Generiek Framework voor Assurance in ICT-ketens

Transcriptie

1 Generiek Framework voor ssurance in ICT-ketens ssurance typologie, distributie, determinant, profiel, patroon Keten-Governance Harrie Bastiaansen Ype van Wijk Dr. ir. H.J.M. (Harrie) Bastiaansen Drs. Y.W. van Wijk RE R Senior Business Consultant Rijksuniversiteit Groningen Business Information Systems Business & ICT IT udit T +31 (0) T +31 (0) M +31 (0) M +31 (0) E harrie.bastiaansen@tno.nl E y.w.van.wijk@rug.nl

2 Trends TTISC service chains (1) Change of the internal ICT function Focus on ICT supported services with mutual dependency risk-control Increasing application development, new functionality Coupled services means increased dependencies and vulnerability Various sources mean new risks and threats SaaS en Cloud computing function as distribution method Current applications often replaced by chains of external networks of applications Paradigm change to Virtual Organization Current Frameworks for organizations, not for chains Need for ssurance in total service chain New business approach for assurance

3 TTISC Towards Trustworthy ICT-enabled service chains De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen de business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service (SaaS) en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen worden door ketens van gekoppelde externe netwerken van applicaties. Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele applicaties gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet als een enkele applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen. Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico s en bedreigingen. Vele toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in de leveranciers van de leveranciers, ad infinitum. In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreëerd zal moeten worden in de kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode noodzakelijk voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteit niveau binnen de keten van services en applicaties, en gericht is op een adequate niveau van assurance in de totale keten. Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service ketens, zowel ten aanzien van het ICT service delivery network als de inhoudelijke service content network, gericht op betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader ontwikkeld gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een generalisering te komen in een geïntegreerd framework voor ICT ondersteunde service ketens.

4 ssurance Framework for ICT-enabled service chains De Wat? vraag: Het Chain Content, Context & Control (C 4 -) model De Hoe? vraag: Het generiek ssurance framework voor ICT-ketens ICT Keten Optimalisatie Risk-control in de ICT-keten m.b.v. distributies en profielen ICT-Keten Governance Testen en valideren van het framework rtikelen: Part I Het Chain Content, Context & Control (C 4 -) model Status: Geaccepteerd voor de IT-uditor Part II ssurance nalyse voor betrouwbare ICT-Ketens Status: Ter review bij de IT-uditor Part III Chain Governance en ssurance Status: Ter review bij de IT-uditor anvullend artikel: De trust audit voor kwaliteitsbeheersing van uw ICT-keten Status: Gepubliceerd in Informatiebeveiliging

5 WT: Het Chain Content, Context & Control (C4-) model

6 Relatie C4-model en ssurance framework voor ICT-ketens

7 HOE: Het generiek ssurance framework voor ICT-ketens Doel: Methodiek voor beheersing en ssurance in ICT-ketens Generiek: want toepasbaar voor grote diversiteit aan business en kwaliteitsdoelstellingen Hoe: Beheersing van en sturing op risico- en control-distributies Inbedden in een ICT-keten Governance proces ICT-keten Risk management en Control in de keten Distributie Risk-Control over de ICT-keten Keten analyse Typologie keten Distributie Profiel - Patroon Keten initiëren en optimaliseren door ssurance Plotting Fundamenten ICT-keten Governance

8 Vanuit de basis van de ICT service keten De opbouw van de ICT-service keten Content network Service Chain de partij die de keten initieert en het service request uitstuurt; request B C dd value service request Risk Control Enactment Enforcement B C de partij die waarde toevoegt aan het service request waardoor het mogelijk wordt dat C de service kan leveren; de partij die de service levert via partij B aan partij service Service Chain Delivery network Enactment Enforcement het ontwerp van de service keten de (bij)sturing van de service keten

9 Risk-Control in de ICT-service keten De risico-distributie beschrijft hoe voor elke schakel in de ICT-keten zijn risico afhankelijk is van (propageert naar) aanpalende ketenschakels: Hoog, Medium of Laag gedistribueerd risico. De control-distributie beschrijft hoe elke schakel de verantwoordelijkheid voor het nemen van compenserende (mitigerende) maatregelen verdeelt over andere (aanpalende) ketenschakels in de ICT-keten: orkestratie, recursie en transparantie. Het assurance profiel bevat de ordinale waarden (Hoog, Medium, Laag) van de assurance determinanten voor het achterliggende deel van de ICT-keten. Triplet van risk, control en profiel geeft de transference of obligations in de keten weer Triplet ssurance Schakel (partij) in de ICT-keten Legenda N Triplet T,B [ R,B,C,B,,P,B ] N B B N x T,B Mate van beheersing over node x Triplet voor relaties tussen nodes en B, bestaande uit: R,B Risico Distributie tussen nodes en B C,B Control Distributie tussen nodes en B P,B ssurance Profiel tussen nodes en B

10 Distributie van Risk-Control in de ICT-keten C H Recursie I Orkestratie Transparantie service Transparantie B Recursie D Transparantie F Hoog gedistribueerd risico Medium gedistribueerd risico Laag gedistribueerd risico Recursie E Orkestratie G Triplet T,B B [ R,B,C,B,,P,B ] N Node (chain participant) Profile D 1 D 2 D 3. D n V 1 V 2 V 3 V n R,B C,B P,B Risk Distribution Control Distribution ssurance Profile Transference of obligations risk-control

