Praktijkvoorbeeld vanuit strategisch perspectief

Auditen in de cloud

22 september 2016
In dit artikel:

‘Werken in de cloud’ is een trend die de afgelopen jaren sterk is toegenomen. Niet alleen privéapplicaties, maar ook steeds meer bedrijfsapplicaties ‘draaien’ in de cloud. Hoe kan de auditor dit auditen? Een praktijkvoorbeeld bij ABN AMRO.

Cloud business

De afgelopen jaren is veel gepubliceerd over de cloud en er wordt steeds meer gebruikgemaakt van applicaties die in de cloud draaien. Denk aan emailtoepassingen waarbij een mailbox niet meer op de lokale IT-infrastructuur staat, maar in de publieke cloud. Niet alleen organisaties gebruiken steeds meer cloudapplicaties. Medewerkers doen dat zelf vaak ook, denk aan ‘community’ cloudtoepassingen als Prezi en Trello.

Een andere trend is het migreren van bedrijfskritische applicaties naar een private cloud met als voordelen schaalbaarheid, selfservice en kostentransparantie. Organisaties hebben daarbij minder te maken met de nadelen van een publieke cloud, zoals het delen van de infrastructuur en beveiligingsaspecten.

schermafbeelding-2016-09-20-om-13-02-11

Het gezaghebbende Amerikaanse overheidsinstituut NIST1, onderscheidt vier cloudmodellen (deployment models, zie figuur 1 hierboven):

• Public cloud (applicaties en data gedeeld met anderen in een publieke cloud-infrastructuur van een cloudprovider).

• Private cloud (applicaties en data in een private cloud-infrastructuur, niet gedeeld met anderen).

• Hybride cloud (een combinatie van de hierboven genoemde cloudtypen).

• Community cloud (applicaties en data die door een selecte groep gebruikers gedeeld).

Op basis van het gekozen cloudmodel kan de internal auditor voor zijn audit de meest geschikte scope kiezen en de bijbehorende controls bepalen. In praktijkvoorbeelden van cloud-audits zien wij vaak dat een auditor kiest om security- en privacycontrols te toetsen. Dit komt veelal omdat de auditor met deze controls vertrouwd is, en normenkaders en expertise ruim beschikbaar zijn. Bovendien denkt een auditor bij cloudrisico’s tegenwoordig al snel aan mogelijke datalekken.

Scope van de cloud-audit

ABN AMRO heeft gekozen om een deel van de infrastructuur te migreren naar een private cloudomgeving. Dit betekent dat de locatie van de gegevens bekend is, namelijk in het eigen datacenter, en dat de cloudinfrastructuur niet wordt gedeeld met andere organisaties. Hiervoor is het Private Cloud-project gestart.

Als internal auditteam hebben we gekozen om de scope te richten op het Cloud-project en het ontwerp van het ‘business model’ van de cloud. Dat betekent overigens niet dat beveiligingsaspecten van de cloudoplossing buiten de scope zijn gehouden, maar dat wij hiervoor steunen op de controls van de Information Security-afdelingen. De onderzoeksvraag is in hoeverre het Private Cloud-project en de eerste ontwerpen van de Private Cloud voldoen aan de strategische doelstellingen van ABN AMRO.

Soorten controls

Voor ons normenkader hebben wij gebruikgemaakt van twee soorten controls, namelijk project controls en solution design controls. De project controls – veelal gericht op integriteit en continuïteit – zijn reguliere project controls gebaseerd op PRINCE2, zoals eigenaarschap, scope, doelstellingen, business case en risicomanagement. Aangezien het Cloud-project deel uitmaakt van een strategisch programma met verantwoordelijkheden bij andere projecten, hebben wij sommige controls buiten de scope van het project moeten testen.

Naast de project controls vormden de solution design controls, die meer zijn gericht op effectiviteit, het grootste deel van ons werkprogramma. Een analogie ter illustratie: als je een huis bouwt zijn niet alleen de project controls voor het bouwen in scope, maar ook de architectuurtekeningen met de end state en mogelijk ook het bestemmingsplan, de plannen van de projectontwikkelaar en de werkzaamheden van onderaannemers. Een toets van een solution design control zou dan kunnen zijn of voldoende kamers zijn ingetekend. Een meer security georiënteerde solution design control zou de ligging van de nooduitgangen kunnen zijn.

