SIVA – Inhoud & auditelementen (2)

Vandaag gaan we verder waar we de vorige keer gebleven zijn, het tweede hulpmiddel: Inhoud. Als je die blog nog niet gelezen hebt, dan raad ik je aan dat eerst te doen. Het ging over de DFGS invalshoeken om auditelementen te identificeren en te duiden. Vandaag werken we de resterende drie invalshoeken uit. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.

Auditelementen binnen het Functie-model

Het eerste auditelement is in het Functie-model de functie zelf, die van organisatorische aard kan zijn, maar wat ook een systeem (technisch) kan zijn. Ze geven aan hoe doelstellingen gerealiseerd kunnen worden. Daarnaast heb je specifieke systeemfuncties (IT diensten), waarin onderscheid wordt gemaakt tussen:

Input/output
Alle functies om te leveren en te verkrijgen
Transformatie
Functies die een verzameling gegevens omzetten naar een andere verzameling gegevens
Opslag
De fysieke ruimten voor de opslag van bijv. gegevens, belangrijk hierbij is de gegevens locatie en de acties die nodig zijn voor het opslaan en terughalen
Transport
Het logistieke aspect om gegevens te transporteren
Barrier
Gaan over de beveiliging van informatie & producten
Balans
Dient als evenwichtsmechanisme zoals de afweging om bepaalde acties te gaan uitvoeren

Denk naast de specifieke systeemfuncties ook aan twee andere invalshoeken, enerzijds de performance invalshoek die kijkt naar het fysieke gedrag en het resultaat van een product en de ontwerper invalshoek waarbij de functie wordt gezien als een beschrijving van bijvoorbeeld een beoogde doelstelling van een specifiek product (een camera maakt goede of acceptabele foto’s).

De organisatorische functie binnen het Functie-model heeft te maken met de menselijke inspanning die benodigd is om de organisatiedoelstellingen te bereiken. Hoe je de organisatorische functies inricht is bepalend voor het antwoord of de organisatie daadwerkelijk ‘in control’ is. Binnen het functie-model is er ook nog het proces dat aangeeft hoe de organisatie van de business functies in elkaar zit. Breng binnen het proces de hele flow in kaart en doe een volledige analyse.

Tot slot zijn er nog de taken, deze geven de inhoudelijke kant van de functies en processen weer en zijn gekoppeld aan rollen. Taken worden vaak benoemd als activiteiten die worden uitgevoerd om specifieke doelen te bereiken. De taken zijn weer onderverdeeld in een aantal taakgroepen, te weten:

  1. Governance en Management
  2. Delegeren van verantwoordelijkheden
  3. Control
  4. Accountability

Aansluitend op de taken zijn er nog taakvereisten die ervoor zorgen dat grenzen worden gesteld om taken uitgevoerd te krijgen.

Auditelementen binnen het Gedrag-model

Binnen het Gedrag-model vallen de interacties tussen actoren en objecten, tussen objecten onderling en tussen actoren onderling. Onderstaande auditelementen worden nader uitgewerkt, als onderdeel van dit model.

Resources

Dit zijn resources en interacties die belangrijke activiteiten vormen om doelstellingen van de organisatie te bereiken. Resources benoem en onderzoek je apart, gevolgd door de actoren die het functioneren van de organisatie bepalen. Onder de actoren heb je een delegator (die iets uit wil voeren), een delegatee (die iets belooft te doen voor een ander) en een dependum (de kennis of de middelen die de delegatee nodig heeft om beloftes waar te maken).

Actoren en interacties

Tussen de actoren zijn diverse soorten interacties te herkennen, zowel van actor naar actor, van actor naar object en van object naar object. De actor zie je als mens en het object zie je als machine. De interactie tussen twee objecten kan ook weer van specifieke aard zijn en op verschillende niveaus en structuren plaatsvinden. Hierbinnen herken je de ‘object requester’, de verzoeker, een ‘object requestee’, het systeem dat zorgt voor respons, en het ‘object dependum’ en de ‘object intermediair’. Het dependum is de inhoud van een bericht en de intermediair vormt het communicatiekanaal van het bericht. Volg je me nog?

