HET CHAIN CONTENT, CONTEXT & CONTROL (C 4 -) MODEL Een model voor de beheersing en controle van ICT-ketens HHet belang van (de beheersing van) ICT-ketens neemt sterk toe. Bestaande modellen voor ICT-beheersing en controle zijn veelal intraorganisatorisch, en niet gericht op ICT-ketens. Dit artikel introduceert het C 4 -model als hulpmiddel voor het inrichten van kwaliteitsbeheersing in ICT-ketens gericht op het verkrijgen van keten assurance. HARRIE BASTIAANSEN EN YPE VAN WIJK In de maatschappij neemt het belang van ICT-ketens sterk toe. Bij ICTketens gaan ICT-diensten en -infrastructuren over de grenzen van bedrijven en bedrijfsonderdelen heen. Niet alleen neemt het aantal ICT-ketens sterk toe, ook worden ze steeds complexer: ze ondersteunen meer functionaliteiten en er zijn steeds meer partijen (ketenpartners) bij betrokken. Het wordt steeds noodzakelijker dat ICT-ketens robuust zijn. Dit brengt de noodzaak mee om de ICT-ketens goed te beheersen en de kwaliteit ervan te auditen. Hiervan getuigen onder meer de NOREA-werkgroep voor ketenauditing [NORE12], onderzoeksinitiatieven zoals die in de EU [ENIS09] en Nederland [SEQU12] en eerdere publicaties in de EDP-Auditor over ICT-ketenauditing [MEER05], [BRUI06-1], [BRUI06-2], [MOLL10]. Het Nederlandse onderzoeksproject TTISC [TTIS12] werkt aan een assurance-raamwerk voor ICT-ketenbeheersing en -controle. Als één van de resultaten daarvan presenteren we in dit artikel het Chain Content, Context & Control model (het C 4 -model). Dit model bestaat uit drie delen: (1) de content, gericht op wat het te beheersen object in de ICT-keten inhoudt; (2) de context, gericht op het perspectief van waaruit beheersing (of beoordeling) van de ICT-ketens plaatsvindt; (3) de control, gericht op de wijze waarop beheersing in ICT-ketens wordt vormgegeven. Dit artikel is als volgt opgebouwd: de volgende twee paragrafen lichten de doelstelling van een model voor de integrale beheersing van ICTketens toe en schetsen de opzet voor zo n model. De daaropvolgende paragrafen gaan achtereenvolgens in op de individuele componenten van het model: de content, context en control. Het artikel wordt afgesloten met een concluderende paragraaf die de voorgaande paragrafen samenvat in een integrale weergave van het C 4 -model. DOELSTELLING VOOR EEN MODEL VOOR INTEGRALE ICT-KETENBEHEERSING Zoals in de inleiding aangegeven, staat het onderwerp van beheersing en controle van ICT-ketens volop in de belangstelling. Het onderwerp kan daarbij vanuit een groot aantal verschillende oogpunten bekeken worden, waardoor eenduidige communicatie hierover lastig wordt. Uit de praktijk is dan ook de behoefte ontstaan aan een gedegen model om de diverse perspectieven op ICTketenbeheersing in beeld te brengen. Dit model dient het volledige speelveld af te dekken teneinde van integrale ICT-ketenbeheersing te kunnen spreken. Deze behoefte aan een integraal model is ook bekend uit de de IT-Auditor nummer 4 2012 5
literatuur. Zo merken Raval en Fichadia het volgende op [RAVA07, p. 49-50]: For a complete and comprehensive solution to its control needs, a business needs a systemic framework for control system development. Without an overarching model (a framework), it would be almost impossible to prove risks are managed well and as completely as necessary. Frameworks permit us to define the scope of control and security systems within a business. Er bestaan allerlei modellen, raamwerken en richtlijnen, onder meer voor ICT-beheersing, auditing, assurance en governance. Deze zijn onder meer opgesteld vanuit de internationale accountantspraktijk (IFAC, www.ifac.org), de IT-auditprofessie (ISACA, www.isaca.org) en de ISO standaardisatie-omgeving (www.iso. org). Nagenoeg al deze