Bij cloudrisico’s denkt een auditor al snel aan datalekken

Ontwerp normenkader

In tegenstelling tot het bouwen van een huis, bestaan voor het bouwen van een cloudomgeving geen standaardvoorschriften of -normenkaders die de eisen voorschrijven waaraan een cloudomgeving in de ‘end state’ moet voldoen. Ons normenkader hebben we daarom zelf ontworpen op basis van twee soorten bronnen: diverse Gartner-onderzoeken [GART11] [GART13] [GART14] en het Readiness Assessment van VMware (een belangrijke cloudleverancier) [VMWA13]. Het normenkader bestond uit drie onderdelen:

1. IT Business & Consumer Controls

2. System Controls

3. Operational Controls

IT Business & Consumer Controls

Deze controls komen met name uit de Gartner-artikelen. Gartner waarschuwt dat ‘With no clear strategy in place for private cloud, it will be just another IT technology being used’. Private Cloud is in de visie van Gartner veel meer dan het neerzetten van een technische omgeving. Het is een nieuw paradigma dat belangrijke voordelen als efficiency en agility brengt. Een belangrijke control is de ‘selfservice’ mogelijkheid. Gebruikers van de cloud moeten in staat zijn om op basis van een Service Catalogus zelf infra-services te bestellen net zoals bij public cloudaanbieders zoals Amazon. De overige controls gaan over Financial Transparency en Reporting. Onderdeel van het cloud-paradigma is dat kosten op voorhand bekend zijn en dat gebruikers geïnformeerd zijn over hun verbruik zodat zij in staat zijn om als het nodig is bij te sturen.

System Controls

Dit zijn controls voor de Service Catalogus en voor Service Level Management. De Service Catalogus wordt getoetst op een aantal kenmerken zoals kwaliteitsaspecten en kosten van de aangeboden services. Deze kenmerken moeten al in de Service Catalogus bekend zijn. Daarnaast is ook het proces om services toe te voegen aan of te verwijderen uit de Catalogus beoordeeld. De Catalogus moet up-to-date zijn. Het Service Level Management verschilt nauwelijks van andere IT-processen, maar heeft als belangrijkste verschil dat de service levels real time beschikbaar zijn voor stakeholders.

Voldoet het Private Cloud-project aan strategische doelstellingen?

Operational Controls

Deze controls zijn in principe de reguliere ITIL-controls zoals change- en releasemanagement, incident- en problemmanagement, capacity- en continuitymanagement. Voor deze controls is zoveel mogelijk gekeken naar cloudspecifieke aspecten. Een voorbeeld is capacitymanagement. Een Private Cloud stelt gebruikers in staat eenvoudige infra-services bij te bestellen. Dit zijn virtuele machines. Maar de virtuele machines draaien op fysieke hardware. Mocht het aantal virtuele machines tegen de grenzen van de fysieke capaciteit aanlopen, dan moet de IT-organisatie ingrijpen. Het bestellen van fysieke capaciteit is echter niet zo snel en eenvoudig als het virtueel bijbestellen. Dit kan zelfs weken tot maanden in beslag nemen. Het zorgvuldig analyseren van de vraag en het maken van voorspellingen zijn dus onderscheidende aspecten voor capacitymanagement in de cloud.

Teamsamenstelling audit

Het is lastig om het ontwerp van een huis te beoordelen als je nog nooit een huis hebt gebouwd. Het is daarom handig om een expert in je auditteam te hebben. Wij hebben gekozen om een Solution Architect toe te voegen met ervaring in het ontwerpen van een cloudoplossing bij een vergelijkbare organisatie.

Dynamische auditaanpak

Het Cloud-project loopt meerdere jaren. Door voortschrijdend inzicht en veranderende omstandigheden is het nodig de projectaanpak bij te stellen: ‘Het einddoel is eenduidig, maar de weg ernaartoe kan veranderen’. Dit betekent dat de auditor op de hoogte moet blijven van de dynamiek binnen het project. Daarom hebben wij als auditteam gekozen om het Cloud-project vanaf de zijlijn te volgen met twee deep dive-momenten. In de deep dive zijn wij ingegaan op voortgang en kwaliteit van het project. Deze deep dive-momenten vielen samen met belangrijke levermomenten van het project.

Veldwerk

Tijdens onze audit hebben wij ook specifiek gekeken naar de bijdrage aan de strategische ambities en naar de afhankelijkheden met andere projecten. Een goed voorbeeld is de business case: het Cloud-project vereist een grote investering en heeft op korte termijn een negatieve bijdrage omdat extra infrastructuur moet worden opgetuigd. Als onderdeel van het strategisch programma van de bank zal het Cloud-project op termijn echter wel voordelen (‘benefits’) laten zien. Zo is parallel een project uitgevoerd om een deel van het applicatie-landschap te migreren naar de private cloud. Dit maakt het mogelijk om verouderde infrastructuur-onderdelen op te ruimen en te standaardiseren. Een dergelijk landschap is goedkoper, kent minder incidenten en kan sneller inspelen op veranderingen.

De solution design controls zijn getoetst op de drie control-onderdelen zoals beschreven in het normenkader. Voor sommige controls kwam de audit te vroeg, bijvoorbeeld bij IT Business & Consumer Control. Gartner adviseert om te starten met een private cloud en om binnen enkele jaren over te stappen naar een hybride variant waarbij de IT-afdeling zowel private als public clouddiensten aanbiedt. Deze hybride vorm stond bij ABN AMRO nog niet in de planning. Deze controls hebben wij in principe laten staan in het normenkader om wellicht in de toekomst alsnog te testen. De meeste controls, zoals de Operational Control over capacitymanagement, bleken goed te testen omdat de ontwerpen in detail waren uitgewerkt.

Rapportage

Na het veldwerk en de deep dive-momenten hebben wij auditrapporten uitgebracht. Het is meestal lastig om als auditor tijdens een project issues te rapporteren. Het projectmanagement is geneigd issues en risico’s lager dan de auditor in te schatten en komt vaak met argumenten waarom een issue buiten de scope van het project valt of niet relevant is. En als issues te maken hebben met toekomstige oplossingen dan is het nog complexer om te rapporteren. Het operationele risico bestaat immers nog niet. Als we het huis weer als metafoor gebruiken: het ontbreken van nooduitgangen in de ontwerpen betekent nog niet een (actueel) verhoogd risico op brandgevaar. We hebben daarom in overleg met de auditee gekozen voor een rapport met observaties (en niet met issues) en overwegingen, zodat de projectmanager tijdens het project kan bijsturen. Deze rapportagevorm leverde meer toegevoegde waarde dan een traditioneel assurancerapport. Dat neemt natuurlijk niet weg dat de observaties en overwegingen natuurlijk wel door Audit worden gemonitord om de ontwikkelingen te volgen.

Rapport met observaties, niet met issues

Tot slot

Samengevat is dit een zeer interessante en leerzame audit geweest, waarover we graag de ervaringen delen. Het is interessant omdat het thema actueel is en de geschiedenis hierover vandaag wordt geschreven. Veel good practices zijn nog niet beschikbaar. Het was leerzaam, omdat we ons gericht hebben op de project controls in brede zin als onderdeel van een strategisch programma en de afhankelijkheden met andere IT-projecten. Dit vergde flexibiliteit in onze auditaanpak en rapportagevorm. Ten slotte was het leerzaam, omdat we samen met een expert veel aandacht hebben besteed aan het auditen van solution design controls van de cloudoplossing. Op deze manier hebben we als team kennis over de private cloud opgedaan, een goede relatie met onze auditee opgebouwd en waarde kunnen toevoegen voor de organisatie.

Dit artikel is oorspronkelijk verschenen in Audit Magazine, Vakblad voor de Internal Auditor, 2016 nummer 2. Het wordt met de vriendelijke toestemming van de redactie van Audit Magazine en de auteurs in de IT Auditor gepubliceerd.

 

Noten

1 National Institute of Standards and Technology (www.nist.gov).

Literatuur

[GART11] Gartner, The 10 fundamentals of building a Private Cloud Service, 19 May 2011.
 
[GART13] Gartner, When building a Private Cloud, Start Small, Think Big, 25 November 2013.
 
[GART14] Gartner, Six reasons Private Clouds Fail, and How to Succeed, 25 October 2014.
 
[VMWA13] VMware, CloudWarriors Private Cloud Readiness Assessment, based on VMware Operational Readiness for Cloud Computing Service Delivery Reference Guide, 12 March 2013.

Drs. Anouschka Carlier-Algoe RE, Drs. Xander Bordeaux RE CEH en Suzanne Scheuller LL.M.

Anouschka is werkzaam als Portfolio Officer/Product Owner bij ABN AMRO IT Solutions. Hiervoor werkte zij geruime tijd als IT-auditor en adviseur in de publieke en private sector met als specialisatie project- en programma-audits. Xander is werkzaam als senior auditor bij ABN AMRO. Hij heeft jarenlange ervaring als technisch IT-auditor op het gebied van informatiebeveiliging en cybersecurity binnen de publieke en de private sector. Suzanne is werkzaam als Privacy Officer bij ABN AMRO. Hiervoor heeft zij het management traineeship bij de bank gevolgd en is ze bij Group Audit werkzaam geweest als IT-auditor. Hier heeft zij brede ervaring opgedaan binnen het Cloud-project van ABN AMRO.