De waarde van IT Security Studenten: Afstudeerbegeleider: Bedrijfscoach: Examencommissie: Auke Geerts en Geert Waardenburg Drs. R.C. Christiaanse RA Drs. E.P. Rutkens RE Prof. dr. Ir. R. Paans RE en P. Harmzen RE RA Amsterdam, 31 maart 2008
Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 2
Voorwoord Deze scriptie is geschreven in het kader van het afstudeerproject van de Postgraduate IT Audit Opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Wij hebben ons onderzoek gericht op de relatie tussen IT security en het behalen van de organisatiedoelstellingen. Het doel was om vast te stellen in hoeverre het van belang is voor een organisatie om de IT security op orde te hebben in het kader van realiseren van de organisatiedoelstellingen. De vraagstelling van ons onderzoek luidt In hoeverre is de mate van IT security van invloed op het behalen van de bedrijfsdoelstellingen. Vanuit de Vrije Universiteit is de heer Rob Christiaanse betrokken bij de totstandkoming van het onderzoek en de scriptie. Wij willen hem bedanken voor het meedenken, het stellen van kritische vragen en de tijd die hij voor ons beschikbaar stelde. De klankbordgesprekken en opmerkingen hebben een wezenlijke bijdrage geleverd aan de kwaliteit van ons onderzoek. Wij willen de heer Erik Rutkens (KPMG) bedanken voor zijn constructieve opmerkingen ten aanzien van de onderzoeksaanpak, de verwerking hiervan en de conclusies van ons onderzoek. Amsterdam, maart 2008 Auke Geerts Geert Waardenburg Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 3
Management samenvatting Wat is de toegevoegde waarde van het op orde hebben van de IT security voor het behalen van de doelen van een organisatie? Waarom dient het management aandacht en schaarse middelen te besteden aan de beschikbaarheid, integriteit en vertrouwelijkheid van de ITmiddelen? De urgentie van een goede IT security is niet altijd duidelijk dan wel duidelijk te maken voor het management van een organisatie. Dit, omdat IT security niet gezien wordt als een onderwerp dat waarde creëert voor de stakeholders van de organisatie. Organisaties hebben bestaansrecht omdat ze waarde creëren voor hun stakeholders. Om deze waarde te creëren definiëren organisaties doelstellingen. Een belangrijke maatstaf om de realisatie van de organisatiedoelstellingen te meten is de mate van IT-business alignment. Uit onderzoek blijkt dat organisaties die hun IT-business alignment op een hoger niveau hebben succesvoller zijn in het realiseren van de organisatiedoelstellingen. In opdracht van het management of als gevolg van wettelijke vereisten worden IT-audits uitgevoerd. Hierbij wordt onder meer de beschikbaarheid, integriteit en vertrouwelijkheid van informatie beoordeeld. Bevindingen naar aanleiding van IT-audits worden gedeeld met het management, maar er wordt niet altijd prioriteit gegeven aan het oplossen van de bevindingen. Dit is opmerkelijk aangezien beschikbaarheid, integriteit en vertrouwelijkheid van informatie van cruciaal belang zijn bij het nemen van managementbeslissingen. Om een uitspraak te kunnen doen over de mate waarin IT security invloed heeft op de realisatie van de bedrijfsdoelstellingen is er een onderzoek uitgevoerd met de volgende vraagstelling: In hoeverre is de mate van IT security van invloed op het behalen van de bedrijfsdoelstellingen. Omdat IT-business alignment een belangrijke maatstaf is om de realisatie van deze bedrijfsdoelstellingen te meten, is in dit onderzoek de relatie tussen IT-business alignment en IT security in kaart gebracht. Allereerst is IT-business alignment gedefinieerd. Dit is gedaan aan de hand van twee modellen voor IT-business alignment. Het eerste model, van Van Grembergen beoordeelt de randvoorwaardelijke aspecten die aanwezig moeten zijn voor een bepaalde mate van ITbusiness alignment. Het tweede model van Luftman beoordeelt de resultante van een bepaalde mate van IT-business alignment. Vervolgens is IT security gedefinieerd als de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. De relatie tussen deze twee, IT-business alignment en IT security, is in kaart gebracht door te beoordelen in hoeverre in de modellen aandacht wordt besteed aan (aspecten van) IT security. Geconcludeerd kan worden dat er een relatie is tussen IT security en IT-business alignment. Met name het aspect beschikbaarheid is van invloed op de mate van IT-business alignment. Beschikbaarheid van informatie is niet alleen een belangrijke randvoorwaarde voor een grotere mate van IT-business alignment, maar bepaalt ook het resultaat van IT-business alignment. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 4
Inhoudsopgave MANAGEMENT SAMENVATTING... 4 HOOFDSTUK 1 ONDERZOEKSAANPAK... 6 1.1 ACHTERGROND... 6 1.2 PROBLEEMSTELLING... 6 1.3 CONCEPTUEEL MODEL EN DEELVRAGEN... 6 1.4 SCOPE... 8 1.5 ONDERZOEKSAANPAK... 8 HOOFDSTUK 2 IT-BUSINESS ALIGNMENT... 9 2.1 INLEIDING... 9 2.2 DEFINITIE... 9 2.3 MODELTYPE... 10 2.4 MODELLEN... 10 2.5 CONCLUSIE... 12 HOOFDSTUK 3 UITWERKING MODELLEN IT-BUSINESS ALIGNMENT... 13 3.1 STRATEGIC ALIGNMENT MODEL (VENKATRAMAN, HENDERSON)... 13 3.2 LUFTMAN STRATEGIC ALIGNMENT MATURITY ASSESSMENT... 15 3.3 VAN GREMBERGEN BALANCED SCORE CARD... 18 HOOFDSTUK 4 IT SECURITY... 22 4.1 INLEIDING... 22 4.2 DEFINITIE... 22 HOOFDSTUK 5 SCORE MODELLEN IT-BUSINESS ALIGNMENT... 24 5.1 METHODE... 24 5.2 RESULTATEN... 25 HOOFDSTUK 6 CONCLUSIE... 28 6.1 DEELVRAGEN... 28 6.2 CONCLUSIE... 29 6.3 EVALUATIE... 29 LITERATUURLIJST... 30 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 5
