EEN GENERIEK MODEL VOOR EEN IN-CONTROL ... - .gebruik wordt gemaakt van verschillende apparaten met

  • View
    212

  • Download
    0

Embed Size (px)

Text of EEN GENERIEK MODEL VOOR EEN IN-CONTROL ... - .gebruik wordt gemaakt van verschillende apparaten met

EEN GENERIEK MODEL VOOR EEN IN-CONTROL STATEMENT BIJ KEY

MANAGEMENT

Versie: 1.6 Datum: 19 mei 2007

De sleutel tot succes?

Teamnummer 719 Pagina 1 van 32 Auteur(s) A. Schilp & R. van Erven Datum 19 mei 2007 Versie 1.6 Een generiek model voor ICS bij KM

Voorwoord Ter afsluiting van onze studie EDP-audit aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de vraag of er een generiek model is om het key management proces uiteindelijk in control te verklaren. Key management is het proces dat cryptografie ondersteunt, die op haar beurt de bedrijfsdoelstellingen binnen de Rabobank ondersteunt. Vanuit de vrije Universiteit amsterdam is de heer Bart Bokhorst aangewezen als externe scriptiebegeleider. De gesprekken met Bart hebben tot interessante discussies geleid en ons uiteindelijk in de juiste richting gestuurd. We zijn hem dan ook zeer erkentelijk voor zijn kritische doch waardevolle opmerkingen waardoor we steeds een stap voorwaarts hebben kunnen maken. Naast Bart heeft Paul Samwel als interne scriptiebegeleider gefungeerd. Ook de gesprekken met Paul hebben geleid tot meer doordachte keuzes en waren daardoor van toegevoegde waarde voor de scriptie. We willen Paul hiervoor dan ook hartelijk danken. Buiten de scriptiebegeleiders zijn er nog diverse ander personen geweest die we dank verschuldigd zijn: naast de personen die vermeld staan in de lijst van genterviewden, is dat niet op de laatste plaats het thuisfront. Ronald van Erven Arie Schilp

Teamnummer 719 Pagina 2 van 32 Auteur(s) A. Schilp & R. van Erven Datum 19 mei 2007 Versie 1.6 Een generiek model voor ICS bij KM

Inhoudsopgave VOORWOORD.......................................................................................................................... 1

MANAGEMENT SAMENVATTING........................................................................................... 3

1 INLEIDING ......................................................................................................................... 5 1.1 AANLEIDING .................................................................................................................. 5 1.2 TOELICHTING OMGEVING EN PROBLEMATIEK.................................................................... 6 1.3 AFBAKENING EN PROBLEEMSTELLING ............................................................................. 7

1.3.1 Subvragen.........................................................................................................................7 1.4 ONDERZOEKSMODEL ..................................................................................................... 8 1.5 GEGEVENS.................................................................................................................... 9 1.6 LEESWIJZER.................................................................................................................. 9

2 UITWERKING PROBLEEMSTELLING........................................................................... 10 2.1 IN CONTROL ................................................................................................................ 10

2.1.1 Definitie In control ...........................................................................................................12 2.1.2 In-control statement ........................................................................................................12 2.1.3 Eisen aan een in-control statement (ICS) .....................................................................12

2.2 CRYPTOGRAFIE ........................................................................................................... 14 2.2.1 Wat is cryptografie ..........................................................................................................14 2.2.2 Vormen van cryptografie .................................................................................................15

2.3 KEY MANAGEMENT....................................................................................................... 17 2.3.1 Key management als een proces....................................................................................17

3 BEHEERSPROCESSEN ................................................................................................. 20 3.1 STANDAARD BEHEERSPROCESSEN (ITIL)...................................................................... 20

4 MODELLERING............................................................................................................... 21 4.1 PROTOTYPEMODEL...................................................................................................... 21

5 GENERIEK MODEL......................................................................................................... 23 Configuration Management (ITIL Service Support) ......................................................................23 Incident Management (ITIL Service Support)...............................................................................24 Problem Management (ITIL Service Support)..............................................................................24 Change Management (ITIL Service Support)...............................................................................24 Release Management (ITIL Service Support) ..............................................................................25 Availability Management (ITIL Service Delivery) ..........................................................................25 Service Level Management (ITIL Service Delivery) .....................................................................26

