analyse van relevante aandachtspunten bij de toepassing...

Analyse van relevante aandachtspunten bij de toepassing van Big Data vanuit het IT-audit perspectief EXECUTIVE MASTER of IT AUDITING

“Big Data is informatie die groot is in omvang, snelheid en variëteit, en vraagt om betaalbare en

innovatieve manieren om informatie te verwerken tot verbeterd inzicht en besluitvorming”

(Gartner, 2012)

EXECUTIVE MASTER of IT AUDITING

Analyse van relevante aandachtspunten bij de toepassing van Big Data vanuit het IT-audit perspectief

Auteur: Dhr. B. Heusinkveld MSc.

Studie: Executive Master of IT Auditing Universiteit: Vrije Universiteit Amsterdam Faculteit: Faculteit der Economische Wetenschappen en Bedrijfskunde Departement: Postgraduate EDP Audit Adres: De Boelelaan 1105

1081 HV Amsterdam 020 598 98 98

VU Coach: Dhr. P. Harmzen RA RE

Datum: 28-03-2014

Versie: B_Heusinkveld_2515139_scriptie_FINAL

Scriptie nummer: 2032

What is Big Data1?

Big Data is like teenage sex:

- Everyone talks about it…

- Nobody really knows how to do it…

- Everyone thinks everyone else is doing it…

- So, everyone claims they are doing it…

1 Quote uit presentatie VINT, het onderzoeksinstituut van Sogeti

4

Voorwoord Deze scriptie is een presentatie van mijn onderzoeksproject voor de Executive master of IT Auditing aan de Vrije Universiteit van Amsterdam. De scriptie heeft als titel “Analyse van relevante aandachtspunten bij de toepassing van Big Data vanuit het IT-audit perspectief”. Toegang tot de enorme informatiestromen geproduceerd door en over mensen is van grote waarde. Veel organisaties worstelen momenteel met de groeiende hoeveelheid data van de laatste jaren. De mogelijke voor- en nadelen en het verdienmodel van het analyseren van grote hoeveelheden data, sociale media interacties, medische dossiers, telefoonlogs en andere digitaal achtergelaten sporen staan ter discussie. Is het tijdperk van Big Data aangebroken? Het doel van het onderzoek is het verwerven van inzicht in de mogelijkheden betreffende interne beheersing van Big Data. Om een antwoord op de centrale vraag te formuleren zijn een viertal deelvragen opgesteld. Naast een literatuuronderzoek is een praktijk onderzoek uitgevoerd aan de hand van interviews met experts uit het werkveld. Hierbij is de verdeling gehanteerd waarin zowel organisaties die in het stadium zijn om met Big Data te gaan werken als organisaties die al langere tijd met Big Data bezig zijn geïnterviewd zullen worden. Het finaliseren van mijn IT audit opleiding in combinatie met mijn werkzaamheden als IT auditor bij zowel PricewaterhouseCoopers NV als ABN AMRO Group Audit is een zeer goede manier geweest om mijn verkregen theoretische kennis met de audit praktijk te combineren. Ten eerste wil ik de heer Paul Harmzen bedanken voor de deskundige begeleiding van dit onderzoek. Als afstudeerbegeleider heeft hij op kritische wijze het onderzoek gevolgd en gestuurd. Daarnaast wil ik zowel mijn oud-collega’s van PricewaterhouseCoopers NV als mijn collega’s van ABN AMRO Group Audit bedanken voor de serieuze interesse in mijn werk en het verschaffen van relevante documentatie en feedback. Deze interesse en hulpvaardigheid hebben mijn scriptie op vele manieren verbeterd. Ook wil ik alle geïnterviewde experts bedanken welke mij een breed en duidelijk beeld van de Big Data markt verschaften. Helaas kan ik niet alle namen in mijn scriptie opsommen maar het mag duidelijk zijn dat zonder deze hulp deze scriptie niet tot stand had kunnen komen. Amsterdam, maart 2014 Bram Heusinkveld

5

Samenvatting

De afgelopen jaren is het fenomeen Big Data in de belangstelling gekomen. Gebruikmaken van Big Data mogelijkheden kan helpen met het onderbouwen van strategische beslissingen, innovatie aanjagen en het versterken van concurrentievoordeel. Het is de nieuwe manier van zakendoen welke wordt gedreven door op data gebaseerde besluitvorming. Het toenemende belang van Big Data komt voort uit de snelle ontwikkeling van verschillende technologieën. Big Data is groot, complex en met traditionele technieken lastig te verwerken. Er ontstaan hierdoor problemen bij het opslaan, verwerken en analyseren van deze gegevens. Big Data heeft een forse impact op de inrichting van het informatiebeheer van een organisatie. De nieuwe technologieën maken het voor elk bedrijf mogelijk om grote datasets te verzamelen, beheren en te analyseren. Om een onderzoek te starten naar Big Data is de formulering van een Big Data definitie van belang. Vanuit diverse invalshoeken in de literatuur blijkt dat ontwikkelaars, media, consultancy en de overheid allen hun eigen ideeën hebben over wat Big Data betekent. Op basis van de gehouden expertinterviews is onderzocht in welke mate de IT-auditor betrokken wordt bij Big Data projecten. Tevens is onderzocht welke aandachtsgebieden de business en IT hebben tijdens dergelijke projecten. Naast een algemene inventarisatie van wat nu zoal op het gebied van Big Data bekend is, is een controle raamwerk ontworpen welke toepasbaar is voor toekomstige audits aangaande innovatieve Big Data projecten. Dit framework helpt bij het overbruggen van de verschillen tussen business en IT risico’s, de daaruit voortvloeiende behoefte aan de beheersing van de onderliggende bedrijfsprocessen en de ondersteunende IT-dienstverlening en infrastructuur. Het toepassen van het raamwerk heeft een positief effect op de effectiviteit van interne controle. Uit dit onderzoek is gebleken dat vanuit de perspectieven business, legal en IT het raamwerk duidelijke handvatten biedt. Het controle raamwerk betreft geen statisch framework. Ontwikkelingen in strengere wet- en regelgeving, toenemende informatiebehoeftes van organisaties en klanteisen zullen invloed hebben op de geformuleerde risico’s met bijbehorende testwerkzaamheden. Hierdoor is deels antwoord gegeven op de onderzoeksvraag. Hierbij is een momentopname gemaakt van aandachtspunten welke op het moment van schrijven relevant zijn geacht bij de toepassing van Big Data. Voor organisaties is het van belang om periodiek de juridische en commerciële mogelijkheden inzichtelijk te houden om zodoende de gewenste transparantie te bieden voor haar klanten. Big Data beleid en/of procedures op het gebied van Chinese Walls moeten voortdurend worden aangepast om aan de interne organisatorische veranderingen en eisen die gesteld worden door de toezichthouders te voldoen.

6

Inhoudsopgave

VOORWOORD ........................................................................................................................................................ 4

SAMENVATTING .................................................................................................................................................... 5

1. LEESWIJZER ........................................................................................................................................................ 8

1.1 FIGUREN ................................................................................................................................................................. 8

1.2 TABELLEN................................................................................................................................................................ 8

1.3 LEESWIJZER ............................................................................................................................................................. 8

2. MOTIVATIE EN INTRODUCTIE ............................................................................................................................. 9

3. ONDERZOEKSAANPAK ..................................................................................................................................... 10

3.1 INTRODUCTIE PROBLEEMSTELLING .............................................................................................................................. 10

3.2 ONDERZOEKSVRAGEN .............................................................................................................................................. 10

3.3 ONDERZOEKSMETHODE ........................................................................................................................................... 11

3.3.1 Theorie vs. praktijk ..................................................................................................................................... 12

3.3.2 Onderzoeksraamwerk ................................................................................................................................ 12

4. HET FENOMEEN BIG DATA ............................................................................................................................... 13

4.1 DE TERM BIG DATA................................................................................................................................................. 13

4.2 KARAKTERISTIEKEN VAN BIG DATA ............................................................................................................................. 13

4.2.1 Velocity....................................................................................................................................................... 14

4.2.2 Volume ....................................................................................................................................................... 14

4.2.3 Variety ........................................................................................................................................................ 14

4.2.4 Veracity ...................................................................................................................................................... 14

4.2.5 Value, complexity en relevance .................................................................................................................. 15

4.3 INTERACTERENDE DIMENSIES BIG DATA ...................................................................................................................... 15

4.4 DEFINITIE BIG DATA ................................................................................................................................................ 16

5. IMPACT EN ONTWIKKELINGEN VAN BIG DATA ................................................................................................. 17

5.1 INVESTERINGSREDENEN BIG DATA ......................................................................................................................... 17

5.2 INTERNE BEHEERSING .............................................................................................................................................. 18

5.2.1 COBIT.......................................................................................................................................................... 19

5.2.2 GRC - model................................................................................................................................................ 19

6. RELEVANTE KWALITEITSASPECTEN VAN BIG DATA .......................................................................................... 21

6.1 CONTROLE RAAMWERK ............................................................................................................................................ 21

6.2 SAMENSTELLING CONTROLE RAAMWERK ..................................................................................................................... 22

6.3 MARKETING VS. COMPLIANCE ................................................................................................................................... 23

6.4 CHINESE WALLS ..................................................................................................................................................... 23

6.5 WET BESCHERMING PERSOONSGEGEVENS (WBP) ......................................................................................................... 24

6.5.1 De klant ...................................................................................................................................................... 24

6.5.2 Vertrouwen ................................................................................................................................................ 25

7. CONCLUSIES ..................................................................................................................................................... 25

7.1 CONCLUSIES VAN HET ONDERZOEK ............................................................................................................................. 25

7

7.1.1 “Wat is Big Data?” ..................................................................................................................................... 26

7.1.2 “Wat zijn de ontwikkelingen en bijbehorende impact van Big Data?” ...................................................... 26

7.1.3 “Wat zijn aandachtspunten en de relevante kwaliteitsaspecten bij de toepassing van Big Data?” .......... 26

7.1.4 “Hoe kunnen de aandachtspunten beheerst worden vanuit IT-audit perspectief?” .................................. 26

7.1.5 Wetenschappelijk onderzoek ..................................................................................................................... 28

7.1.6 Toekomstige rol IT auditor ......................................................................................................................... 28

8. REFLECTIE ......................................................................................................................................................... 29

8.1 REFLECTIE OP SCRIPTIE INHOUD ................................................................................................................................. 29

8.2 REFLECTIE OP EIGEN ERVARINGEN .............................................................................................................................. 29

9. REFERENTIES .................................................................................................................................................... 30

BIJLAGE A: CONTROL FRAMEWORK ..................................................................................................................... 33

BIJLAGE B: BIG DATA RISICO’S ............................................................................................................................. 42

BIJLAGE C: SAMENVATTING INTERVIEWS ............................................................................................................ 43

BIJLAGE D: ZEVEN STAPPEN VAN EEN INTERVIEW ............................................................................................... 44

8

1. Leeswijzer In het volgende hoofdstuk wordt een overzicht weergegeven van de tabellen en grafieken van deze

scriptie. Daarnaast is de structuur van de scriptie schematisch weergegeven middels een leeswijzer.

1.1 Figuren

Figuur A: Leeswijzer

Figuur B: Onderzoeksvraag en deelvragen

Figuur C: Onderzoeksraamwerk

Figuur D: Interacterende dimensies Big Data Figuur E: Investeringsredenen Big Data Figuur F: Samenstelling controle raamwerk 1.2 Tabellen

Tabel A: GRC definities

1.3 Leeswijzer

De opbouw van deze scriptie is hieronder schematisch weergegeven.