Hoofdstuk 1 Onderzoeksaanpak 1.1 Achtergrond Organisaties hebben bestaansrecht doordat ze waarde creëren voor hun stakeholders. Dit kunnen aandeelhouders zijn, maar ook andere belanghebbenden binnen en buiten de organisatie. Om deze waarde te creëren formuleren organisaties doelstellingen. Deze organisatiedoelstellingen kunnen financieel van aard zijn, maar ook niet-financiële doelstellingen zijn mogelijk. Over het algemeen is het zo dat er een positieve correlatie is tussen de mate waarin de organisatiedoelstellingen worden bereikt en de waarde die gecreëerd wordt voor de stakeholders van de organisatie. Een belangrijke maatstaf om de realisatie van de organisatiedoelstellingen te meten is de mate van IT-business alignment 1. Organisaties die hun IT-business alignment op een hoger maturity-level hebben zijn succesvoller in het realiseren van de organisatiedoelstellingen. Vanuit het IT-audit vakgebied is er veel aandacht voor de beveiliging van de IT-omgeving (IT security). Dit omdat de beveiliging hiervan van invloed is de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Bevindingen naar aanleiding van IT-audits worden gedeeld met het management, maar er wordt niet altijd prioriteit gegeven aan het oplossen van de bevindingen. Dit is opmerkelijk aangezien beschikbaarheid, integriteit en vertrouwelijkheid van informatie van cruciaal belang is bij het nemen van managementbeslissingen. In dit onderzoek wordt onderzocht of er een relatie is tussen de mate van realisatie van de organisatiedoelstellingen en het niveau van IT security van de organisatie. 1.2 Probleemstelling Het onderzoek heeft de volgende doelstelling: Het doen van een uitspraak over de relatie tussen de mate van IT security en de realisatie van de bedrijfsdoelstellingen Om deze doelstelling te realiseren en een uitspraak te doen over de relatie tussen IT security en de realisatie van de organisatiedoelstellingen hebben we de volgende vraagstelling gedefinieerd: In hoeverre is de mate van IT security van invloed op de mate van IT-business alignment? 1.3 Conceptueel model en deelvragen Het conceptueel model wordt gebruikt om het probleemgebied te definiëren en te verhelderen. Het model beantwoordt de vraag welke relaties er tussen de verschillende 1 Cobit 4.1, IT governance Institute, 2007 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 6
aspecten liggen. Volgens De Leeuw 2 kan het conceptueel model gezien worden als de bril waarmee de werkelijkheid wordt beschouwd. Zie figuur 1 voor het conceptueel model. Onderliggend probleem is het feit dat de (toegevoegde) waarde en relevantie van IT security niet goed kan worden uitgedrukt. In dit onderzoek zal onderzocht worden of IT security toegevoegde waarde heeft. Dit wordt gedaan door de relatie tussen IT-business alignment en IT Security te onderzoeken. Doordat de mate van IT-business alignment invloed heeft op de realisatie van de organisatiedoelstellingen heeft de aanwezigheid van een relatie tussen IT-business alignment en IT security direct impact op de mate van realisatie van de organisatiedoelstellingen. Figuur 1 Conceptueel model De relatie tussen IT-business alignment en IT security werkt twee kanten op. Hierdoor worden de volgende deelvragen onderzocht: 1. Welke geschikte methoden zijn er om de mate van IT-business alignment te meten? 2. Heeft de mate van IT security invloed op de mate van IT-business alignment? 3. Heeft de mate van IT-business alignment invloed op de mate van IT security? 2 Leeuw, A.C.J. de, Bedrijfskundige methodologie: management van onderzoek, Assen, Van Gorcum en Comp., 1996 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 7
1.4 Scope In ons onderzoek willen we ons richten op de relatie tussen IT-business alignment en IT security. De relatie tussen IT-business alignment en de organisatiedoelstellingen zal niet worden onderzocht. 1.5 Onderzoeksaanpak Om de onderzoeksvraag te beantwoorden willen we een literatuurstudie uitvoeren. De scriptie is daarbij ingericht zoals uitgewerkt in figuur 2. Allereerst wordt in hoofdstuk 2 IT-business alignment gedefinieerd. Deze definitie zal in dit onderzoek gehanteerd worden. Daarna worden kort de beschikbare modellen voor ITbusiness alignment geïnventariseerd. In hoofdstuk 3 wordt een aantal van deze modellen in detail uitgewerkt. Deze modellen worden gebruikt om de onderzoeksvraag te beantwoorden. Vervolgens zal in hoofdstuk 4 het begrip IT security gedefinieerd worden. Dit wordt gedaan aan de hand van de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. In hoofdstuk 5 wordt een analyse gemaakt waar de geselecteerde modellen zullen worden beoordeeld aan de hand van de aspecten zoals gedefinieerd in hoofdstuk 4. Tenslotte zal in hoofdstuk 6 de conclusie getrokken worden. Hierbij wordt een antwoord gegeven op de onderzoeksvraag. Figuur 2 Structuur scriptie Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 8
Hoofdstuk 2 IT-business alignment In dit hoofdstuk zal IT-business alignment aan de orde komen. Na een korte introductie wordt de definitie gegeven die gehanteerd zal worden in dit onderzoek. Vervolgens zullen de belangrijkste modellen voor IT-business alignment behandeld worden en wordt er een selectie gemaakt van de modellen die bruikbaar zijn. 2.1 Inleiding In veel organisaties worden grote investeringen in informatie technologie gedaan. De waarde en resultaten van deze investeringen zijn echter vaak moeilijk of niet te meten. Daarnaast is het zo dat veel projecten mislukken. Bij IT-business alignment is het uitgangspunt om de resultaten van deze investeringen te maximaliseren door het optimaliseren van de relatie tussen de IT en de business. 2.2 Definitie Om de resultaten van investeringen te kunnen meten is het noodzakelijk om een eenduidige definitie te hanteren. De waarde van IT moet inzichtelijk gemaakt worden. Als definitie voor IT-business alignment gebruikt Strassmann 3 de volgende: Alignment is de mogelijkheid om een positieve relatie te laten zien tussen informatie technologie en de financiële prestatiemaatstaven. De definitie van Luftman 4 richt zich meer op de mate van realisatie van de bedrijfsstrategie: Alignment is de manier waarop informatie technologie op een juiste en tijdige manier wordt toegepast, in lijn met de bedrijfsstrategie, -doelstellingen en behoeften. Deze definitie van Luftman wordt verder uitgewerkt door Poels 5 : IT-business alignment is de beste manier waarop IT middelen kunnen worden ingezet om bedrijfsdoelstellingen te realiseren. Hierbij wordt de IT primair als ondersteunend aan het bedrijfsproces gezien, maar ook als een manier om nieuwe producten en diensten voor de organisatie mogelijk te maken. Dit resulteert in een situatie waarbij de business de IT beïnvloedt en andersom. IT middelen zijn gegevens, toepassingen, opslag- en verwerkingsfaciliteiten, communicatiefaciliteiten en specialisten. De definitie van Poels wordt in dit onderzoek gehanteerd als definitie voor IT-business alignment. 3 Strassman, P., Cutter IT Journal, What is Alignment, 1998 4 Luftman, J., communications of AIS, assessing business-it alignment maturity, 2000 5 Poels, R.P.W, Beïnvloeden en meten van business-it alignment, proefschrift Vrije Universiteit, 2006 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 9