11 ICT-keten optimalisatie Keten optimalisatie initiële opzet

12 ICT-service chain structure ssurance Typology and Type Nature of the IT-chain: Define control objective Distinguishing types Transference of Obligation Risk-distribution: divide risks Control-distribution: divide responsibilities Policy Triplet T,B = R,B, C,B, P,B ssurance Plotting Optimizing determinant enactment ssurance and Profile ssurance : generic ssurance profile: specific quantified chain unit optimized enactment D n : ssurance determinant V n : Ordinale kwantificatie norm voor assurance profiel ssurance D 1 ssurance D 2 ssurance D N Value V 1 Value V 2 Value V N ssurance Profile n,m,q ssurance Pattern Enactment pattern for distribution Standard pattern (re)use Generic implementation standards Implementation Pattern: - Risk distribution - Control-distribution Pattern: patroon - Risk patroon distribution patroon - Control-distribution

13 [ R B,C,C BC,,P B,C ] ssurance Plotting for service content and delivery networks C n assurance plot presents an optimal allocation of the riskdistribution R X,Y, the control distribution C X,Y and the assurance profile P X,Y (Triplet T X,Y from node N x to node N y ), over the IT chain. T B,C T X,Y N D T,B [ R,B,C,B,,P,B ] B T B,D [ R B,D,C B,D,P B,D ] D N N B Profile P,B D 1 D 2 D 3 D n V 1 V 2 V 3 V m Norm-value Profile P B, D D 1 D 2 D 3 D n V 1 V 2 V 3 V m Norm-value Profile P X,Y D 1 D 2 D 3 D n V 1 V 2 V 3 V m Norm-value Objective Optimal Policy Typologie ssurance Patterns lgorithm T,B T B,C P B,D T X,Y T X,Y T X,Y Optimized ssurance plot in IT-chain N x T,B Chain participant Level of Control over node x Triplet for relations between nodes en B, consisting of: R,B Risk Distribution between nodes en B High distributed risk Medium distributed risk Low distributed risk Legend C,B Control Distribution between nodes en B P,B ssurance Profile between nodes en B D n V n Norm-value

14 ICT-keten Governance Strategic Chain Policy Strategic objectives Chain Risk distribution Chain Control distribution Enactment and Enforcement Chain Risk Management Risk Maturity ssessment Continuous based Governance ICT service chain udit en Monitoring Continuous Chain udit Maturity Monitoring and Steering

15 ct Check Do Chain Enactment Plan Road path to Chain-Governance 1. Define control object IT chain 2. Classification level of control: typology, type en assurance profiles 3. Define Risk-distribution, control-distribution en assurance profiles using assurance plotting 4. Define method audit and monitoring 5. Initiation of the IT-chain: assurance plotting and monitoring 6. Monitoring balance risk-control distribution in assurance plot 7. Monitoring and enactment of controls ) 8. Evaluation and steering Chain Enforcement

16 Governance - Strategic Chain Policy Strategic Chain Objectives Enactment & Enforcement Transference of obligations Chain Risk Tolerance Chain Control Maturity

17 C [ R B,C,C BC,,P B,C ] Chain Risk Management, udit and Monitoring Based on the Transference of Obligations Transference Process T B,C T X,Y N D N T,B [ R,B,C,B,,P,B ] B N B T B,D [ R B,D,C B,D,P B,D ] D Profiel P X,Y D 1 D 2 D 3 D n V 1 V 2 V 3 V m Norm waarde Norm set Tolerance Profiel,B D 1.. D n V 1.. V m Norm set Tolerance Profiel,B D 1.. D n V 1.. V m Continuous udit Object Normwaarde : P,B Normwaarde : P B,D Normwaarde : P X,Y Risk and udit maturity Risk management udit planning Chain participant High distributed risk Legend N x T,B Level of Control over node x Triplet for relations between nodes en B, consisting of: Medium distributed risk Low distributed risk D n V n Norm-value R,B Risk Distribution between nodes en B C,B Control Distribution between nodes en B P,B ssurance Profile between nodes en B Norm set Tolerance Chain audit norms Chain audit tolerance

18 Governance Domain Overview ICT service chain Triplet Basic ICT-chain tom Basic ICT-service chain Chain ssurance optimized plot service Y N N B T X,Y Triplet T,B [ R,B,C,B,,P,B ] B request service B dd value request C T,B T B,C B T B,D X C ssessment Service Content network Service Delivery network Profile P,B D 1 D 2 D 3 D n V 1 V 2 V 3 V m Norm value ssurance Risk Control Enactment Enforcement Optimized ssurance Balancing Risk-Control Transference of Obligation Optimizing Profile and Obligations Legend N x Level of control over node x T,B Triplet for relations between nodes en B, consisting of: R,B Risk Distribution between nodes en B C,B Control Distribution between nodes en B P,B ssurance Profile between nodes en B Participant in IT-chain Governance and ssurance ICT-chain computing Transference of Obligation Enactment Domain CE 1 T,B T B,C T B,D T X,Y CE x Enactment Chain X (, B, C, D..X, Y) CF N Enforcement Chain X (, B, C, D..X, Y) CF 1 Enforcement Domain ICT-Chain governance - Risk- Control chain transference - Chain enactment and enforcement :transference of obligation - Chain udit, ssurance and monitoring

19 Chain Governance ssessment Practice Based on the Transference of Risk-Control Obligations ssessment Norms & Tolerance ssurance Chain Enablers Proces Service Chain Enactment & Enforcement Service Chain Culture, Ethics, Behavior Service Chain Chain Policy Risk Management udit & Monitoring Service content network Information Quality Service delivery network Infrastructure & pplications Skills & Competences Chain participants Chain Resources Profile Valuation ssurance s