Activiteiten en objecten

Binnen je onderzoek ga je de activiteiten bekijken die waarde geven aan de organisatie. Deze activiteiten worden door de actoren uitgevoerd en het object vormt het hulpmiddel. Het object is eigenlijk het component dat betrokken is om bepaalde activiteiten uit te kunnen voeren, zoals een (informatie)systeem. Er zijn ook weer verschillende typeringen te herkennen onder de objecten, namelijk: abstracte, concrete en financiële objecten.

Bij een audit houd je rekening met de toestand en de omgeving van objecten. Een verzameling van objecten vormt een omgeving. De toestand vormt de status van een object, activiteit of een proces. Deze toestanden veranderen uiteraard met de tijd. Je neemt ook de tijd mee, aangezien historie een belangrijk onderdeel is op zowel het operationele als het strategische niveau.

Kwaliteitseisen

Binnen het Gedrag-model valt het toetsen van (niet-)functionele kwaliteitseisen die stellen wat een informatiesysteem moet doen en wat bijvoorbeeld de betrouwbaarheid en schaalbaarheid is van een informatiesysteem. Ook privacy en beveiliging zijn niet-functionele kwaliteitseisen. Ga binnen je audit na of het fundament van de infrastructuur volstaat en of de beheersing op de juiste manier wordt uitgevoerd.

Auditelementen binnen het Structuur-model

Bij het Structuur-model kom gaat het om het toetsen van de samenhang. Ze gaat allereerst over de organisatiestructuur, waar je kijkt naar de mate van:

  • Formalisatie
  • Span of control
  • Hiërarchie
  • Specialisatie
  • Centralisatie
  • Decentralisatie

Ga na of het raamwerk van de organisatie, de daadwerkelijke architectuur, structuur geeft. Denk daarbij aan de verschillende vormen van architectuur waar een organisatie gebruik van kan maken. Een auditor maakt bij dit onderzoek gebruik van zowel organisatorische als technische aspecten, zoals het product, de functionaliteit en de geografische spreiding.

Business Architectuur

Extra aandacht wordt gevraagd voor business architectuur. Deze beschrijft alle functies en business processen vanuit een breed overzicht over de organisatie. Besteed bij een audit aandacht aan de verantwoordelijkheden van de stakeholders binnen deze structuur evenals de business en IT-diensten die geleverd moeten worden binnen de gestelde kwaliteitseisen.

Hoe de harmonie tussen business en IT-doelstellingen in elkaar zit wordt ook wel ‘Business-IT alignment’ genoemd. De organisatie kan de doelen goed realiseren wanneer deze in samenspraak met elkaar gaan en het evenwicht tussen beide goed is. Ga bij het onderzoeken in op hoe de business in staat is om veranderingen in het evenwicht op te vangen, zoals processen waarmee veranderingen worden doorgevoerd en de impact.

Structuur en Inhoud samen

Middels deze en vorige blog hebben we je geïntroduceerd tot het onderdeel Inhoud binnen SIVA. Je maakt binnen SIVA gebruik van een raamwerk (zie onderstaand) dat onderverdeeld is in vier invalshoeken. Onder iedere invalshoeken vallen een aantal concepten die een onderlinge relatie vertonen. Je voert op iedere Structuur-laag een Inhoud-analyse uit met dit raamwerk, die ook wel de Structuur-Inhoudmatrix wordt genoemd. Deze matrix vormt de hoofdstructuur waarin concepten worden geplaatst.

Tot slot

Hopelijk heeft bovenstaande afbeelding wat puzzelstukjes op z’n plek doen vallen. Ik hoop dat je iets meer begrijpt van de kijk die een auditor – wanneer hij/zijmet dit raamwerk werkt – heeft op auditelementen. Ofwel: de Inhoud. Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie. In de volgende blogs gaan we in op hoe er vervolgens wordt gezorgd voor de invulling met hulpmiddelen Vorm en Analysemethode.

Van BIG naar BIO met een GAP-analyse
SIVA – Inhoud & auditelementen (1)

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap