Vorm & Analysevolgorde binnen SIVA

De derde en vierde component binnen SIVA; Vorm & Analysevolgorde. We namen je in eerdere blogs al mee in de componenten Structuur en Inhoud (deel 1 & deel 2). Je zet een gestructureerd raamwerk op, gevolgd door een Structuur-Inhoudmatrix. Maar wanneer ga je daadwerkelijk aan de slag met de auditprincipes? Dat gebeurt binnen het derde hulpmiddel; Vorm. In deze blog gaan we zowel in op de Vorm als op de Analysevolgorde omdat ze nauw met elkaar samenhangen.

Verschillende principes

Er zijn twee soorten principes te onderkennen binnen Vorm, namelijk de richtinggevende principes en de beoordelingsprincipes. Deze delen beiden het kenmerk dat ze normatieve elementen bevatten die als richtlijn dienen voor de beoordeling van het auditobject. Deze normatieve elementen zijn simpelweg variabelen die als basis dienen voor de beoordeling van het betreffende object. Normatieve elementen hebben onderlinge relaties, die zowel van het type oorzaak-gevolg, functioneel of compositioneel van aard kunnen zijn. Onderstaand lichten we ze ter verduidelijk aan je toe.

  1. Oorzaak-gevolg relatie – Hierbij gaat het erom om normelementen te herkennen om je te helpen vast te stellen of een doel kan worden bereikt. Oorzaak-gevolg zegt het eigenlijk al, je gaat na of op basis van verzamelde informatie doelen kunnen worden bereikt.
  2. Compositionele relatie – Hierbij gaat het om een relatie die uitdrukt wat uit wat bestaat, oftewel een compositie.
  3. Functionele relatie – Deze verwijst naar het gedrag en acties van objecten die ervoor zorgen dat een bepaald doel kan worden bereikt.

Patronen en variabelen

Een auditprincipe is dus een uitdrukking waarin relaties worden gelegd tussen diverse variabelen die zowel van afhankelijke als van onafhankelijke aard kunnen zijn. Onafhankelijke variabelen zijn het ‘’Wie’’ en het ‘’Wat’’. De afhankelijke variabelen gaan over het resultaat oftewel het ‘’Waarom’’.

WieDe actor die verantwoordelijk is voor acties
ModDrukt modaliteiten uit (dienen, moeten, mogen en hun ontkenningen)
WatDrukt de acties uit of een te bereiken toestand / doel
ActietypeHet werkwoord dat in relatie staat met de wat-elementen (bijv. stilleggen)
RelatieVormt de motiverende houding tussen het wie, wat en het waarom
WaaromDrukt intenties / doelstellingen uit

Als je zinnen opbouwt volgens de bovenstaande principes dan krijg je een helder patroon dat uitgelezen kan worden, bijvoorbeeld de zin ‘’Het management dient arbo-technische maatregelen te treffen om de veiligheid op de werkvloer te garanderen’’.

Het wie Het management
Wat Arbo technische maatregelen treffen
Relatie Om
ActietypenTreffen
WaaromOm de veiligheid op de werkvloer te garanderen

Deze zin biedt dus geen ruimte voor interpretatieverschillen en voldoet aan het patroon. We zoomen nu eerst wat meer in op de ‘actietypen’.

Actietypen

Een actietype is een werkwoord dat in relatie staat met de wat-elementen, waar de ‘wat’ één of meer uit te voeren acties uitdrukt. Een actietype kun je uit best practices en baselines halen en zo standaardiseren. Actietypen zijn in drie hoofdcategorieën onderverdeeld, namelijk de directieven, behabitieven en verdictieven.

  • Directieven – Hebben te maken met intenties en het richting geven of motiveren van de actie (Direct) – Beschikkende functies
  • Behabitieven – Gaan over de houding en het gedrag (Behaviour) – Uitvoerende functies
  • Verdictieven – Het oordelen, uitleggen, evalueren en rapporteren (Verdict) – Controlerende functies

Toelichting op de wat & waarom

Na het formuleren van hoofdnormen kun je indicatoren gaan identificeren, zodat je een uitspraak kunt doen over de principes. Op basis van de wat-aspecten die aan bod komen kun je bepaalde verifiers bij een indicator benoemen. Deze worden ook wel inclusions genoemd. Met behulp van het waarom-aspect kan je juist verifiers bij een indicator verwijderen, omdat deze niet bijdragen aan het waarom. Dit noem je dan weer exclusions. Het verband tussen een inclusion en een exclusion wordt in het SIVA-handboek weergegeven met een voorbeeld;

‘’De fabrikant dient de ontwikkeling van auto’s te baseren op ontwerpvoorschriften en richtlijnen om een veilig vervoermiddel te kunnen garanderen.

