U bent hier

Onderneming & Administratie
Risicomanagement6. Mitigeren6.4 General controls
Voor Onderneming & Administratie

6.4 General controls

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2016

wildgroei

Als u de geautomatiseerde informatievoorziening niet goed beheerst, zou dit vervelende gevolgen kunnen hebben. Er zou fraude gepleegd kunnen worden omdat niet wordt voldaan aan beveiligingseisen. Er zou een wildgroei kunnen ontstaan van verschillende soorten apparatuur en programmatuur, resulterend in regelmatige uitval van het geautomatiseerde systeem. Het is mogelijk dat u ongeautoriseerde handelingen die in het systeem mogelijk zijn, niet signaleert door ontoereikende functiescheidingen in het geautomatiseerde systeem. Om dit soort situaties te voorkomen is het belangrijk dat u aandacht besteedt aan de beheersing van IT. Deze controls zijn gericht op het scheppen van de juiste randvoorwaarden.

De eerste categorie van beheersingsmaatregelen voor IT zijn de algemene beheersingsmaatregelen oftewel de ‘general controls’. Deze controls hebben betrekking op de geautomatiseerde informatievoorziening als geheel en hebben voornamelijk een preventief karakter.

De general controls hebben betrekking op de volgende aandachtsgebieden:

  • IT-beleid;
  • IT-organisatie;
  • continuïteit;
  • beveiliging;
  • ‘operations’ en ondersteuning;
  • capaciteit en performance.

6.4.1 IT-beleid

beveiliging

compliance

In een informatie- en automatiseringsplan kunt u tot uitdrukking brengen hoe u IT de komende jaren wilt inzetten. U zou bijvoorbeeld aandacht kunnen schenken aan:

  • organisatie en beheer (organisatieschema IT-afdeling, taken en verantwoordelijkheden IT-medewerkers, functiescheidingen binnen de IT-organisatie, kennis en opleiding).
  • richtlijnen voor de infrastructuur (ontwikkel- en beheermethoden, standaarden hard- en software).
  • beveiliging (algemene eisen aan logische en fysieke toegangsbeveiliging).
  • compliance (naleving van wet- en regelgeving, zoals de bewaarplicht en privacy wetgeving).
  • toezicht op de naleving van het informatie- en automatiseringsbeleid.

6.4.2 IT-organisatie

waarborg

Bij het inrichten van de IT-organisatie is het belangrijk de volgende functiescheidingen toe te passen:

  • functiescheiding tussen de ‘ontwikkelingsorganisatie’ en de ‘gebruikersorganisatie’. Softwareontwikkelaars mogen geen toegang hebben tot de automatiseringsomgeving van de eindgebruikers. Deze functiescheiding is een waarborg dat u uitsluitend software installeert die getest en geautoriseerd is namens de gebruikers.
  • functiescheiding tussen de verwerkingsorganisatie van gegevens en de gebruikersorganisatie.

6.4.3 Continuïteit

infrastructuur

Deze maatregelen dienen de continuïteit van IT-diensten onder normale omstandigheden en bij calamiteiten te waarborgen. Voorbeelden van continuïteitsmaatregelen zijn:

  • een beschikbaarheidsplanning op basis van beschikbaarheidseisen. Hiermee regelt u dat u de infrastructuur tijdig uitbreidt, de systemen tijdig vervangt en deze ook onderhoudt;
  • het monitoren van de beschikbaarheid en performance van de IT-systemen;
  • een centrale back-up en recoveryprocedure;
  • beschikbaarheid van noodstroomfaciliteiten en uitwijkmogelijkheden;
  • brandmelders en detectoren van verhoogde waterstanden in IT-ruimten.

Stel ook een calamiteitenplan op met daarin organisatorische, technische en facilitaire maatregelen om de continuïteit bij calamiteiten te waarborgen.

6.4.4 Beveiliging

afschermen

Het doel van de beveiligingsmaatregelen is het afschermen van informatie tegen ongeautoriseerd gebruik, openbaarmaking of aanpassing, schade of verlies. Voorbeelden van beveiligingsmaatregelen zijn:

  • fysieke toegangsbeveiligingsmaatregelen (afgesloten computerruimten, alarminstallatie);
  • logische toegangsbeveiligingsmaatregelen (toegang door middel van invoer van een gebruikersnaam en wachtwoord, pasjessysteem);
  • antivirusprogrammatuur/firewall;
  • schriftelijke afspraken met medewerkers over geheimhouding;
  • vernietigingsprocedure met betrekking tot opslagmedia;
  • authenticiteitcontroles en encryptie (versleuteling van berichten en data) bij externe verbindingen.

6.4.5 ‘Operations’ en ondersteuning

gestructureerd

De maatregelen op dit aandachtsgebied zijn er op gericht de dagelijkse beheertaken en het leveren van ondersteuning aan gebruikers zo goed mogelijk en gestructureerd te laten verlopen.

onstabiel

De maatregelen bij ‘operations’ en ondersteuning richten zich onder meer op het risico van het onbeheerst doorvoeren van wijzigingen in hard- en software met als gevolg dat systemen onstabiel zijn en vaak vastlopen.

Hoe beheerst en ondersteunt u softwareperikelen?

Voorbeelden van beheersingsmaatregelen op het gebied van hard- en software zijn:

  • incidentmanagementprocedures (het gestructureerd en gecoördineerd oplossen van IT-incidenten).
  • changemanagement- en releasemanagementprocedures (dat wil zeggen het beheerst toepassen van wijzigingen in IT-systemen).

6.4.6 Capaciteit en performance

optimaal

De maatregelen in dit gebied richten zich op het realiseren van toereikende (software)capaciteit en het zo optimaal mogelijk benutten daarvan. Als die capaciteit niet afdoende is, brengt dat risico’s met zich mee.

maatregelen

Maatregelen om capaciteitsproblemen te voorkomen zijn:

  • het opstellen van een capaciteitsplanning op basis van een raming van benodigde capaciteit;
  • het tijdig archiveren en opschonen van gegevens en het gebruikmaken van compressietechnieken.
  • het monitoren van systeemprestaties om performanceknelpunten te signaleren en op te lossen (performancemanagement).