2.3 Modeltype De modellen die we hebben aangetroffen in de literatuur vallen onder te verdelen in modellen die de input beoordelen en modellen die de output beoordelen, zie figuur 3. Onder een input-model verstaan we een model die de randvoorwaarden die aanwezig moeten zijn beoordeelt. Een output-model is een model die beoordeelt in hoeverre verwachte uitkomsten aanwezig zijn. Figuur 3 IT-business alignment proces Voor IT-business alignment geldt dat modellen die de input beoordelen een oordeel geven over de randvoorwaardelijke aspecten die aanwezig moeten zijn binnen een organisatie. Modellen die de output beoordelen geven daarentegen een oordeel over de resultante van ITbusiness alignment binnen een organisatie. 2.4 Modellen Poels geeft aan dat er een beperkt aantal modellen voor IT-business alignment zijn. Één van de eerste en belangrijkste modellen is het model van Henderson en Venkatraman. In dit model worden vier perspectieven beschreven ten aanzien van de afstemming tussen de bedrijfs- en de IT-strategie. Bij het bepalen van de mate van IT-business alignment wordt rekening gehouden met de onderlinge relaties tussen de verschillende perspectieven. De vier perspectieven van het model zijn bedrijfsstrategie, IT-strategie, organisatiestructuur en processen en IT infrastructuur en processen. Aan de hand van de output van IT-business alignment geeft dit model een oordeel over de mate van IT-business alignment. Luftman heeft het model van Henderson en Venkatraman verder uitgewerkt in het ITbusiness alignment maturity model. Dit model is één van de weinige modellen dat concreet gemaakt wordt op een niveau dat het toepasbaar is om de mate van IT-business alignment binnen een organisatie te meten. Met behulp van het model van Luftman kan de mate van ITbusiness alignment bepaald worden door op zes verschillende vlakken de organisatie te beoordelen. Hierbij gaat het om communicatie, managementinformatie, governance, partnership, scope en architectuur en skills. Het model van Luftman geeft een oordeel over de mate van IT-business alignment aan de hand van de output van IT-business alignment. Van Grembergen heeft op basis van de financiële en de IT balanced scorecard een balanced scorecard ontwikkeld voor het meten van IT business alignment. In het model worden de perspectieven corporate contribution, customer orientation, operational excellence en future orientation benoemd. Voor elk van deze perspectieven zijn een aantal factoren bepaald. Bij het bepalen van de mate van IT-business alignment worden de organisatie voor deze factoren Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 10
gescoord naar mate van maturity. Dit model geeft aan de hand van de randvoorwaarden die aanwezig zijn een oordeel over de mate van IT-business alignment. Daarnaast heeft Maes 6 het negenvlak ontwikkeld. In dit model wordt onderscheid gemaakt tussen enerzijds de strategie, de structuur en de uitvoering, en anderzijds tussen de business, informatie/communicatie en de technologie, zie figuur 4. Dit model blijft echter op een hoog abstractieniveau en is nog niet praktisch ingevuld. Figuur 4 negenvlak van Maes Business Information Services Library (afgekort BiSL) is een framework voor het uitvoeren van informatiemanagement en functioneel beheer. In BiSL staat beschreven hoe een gebruikersorganisatie ervoor kan zorgen dat de informatievoorziening adequaat werkt en hoe men behoeften in het bedrijfsproces vertaalt naar ICT-oplossingen en niet-ict-oplossingen. Verder wordt beschreven hoe men de informatievoorziening en ICT-dienstverlening vanuit een gebruiksoptiek stuurt en hoe men de informatievoorziening op lange termijn vormgeeft. Cobit is een best practice, ontwikkeld door het IT governance institute. Cobit onderscheid een IT management cyclus die bestaat uit de fasen plan and organise, acquire and implement, deliver and support en monitor and evaluate. Cobit heeft voor elk van deze fasen een aantal controledoelstellingen benoemd. Bij het beoordelen van de organisatie moet voor elk van deze controledoelstellingen bepaald worden in hoeverre deze wordt gehaald. De focus van Cobit ligt op het beheersen van de IT processen en het voldoen aan de vraag vanuit de business. 6 Maes, R., Informatiemanagement in kaart gebracht, 2003 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 11
2.5 Conclusie In het volgende hoofdstuk worden de modellen van Henderson & Venkatraman, Luftman en Van Grembergen verder uitgewerkt. Deze modellen voldoen aan de definitie zoals die in dit onderzoek gehanteerd wordt. Daarnaast zijn deze modellen voldoende praktisch toepasbaar gemaakt, zodat ze geschikt zijn om te beoordelen in hoeverre IT security een onderdeel is van IT-business alignment. Het model van Maes en BISL worden niet meegenomen omdat deze modellen op een hoog abstractieniveau blijven, waardoor ze nog niet praktisch toepasbaar gemaakt kunnen worden. Cobit wordt niet verder meegenomen omdat Cobit IT beschouwt als een middel om de vraag vanuit de business te vervullen. Hierbij wordt voorbijgegaan aan het feit dat er een wisselwerking bestaat tussen IT en de business. Gezien de definitie van IT-business alignment die als uitgangspunt genomen wordt, de beste manier waarop IT middelen kunnen worden ingezet om bedrijfsdoelstellingen te realiseren, is Cobit een model wat zich slechts richt op een deelaspect van het brede spectrum dat IT-business alignment omvat. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 12