modellen en richtlijnen zijn echter opgesteld vanuit intra-organisatorisch perspectief. Soortgelijke modellen en richtlijnen ontbreken nog voor automatisering in ICT-ketens. Een aantal aspecten maakt de beheersing van ICT-ketens anders dan intra-organisatorische beheersing van ICT. In ICT-ketens is sterke governance niet een gegeven. Er is veelal geen (strikte) line of command. De span of control voor individuele organisaties is beperkt. Daarnaast definiëren de verschillende ketenpartners kosten, baten en doelstellingen niet eenduidig en zijn kosten en baten ook niet noodzakelijkerwijs evenredig verdeeld over alle ketenpartners. Tot slot kunnen er communicatie- en cultuurverschillen zijn tussen ketenpartners. Zelfs binnen hetzelfde land kunnen verschillende sectoren specifieke terminologie hanteren. Een gedeeld begrip en afstemming in de communicatie zijn van groot belang. Het onderzoeksproject TTISC wil tegemoetkomen aan de behoefte aan een model voor integrale ICT-ketenbeheersing en heeft daarom het initiatief genomen om zo n model op te stellen, daarbij zoveel mogelijk gebruik makend van bestaande modellen. Dit model wordt in het vervolg van dit artikel beschreven. DE OPZET VAN HET MODEL VOOR INTEGRALE ICT- KETENBEHEERSING Een basiseis voor een model voor integrale ICT-ketenbeheersing is dat het zowel de verschillende onderwerpen van ICT-ketenbeheersing (de content ) benoemt, de verschillende perspectieven beschouwt van waaruit beheersing en beoordeling van ICT-ketens plaatsvindt (de context ), als de methoden omvat waarop control kan worden uitgeoefend (de control ). Het C 4 -model omvat deze onderwerpen content, context en control. Het model beschrijft elk van de onderwerpen op twee assen, waardoor voor elk van de drie onderwerpen een vlak ontstaat. Het content-vlak wordt gedefinieerd door de as beheersingsobject en de as beheersingsniveau, het contextvlak door de as ketentypologie en de as ketenperspectief, en het control-vlak door de as afspraken en de as implementatie. In de volgende paragrafen wordt elk van de vlakken met hun assen verder toegelicht, uitmondend in een detaillering van het C 4 -model. Het content-vlak Het content-vlak wordt gedefinieerd door de assen beheersingsobject en beheersingsniveau, zoals weergegeven in Figuur 1. De as Beheersingsobject Deze as geeft aan of het object van beheersing de (financiële) waarde van de ICT-keten betreft, de functionele onderdelen (de te leveren service ) per ketenpartner, of de kwaliteit waarmee deze diensten en dienstonderdelen aan elkaar worden geleverd. Waarde. De bijdrage aan strategische doelstellingen, baten en kosten van het werken en afstemmen van ketens. Figuur 1: Het content-vlak Functioneel. Afstemming van servicecomponenten, baten en kosten met individuele ketenpartners. Kwalitatief. De mate waarin aan de (kwalitatieve) verplichtingen van de serviceverlening wordt voldaan. De term kwaliteit is hierbij een breed begrip. Het kan een breed palet aan kwaliteitseigenschappen voor softwaresystemen aanduiden, zoals bijvoorbeeld uitgewerkt in het Quint-model [QUIN96] (afgeleid van de ISO/IEC norm 9126-1 [ISO01]) dat is weergegeven in Figuur 2. De as Beheersingsniveau Deze as geeft het bestuurlijke niveau aan waarop de beheersing van toepassing is. Drie beheersingsniveaus worden onderscheiden, zoals bekend uit het KAD+ model [HART10] gericht op de beheersing van intraorganisatorische administratieve dienstverlening. Deze drie niveaus zijn: Strategische beheersing. De strategische uitgangspunten en aansturing voor de ICT-keten. Organisatorische beheersing. De vertaling van de strategische uitgangspunten naar het organisatorische beheerskader van de ICT-keten. Operationele beheersing. De inrichting en de beheersing van de werkprocessen. Het context-vlak Het context-vlak wordt gedefinieerd door de assen ketentypologie en ketenperspectief, zoals weergegeven in Figuur 3. 6 de IT-Auditor nummer 4 2012
