Risico’s van een gevirtualiseerde IT-omgeving

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------3. IT ­ Audit van een databaseserver omgevingIn dit hoofdstuk zal aandacht worden besteed aan de auditaanpak van een databaseserver omgeving.Hierbij zal worden ingegaan op de kwaliteitsaspecten die als basis voor het te ontwikkelen raamwerkzullen worden gehanteerd. Op basis van bestaande raamwerken zullen processen worden geselecteerddie een impact hebben op de relevante kwaliteitsaspecten.3.1 Audit aanpakBij een audit gaat het om de bepaling van de kwaliteit van een onderzoeksobject. Hierbij is niet altijdduidelijk wat met het begrip kwaliteit wordt bedoeld. ISO-9000 definieert kwaliteit als volgt (VanPraat & Suerink, 2004):“Kwaliteit is de mate waarin een geheel van eigenschappen en kenmerken voldoet aan eisen”Van Praat en Suerink (2004) geven aan dat de eisen die een IT-auditor hanteert voor de uitvoering vanaudits ook wel toetsingsnormen worden genoemd. Hierbij is het van belang dat vooraf duidelijkheidbestaat aan welke normen een onderzoekobject moet voldoen. Van Praat en Suerink (2004) wijzenerop dat binnen het vakgebied van de IT-auditor, normen niet altijd even duidelijk zijn. Het is daaromvan belang een eenduidige definitie van de gehanteerde normen te gebruiken.In het Handboek EDP-Auditing (1999) gezamenlijk uitgegeven door het NIVRA en NOREA wordenzeven kwaliteitsaspecten benoemd: 1. beschikbaarheid, 2. exclusiviteit, 3. integriteit, 4.controleerbaarheid, 5. doelmatigheid, 6. doeltreffendheid van informatie en 7. de bescherming vanwaarden (beveiliging). Eén van de standaarden voor het beoordelen van beheersmaatregelen is CobiT(Van der Beek, ea, 2009). In het CobiT-raamwerk worden ook zeven kwaliteitsaspecten onderkend.CobiT onderkent de volgende kwaliteitsaspecten 1. effectiveness, 2. efficiency, 3. confidentiality, 4.integrity, 5. availibility, 6. compliance en 7. reliability (ITGI, 2007). In het handboek EDP-Auditingen CobiT worden dus verschillende kwaliteitseisen benoemd welke overlap met elkaar vertonen.Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en“vertrouwelijkheid” (ook bekend als ‘BIV’ of in het Engels ‘CIA’) centraal. Deze driekwaliteitsaspecten worden vaak als uitgangspunt gehanteerd voor een IT-Audit met als doel hettoetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerdeomgeving (Huet & Staquet, 2006). De verschillende kwaliteitsaspecten kunnen elkaar aanvullen maarsoms ook tegenwerken. Zoals Van Praat en Suerink (2004) illustreren met het voorbeeld dat eengebruikersvriendelijk informatiesysteem wellicht geen toegangsbeveiliging heeft aangezienwachtwoorden over het algemeen niet als gebruiksvriendelijk wordt ervaren. Dit staat echter haaks oponder andere het kwaliteitsaspect vertrouwelijkheid.In de volgende paragrafen zullen de drie ‘BIV’ kwaliteitsaspecten verder worden toegelicht:• Beschikbaarheid (Availibility);• Integriteit (Integrity);• Vertrouwelijkheid (Confidentiality).3.1.1 BeschikbaarheidBeschikbaarheid van de informatievoorziening is voor de meeste organisaties van groot belang. Hethandboek EDP-auditing (1999) definieert beschikbaarheid als volgt :“De mate waarin gegevens en IT-processen de organisatie ondersteunen op de momenten dat deorganisatie dit eist.”De bedrijfsvoering komt vaak bijna helemaal stil te liggen wanneer de ICT systemen niet meerbeschikbaar zijn (Snijders e.a.,1999). In CobiT (ITGI, 2007) wordt beschikbaarheid gedefinieerd als:---------------------------------------------------------------------------------------------------------------------------Pagina 19