Hoofdstuk 3 Uitwerking modellen IT-business alignment In dit hoofdstuk worden de verschillende modellen voor IT-business alignment besproken. Achtereenvolgens worden de modellen van Venkatraman & Henderson, Luftman en Van Grembergen uitgewerkt. 3.1 Strategic alignment model (Venkatraman, Henderson) 3.1.1 Inleiding Het Strategic Alignment Model van Venkatraman en Henderson biedt bedrijven ondersteuning bij het afstemmen van de bedrijfsstrategie op de IT-strategie. Door Luftman wordt het Strategic alignment model van Venkatraman en Henderson (1993) het founding fathers model op het gebied van IT business alignment genoemd 7. In een groot aantal modellen die de alignment tussen business en IT behandelen wordt verwezen naar het Strategic alignment model en wordt dit het bekendste model genoemd 8. 3.1.2 Model Afstemming tussen business en IT vindt volgens Venkatraman en Henderson plaats op twee niveaus, op een strategisch niveau en een operationeel niveau. Door onderscheid te maken in de business en de IT en een strategisch alignment niveau en een operationeel alignment niveau ontstaan vier kwadranten, zie figuur 5. Figuur 5 IT-business alignment maturity model Venkatraman en Henderson wijzen niet alleen op het belang van deze kwadranten, maar vooral ook op de onderlinge relaties tussen de kwadranten, zie figuur 6. Het Strategic alignment model maakt het mogelijk om de doelstellingen en de activiteiten van de IT-afdeling te analyseren en te vergelijken met de algehele organisatiedoelstellingen. 7 Luftman, J., information systems management, Assessing IT/Business Alignment, 2003 8 Maes, R., Redefining business IT alignment through a unified framework, 2000 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 13
Venkatraman en Henderson beschrijven in hun model vier perspectieven ten aanzien van de afstemming tussen de bedrijfs- en de IT-strategie. De vier perspectieven zijn: Business strategy Organisational infrastructure and processes IT Strategy IT infrastructure and processes 3.1.3 Uitwerking model Figuur 6 Perspectieven ten aanzien van afstemming bedrijfsstrategie en strategie ICT 1. Business strategy: Als startpunt in de organisatie geldt de bedrijfsstrategie. Op basis van de bedrijfsstrategie wordt de organisatie ingericht en wordt de invulling van ITinfrastructuur bepaald. De bedrijfsstrategie wordt grotendeels bepaald door een drietal onderwerpen, te weten de business scope, de mate waarin een organisatie zich kan onderscheiden van haar concurrenten en de business governance. De business scope geeft aan welke producten op welke markten voor welke klanten worden geproduceerd. Als drivers voor dit perspectief en de realisatie van de business strategy noemen Venkatraman en Henderson de rol van het topmanagement en het management van de informatiesystemen. 2. Organisational infrastructure and processes: ICT helpt de organisatie mee in het behalen van de doelstellingen door het ondersteunen van de bedrijfsprocessen. ICT is faciliterend ten opzichte van de organisatie. In dit perspectief zijn van belang de wijze waarop de organisatie ingericht is, de wijze waarop de bedrijfsprocessen zijn ingericht en de capaciteiten van het personeel om de taken, die de bedrijfsstrategie ondersteunen goed uit te voeren. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 14
3. IT Strategy: Uitgangspunt in dit perspectief is dat de ICT-strategie dient te passen in en aan te sluiten op de bedrijfsstrategie. Alleen als deze aansluiting er is kan ICT een zinvolle bijdrage leveren aan het behalen van de organisatiedoelstellingen. Binnen dit perspectief zijn van belang de mogelijkheden van de aanwezige IT, de mate waarin IT middels onderscheidende kenmerken bijdraagt aan nieuwe van een nieuwe bedrijfsstrategie of de huidige bedrijfsstrategie beter kan ondersteunen. 4. IT infrastructure and processes: Centraal in dit perspectief staan, evenals in het perspectief Organisational infrastructure and processes, de architectuur, de processen en de capaciteiten. In dit perspectief gaat het niet om de algehele bedrijfsarchitectuur, de bedrijfsprocessen en de bedrijfscapaciteiten, maar om de IT-architectuur, en om de ITprocessen en IT-capaciteiten. 3.2 Luftman Strategic Alignment Maturity Assessment 3.2.1 Inleiding Één van de bekendste modellen voor het bepalen van de IT-business alignment is het strategic alignment maturity model van Luftman. Het maturity model van Luftman is ontwikkeld in 2000 en is het eerste model waarmee de maturity van de IT-business alignment van een organisatie bepaald kan worden. Het model van Luftman wordt door Tapia gezien als één van de beste voorbeelden van een model om de mate van IT-business alignment te bepalen 9. Daarnaast dekt het model van Luftman volgens Poels het brede spectrum van alignment 10. Het model van Luftman focust zich op de beoordeling van de resultaten van IT-business alignment. Luftman heeft het model gevalideerd door het model te toetsen bij 25 Fortune-500 bedrijven en 6 Fortune-200 bedrijven. 3.2.2 Model Zie figuur 7 voor het model voor IT-business alignment. De zes aspecten zoals die in het model benoemd worden, zijn verder uitgewerkt in paragraaf 3.2.3. In het model zijn de zes aspecten geconcretiseerd met een aantal criteria die van invloed zijn op de mate van ITbusiness alignment. De vervolgstap is dat voor elk van de zes aspecten de maturity bepaald wordt. Hierbij wordt er onderscheid gemaakt tussen 5 maturity levels: initial/ad hoc (1), committed (2),established focussed (3), improved/managed (4) en optimized (5). Een organisatie kan bijvoorbeeld op niveau 1 zijn wat betreft communicatie, maar qua governance op niveau 4 zitten. 9 Tapia, R.S., A value-based maturity model for IT alignment in networked businesses, 2007 10 Poels, R.P.W, Beïnvloeden en meten van business-it alignment, proefschrift Vrije Universiteit, 2006 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 15
Figuur 7 IT-business alignment model 3.2.3 Uitwerking model Luftman ziet IT-business alignment als de manier om informatietechnologie op een juiste manier toe te passen. Dit is in lijn met de bedrijfsstrategie, -doelen en behoeften. Een volwassen niveau van alignment is de situatie dat de IT en de business hun strategieën op elkaar aanpassen. Alignment is gedefinieerd als de beoordeling van effectiviteit (de goede dingen doen) en efficiëntie (de dingen goed doen). Als je de maturity van de IT-business alignment weet, als organisatie, dan weet je ook op welke aspecten je kan verbeteren. Luftman heeft in eerder onderzoek een aantal factoren geïdentificeerd die remmend, dan wel stimulerend zijn voor de IT-business alignment in een bedrijf, zie tabel 1. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 16
Stimulerende factoren Remmende factoren Senior management support voor IT IT en de business hebben geen goede relatie IT betrokken bij ontwikkeling van strategie IT begrijpt de business Partnership business-it IT projecten worden goed geprioritiseerd IT laat leiderschap zien IT prioritiseert niet goed IT kan beloften niet nakomen IT begrijpt de business niet Senior management support IT niet IT management laat geen leiderschap zien Tabel 1 Stimulerende en Remmende factoren IT-business alignment Uit de tabel valt op te merken dat een aantal onderwerpen zowel bij de stimulerende als remmende factoren horen. Het model wat Luftman heeft ontwikkeld kent twee dimensies. De eerste dimensie zijn de maturity niveaus. Luftman onderscheid de volgende maturity niveaus: 1. Initial/Adhoc process 2. Committed Process 3. Established Focused Process 4. Improved/Managed Process 5. Optimized process. De tweede dimensie die het model heeft, zijn de zes criteria voor business alignment. Dat zijnde volgende aspecten: 1. Communicatie Effectieve uitwisseling van ideeën en een duidelijk begrip van wat nodig is om een succesvolle strategie te bereiken zijn belangrijke aspecten om alignment te bereiken. Te vaak is er te weinig begrip van de business bij IT en te weinig waardering voor IT aan de kant van de business. 2. Managementinformatie Het is van belang dat de IT organisatie haar waarde kan laten zien aan de business. Dit moet gedaan worden in termen die voor de business begrijpelijk en beïnvloedbaar zijn. Dit kan bijvoorbeeld door service levels af te spreken. Deze service levels moeten worden uitgedrukt in termen die de business begrijpt en accepteert. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 17
3. Governance Dit aspect gaat over de wijze waarop IT wordt ingezet om de ondernemingsdoelstellingen te bereiken en de wijze waarop besluitvorming over prioriteiten en resources plaatsvindt. Er moet formeel overleg zijn tussen de business en IT waarin prioriteiten en resource-toewijzing wordt besproken. Dit is een belangrijk aspect die de mate van alignment bepaalt. Dit besluitvormingsorgaan moet helder gedefinieerd worden. 4. Partnership Het is van belang om een gelijke verantwoordelijkheid te geven aan IT en de business om de strategie te definiëren. Daarnaast moet de partnership van IT en business tot een punt komen dat IT veranderingen in bedrijfsprocessen mogelijk maakt, maar ook initieert. Verder is het zo dat er vertrouwen over en weer moet zijn. 5. Scope and Architectuur Hier gaat het erom in hoeverre IT de volgende punten kan realiseren: a. Een rol aannemen waarin een flexibele infrastructuur, transparant voor de business, verzorgd wordt. b. Nieuwe technologieën evalueren en effectief toepassen c. Het enablen en sturen van bedrijfsprocessen en strategieën d. Oplossingen aanbieden die toegepast zijn aan de behoeften van de business 6. Skills Hierbij gaat het behalve traditionele zaken als training, salaris, feedback op prestaties en carrièremogelijkheden ook om de organisatie cultuur en de sociale omgeving van de organisatie. Het gaat er om dat de organisatie snel kan inspelen op veranderingen in de markt en in staat zijn van elkaar te leren met als doel elkaar te inspireren om te komen tot innovaties in producten en diensten. Deze aspecten zijn de basis voor het model om de maturity voor IT business alignment te bepalen. Voor elk van deze aspecten wordt vervolgens het maturity niveau bepaald. Hierdoor is het voor een organisatie mogelijk om te identificeren waar aandachts- en verbeterpunten liggen. 3.3 Van Grembergen Balanced Score Card 3.3.1 Inleiding De balanced scorecard van Kaplan en Norton is ontwikkeld vanuit het idee dat de prestaties van een organisatie breder beoordeeld moeten worden dan alleen op basis van financiële resultaten 11. Naast de financiële resultaten wordt er bijvoorbeeld gekeken naar klantbelangen, interne processen en het innovatievermogen. Dit principe is toegepast door van Grembergen 11 Van Grembergen, W., Aligning Business and Information Technology through the Balanced Scorecard at a Major Canadian Financial Group: its Status Measured with an IT BSC Maturity Model, 2001 Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 18
op de beoordeling van de mate van IT-business alignment. Het model is toegepast en getest door van Grembergen bij een grote financiële instelling. Het model van Van Grembergen focust zich met name op de aanwezigheid van randvoorwaarden die aanwezig moeten zijn voor een goede IT-business alignment. 3.3.2 Model Zie figuur 8 voor de business balanced scorecard van Van Grembergen. Dit model wordt verder uitgewerkt in paragraaf 3.3.3. 3.3.3 Uitwerking model Figuur 8 IT-business alignment Balanced Scorecard Van Grembergen heeft bij het ontwikkelen van de balanced scorecard om de mate van ITbusiness alignment te bepalen eerst onderzocht welke stakeholders welke vragen hebben. Dit is samengevat in figuur 9. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 19
Figuur 9 Belangrijke vragen stakeholders De doelstellingen die de balanced scorecard voor IT-business alignment heeft zijn de volgende: - Laat de toegevoegde waarde van de IT organisatie zien - Zorg ervoor dat de IT plannen in lijn zijn met de strategie - Zorg ervoor dat de effectiviteit van IT gemeten kan worden - Zorg ervoor dat de prestaties van IT inzichtelijk gemaakt worden Om deze doelstellingen te bereiken is er gekozen voor een balanced scorecard met de volgende gebieden: 1. Corporate contribution Dit onderdeel van de balanced scorecard kijkt naar IT vanuit de bril van de raad van bestuur en aandeelhouders. De belangrijkste onderwerpen hier zijn de bijdrage die IT levert aan het realiseren van de strategie, de mate waarin IT aan kostenbesparing en het behalen van synergievoordelen bijdraagt, de waarde van IT projecten en de gerealiseerde financiële resultaten, waarbij gekeken wordt naar budgetten en daadwerkelijke uitgaven. 2. Customer Orientation Het klant perspectief kijkt vanuit de interne gebruikers naar IT. Belangrijke punten zijn klanttevredenheid, IT/business partnership, resultaten van applicatieontwikkeling, en de mate van realisatie van afgesproken service levels. 3. Operational Excellence Hierbij wordt gekeken vanuit het gezichtspunt van IT management, en audit en regulerende instanties. Hierbij wordt gekeken naar de inrichting van de IT processen (ITIL), de tijdigheid waarmee IT in staat is om producten en diensten te leveren en de mate waarin IT in staat is om risico s in nieuwe en bestaande technologieën te identificeren en af te dekken. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 20