Figuur A: Leeswijzer

9

2. Motivatie en introductie Vooruitgang in digitale informatiestromen, communicatiemogelijkheden, dataopslag en de mogelijkheden tot verzameling en vastlegging van datastromen creëren een geheel nieuwe business. Organisaties zoals Google, Yahoo! en Microsoft verzamelen elke dag triljoenen bytes aan gegevens (Bruins, 2013). Overal en altijd wordt informatie verzameld, opgeslagen en geanalyseerd. Het toenemende belang van Big Data komt volgens Bruins (2013) voort uit de snelle ontwikkeling van verschillende technologieën zoals sensoren, computernetwerken en gegevensopslag. Sensoren Digitale data wordt gegenereerd door verschillende bronnen zoals

telescopen, videocamera's, MRI-machines, en chemische en biologische sensoren.

Computernetwerken Gegevens uit verschillende interne en externe bronnen kunnen worden verzameld in datasets via gelokaliseerde sensornetwerken.

Gegevensopslag De kosten voor magnetische schijf technologie zijn relatief laag met betrekking tot het opslaan van gegevens.

De afgelopen jaren is het fenomeen Big Data in de belangstelling gekomen. Bij Big Data draait het niet alleen om gegevensverzameling uit traditionele systemen. Steeds vaker wordt ook data gegenereerd uit nieuwe bronnen zoals de beelden van videocamera’s langs de snelweg of de

enorme hoeveelheid gegevens van het gebruik van smartphones (Capgemini, 2011). Deze gegevens zijn groot, complex en met traditionele technieken lastig te verwerken. Er ontstaan hierdoor problemen bij het opslaan, verwerken en analyseren van deze gegevens (Bruins, 2013).

Volgens een rapport van internationaal adviesbureau the Boston Consultancy Group (BCG) uit 2012 blijkt dat een eenduidige exacte definitie van de term Big Data niet beschikbaar is. In brede zin refereert Big Data aan de hoeveelheid digitale informatie die in de afgelopen tien jaar ontstaan en gebruikt is (BCG, 2012). Maar Big Data gaat over meer dan gegevens (McKinsey, 2011). Het is de nieuwe manier van zakendoen welke wordt gedreven door op data gebaseerde besluitvorming. Gebruikmaken van Big Data mogelijkheden (van snel bewegende datasets) kan helpen met het onderbouwen van strategische beslissingen, innovatie aanjagen en het versterken van concurrentievoordeel (IDC, 2011). Bedrijven kunnen Big Data aanvullend gebruiken om eigen producten of diensten te verbeteren (McKinsey, 2011). Het doel van deze scriptie is om inzicht te krijgen in het concept Big Data en in de mogelijke risico’s en uitdagingen die het gebruik van deze technologie met zich meebrengt. Gebruikmakend van diverse bronnen is onderstaande onderzoeksvraag gedefinieerd;

“Welke aandachtspunten zijn bij de toepassing van Big Data vanuit het IT audit perspectief relevant?”

2 Quote van expert uit het werkveld (anoniem)

“Big Data verandert onze manier van werken.”2

10

3. Onderzoeksaanpak In deze sectie wordt de onderzoeksaanpak met bijbehorende “onderzoeks elementen” beschreven. De onderzoeksvragen worden in sectie 3.1 en 3.2 uitgewerkt. Sectie 3.3 zal de onderzoeksmethode specificeren. 3.1 Introductie probleemstelling

Het onderzoek bestaat uit een literatuuronderzoek en een praktijkonderzoek. Het literatuuronderzoek wordt uitgevoerd om het concept Big Data in kaart te brengen. Verschuren & Doorewaard (2007) geven aan dat het van belang is om een onderzoeksonderwerp af te bakenen om zodoende voldoende diepgang te creëren. Hierbij is gebruik gemaakt van wetenschappelijke literatuur, seminars, boeken, tijdschriften en internetsites. Het onderliggende theoretische kader is gebruikt als leidraad ten behoeve van de interviewstructurering met de experts uit het werkveld. Het formuleren van de probleemstelling is gebaseerd op de theorie van Verschuren & Doorewaard (2007). Deze theorie pretendeert dat een probleem bestaat uit een doel en een bijbehorende vraag. De vraag kan gelinkt worden aan een praktijkonderzoek met bijvoorbeeld als doel een analyse van een “bottleneck” van een organisatie. Aan de geraadpleegde bronnen zijn de definitie en het concept van Big Data ontleend met gerelateerde impact en recente en toekomstige ontwikkelingen. Dit heeft geleid tot onderstaande centrale onderzoeksvraag;

“Welke aandachtspunten zijn bij de toepassing van Big Data vanuit het IT-audit perspectief relevant?”

3.2 Onderzoeksvragen

Om een antwoord te geven op de onderzoeksvraag zijn deelvragen opgesteld en weergegeven in figuur B (zie volgende pagina). Het figuur verdeelt het onderzoek in vier delen waarvoor verschillende specifieke onderzoeksvragen zijn opgesteld (Babbie, 2007). Big Data biedt de bedrijfsvoering van organisaties de mogelijkheid tot het transformeren naar efficiënter werken, het scheppen van meer transparantie en beter gefundeerde beslissingen, aldus een rapport van Caseware (2013). Zoals eerder aangegeven blijkt echter dat een eenduidige exacte definitie van de term Big Data niet beschikbaar is (BCG, 2012). Dit leidt tot de eerste onderzoeks deelvraag: “Wat is Big Data”? Een Deloitte rapport uit 2011 belicht hoe een bijzondere vorm van data-analyse gebruikt kan worden om uitvoerbare, toekomstgerichte “intelligence” te bieden (datamining). Dit wordt gezien als de sleutel tot directe verbeteringen in de business met bijbehorende ontwikkelingen en impact. Volgens Semeijn (2013) en IBM (2013) is negentig procent van alle gegevens in datacenters in de afgelopen twee jaar aangelegd. Deze data is in beginsel een goudmijn voor de business want met behulp van nieuwe technieken is het mogelijk om over die gegevens te rapporteren. Dit is een belangrijk onderdeel in de beantwoording van de onderzoeksvraag en fungeert dan ook als deelvraag: “Wat zijn de ontwikkelingen en bijbehorende impact van Big Data?”