Figuur 2: Kwaliteitsaspecten volgens het Quint-model De as Ketentypologie De typologie geeft de wijze weer waarop de samenwerkings- en afstemmingsrelaties in een ICTketen zijn ingevuld. Het basisonderscheid is de mate waarin er een overkoepelend gezag in de keten is dat eisen aan ketenpartners kan opleggen over de wijze van invulling van ICTvoorzieningen. We onderscheiden drie typen: Ketenkoppeling. Bij ketenkoppeling werken ketenpartners met elkaar samen op basis van afspraken over hun koppelvlak, zonder daarbij afstemming te hebben over de geleverde functionaliteit of de (kwaliteit van) de technische implementatie. Deze situatie treedt bijvoorbeeld op wanneer een organisatie diensten op dynamische wijze via serviceoriëntatie van een andere ketenpartner afneemt. Ketenafstemming. Bij ketenafstemming stemmen ketenpartners wel Figuur 3: Het context-vlak de functionaliteit en de kwaliteit van de technische implementatie op elkaar af. Op basis van consensus kunnen daarbij beslissingen worden genomen. Een voorbeeld hiervan is de situatie waarin ketenpartners vanuit een gedeeld belang met elkaar de kwaliteit van hun technische implementatie bespreken, risico s en zwakheden identificeren en eventueel tot (technische of procesmatige) compenserende maatregelen besluiten, zoals bijvoorbeeld in [BAST11] beschreven is voor het kwaliteitsaspect continuïteitsmanagement. Als speciale uitingsvormen hiervan kunnen het sluiten van een Service Level Agreement (SLA) of afgeven van een Third Party Mededeling (TPM) worden genoemd. Ketensturing. Bij ketensturing is er sprake van een ketenpartner met voldoende overkoepelend gezag om eisen aan ketenpartners op te kunnen leggen over de wijze van invulling van hun ICT-voorzieningen. Dit kan bijvoorbeeld het geval zijn doordat er een ketenpartner is met een dominante marktpositie of doordat de wet- en regelgeving eisen oplegt. In het algemeen zullen ICT-ketens hybride van aard zijn: één van bovenstaande types zal niet voor alle relaties in de keten van toepassing zijn. De as Ketenperspectief Het ketenperspectief beschrijft de optiek van waaruit de ICT-keten wordt beschouwd. De volgende perspectieven worden daarbij onderscheiden: Het toezichtperspectief. In dit perspectief wordt de gehele ICTketen van buitenaf beschouwd ten einde over de compliance met wet- en regelgeving te kunnen oordelen. Het ketenperspectief. In dit perspectief wordt de gehele ICT-keten van buitenaf beschouwd teneinde te kunnen oordelen over een beheersingsaspect van de ICT-keten in zijn geheel, bijvoorbeeld de eindtot-eind beheersing van business continuïteit, zowel organisatorisch als operationeel. Het partnerperspectief. In dit perspectief wordt een beheersingsaspect beschouwd vanuit de positie van een specifieke partij en ketenpartner binnen de ICT-keten. Niet de gehele ICT-keten wordt beschouwd, maar het belang van slechts één enkele schakel hierin. Het control-vlak van het model Het control-vlak wordt gedefinieerd door de assen afspraken en implementatie, zoals weergegeven in Figuur 4. De as Afspraken De afspraken omvatten de (contractuele) afspraken tussen de ketenpartners, zoals vastgelegd in een SLA. De volgende aspecten zijn van belang bij een beoordeling van de gemaakte afspraken: Volledigheid. Zowel de (technische) kwaliteitsaspecten als de procesinteracties dienen in de afspraken met voldoende detail te zijn Figuur 4: Het control-vlak de IT-Auditor nummer 4 2012 7