4. Future Orientation Dit perspectief focust zich op de prestatie van de IT organisatie vanuit het perspectief van de IT organisatie zelf. Belangrijke onderdelen die beoordeeld worden zijn de proces verbeteringen, het vermogen om goed personeel te behouden en door te ontwikkelen en het vermogen om nieuwe technologieën in te zetten. Om deze gebieden te beoordelen wordt er gebruik gemaakt van maturity niveaus. De volgende 5 niveaus worden onderscheiden: 1. Initial 2. Repeatable 3. Defined 4. Managed 5. Optimized Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 21
Hoofdstuk 4 IT Security In dit hoofdstuk wordt het begrip IT security gedefinieerd. Dit met als doel in hoofdstuk 5 aan te kunnen geven in hoeverre IT security te maken heeft met IT-business alignment. 4.1 Inleiding Organisaties maken gebruik van verschillende (bedrijfs)middelen om hun doelstellingen te behalen. Voorbeelden van bedrijfsmiddelen zijn personeel, machines, informatie en gebouwen. Informatie kan voor veel organisaties gezien worden als een belangrijk bedrijfsmiddel. Denk maar eens aan de managementinformatie op basis waarvan de directie haar beslissingen neemt. Informatie bestaat in verschillende vormen, zoals op papier, elektronisch opgeslagen of mondeling overgedragen. Informatie is van grote waarde en zal dus, in de verschillende vormen, op passende wijze beveiligd moeten worden. In de huidige situatie maken veel organisaties voor de verwerking, opslag en communicatie van gegevens gebruik van informatie- en communicatietechnologie (ICT). Het gebruik van ICT leidt tot nieuwe risico s voor de beveiliging van informatie. Doordat gegevens digitaal kunnen worden verstuurd is het risico toegenomen dat belangrijke bedrijfsinformatie in ongewenste handen valt. Organisaties en hun informatiesystemen worden geconfronteerd met diverse beveiligingsrisico s. Hierbij kan worden gedacht aan computerfraude, spionage, brand en computervirussen. Daarnaast is het een risico dat beslissingen op basis van onjuiste informatie genomen worden. Deze bedreigingen kunnen leiden tot het niet behalen van de organisatiedoelstellingen. 4.2 Definitie De definitie van IT security luidt als volgt: Het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de betrouwbaarheid van het informatievoorzieningsproces. Het begrip betrouwbaarheid kan verder worden ingedeeld in: Beschikbaarheid Integriteit Vertrouwelijkheid 4.2.1 Beschikbaarheid Beschikbaarheid is de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor de gebruikers. De bedrijfsprocessen van veel organisaties worden ondersteund door ICT, en zijn ook in grote mate afhankelijk van ICT. Om de continuïteit van de bedrijfsprocessen te waarborgen dienen maatregelen te worden getroffen om de beschikbaarheid van de ICT-middelen te garanderen. Er dienen bijvoorbeeld maatregelen te Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 22
worden getroffen om bijvoorbeeld te zorgen dat een digitaal ordersysteem beschikbaar is en gebruikt kan worden op het moment dat een telefonische order wordt doorgegeven. 4.2.2 Integriteit Integriteit is de mate waarin gegevens of functionaliteit juist ingevuld zijn. Zoals hiervoor aangegeven is informatie een belangrijk bedrijfsmiddel om de organisatiedoelstellingen te kunnen realiseren. Van belang is dus dat de gegevens juist zijn. Op basis van ongewenste aanpassing van omzetgegevens kan de directie van een organisatie bijvoorbeeld foutieve beslissingen nemen. 4.2.3 Vertrouwelijkheid Vertrouwelijkheid is de mate waarin toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Informatie is voor veel organisaties van cruciaal belang. Indien vertrouwelijke bedrijfsinformatie in handen komt van derden dan kan dit schadelijke gevolgen hebben. Als bijvoorbeeld informatie over het fabricageproces of de omzetinformatie in handen komt van een concurrent dan kan dit er toe leiden dat de organisatiedoelstellingen niet behaald worden. Om dit te voorkomen dienen organisaties diverse maatregelen te treffen om te waarborgen dat de bedrijfsgegevens slechts beschikbaar zijn voor bevoegden. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 23
Hoofdstuk 5 Score modellen IT-business alignment In hoofdstuk 3 zijn de verschillende modellen voor IT-business alignment in kaart gebracht en vervolgens zijn de modellen van Venkatraman & Henderson, Luftman en Van Grembergen verder uitgewerkt. In dit hoofdstuk wordt een analyse gemaakt van de geselecteerde modellen aan de hand van de IT security aspecten zoals gedefinieerd in hoofdstuk 4. In hoofdstuk 4 is IT security gedefinieerd op basis van het begrip betrouwbaarheid. Dit begrip is onderverdeeld in de aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid. 5.1 Methode De modellen van Venkatraman & Henderson, Luftman en Van Grembergen zijn beoordeeld op de aanwezigheid van IT security elementen. Hierbij is onderzocht in hoeverre IT security randvoorwaardelijk, dan wel een resultante is van IT-business alignment.hiervoor is gebruik gemaakt van de IT security aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid. De aspecten die in de IT-business alignment modellen gebruikt worden zijn gescoord op het feit of een hogere mate van IT-business alignment van invloed is op de mate van IT security aspecten. Dit is gedaan op basis van een score van 1 tot en met 5, hetgeen staat voor: 1 Niet 2 Beperkt 3 Gedeeltelijk 4 Grotendeels 5 Volledig De modellen voor IT-business alignment worden bezien vanuit het al eerder beschreven model. In dit model wordt onderscheid gemaakt tussen de input en de output van IT security, zie figuur 10. Figuur 10 Relatie IT security en IT-business alignment Dit onderscheid focust zich op de aspecten die beoordeeld worden om een oordeel te kunnen geven over de mate van IT-business alignment. Dit kunnen randvoorwaardelijke aspecten zijn, zoals het model van Van Grembergen, of een beoordeling van de resultante van ITbusiness alignment, zoals het model van Luftman. Voor de gedetailleerde scores per model, zie bijlage 1. Voor de toelichting op deze scores, zie bijlage 2. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 24
5.2 Resultaten In paragraaf 5.2 worden de volgende modellen achtereenvolgens beoordeeld op de relatie tussen IT security en IT-business alignment: het model van Luftman, het model van Van Grembergen en het model van Venkatraman en Henderson. 5.2.1 Model Luftman Binnen het model van Luftman wordt een onderverdeling gemaakt in: Communications: Binnen het aspect Communications wordt onderscheid gemaakt in een aantal onderwerpen. Er wordt bijvoorbeeld ingegaan op de mate waarin de business IT ziet als een volwaardige partner en omgekeerd, de mate waarin van elkaar geleerd wordt en de mate waarin op gestructureerde wijze communicatie plaatsvindt tussen business en IT. Wat betreft de verschillende onderdelen van Communications hebben wij beoordeeld dat de mate van IT-business alignment gedeeltelijk van invloed is op de mate van IT security. Voor het onderdeel Understanding of the business by IT hebben wij beoordeeld dat de mate van IT-business alignment grotendeels (score 4) van invloed is op de mate van de IT security aspecten. Als IT goed begrijpt wat de business nodig heeft, en er dus sprake is van een goede ITbusiness alignment, begrijpt IT ook de eisen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van IT-middelen en zal de beschikbaarheid geoptimaliseerd kunnen worden. Voor het onderdeel Protocol rigidity, de mate waarin binnen de organisatie strakke protocollen bestaan, hebben wij beoordeeld dat de mate van IT-business alignment niet (score 1) van invloed is op de mate van de IT security aspecten. Competency/value measurements: Voor de verschillende onderdelen van Competency/value measurements hebben wij vastgesteld dat de IT Security aspecten gedeeltelijk het gevolg zijn van de mate van IT-business alignment. Het onderdeel Competency/value measurements behandelt onder andere de mate waarin door IT gerapporteerd wordt aan de business en omgekeerd over de geleverde prestaties, de afspraken die IT met de business heeft gemaakt over de te leveren prestaties en de mate waarin continue verbetering onderdeel is van de organisatiecultuur en processen. Wat betreft het onderdeel Service level agreements hebben wij beoordeeld dat de mate van IT-business alignment volledig (score 5) van invloed is voor de beschikbaarheid en gedeeltelijk van invloed is voor de vertrouwelijkheid en integriteit op de mate van IT security aspecten. In service level agreements zijn afspraken opgenomen ten aanzien van de beschikbaarheid van de IT-middelen voor het uitvoeren/ondersteunen van de processen van de business. Voor het onderdeel Formal assessment/reviews, dit gaat in op de formele beoordelingen (audits) en reviews hebben wij vastgesteld dat de mate van IT-business alignment volledig (score 5) van invloed is op de mate van de IT security aspecten. Voor het onderdeel Continuous improvement hebben wij beoordeeld dat de mate van IT-business alignment voor dit aspect niet (score 1) van invloed is op de mate van de IT security aspecten. Governance: In het aspect Governance worden de strategische business planning en de strategische IT planning behandeld, evenals de beheersing van de budgetten en de wijze waarop IT investeringen worden gezien binnen de organisatie. Wij hebben vastgesteld dat wat betreft de onderdelen van Governance de IT security aspecten niet Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 25
het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is dat de mate waarin budgetten binnen de organisatie beheerst worden, beoordeeld in het onderdeel Budgetary control, niet (score 1) van invloed is op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Partnership: Het aspect Partnership behandelt onder andere de perceptie van de business ten opzichte van IT, de rol van IT in de strategische business planning en de mate waarin gezamenlijke doelen worden gesteld. Wij hebben vastgesteld dat wat betreft de onderdelen van Partnership de IT security aspecten niet het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is dat de mate waarin gezamenlijke (tussen business en IT) doelstellingen worden gedefinieerd niet van invloed is op de IT security aspecten. Scope & architecture: Dit aspect gaat in op het type diensten die IT aanbiedt, de mate waarin de organisatie gebruik maakt van standaarden voor IT-middelen en de integratie van de architectuur binnen de functionele organisatie Wij hebben vastgesteld dat wat betreft de onderdelen van Scope & architecture de IT security aspecten niet het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is dat de mate waarin nieuwe technologieën toegepast en geëvalueerd worden niet van invloed is op de beschikbaarheid, integriteit en vertrouwelijkheid van de ITmiddelen. Skills: Het aspect Skills behandelt de management stijl, het ondernemerschap binnen de organisatie, de mate waarin de organisatie in kan spelen op veranderingen en de sociale en politieke cultuur binnen de organisatie. Wij hebben vastgesteld dat wat betreft de onderdelen van Skills de IT security aspecten niet het gevolg zijn van de mate van IT-business alignment. Een voorbeeld hiervan is het onderdeel Management style. Een managementstijl die gericht is leren van elkaar, op een gezamenlijke aanpak om de bedrijfsdoelstellingen te realiseren waarin zowel de business als IT een volwaardige partner is, heeft een positieve invloed op de ITbusiness alignment. Een dergelijke managementstijl is echter niet (score 1) van invloed op de IT security aspecten. 5.2.2 Model Van Grembergen Binnen het IT-business alignment Balanced Scorecard model van Van Grembergen wordt onderscheid gemaakt in: Customer orientation: voor de onderdelen Customer satisfaction, IT/business partnership en Application development performance hebben wij vastgesteld dat een hogere mate van IT security gedeeltelijk (score 3) een positieve invloed heeft op de mate van IT-business alignment. Centraal bij het onderdeel Customer satisfaction staat de mate waarin de business tevreden is over de geleverde diensten door IT. Deze klanttevredenheid kan gemeten worden door het uitvoeren van een klanttevredenheidsonderzoek onder een aantal managers van de business. De IT security aspecten hebben invloed op de klanttevredenheid. Indien de beschikbaarheid en vertrouwelijkheid van de IT-middelen bijvoorbeeld niet overeen komt met de wensen van de business zal dit leiden tot een lagere klanttevredenheid. Voor wat betreft het onderdeel Service level performance hebben wij beoordeeld dat het aspect Beschikbaarheid volledig (score 5) in dit onderdeel wordt meegenomen en de aspecten Integriteit en Vertrouwelijkheid niet. In dit onderdeel wordt beoordeeld de Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 26
mate waarin de IT middelen de prestaties leveren die afgesproken zijn met de business. De beschikbaarheid en performance zijn key indicatoren hiervoor. Corporate contribution: voor het onderdeel Strategic contribution hebben wij beoordeeld dat een hogere mate van IT security gedeeltelijk (score 3) een positieve invloed heeft op de mate van IT-business alignment. De IT security aspecten zijn van invloed op de mate waarin IT bijdraagt aan het behalen van de organisatiedoelstellingen. Zo levert IT een wezenlijke bijdrage aan het realiseren van de doelstellingen door het beschikbaar stellen van de IT-middelen conform de wensen van de business, waardoor het bedrijfsproces optimaal ondersteund wordt. Van de onderdelen Synergy achievement, Business value of IT projects en Management of IT investments hebben wij beoordeeld dat de IT security aspecten niet (score 1) van invloed zijn op de mate van IT-business alignment. In het onderdeel Synergy achievement wordt beoordeeld de mate waarin gebruik gemaakt wordt van generieke applicaties en systemen. De beschikbaarheid, integriteit en vertrouwelijkheid zijn niet van invloed op het behalen van de synergy achievement. Omgekeerd is de mate waarin gekozen is voor generieke applicaties en systemen wel van invloed op bijvoorbeeld de beschikbaarheid van de IT-middelen. Operational excellence: voor de onderdelen Responsiveness en Backlog management and aging hebben wij beoordeeld dat een hogere mate van de beschikbaarheid, integriteit en vertrouwelijkheid niet (score 1) van invloed zijn op de mate van IT-business alignment. Wat betreft het onderdeel Security and safing hebben wij vastgesteld dat de IT Security aspecten volledig (score 5) van invloed zijn op de mate van IT-business alignment. Dit geldt ook voor het aspect betrouwbaarheid voor het onderdeel Process excellence. De aspecten integriteit en vertrouwelijkheid zijn deels (score 3) van invloed op de mate waarin IT en de business op elkaar aansluiten. Future orientation: voor de onderdelen Staff management effectiveness, Enterprise architecture evolution en Emerging technologies research hebben wij beoordeeld dat de IT security aspecten niet (score 1) van invloed zijn op de mate van IT-business alignment. Een voorbeeld hiervan is dat de beschikbaarheid, integriteit en vertrouwelijkheid van de IT-middelen niet van invloed is op de mate waarin een organisatie in staat is om kwalitatief goed personeel te behouden. Voor het onderdeel Service capability improvement hebben wij vastgesteld dat de invloed van de IT security aspecten op de IT-business alignment gedeeltelijk (score 3) is. 5.2.3 Model Venkatraman & Henderson Wij hebben vastgesteld dat het model van Venkatraman & Henderson een model dat op hoofdlijnen aangeeft hoe het proces van afstemming tussen bedrijfs- en ICT-strategie verloopt. Wij hebben vastgesteld dat dit model niet geschikt is voor het scoren van de IT security aspecten. Het model van Venkatraman & Henderson is in beperkte mate uitgewerkt in concrete onderwerpen. Hierdoor is het in mindere mate geschikt om de invloed van de IT security aspecten op de mate van IT-business alignment te scoren. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 27
Hoofdstuk 6 Conclusie In dit hoofdstuk wordt de onderzoeksvraag beantwoord aan de hand van voorgaande hoofdstukken. Allereerst wordt teruggegrepen op de initiële onderzoeksvraag. Daarna zal kort weergegeven worden wat in de voorgaande hoofdstukken is besproken en vervolgens wordt er een antwoord gegeven op de onderzoeksvraag en deelvragen. 6.1 Deelvragen De doelstelling van het onderzoek was te onderzoeken in hoeverre de mate van IT security invloed heeft op een grotere mate van IT-business alignment. Deze doelstelling hebben we onderverdeeld in drie deelvragen die achtereenvolgens behandeld worden. 1. Wat zijn geschikte methoden om de mate van IT business alignment te scoren? Het aantal modellen wat aanwezig is om de IT-business alignment van een organisatie te bepalen is beperkt. Één van de eerste modellen is het model van Venkatraman en Henderson. Andere modellen zijn BISL, Cobit en Maes. Veelal blijven modellen op een hoog abstractieniveau of behandelen ze een deelgebied van IT-business alignment. Modellen die wel geschikt zijn voor het scoren van IT-business alignment zijn de modellen van Luftman en Van Grembergen. Deze modellen zijn dan ook gebruikt om de volgende deelvragen te behandelen. Hierbij is er een nuanceverschil tussen beide modellen. Van Grembergen beoordeelt IT-business alignment door de aanwezigheid en maturity van de randvoorwaarden te beoordelen, en Luftman beoordeelt IT-business alignment door de maturity van de output van IT-business alignment te beoordelen, zie hiervoor ook figuur 11. Figuur 11 IT-business alignment proces 2. Heeft de mate van IT security invloed op de mate van IT-business alignment? Zoals aangegeven hierboven kan het model van Van Grembergen gebruikt worden om de randvoorwaarden van IT-business alignment te meten. In hoofdstuk 5 is dit model beoordeeld voor de aspecten van IT security: beschikbaarheid, integriteit en vertrouwelijkheid. Hierbij is een 5-puntsschaal gebruikt. Hierbij kan gezien worden dat met name beschikbaarheid een belangrijk randvoorwaardelijk aspect is voor het realiseren van IT-business alignment. Daarnaast hebben ook beide andere aspecten, integriteit en vertrouwelijkheid, invloed op de mate van IT-business alignment. Afstudeerscriptie IT Audit opleiding vrije Universiteit amsterdam 28