“Wie niet meedoet, benadeelt zichzelf”3

11

Beantwoording van deze vragen geeft een beeld van het concept Big Data. Uit onderzoek van de “Big Data Insight Group survey” (2012) bij een breed scala van industriële sectoren blijkt dat veel organisaties Big Data zien als een van de belangrijkste ontwikkelingen voor hun organisaties. Onder de respondenten had 50% aangegeven onderzoek te doen naar (en de inkoop van) Big Data oplossingen. Daarnaast had 33% van de respondenten erkend dat zij al uitvoering hadden gegeven aan een of andere vorm van een “Big Data-oplossing” implementatie. Veel organisaties ervaren Big Data als een belangrijke ontwikkeling. Deze interesse kan zich

vertalen in een toenemende vraag naar Big Data-technologieën (Gartner, 2012). Hierbij zal de

interesse gelinkt moeten worden aan de kwaliteitsaspecten van Big Data en de betekenis van het

gebruik van Big Data vanuit de interne beheersing. Dit resulteert in de volgende twee deelvragen;

“Wat zijn aandachtspunten en de relevante kwaliteitsaspecten bij de toepassing van Big Data?” en

“Hoe kunnen de aandachtspunten beheerst worden vanuit IT-audit perspectief?”.

Figuur B geeft een overzicht van de centrale onderzoeksvraag en de vier deelvragen en dient als

structurering van het rapport.

Figuur B: Onderzoeksvraag en deelvragen

3.3 Onderzoeksmethode

Deze scriptie is onderverdeeld in twee delen. Het eerste deel schetst een theoretische achtergrond van het onderwerp. In het tweede deel wordt een analyse gemaakt vanuit het IT audit praktijk perspectief aan de hand van interviews met experts uit het werkveld. Voor schematische weergave zie Figuur A.

12

3.3.1 Theorie vs. praktijk

Om de relatie tussen theorie en praktijk in kaart te brengen zijn een achttal interviews (Kvale, 1996) afgenomen met experts uit het werkveld. In de interviews is gezocht naar relevante aandachtspunten vanuit IT en business perspectief om het concept van Big Data tastbaarder te maken.

3.3.2 Onderzoeksraamwerk

Onderstaand figuur (Figuur C) geeft schematisch een overzicht weer van het onderzoeksraamwerk. Volgens Babbie (2007) bevat een ideaal onderzoeksproces een context van de verschillende onderdelen van het onderzoek. Uiteindelijk worden de onderzoeksvragen getoetst aan de hand van de praktijk interviews. Het onderzoeksraamwerk is een conceptuele basis structuur gefocust op de theorie en definieert verschillende variabelen en modellen (Babbie, 2007). De onderwerpen van de onderliggende onderzoeksvragen worden door het onderzoeksraamwerk verduidelijkt; de definitie van Big Data, ontwikkelingen & impact van Big Data, aandachtspunten van kwaliteitsaspecten en de bijbehorende interne beheersing van deze aspecten.

Figuur C: Onderzoeksraamwerk

13

4. Het fenomeen Big Data Volgens Netapp (2012) is Big Data één van de dominante trends de komende jaren: het vergaren, opslaan en analyseren van grote hoeveelheden (on)gestructureerde data op nieuwe dwarsverbanden. Maar Big Data gaat over veel meer dan gegevens, aldus BCG (2012). Informatie is altijd een belangrijke onderscheidende factor geweest in het bedrijfsleven. Op basis van onderbouwende informatie kunnen strategische zakelijke beslissingen worden genomen (Bain, 2013). Voorheen werd marktinformatie grotendeels beschikbaar gesteld via traditioneel marktonderzoek en data specialisten. De waarde van Big Data zal voor bedrijven leidend kunnen zijn met betrekking tot data gedreven keuzes (McKinsey, 2011). Zoals eerder aangegeven is nog geen exacte eenduidige definitie van de term Big Data geformuleerd. 4.1 De term Big Data

De IDC5 definieert Big Data technologieën als “een nieuwe generatie van technologieën en architecturen om economische waarde te creëren uit zeer grote volumes en een breed scala aan gegevens door hoge snelheid van vastleggen, ontdekking en analyse”. De uitkomsten van het rapport van McKinsey (2011) voegen hieraan toe dat Big Data “data is die de verwerkingscapaciteit van conventionele databasesystemen overschrijdt”. De data is te groot, beweegt te snel, of past niet in de structuren van de bestaande database architecturen. Om waarde uit deze gegevens te krijgen moet er een alternatieve manier ontwikkeld worden om deze data te bewerken, volgens IDC. Men spreekt van Big Data wanneer gewerkt wordt met één of meer datasets die te groot zijn om met reguliere databasemanagementsystemen te onderhouden. De term Big Data is volgens Netapp (2012) zelf een verzamelnaam van werkgebieden. Het analyseren van de gegevensverzameling wordt aangeduid met “Big Analytics”. Deze analyse techniek analyseert ook de klassieke wél gestructureerde data (uit het datawarehouse) naast de modernere ongestructureerde data. Om relaties tussen data-elementen zichtbaar te maken kunnen allerlei “Big Analytics” tools gebruikt worden. De rekenkracht voor query’s en rapportages zijn veel onvoorspelbaarder dan voor de klassieke management informatie (Netapp, 2012). Volgens een onderzoek van Sogeti (2012) is de Big Data ontwikkeling vergelijkbaar met wat het internet begin jaren negentig was. Er is een versnelling gaande waarbij data aan elkaar wordt gelinkt en verschillende bijbehorende visies worden gevormd. ISACA6 (2013) verwacht dat de huidige datafocus de wereld op zijn kop zal zetten: economisch, maatschappelijk, qua innovatie en sociaal.

