Compliancy wil zoveel zeggen als voldoen aan de eisen die worden gesteld. In de it-context gaat het er dan om dat de it-infrastructuur en de beveiliging aan eisen voldoet. Welke eisen dat zijn? Dat is voor ieder bedrijf anders. Dat meldde Peter Kornelisse van KPMG op een door Telindus georganiseerd symposium.
In het algemeen kan worden gesteld dat de regelgeving minder exact wordt en steeds meer de organisaties op hun verantwoordelijkheid aanspreekt. Vooral grote bedrijven moeten aan een reeks externe en interne eisen voldoen. In het algemeen kun je daarover zeggen dat dat een cultuurverschuiving met zich mee zal brengen van vertrouwen naar bewijzen: waar bedrijven voorheen een stilzwijgend vertrouwen genoten, moeten ze tegenwoordig bewijzen dat ze aan eisen voldoen. Dat is iets wat meer bedrijven zullen merken: ook klanten zullen in de toekomst steeds vaker om bewijzen vragen.
Bedrijven kunnen vrij eenvoudig nagaan hoe ‘volwassen’ zij zijn in hun compliance. Kornelisse hanteert op dit gebied vijf niveaus. Op het eerste niveau zijn bedrijven nauwelijks georganiseerd en doen ad hoc aan rapportage. “Ad hoc is hier het sleutelbegrip”, aldus Kornelisse. Op het tweede niveau zijn er rond beveiliging processen ingericht, die met enige regelmaat worden gebruikt. Kornelisse: “Hier is regelmaat de onderscheidende term”. Op het daaropvolgende niveau zijn die processen ook goed gedefinieerd en nog een stap verder zijn bedrijven ook in staat om aan te tonen dat die processen er zijn en functioneren. Op het hoogste niveau is er ook een controlesysteem actief, dat kan worden gebruikt om de interne procedures bij te sturen.
Kornelisse schetst hoe een compliance-project kan worden doorlopen. Dat begint bij het identificeren van de belangrijke processen (vaak belangrijk voor financiële rapportage) en vervolgens van de daarvoor belangrijke applicaties. Die zijn de uitgangspunten voor het definiëren van maatregelen in de vorm van procedures, functiescheiding, infrastructuur en it-beheergroepen. Daar moet dan weer van worden bepaald welke eisen je eraan stelt. Er zijn veel ‘kapstokken’ die als bron van die eisen kunnen dienen, bijvoorbeeld ITIL, COBIT, COSO of ISO17799, maar de boodschap van Kornelisse is: stel eigen, bedrijfsspecifieke eisen op, die zijn samengesteld uit de normen die voor jou van toepassing zijn.
Het controleren van infrastructuur gebeurt aan de hand van twee soorten gegevens: events en status. Een status beschrijft de staat waarin bijvoorbeeld een apparaat zich bevindt en een event is een gebeurtenis in een netwerk.
Praktijkvoorbeeld
Het ABP is een pensioenfonds met 170 miljard euro in het fonds. Roel Nijsen is één van de vier Information Security Administrators binnen ABP en hij beschrijft de gang van zaken op compliancy-gebied binnen het ABP. Er moet aan de nodige externe en interne eisen worden voldaan. De interne accountantsdienst stelt bijvoorbeeld de eis dat loggegevens gedurende 150 dagen worden bewaard. Uiteindelijk is men ook gekomen tot een set van bedrijfsspecifieke eisen. Om aan die eisen te kunnen voldoen, is men een traject van productselectie ingegaan. Men zocht een product dat in staat was om loggegevens te verzamelen, te analyseren, er rapportages van te maken en te archiveren. ABP koos uiteindelijk voor Network Intelligence, een product dat zonder het installeren van agents van alle mogelijke apparatuur de event- en statusgegevens kan uitlezen. Met name dat aspect, het ontbreken van agents, was voor ABP een groot voordeel. Nijsen: “Je hoeft dan niet de discussie met de beheerders van de apparatuur aan te gaan over wat er op hun apparaten ‘bij’ komt draaien.” De ervaringen met Network Intelligence zijn goed. Het product voldoet aan de verwachtingen: je kunt op relatief kleine schaal beginnen en het langzaam uitbouwen. Als medewerkers doorhebben wat er allemaal mee mogelijk is, gaan ze het zelfs als een ‘wondertool’ beschouwen, maar dat is volgens Nijsen niet realistisch: “Zo werd er op een gegeven moment gevraagd of er ook gerapporteerd kon worden over de fysieke beveiliging en daarin hebben we mensen moeten teleurstellen.” Ook is het product relatief stabiel. Nijsen: “Ongeveer eens in de twee maanden is er sprake van een relatief grote storing. Logging loopt dan wel door, maar rapporten kunnen niet worden gegenereerd. In samenwerking met de leverancier is dat echter meestal snel opgelost.” Het algemene beheer van het product kost Nijsen een halve dag per week.
Het toepassen van een tool voor de rapportage levert niet alleen een aantal rapporten op die op regelmatige basis worden gemaakt, maar ook een forse tijdwinst bij het samenstellen van ad hoc rapportages. Zo is het mogelijk om snel een rapport te maken van wie welke rechten heeft en waar er ook daadwerkelijk gebruik is gemaakt van die rechten, een mogelijkheid die bij incidenten snel inzage geeft in de stand van zaken.
De reguliere rapporten worden op regelmatige basis tegen het licht gehouden. “Als er iedere maand een rapport wordt gegenereerd van tien pagina’s, dan doe je daar niets mee. Dan bekijken we of zo’n rapport niet een andere, meer hanteerbare uitkomst moet hebben en wordt het aangepast.”
Door de regelmatige rapportage van heel diverse aspecten in het netwerk, en doordat het maken van ad hoc rapportages veel sneller gaat, is de omgeving er veel veiliger op geworden.