. De inrichting en uitvoering van business intelligence kan helpen de informatiekloof te overbruggen. In essentie verschilt een business intelligence systeem nauwelijks van een traditioneel Informatiesysteem. De basisfuncties als invoer, verwerken en output van een informatiesysteem zijn terug te vinden in de basisarchitectuur van een business intelligence systeem. Het kenmerkende verschil tussen operationele systemen en business intelligence systemen is de aanwezigheid van gegevens. In tegenstelling tot operationele systemen moeten business intelligence systemen gebruikmaken van bestaande gegevens en definities. Het datawarehouse vormt het hart van de business intelligence systeem en is daardoor de meest kritische component in het geheel. Een datawarehouse is een naar onderwerp gestructureerde database, met geïntrigeerde, tijdsafhankelijke gegevens die nauwelijks veranderen, ter ondersteuning van het beslissingsproces van managers. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 31-40

32 Praktijkonderzoek: Alle onderzochte business intelligence systemen bevatten vertrouwelijke gegevens. Dit betekent dat het kwaliteitsaspect exclusiviteit een belangrijk aspect is in dergelijke systeem. Voorts hebben we geconstateerd dat de huidige inrichting op dit aspect als niet voldoende wordt ervaren. Door het verantwoordelijk management wordt minder belang gehecht aan het kwaliteitsaspect beschikbaarheid. De reden hiervoor is dat bij problemen of verstoringen de operationele bedrijfsvoering niet geraakt wordt en deze ongestoord door kan gaan. Hiermee stellen wij vast dat het kwaliteitsaspect beschikbaarheid een minder belangrijke rol speelt bij een business intelligence systeem. Uit de meting blijkt dat de kwaliteitsattributen behorende bij het kwaliteitsaspect integriteit voldoende aandacht heeft bij het management. Tevens hebben we vastgesteld dat de inrichting door het management als voldoende wordt beschouwd. Uit het voorgaande moge duidelijk zijn dat het verantwoordelijk management de taak heeft om business intelligence systemen adequaat in te richten en potentiële risico s op een aanvaarbaar niveau te brengen door afdoende beheersmaatregelen in te richten en te onderhouden. Zoals in de doelstelling aangegeven is het uiteindelijke resultaat een toetsingskader voor business intelligence systemen. Het gaat om een algemeen instrument met normen, uitgewerkt in beheersmaatregelen, die toegepast kunnen worden om de risico s rondom informatiebeveiliging te beperken. Ten aanzien van het gebruik geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan. Het toetsingskader is voorgelegd aan de interne accountantsdienst (IAD) van UVIT. De IAD heeft het toetsingskader positief ontvangen en hierbij aangegeven dat zij het auditinstrument op korte termijn zullen gaan gebruiken. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 32-40

33 Literatuurlijst Boeken Berson, A., en Smith, S.J., Datawarehousing, datamining en OLAP, Academic Service informatica, Cleton, H., Korte, R. de, en Otten, J., Verandering in Control, Auditing en Consulting Services, Delen, G.P.A.J., Kouwenhoven, H.J., en Rijsenbrij D.B.B., Kwaliteit van produkten, Cap Gemini Publishing, tweede druk, Fijneman, R., Lindgreen, E.R., en Veltman, P., Grondslagen IT-auditing, Academic Service, 2005 Philips, E., en Vriens, D., Business intelligence, Kluwer, Hamer, P. den, De organisatie van business intelligence, Academic Service, Inmon, W.H., Building the datawarehouse, John Wiley & Sons Inc., Koomen, T., Aalst, L. van der, Broekman, B., en Vroon, M., TMapNext, Tutein Nolthenius, Liautaud, B., en Hammond, M., e-business Intelligence, McGraw Hill, Loon, H. van, Sturen zonder winstoogmerk, Lias, Overbeek, P., Lindgreen, E.R., en Spruit M., Informatiebeveiliging onder controle, Pearson Education Benelux BV, Praat, J.C., en Suerink, J.M., Inleiding EDP-auditing, Ten Hagen en Stam uitgevers, Shahim, A., Logistics of information flow Towards an architectural theory of managerial information provision, Til, P. van, en Rooij, T. de, Business Intelligence, Academic Service, Verhagen, K., Datawarehousing: een inleiding, Pearson Addison Wesley, WEB-sites Vakliteratuur Business Proces Magazine, BI en BPM, oktober 2004 J.A. Rodera, M.G. Piattini, J.A. Toval, The audit of the datawarehouse framework 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 33-40

34 Begrippenlijst AFM BSC BI Business Intelligence Cobit ETL Datamarts Datawarehouse Datawarehousing OLTP Gegevensbeheer MIZ NMa Autoriteit Financiële Markten. Een instelling die toezicht houdt op het gedrag van de gehele financiële marktsector. Business Balanced Scorecard. Een instrument voor managers om de situatie binnen hun verantwoordelijke sleutelgebieden te beheersen. Het model brengt indicatoren voor financieel succes in evenwicht met indicatoren voor het klantperspectief, het perspectief van het interne bedrijfsproces en het innovatieperspectief. Zie Business Intelligence. Business Intelligence is het gerichte proces, met bijbehorende voorzieningen, om gegevens te verzamelen, te integreren en vervolgens te analyseren en de als resultaat daarvan verkregen informatie toe te passen. Control Objectives for Information and related Technology. De afkorting van het proces waarmee gegevens getransporteerd worden van de bronsystemen naar het datawarehouse-database of van de datawarehouse-database naar de datamarts. ETL staat voor de verschillende stappen in het transportproces: Extractie, Transformatie en Laden. Een selectie van relevante gegegevens uit een datawarehouse ten behoeve van de ondersteuning van een specifieke groep gebruikers of een specifiek bedrijfsproces. Een datawarehouse kan meerdere datamarts hebben. De consistentie tussen de gegevens in verschillende datamarts wordt geborgd doordat de datamarts exact dezelfde stamgegevens gebruiken. De datawarehouse ETL processen dragen hier zorg voor. Een datawarehouse is een verzameling van gegevens, vastgelegd in een database die geoptimaliseerd is voor rapportage- en analysedoeleinden. De techniek waarmee business intelligence gerealiseerd kan worden. Het ICT vakgebied dat zich bezighoudt met specificatie, ontwerp, bouw, implementatie en beheer van datawarehouses. Online Transaction Processing. OLTP-systemen zijn operationele systemen, ofwel transactie verwerkende systemen. Deze systemen ondersteunen direct het operationele proces. Het structuren en beschrijven van de gegevens en de informatie, en het inrichten van de processen voor de juiste toepassing daarvan. ManagementInformatieZorg. Eén van de business intelligence systemen van Univé. Nederlandse Mededingingsautoriteit. Uitvoeringsinstelling van de Mededingingswet. De NMa handhaaft het verbod op kartels of 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 34-40

35 misbruik van een economische machtspositie en toetst fusies en overnames. OOB-VIT UMDB UMIS UVIT Oracle Open Beleid. Het business intelligence systeem voor VGZ, IZA en Trias. UnivéMarketingDataBase. Eén van de business intelligence systemen van Univé. UnivéManagementInformatieSysteem. Eén van de business intelligence systemen van Univé. UVIT is de tijdelijk naam van een Nederlandse verzekeringsmaatschappij en ontstaan uit een fusie tussen Univé, VGZ, IZA en Trias. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 35-40

36 Bijlage I: Kenmerken BI systemen UVIT 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 36-40

37 Bijlage II: Scoremodel BI systemen UVIT 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 37-40

38 Bijlage III: Programma workshop 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 38-40

39 Bijlage IV: Overige onderkende risico s 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 39-40