4.2 Karakteristieken van Big Data Zoals de naam misschien doet vermoeden gaat Big Data niet alleen over de omvang van gegevens. De karakteristieken zijn op basis van de literatuur gedefinieerd.

4 Quote van expert uit het werkveld (anoniem) 5 International Data Corporation 6 Information Systems Audit and Control Association

‘’Het verzamelen van data is niet nieuw, dit werd altijd al gedaan. Kruisverbanden leggen tussen verschillende data (bronnen)

waarmee nieuwe relaties gelegd worden, dát is nieuw.’’4

14

4.2.1 Velocity

De snelheid van gegevens (Velocity) in termen van frequentie en overdracht kenmerkt Big Data. Hiermee wordt bedoeld (1) hoe snel de data stroomt en wordt opgeslagen en (2) hoe snel deze data gebruikt kan worden (IDC, 2012). In de context van Big Data moet snelheid worden toegepast op beweging: de snelheid waarmee de datastroming plaatsvindt. De verschillende informatiestromen leiden tot een constante stroom van data in een tempo dat onmogelijk te analyseren is voor de traditionele datasystemen (Buneman, 2012). 4.2.2 Volume

“Volume” wordt hierbij als synoniem gebruikt van “Big”. Volume is een relatief begrip - een aantal kleinere organisaties zal waarschijnlijk enkele gigabytes of terabytes aan dataopslag hebben, in tegenstelling tot de petabytes of exabyte aan gegevens dat grote internationale (financiële) ondernemingen hebben. Datavolume zal blijven groeien, ongeacht de grootte van de organisatie. Bedrijven hebben de natuurlijke neiging om allerlei gegevens op te slaan (BCG, 2012). 4.2.3 Variety

Gegevens kunnen afkomstig zijn uit verschillende typen bronnen (Variety). Deze bronnen bevinden zich zowel binnen als buiten de organisaties. Met de ontwikkeling van sensoren, computernetwerken en gegevensopslag is data in een onderneming complexer geworden. Ordina (2013) definieert een drietal typen data; gestructureerd traditionele relationele gegevens, semigestructureerde gegevens en ongestructureerde gegevens. Gestructureerde gegevens: Deze gegevens worden gegroepeerd in een relationeel schema. De data configuratie en consistentie maakt het voor ondernemingen mogelijk om te reageren op eenvoudige vragen en bruikbare informatie, op basis van parameters van een organisatie en operationele behoeften. Deze gestructureerde data is dus informatie die bestaat uit een aantal vooraf herkenbare componenten (Ordina, 2013) (voorbeeld: rijen en kolommen in een standaard database). Semigestructureerde gegevens: Dit is een vorm van gestructureerde gegevens die niet voldoet aan een expliciet en vast schema. Deze beschrijvende data bevat tags of andere markers om hiërarchieën van records en velden in de gegevens af te dwingen (voorbeeld: weblogs of sociale media feeds). Ongestructureerde gegevens: Ongestructureerde gegevens bestaan uit formaten die niet gemakkelijk kunnen worden geïndexeerd in relationele tabellen voor analyse. Ongestructureerde data is informatie die niet bestaat uit duidelijk herkenbare en van metadata voorziene componenten (voorbeeld: afbeeldingen, audio/video bestanden). 4.2.4 Veracity

De term “Veracity” wordt veelvuldig in de literatuur toegevoegd als de integriteit van de datasets wordt bedoeld. Het begrip integriteit is een kwaliteitskenmerk van gegevens. Het is een synoniem voor betrouwbaarheid waarbij juistheid, volledigheid en tijdigheid belangrijk zijn (Van Praat, 2012). Op de volgende pagina wordt deze term duidelijk aan de hand van een voorbeeld uit de financiële sector.


‘’Big Data biedt nieuwe mogelijkheden. Nieuwe mogelijkheden op het gebied van predictive

analysis…oftewel; toekomstvoorspellingen’’7

15

4.2.5 Value, complexity en relevance

Zoals eerder aangegeven9 zijn bij gestage datagroei een drietal factoren welke op elkaar inwerken; de datahoeveelheid (Volume), gestructureerde, semigestructureerde en ongestructureerde datatypen (Variety) en de gewenste analysesnelheid (Velocity). De onderzoekers van VINT (2012) voegen daar ook de kenmerken “Complexity”, “Value” en “Relevance” aan toe. Organisaties steken immers niet voor niets veel “time, money and effort” in Big Data onderzoeken. 4.3 Interacterende dimensies Big Data

Wereldwijd werken duizenden bedrijven aan Big Data projecten (Buneman, 2012). De nieuwe technologieën maken het voor elk bedrijf mogelijk om grote datasets te verzamelen, beheren en te analyseren. Deze systemen worden steeds vaker gevuld met “kritische bedrijfsinformatie”. De vraag hoe deze datagegevens te beheren wordt steeds actueler en belangrijker. Om de data integriteit te waarborgen dienen vanuit de bedrijfsbehoefte beheersmaatregelen in het informatiesysteem te worden ingebed. Om grip te krijgen op de gerelateerde uitdagingen dienen ook de aspecten vanuit IT audit onderzocht te worden (Securocis, 2012). Deze aspecten kunnen betrekking hebben op bijvoorbeeld data-eigendom, databescherming, datatoegang en databeveiliging. Het model van Gartner (2012) is hieronder uitgewerkt tot een drietal interacterende lagen met vier bijbehorende dimensies (zie Figuur D). De twaalf factoren worden op de volgende pagina gespecificeerd.

Figuur D: Interacterende dimensies Big Data

8 Zie voorbeeld op www.finno.wordpress.com

Jaarlijks vinden miljarden banktransacties plaats tussen Nederlandse rekeninghouders. Als de bank vanuit die gegevens zou willen vaststellen wat het inkomen van een individu is, dan kan de bank dat op verschillende manieren doen, waarbij iedere manier een mate van betrouwbaarheid oplevert. De bank kan een salarisstorting als inkomen zien, maar ook alle ontvangen betalingen optellen. Meerdere manieren om het inkomen vast te stellen, maar welke data is betrouwbaar genoeg voor het nemen van beslissingen?8

16

Dimensie (a): Vanuit voornamelijk de variëteit (variety) en de complexiteit van een toenemende hoeveelheid data (volume) is het op basis van de juiste technologische toepassingen in combinatie met de inzet van alle data mogelijk om gevalideerde uitspraken te doen (Vint, 2012). Daarnaast kunnen ook verbanden gelegd worden die business beslissingen kwalitatief op een hoger plan brengen (Gartner 2012). Een extra toevoeging is de complexiteit en de manier waarop alle data met elkaar in verband worden gebracht.

Dimensie (b): Op het middelste niveau gaat het om toegang en controle. Om te beginnen

zijn er afspraken (contracts) over hoe welke (classificatie) informatie moet worden vastgelegd en hoe die kan worden gebruikt. Sociale media en cloud computing bieden kansen maar er is wel nieuwe technologie (technology) nodig om te zorgen dat er altijd en overal gebruik van kan worden gemaakt (pervasive use).

Dimensie (c): De bovenste laag gaat over betrouwbaarheid van informatie (validation,

fidelity). De data moet niet alleen relevant en accuraat zijn bij de verwerving (perishability) maar ook in het gebruik (Vint, 2012). Van belang hierbij is of in combinatie met andere informatie (linking) verrijking plaatsvindt.

4.4 Definitie Big Data Om een onderzoek te starten naar Big Data is het van belang om een definitie van Big Data te formuleren. Vanuit diverse invalshoeken in de literatuur blijkt dat ontwikkelaars, media, consultancy en de overheid allen hun eigen ideeën hebben over wat Big Data betekent11. De mogelijkheid tot statistische analyse speelt een belangrijke rol. Hulten (2013) benadrukt dat de kracht van Big Data zit in het verbinden (data, tools en kennis) en het visualiseren van deze verbanden. De gebruikte data hoeft niet per definitie aan alle dimensies te voldoen. In deze scriptie is de volgende definitie gehanteerd, welke is gebaseerd op de modellen uit de literatuur: “Big Data is alle data die niet meer fysiek of logisch in één locatie of in één systeem kan worden opgeslagen. Big Data is te groot is om met reguliere databasemanagementsystemen te onderhouden”.

10 Quote van expert uit het werkveld (anoniem) 11 Zie 4.1 De term Big Data

“Hoeveel

privacy is de klant bereid op te offeren

om een optimale service te

krijgen?”10

17

5. Impact en ontwikkelingen van Big Data Organisaties bestaan dankzij informatie. In de wetenschap is er tegenwoordig een stroming die zegt dat eigenlijk alles informatie is (KPMG, 2012). Aan die informatie ligt data ten grondslag. Relevante gegevens stellen organisaties in staat om de meest uiteenlopende zaken te begrijpen en te anticiperen op specifieke klantvraag (VINT onderzoeksnotitie, 2012). In tijden van concurrentie en crisis is dit noodzakelijk om de juiste beslissingen te kunnen nemen. Volgens Gartner (2012) zal degene die excelleert in de verwerving, de verwerking en het management van waardevolle data, financieel gezien 20 procent beter kunnen presteren dan de concurrentie. De analyse van complete datasets is per definitie de manier om klantvraag volledig te kunnen begrijpen en voorspellen (KPMG, 2012). Door gegevens te analyseren kunnen marketingafdelingen bijvoorbeeld klantsegmenten maken en producten en diensten toesnijden op de behoeften van deze segmenten. Door deze segmentering kunnen doelgroepen gemakkelijker gedefinieerd worden en worden de kosten van marketingcampagnes lager. De gegevens kunnen bovendien gebruikt worden als strategisch kompas om veranderingen in de markt en in het gedrag van klanten te herkennen en daar proactief op te reageren. 5.1 Investeringsredenen Big Data

Een studie van “De Economist” laat zien dat het gebruik van Big Data bijdraagt aan de prestatie verbetering van bedrijven en organisaties. De juiste manier om het gebruik van Big Data te implementeren is cruciaal want een verkeerde interpretatie van informatie kan catastrofaal zijn (Capgemini, 2012). Volgens Capgemini kan implementatie van een framework en verankering van Big Data in de organisatie leiden tot revolutionaire inzichten en mogelijkheden. Uit het onderzoek van Capgemini (2012) blijkt dat investeringen in Big Data meer resultaat opleveren dan investeringen in het verbeteren van bijvoorbeeld back office processen. Gemiddeld verbetert Big Data de business performance bij respondenten met 26% met zicht op verdere stijging. Big Data analyses kunnen diverse mogelijkheden binnen organisaties blootleggen12. Hieronder zijn een aantal potentiele “what if…” vragen opgesomd welke organisaties zichzelf kunnen stellen als de informatiebehoefte daar aanwezig is. Het beantwoorden van deze vragen leidt direct tot Big Data ideeën en behoefte aan Big Data. - Wat als een organisatie individueel klantgedrag volledig zou kunnen inzien? Hoe kan de

organisatie haar klanten met dit inzicht beter bedienen? - Wat als alle "ongestructureerde" informatie van een organisatie gestructureerd in één

database/tabel zou zitten? Welke mogelijkheden worden dan gecreëerd? - Wat als een organisatie geen data meer hoeft weg te gooien? - Wat als een organisatie de mogelijkheid heeft om alle bestanden op het internet en intranet

te lezen, samen te vatten, en te analyseren? - Wat als een organisatie met Big Data onderbouwende informatie heeft van wat de

organisatie altijd al heeft vermoed? (concurrentie, trends, ziekteverzuim, (in)efficiënte medewerkers)

Een belangrijke uitdaging van het gebruik van Big Data ligt in het verkrijgen van informatie uit gestructureerde data gecombineerd met ongestructureerde data. Big Data wordt dus gezien als het

12 Zie voorbeeld op www.marketingfacts.nl/berichten/big-data-middel-of-doel

18

nieuwe concurrentievoordeel. De onderzoeksnotitie van Vint (2012) geeft een zevental investeringsredenen in Big Data welke hieraan ten grondslag liggen, zie Figuur E.

Figuur E; Investeringsredenen Big Data

In het artikel van White (2011) wordt aangegeven dat de traditionele datawereld van de business transacties en die van de interacties en observaties ineen schuiven. De formule13 “Big Data = Transactions + Interactions + Observations” geeft als doel meer business, een hogere productiviteit en nieuwe commerciële kansen (NIST, 2013). 5.2 Interne beheersing

Interne beheersing is een belangrijk aspect van goed ondernemerschap (PwC, 2012). Het is gericht op het waarborgen van de integriteit, doelmatigheid en doeltreffendheid van de organisatorische activiteiten, waaronder ook de informatie productie. Interne controle is gericht op de bescherming van de financiën van de onderneming tegen ongeoorloofde handelingen. Volgens Hulten (2013) worden de toepassingen van Big Data binnen de financiële sector nog niet veelvuldig toegepast. Banken behoren tot de top van organisaties die zich met Big Data bezighoudt maar uit de onderzoeksnotitie van VINT (2012) kan worden opgemaakt dat banken nog in het explorerende stadium zijn als het gaat om de uitnutting van in het bijzonder ongestructureerde data. Big Data heeft een forse impact op de inrichting van het informatiebeheer van een organisatie. Deze vaak onbekende technische gevolgen en de overweging “capaciteit versus kosten” weerhoudt het senior management ervan om strategisch te investeren in Big Data (Hulten, 2013). Hierbij wordt aangegeven dat dit samenhangt met de onzekerheid van de datakwaliteit en datasecurity. Uit een CIO rapport van 2013 blijkt dat een kwart van de CIO’s behoefte heeft aan Big Data vaardigheden binnen de organisatie. Bijna 40% van de CIO’s is op zoek naar medewerkers met specifieke kennis

13 VINT - SOGETI onderzoeksnotitie “Helderheid creëren met Big Data” 14 Quote van expert uit het werkveld (anoniem)

“Big Data is niet nieuw, het gebruik ervan is nieuw”14

19

over business- en data-analyse. Hetzelfde percentage ziet ook graag meer security analisten om de datasets met hoeveelheden gegevens te kunnen beheren en faciliteren. 5.2.1 COBIT

COBIT (Control Objectives for Information and related Technology) is een framework voor het gestructureerd inrichten en beoordelen van een IT beheeromgeving15. COBIT stelt een organisatie in staat om de ICT beheersmaatregelen in te richten. COBIT wordt gebruikt door organisaties die moeten voldoen aan strenge compliance-eisen en die de kwaliteit en toegevoegde waarde van hun informatievoorziening willen verbeteren. Het model voorziet in een behoefte om te komen tot IT-Governance en het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen16. Door het COBIT principe worden organisaties voorzien van de informatie die noodzakelijk is om de doelstellingen te realiseren. De informatie wordt voortgebracht door IT - processen en bronnen zoals applicaties, technologieën en mensen. 5.2.2 GRC - model

Het GRC model staat voor Governance, Risk management en Compliance. ISACA (2012) omschrijft het GRC model als een “paraplu-model”; dit model omvat de drie gebieden waarop bedrijfsactiviteiten zich afspelen. De drie gebieden staan in directe relatie met elkaar en zijn geïntegreerd om de bedrijfsprestaties te verbeteren. Bij veel organisaties wordt op verschillende niveaus invulling gegeven aan het voldoen aan wet- en regelgeving en interne controleraamwerken. Het risicobeheer omvat het identificeren van de risico’s waarmee een organisatie wordt geconfronteerd. Het managen en beheersen van risico's in de business, het leveren van interne en externe transparantie, risico - indicatie en kosten van (non) compliance discussiepunten en het opzetten van een verdedigbare informatieomgeving.

Tabel A: GRC definities

Governance processen

Risk managementprocessen

Compliance

Processen, door het management ingericht om de activiteiten van de organisatie richting te geven, te meten en bij te sturen zodat de ondernemingsdoelstellingen worden gehaald.

Processen gericht op identificatie, inschatting, monitoring en beheersing van mogelijke gebeurtenissen die van invloed kunnen zijn op het behalen van de ondernemingsdoelstellingen.

Processen betreffende het voldoen aan wet- en regelgeving, dan wel: het geheel van maatregelen en procedures dat er zorg voor draagt dat een organisatie voldoet aan wet- en regelgeving en daarover verantwoording aflegt.

15 CobiT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). 16 Quote uit college IT Auditing Vrij Universiteit van Amsterdam (30-09-2013)

20

De betrouwbaarheid van de datasets, wet- en regelgeving betreffende privacy en Wbp18 en de bescherming van klantdata komen veelvuldig in het CIO onderzoek naar voren. COBIT is het instrument dat in de praktijk veelvuldig toegepast wordt als hulpmiddel bij het inrichten van een IT beheeromgeving. GRC is de combinatie van processen en structuren die het bestuur van een organisatie heeft geïmplementeerd om de activiteiten van informatie te voorzien, te sturen, te managen en te monitoren bij het bereiken van haar doelstellingen19.

De term ‘GRC-raamwerk’ duidt op het totale beheersingskader van een organisatie. Een nieuwe term voor een oude bekende dus. Het beheersingskader wordt gebouwd rondom processen in organisatie, met bijbehorende risico’s en controls om deze te managen. Binnen organisaties is de complexiteit toegenomen doordat er steeds meer risico’s zijn gekomen, net als wetten en regelgeving.

