Hoe blijft u in control van uw data bij uitbesteding van diensten?
Jan Matto, IT audit consultant en partner bij Mazars Nederland, noemt dit ‘loss of governance’. Iets wat u als eigenaar van de data op een manier moet compenseren. “Als eigenaar van de gegevens bent u wettelijk verplicht om in control te blijven van deze gegevens, ook bij het uitbesteden aan een leverancier. Hoe doet u dat?”
Dat doet u door leveranciers op de juiste manier te beoordelen. “Momenteel worden leveranciers vooral beoordeeld op basis van IT-processen en -procedures. Een voorbeeld daarvan is het OTAP-proces. Dit is de Ontwikkel Test Acceptatie en Productie methodiek waarmee bestuurlijke, theoretische risico’s in kaart worden gebracht. Dat doet men, omdat er bij governance te veel gedacht wordt aan ‘het op orde hebben van managementprocessen’, terwijl de echte risico’s juist in de systemen zelf liggen.”
Een moderne leverancier biedt daarom niet alleen de basisfunctionaliteit aan waarmee u de financiële gegevens kunt beheren, maar heeft ook functies om de daadwerkelijk gerealiseerde veiligheid van zijn systeem te meten en daarover te rapporteren.”
Het is aan u om deze leverancier te vinden. Dan moet u alleen wel de volgende vragen stellen in het aanbestedingsproces:
Is de dienst er op het moment dat ik het nodig heb?
“Continuïteit is de basis voor informatiebeveiliging. Het maakt het mogelijk om continu te voldoen aan de wettelijke verplichtingen, die gepaard gaan met het gebruiken en bewaren van gegevens.”
Hoe gaan jullie om met nieuwe releases?
“Changemanagement hangt nauw samen met continuïteit. Het draait om de werkwijze bij het testen en installeren van updates en het hele management daaromheen. Het gaat om de manier waarop de leverancier met bugs of issues omgaat. Deze zijn onoverkomelijk, maar moeten wel snel opgelost kunnen worden.”
Wie heeft er toegang tot mijn data?
“Als eigenaar van de data is het van essentieel belang dat u weet wie er toegang heeft tot de data. En waarom die persoon toegang heeft tot de data. In uw eigen organisatie is dat goed te zien, maar u moet ook weten hoe dat zit bij de leverancier.”
Waar vindt de verwerking van data plaats en hoe is die verwerking beveiligd?
“Softwareleveranciers maken veelvoudig gebruik van de cloud. En juist dan is transparantie over de interne beheersing belangrijk. Kan de leverancier vertellen waar de data staat? En onder welke voorwaarden de data daar staat?”
Een transparantieverslag
Het kan zijn dat u nu denkt: ja, maar leveranciers zullen altijd beweren dat deze zaken op orde zijn. Hoe kan ik dat als klant toetsen? Hoe ben ik ervan verzekerd dat de zaken op orde zijn? “Van een leverancier waar u een dergelijk vitaal proces laat afwikkelen, mag u verwachten dat hij begrijpt bij welke processen het belangrijk is dat u kunt steunen op de gegevens die uit het systeem komen. Zo een leverancier heeft een ISAE 3402 rapportage, of iets vergelijkbaars, beschikbaar. Dit bewijst dat een onafhankelijke derde, op basis van steekproeven en waarnemingen in systemen over de periode van een jaar, heeft getoetst of die processen werken.”
Van audit naar continuous monitoring
Ten slotte heeft u naast de moderne leveranciers ook nog de toekomstgerichte leveranciers. “Eén van de organisaties waar wij al jaren het certificeringstraject voor de ISAE3402 voor verzorgen, is ProActive. Zij zijn momenteel bezig met het innoveren van de IT audit. Met een integrale testmogelijkheid, voordat ze live gaan met nieuwe updates, veranderen zij IT auditing in ‘continuous monitoring’. En het automatiseren van dit soort zaken, genereert ook weer data waarmee de IT auditor tot conclusies kan komen over de veiligheid van de gegevens. Deze toekomstgerichte leveranciers integreren ‘het beheren van financiële gegevens’ en ‘het in control zijn over die gegevens’ in één systeem. En dat is wat u wilt.”