6 CONCLUSIE .................................................................................................................... 27

BIJLAGE A. AFKORTINGEN & DEFINITIES ........................................................................ 29

BIJLAGE B. LITERATUURLIJST........................................................................................... 30

BIJLAGE C. GENTERVIEWDEN........................................................................................... 31

Teamnummer 719 Pagina 3 van 32 Auteur(s) A. Schilp & R. van Erven Datum 19 mei 2007 Versie 1.6 Een generiek model voor ICS bij KM

Management samenvatting Beursgenoteerde ondernemingen, en banken in het bijzonder, hebben de afgelopen jaren met steeds meer wet- en regelgeving te maken gekregen. De mogelijke sancties, zoals strafrechtelijke vervolging, waarschuwingen en boetes of het verplicht reserveren van (extra) kapitaal, maken dat er meer noodzaak is om aan te tonen dat ze processen (voldoende) beheersen. Hierbij is een verschuiving waar te nemen van generieke naar specifieke processen. Met een In-Control Statement in het jaarverslag of een rapportage standaard, geeft de organisatie aan de processen voldoende te beheersen. Zo worden processen ondersteund door ICT-diensten. In het geval van betalingsverkeer wordt er gebruikgemaakt van cryptografische diensten. Deze diensten zijn nodig om aan de kwaliteitseisen van het betalingsverkeerproces te voldoen. Afhankelijk van de cryptografische toepassing kunnen vertrouwelijkheid, integriteit, authenticiteit en onweerlegbaarheid in het betalingsverkeerproces gewaarborgd worden. Een cryptografische dienst steunt volledig op sleutels. De sleutels zijn het geheim op basis waarvan vertrouwelijke informatie wordt uitgewisseld en vormen hierdoor een belangrijk element. De sleutels hebben een bepaalde levensloop vanaf generatie tot en met vernietiging. Het beheer van de sleutels tijdens deze levensloop, het key management, is een voorwaarde voor succes. Daarom zullen alle processen rondom het key management aantoonbaar beheerst moeten worden. Zo wordt er binnen de Rabobank gebruikgemaakt van een groot aantal cryptografische methodieken ter ondersteuning van het betalingsverkeer. Bij dit proces zijn verschillende partijen betrokken voor datapreparatie, (betaal)pas aanmaken Figuur1: proces overzicht en afhandeling van de geldtransacties die daarmee verricht wordt. Voor dit laatste is een scala van gelduitgevende of -innemende apparatuur aanwezig. Hierop worden initieel en periodiek verschillende sleutels geladen. Door de diversiteit van producten en apparaten binnen de verschillende productgroepen van de bank, is het bijbehorende key management in de loop der tijd door verschillende afdelingen uitgevoerd of uitbesteed. Diverse reorganisaties van de afgelopen jaren hebben bijgedragen aan deze versnippering. De uitstroom van medewerkers met deze specialistische kennis heeft tot gevolg dat key management op dit moment onvoldoende aandacht krijgt en waarschijnlijk onvoldoende beheerst wordt.

Bedrijfsdoelstellingen

Primairebedrijfsprocessen

om doelstellingen tebehalen

Informatie inprocessen

Kwaliteitseisen

Maatregel:cryptografie

Key Management

In Control Statement

In Control en InControl Statement

Generiekbeheerproces

Control Objectives

Eisen

Toetsing

Teamnummer 719 Pagina 4 van 32 Auteur(s) A. Schilp & R. van Erven Datum 19 mei 2007 Versie 1.6 Een generiek model voor ICS bij KM

Door de toegenomen complexiteit en veelvoud van apparaten en technieken is het onmogelijk key management niet specifiek te behandelen (er even bij te doen). Deze problematiek willen we oplossen door key management centraal in te richten inclusief bijbehorende processen. Omdat we een sleutel zien als een asset, hebben we onderzocht of we deze processen kunnen koppelen aan ITIL. Deze best practice heeft als voordeel dat de organisatie hier al mee werkt en dus geen separate introductie behoeft. Een potent

View more >