benoemd. Als voorbeeld van een kwaliteitsaspect kan beschikbaarheid worden genoemd, uitgedrukt in bijvoorbeeld zowel minimaal percentage beschikbaarheid, maximaal aantal incidenten per jaar en maximale duur van de verstoring per incident. Als voorbeeld van procesinteractie noemen we procesafspraken rondom business continuïteit BAST11. Betrouwbaarheid. De afspraken dienen een waarheidsgetrouwe afspiegeling te zijn van de implementatie en de beheersingsmaatregelen die de aanbieder getroffen heeft. Hier komt het aspect vertrouwen om de hoek kijken, met het instrument trust audit [BAST12] ter beoordeling hiervan. Aaneenschakeling. Dit omvat de aaneenschakeling van de afspraken die tussen de diverse ketenpartners op de verschillende plaatsen in de ICT-keten zijn gemaakt. Zijn ze consistent? Hoe tellen de verschillende afspraken bij elkaar op tot het vereiste niveau van beheersing van de gehele keten. Het is mogelijk hiervoor wiskundige modellen te ontwikkelen [SEQU12], waarin zelfs de betrouwbaarheid van gemaakte afspraken kan worden verdisconteerd. Hieraan wordt in het Nederlandse onderzoeksproject TTISC [TTIS12] gewerkt. Gegevensgericht. De (uitwisseling en transformatie van) gegevens in de ICT-keten is hetgeen waar het uiteindelijk om gaat. Dit wordt ook wel aangeduid als het content network. De gegevensgerichte aanpak beschouwt de ICT-keten derhalve vanuit de vraag of de keten zo is ingericht dat de uitwisseling van informatie en gegevens, binnen de waardeketen juist en controleerbaar is. Distributiegericht. De applicaties en ICT-systemen (zowel servers als operating systems) in de ICTketen vervullen de taak om de gegevens en informatie daadwerkelijk uit te wisselen tussen de verschillende partijen. Dit wordt ook wel aangeduid als het delivery network. De distributiegerichte aanpak neemt daarom de implementatiegerichte maatregelen in beschouwing die de kwaliteit hiervan moeten borgen. Hieronder vallen maatregelen zoals redundantie (om beschikbaarheid te verhogen), encryptie (om vertrouwelijkheid te verhogen) en informatievalidatie (om integriteit te borgen). CONCLUSIES In dit artikel hebben we een model voorgesteld en uitgewerkt voor de beheersing en controle van ICT- ketens. Het geeft een handvat om het totale speelveld van ICTketenbeheersing te overzien, hiaten hierin te identificeren en communicatie hierover te vergemakkelijken. Daarbij kan het model tevens dienen om de scope van ICT-ketenaudits te bepalen. De sterkte van model is dat het vanuit zowel een content, context als control perspectief is vormgegeven, waardoor het de grote diversiteit aan en wijzen van kijken naar ICT-ketens afdekt. Daarmee is het model een goed hulpmiddel bij het beheersen en auditen van ICT-ketens. De gezamenlijke uitwerking van de content-, context- en control-vlakken op beide assen uit de voorgaande paragrafen, kan visueel in het kubusvormige C 4 -model voor integrale ICT-ketenbeheersing worden weergegeven, zie Figuur 5. Het combineren van de drie vlakken tot een kubus in deze figuur is louter bedoeld als visualisatie van het model in zijn totaliteit. Om de kubus te gebruiken (voor bijvoorbeeld het positioneren van ICT-audits) zal veelal gebruik worden gemaakt van de individuele onafhankelijke vlakken (dus het content-vlak, het context-vlak en het control-vlak), waarbij voor specifieke ICT-ketens per vlak de afweging kan worden gemaakt welke van de De as Implementatie De implementatie omvat de daadwerkelijke bestuurlijke en technische maatregelen die in de ICT-keten en door ketenpartners zijn genomen om beheersing van de ICT-ketens te realiseren, bijvoorbeeld de maatregelen om het kwaliteitsaspect beschikbaarheid te verhogen. Zoals vertrouwd zal voorkomen in de auditprofessie, zijn de volgende aanpakken daarbij te onderscheiden: Systeemgericht. Dit betreft de besturings- en beheersingsprocessen en maatregelen. Deze dienen op zodanige wijze te zijn vormgegeven dat de beheersing van de keten adequaat is. Figuur 5: Gedetailleerde weergave van C 4 -model voor integrale ICTketenbeheersing 8 de IT-Auditor nummer 4 2012