Je kunt je voorstellen dat inclusions die hierbij benoemd worden een airbag en een wielophanging zijn. Oftewel, onderdelen die als basis kunnen dienen om een veilig vervoermiddel te kunnen garanderen. Je kunt je waarschijnlijk ook voorstellen dat er ook exclusions zijn, zoals het hebben van een radio met Bluetooth en gekleurde stiksels in je bekleding. Dit zijn geen zaken die bijdragen aan het hebben van een veilig vervoermiddel.

Door deze indicatoren te verifiëren aan het waarom, in dit geval veiligheid, treedt een indicator toe tot de exclusions. De indicator radio met Bluetooth past niet binnen het waarom – veiligheid – en valt daarom buiten inclusions en is daarmee een exclusion.

Analysevolgorde toegelicht

Analysevolgorde, het laatste SIVA component, is de toepassing van de combinatie tussen de componenten Structuur en Inhoud. Je zorgt voor systematische invulling van de Systeem-Inhoudmatrix met relevante auditelementen. Na het uitvoeren van de activiteiten binnen de Analysevolgorde kun je auditprincipes daadwerkelijk formuleren met het component Vorm.

Er zijn diverse aanpakken binnen het component Analysevolgorde:

  • Top-down: vanuit het hogere beleidsniveau een referentiekader ontwikkelen. Je kijkt met name naar control, management en beleid gerelateerde onderwerpen en normen.
  • Bottom-up: juist aandacht besteden aan de meer gedetailleerde normen, opgevolgd door de beleidsnormen. Een risico is de nadruk op (technisch) detailniveau, terwijl je ook de beleidsnormen mee moet nemen binnen je onderzoek. Balans is belangrijk.
  • Gecombineerde aanpak: door de twee bovenstaande aanpakken te combineren ga je op zoek naar ‘’’The best of both worlds’’. Door iteratief te werken bouw je de component Structuur op aan de hand van drie fasen die wij hieronder nader toelichten.

Drie fasen nader bekeken

Wanneer je binnen de Analysevolgorde een brede organisatorische context gaat onderzoeken, zoals de relaties tussen bepaalde afdelingen in een organisatie, dan gebruik je een aantal fases om het auditobject te gaan analyseren. Je doorloopt bij het ontwikkelen van een referentiekader drie fasen.

Fase 1 – Het auditobject analyseren vanuit de kenmerken van de lagen in het midden, ook wel de uitvoeringscontext. Hierbij kan je denken aan het identificeren van operationele auditobjecten zoals de IT-processen en de functies die geleverd moeten worden.

Fase 2 – Analyse vanuit de kenmerken van beleidscontext. Je legt binnen deze fase de focus op het auditobject en de lagenstructuur om te voorkomen dat auditelementen die niet binnen de primaire focus vallen betrokken worden in je audit. Je stelt relevante beleidsaspecten vast, zoals de vraag welk beleid er is en welke processen van invloed zijn.

Fase 3 – Vanuit de kenmerken van de controlcontext. Deze fase lijkt erg op fase 2, maar hierbij neem je niet alleen de uitvoeringscontext mee, maar ook de beleidscontext. Je gaat dus wederom uit van kennis van het auditobject, maar vult dit aan met de opgebouwde kennis over de beleidscontext. Je stelt hier bijvoorbeeld de vragen; Aan welke controltaakvereisten moet men voldoen en aan welke controlestructuren zou men zich moeten houden?

De bovengenoemde vorm van het doorlopen van de fasen wordt ook wel de ‘eenvoudige’ vorm genoemd. Denk hierbij ook aan onderling verband tussen divisies of afdelingen of juist de primaire processen / IT objecten. Naast de eenvoudige is er ook een uitgebreide vorm om dieper in te gaan op specifiekere zaken afdelingen. De uitgebreide vorm laten we voor nu buiten beschouwing.

Resumé en afsluiting

Wil je nog het een en ander nalezen met betrekking tot SIVA of gericht advies van ons ontvangen? Neem dan contact op en lees vooral de andere blogs op onze website! Wij schreven ze eerder al over de diverse deelcomponenten Inhoud & Structuur, verdeeld over meerdere blogs. Je kunt ook onze (komende) overzichtsblog lezen om in een keer alle elementen mee te pakken.

Digitaal forensisch onderzoek; hoe bereid ik me als CISO voor?

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap