EDP audit

Een groep van samenhangende activiteiten, welke is gericht op toetsing van de kwaliteit van de operationele beveiliging, welke is gerealiseerd in en rondom de binnen een bedrijfshuishouding in gebruik zijnde ICT – systemen en de op deze systemen draaiende toepassingsapplicaties.

Wat mag verwacht worden van de EDP Auditor?
De uitvoering van de edp – audit, dat is ” Toetsing van de kwaliteit van de operationele ICT – omgeving”, vereist deskundigheid op meerdere gebieden. Naast een gedegen basiskennis van de diversiteit aan organisatiestructuren en bedrijfsprocessen en een goed inzicht in de kwaliteitsaspecten bij beheer en verwerking van gegevens, zijn uitgebreide kennis van ter beschikking staande ICT – technieken en standaard ICT – middelen, middels het continu volgen van de vele nieuwe producten en ontwikkelingen op het ICT – terrein, essentieel voor uitvoering van een, door de gebruikersorganisatie als nuttig en effectief te waarderen, edp audit.

De Edp-audit vergt in de praktijk een projectmatige aanpak, niet alleen vanwege de omvang van de ICT – omgeving van de tot op heden in onderzoek genomen organisaties, maar ook vanwege de ervaren tekortkomingen inzake interne kennis van de interne organisatie en de noodzakelijk te achten, vooraf extra te nemen, stappen om de risico’s voor de organisatie in beeld te krijgen.

Welke stappen zijn nodig voor een gedegen EDP – audit?
Een audit zal, indien niet voldoende informatie intern voorhanden blijkt, vooraf gegaan moeten worden door een zonodig uitgebreide analyse van de organisatiestructuur en de bedrijfsprocessen. Daarbij wordt geïnventariseerd, welke organisatorische en operationele functies binnen de bedrijfshuishouding actief zijn, welke processen als van primair en van secundair belang mogen worden verondersteld en er zal van de primaire processen een processchema worden gemaakt. Om continuïteit van de organisatie naar de toekomst te waarborgen, is complete kennis van de onderneming en haar processen voor zowel de organisatie als de auditor van groot belang. Deze analyse-activiteit zal, indien de vereiste informatie intern nog niet voorhanden is, voor de gebruikersorganisatie zeer nuttig blijken en, mogelijk tijdens uitvoering al, kunnen leiden tot onderkenning van belangrijke knelpunten. Kennisname van bestaande klachten over operationele procesverwerking is nodig om zicht te hebben op de wenselijkheid voor verbeteringen. Alhoewel het uitwerken en voorleggen van goed realiseerbare alternatieve methoden om bestaande wensen binnen de organisatie op te lossen een interne verantwoordelijkheid is, is kennis omtrent klachten en wensen essentieel voor effectieve kwaliteitsbeoordeling in het kader van de audit.

Voor de oordeelvorming over de kwaliteit van de beveiliging van systemen en gegevens vindt vooraf een grondige inventarisatie plaats van bestaande ICT – middelen, zoals: de locaties en de inrichting van deze locaties, alle gebruikte hardwaremiddelen, alle primaire toepassingsapplicaties en de in gebruik zijnde software tools.

Tenslotte vindt de werkelijke audit plaats op basis van nationaal en internationaal geaccepteerde ICT – toetsingsmodellen als RIV ( Ned. Overheid ), BS7799( British Inst.), Cobit (US – ISACA) en van de in de US door federale en nationale instituten gepropageerde Principles & Practices for Security on IT , onder de noemer “GASSP “.

Al enige tijd is een gestructureerde “Risico-analyse” ook een essentieel en vast onderdeel van de audit:
Inventariseren van bestaande risico’s, uitwerken van mogelijke beperkingen van deze risico’s, incl. de inschatting van de daarmee gepaard gaande gevolgen in kosten, en tenslotte rapportage hiervan aan het management, met vermelding van de resterende risico’s. Een laatste activiteit op iets langere termijn is echter onvermijdbaar. De rapportage moet, indien daartoe aanleiding is, tot risico beperkende maatregelen leiden. De alsdan resterende risico’s worden daarmee door het management onderkend als geaccepteerde potentiele risico’s en zullen de continuïteit van de onderneming niet mogen bedreigen.

Implementatie van risico-beperkende maatregelen vereist monitoring van activiteiten op continue basis, ofwel door de IC – functie, ofwel door de daartoe ingeschakelde edp – auditor, beiden met voldoende bevoegdheid en/of backup van het management om vereiste maatregelen te kunnen afdwingen.

Een ander belangrijk aspect van aandacht tijdens de edp – audit is de totstandkoming van de ICT- omgeving middels projecten, in de vorm van centrale en decentrale locatie-inrichting, van in gebruik zijnde systemen en van gebruikte en gewenste toepassingen. De wijze, waarop projecten ter realisatie van deze objecten worden aangepakt, is veelal bepalend voor de acceptatiegraad van het eindproduct.

De gehanteerde methode voor projectaanpak, maar ook de keuze van ICT – middelen, welke basis zijn voor de geautomatiseerde procesverwerking, worden op kritische controle-aspecten beoordeeld. Belangrijke, met name procesgerichte, controle – aspecten bij uitvoering van edp – audit zijn:

“Effectiviteit en efficiëncy van verwerking”
“Vertrouwelijkheid, integriteit en beschikbaarheid van gegevens”
“Betrouwbaarheid en voldoen aan geldende wettelijke regelgeving”.

Het zal duidelijk zijn dat Security – aspecten en Privacy, vanwege hun betekenis voor de kwaliteit, eveneens belangrijke onderwerpen van aandacht zijn bij de audit. Vooral als gevolg van wereldwijd steeds intensiever netgebruik, middels internet en gebruik van faciliteiten voor e-commerce, zullen deze security – aspecten in de nabije toekomst een steeds zwaardere rol gaan spelen.

Wat is uiteindelijk het resultaat voor de organisatie in kwestie?
Het management krijgt, vanwege de samenhangende aanpak van beoordeling van organisatiestructuur en de processen, een gestructureerd zicht op de efficiëncy van de bestaande organisatie en op de kwaliteit van haar procesverwerking, welke middels binnen de organisatie geaccepteerde procedures en met hulp van ter beschikking staande ICT – middelen wordt ondersteund. De aspecten, welke van belang zijn bij de middels ICT ondersteunde procesverwerking, worden heel specifiek getoetst aan internationaal gangbare standaarden voor goede kwaliteit.

Het als doelstelling te formuleren eindresultaat van inzet edp-audit:
Een op administratief en organisatorisch vlak optimaal geregelde organisatie rond gebruikte systemen en applicaties, welke optimaal, binnen de door het management vastgestelde begrenzingen, beveiligd is voor bedreigingen. IT Beheer en mate van zekerstelling van goede werking moet ondersteunend zijn, berustend op noodzakelijke verwerking van de bedrijf. Een gecontroleerd beheer is belangrijk, maar mag niet als te veel belastend ervaren worden.

Kanttekening: Essentieel bij het tot stand komen van “controlled” beheer is:
Het management moet bereid zijn, en dat is afhankelijk van het beschikbare budget voor realisatie hiervan, tot implementatie van gewenste organisatorische en/of systeemtechnische maatregelen en zij moet bereid zijn om de, op basis van de audit vastgestelde, minimaal vereiste beveiliging te realiseren ! Zonder committment van het management is elke aanpak gedoemd te mislukken.