aspecten voor beheersing en controle als relevant worden beoordeeld. Wij roepen hierbij organisaties tevens op om samen met ons dit model voor het beheersen van ICT-ketens en het positioneren van ketenaudits voor hun (bedrijfs-)ketensituatie te beproeven en verder te ontwikkelen. Het verder invullen van het model door de ontwikkeling van best practices en governance-richtlijnen voor ketens zou hierbij een goede vervolgstap kunnen zijn. Het project TTISC heeft ook een raamwerk ontwikkeld voor het inrichten, beoordelen en bijsturen van ICT-ketens, gericht op het vanuit assurance perspectief zekerheid bieden ten aanzien van business- en kwaliteitsdoelstellingen van ICT-ketens. Deze raamwerken zijn gebaseerd op een viertal assurance elementen voor ICT-ketens: typologie, determinanten, distributies en patronen. Informatie hierover kunt u opvragen bij de auteurs van dit artikel (y.w.van.wijk@rug.nl, harrie.bastiaansen@tno.nl). Literatuur [BAST11] Bastiaansen, H.J.M., Matthijssen, E., Schenk, M., Continuïteitsmanagement in vitale ICTketeninfrastructuren vergt nieuwe bestuurlijke aanpak, TIEM 2.0, nr. 42, najaar 2011. [BAST12] Bastiaansen, H.J.M., Trust audits en hun rol in het beoordelen van de robuustheid van ICT-ketens, Informatiebeveiliging, nr. 6, 2012. [BRUI06-1] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: startpunt voor keteninrichting en ketenauditing, de EDP-Auditor, nr. 1, 2006. [BRUI06-2] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: ketensamenwerking binnen het publieke domein, de EDP-Auditor, nr. 2, 2006. [ENIS09] EU-initiave, ENISA - European Network and Information Security Agency, initiated in 2009, www.enisa.europa.eu. [HART10] Hartog, P., Korte, de R., Otten J., Model voor het auditen van Management Control, Auditing.nl, April 2010. [ISO01] International Standard ISO/IEC 9126-1, Software engineering Product quality Part 1: Quality model, first edition, 2001. [MEER05] Meer, van der A.J., Dirks, L.G., Ketenauditing in de publieke sector, complex en daarom spannend!, de EDP-Auditor, nr. 3, 2005. [MOLL10] Mollema, R.J., Welters, M.M.J.M., Vaktechnisch verantwoorde ketenaudits: optie of utopie?, de EDP-Auditor, nr. 3, 2010. [NORE12] Norea Werkgroep Ketenauditing, www.norea.nl. [QUIN96] SERC, Kwaliteit van softwareproducten - Praktijkervaringen met een kwaliteitsmodel, 1996. [RAVA07] Raval, V., Fichadia, A., Risks, Controls and Security Concepts and Applications, Wiley, 2007. [SEQU12] IOP GenCom onderzoeksproject, SEQUAL (SErvice optimization and QUALity), www.agentschapnl.nl/content/project-serviceoptimization-and-quality-sequal. [TTIS12] IIP onderzoeksproject, TTISC (Towards Trustworthy ICT Service Chains), ICT-regie innovatieplatform, www.ict2030.nl/ IIP-Cooperation-Challenge.html. Drs. Y.W. (Ype) van Wijk RE RA is werkzaam bij de Rijksuniversiteit Groningen voor het TTISC-project. Daarnaast is hij werkzaam als promovendus op het gebied van assurance in IT-serviceketens en richt zich daarbij op de ontwikkeling van het assuranceraamwerk voor ICT-enabled serviceketens. Dr. Ir. H.J.M. (Harrie) Bastiaansen is senior consultant bij TNO. Hij heeft veel ervaring in het adviseren over enterprisearchitectuur en over de organisatie, processen en techniek voor integratie in grote en complexe omgevingen. In de recente jaren is zijn aandacht uitgebreid naar IT-besturing. Daarbij heeft hij recentelijk succesvol zijn opleiding tot IT-auditor aan de Erasmus Universiteit Rotterdam afgerond. de IT-Auditor nummer 4 2012 9