17 Quote van expert uit het werkveld (anoniem) 18 Wet bescherming persoonsgegevens 19 GRC definitie door het NBA (Nederlands Beroepsorganisatie Accountants)

“COBIT geeft aan

wat er moet gebeuren, GRC-

processen zijn een invulling van de

manier waarop dat in de organisatie

vorm krijgt”17

21

6. Relevante kwaliteitsaspecten van Big Data Door het innovatieve karakter van Big Data is gekozen om de elementen van de twee figuren en tabel uit hoofdstuk 4 en hoofdstuk 5 te verwerken in een concept controle raamwerk. Ter voorbereiding op de interviews met de experts uit het werkveld is de verkregen theorie in een control framework gebundeld. Dit controle raamwerk is in conceptvorm gebruikt tijdens de interviews met de experts uit het werkveld. - Figuur D: Interacterende dimensies Big Data De variatie en de complexiteit van een toenemende hoeveelheid data zijn specifieke kenmerken van Big Data. De manier waarop alle data met elkaar in verband worden gebracht, de betrouwbaarheid van informatie, relevantie en toegang en controle zijn aanvullende belangrijke kenmerken. - Figuur E; Investeringsredenen Big Data Onderliggende investeringsredenen in Big Data kunnen een financiële, technische of business gerelateerde zijn. Innovatieve business modellen worden mogelijk, uitdagingen in de opslag van data blijven exponentieel groeien en de stijgende kosten van datasystemen blijven een groot percentage van het IT-budget. - Tabel A: GRC definities Doel van de GRC opzet is om het management en de proceseigenaren middels een “IT Governance model” te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde Big Data risico’s. Deze aan IT gerelateerde Big Data risico’s moeten op basis van een risicoanalyse in kaart worden gebracht en hierbij het gewenste niveau van databeveiliging worden bepaald. Daarbij wordt de BIV20 (beschikbaarheid, integriteit en vertrouwelijkheid) klasse bepaald. Aanvullend hierop kan ook de indicatie voor controleerbaarheid 21 worden weergegeven. Het is de taak van de informatiebeveiliger van de organisatie om het overeengekomen niveau van beveiliging te realiseren. Toezicht22 hierop vindt plaats vanuit IT-audit en de wettelijke toezichthouders.

6.1 Controle raamwerk

Het gehanteerde normenkader voor deze scriptie is ontwikkeld op basis van beschikbare literatuur en eigen kennis en ervaring. Het raamwerk helpt bij het overbruggen van de verschillen tussen business risico’s, de daaruit voortvloeiende behoefte aan de beheersing van de onderliggende bedrijfsprocessen en de ondersteunende IT-dienstverlening en infrastructuur. In het raamwerk is de BIV (CIA) rating in meegenomen. Tijdens een van de interviews is het concept van de sub-assen ontwikkeld om Governance, Risk en Compliance inzichtelijk te maken. Op basis van de gehouden expertinterviews is onderzocht in welke mate de IT-auditor betrokken wordt bij Big Data projecten. Tevens is onderzocht welke aandachtsgebieden de business en IT hebben tijdens dergelijke projecten. De kenmerken van de onderliggende figuren en tabel zijn in de linker kolom gelinkt met bijbehorende risico-omschrijving. Zodoende is de koppeling tussen de literatuur en het praktijk raamwerk weergegeven. Zie Figuur F voor schematische weergave. In Bijlage A is het controle raamwerk duidelijk leesbaar.

20 BIV+C = CIA+A rating (Confidentiality, Integrity, Availability + Auditability) 21 Quote uit college “BIV-AO” IT Auditing Vrij Universiteit van Amsterdam 22 Quote uit college “BIV-AO” IT Auditing Vrij Universiteit van Amsterdam

22

6.2 Samenstelling controle raamwerk

Figuur F: Samenstelling controle raamwerk

23

6.3 Marketing vs. compliance

Uit de interviews blijkt dat organisaties transparant moeten zijn. In het bijzonder het hoger management van de organisatie moet volledig achter de Big Data gedachte staan en support leveren. Een aantal keer kwam tijdens de interviews ter sprake dat op basis van het profiel van de klant de inhoud op websites aangepast kan worden en relevante proposities kunnen worden aangeboden; hierdoor wordt zogenaamde 1-op-1 marketing mogelijk. Het is volgens de geïnterviewden van groot belang een juist klantprofiel vast te kunnen stellen en deze te gebruiken om in de persoonlijke context van de klant te komen. Vanuit marketing perspectief is dus het gebruik van Big Data erg interessant wat kan resulteren in overhaaste analyses en beslissingen waarbij reputatieschade en juridische claims een risico kunnen gaan vormen. Er zijn significante juridische beperkingen aangaande het gebruik van externe data zoals copyright, privacy en “briefgeheim” regelgeving. Diverse klantdata kan alleen gebruikt worden voor vooraf gestelde doeleinden. Hierop aanvullend, externe data kan vaak beschouwd worden als “ongestructureerd en niet betrouwbaar”. Het vermoeden bestaat dat het spanningsveld tussen marketing en compliance de komende jaren alleen maar zal toenemen. De mate van privacy-bewustwording van klanten neemt toe. Zowel de Nederlandse als de Europese regelgeving houdt scherp toezicht op het gebruik van klantgegevens en het creëren van mogelijke (groeps)profielen. Klanten dienen vooraf duidelijk geïnformeerd te worden over de analyses met privacy gevoelige data. De regelgeving is momenteel nog niet zover ontwikkeld dat de klant de mogelijkheid heeft om aan te geven of men akkoord is met het gebruik van de data (opt-in en opt-out). Opt-in en opt-out zijn termen die aangeven hoeveel controle de burger heeft over het gebruik van zijn gegevens. Opt-in is hierbij het strengst; enkel wie bewust hiervoor kiest zal bijvoorbeeld commerciële boodschappen ontvangen naar aanleiding van Big Data initiatieven. Voor organisaties is het van belang om periodiek de juridische en commerciële mogelijkheden inzichtelijk te houden om zodoende de gewenste transparantie te bieden voor klanten.

6.4 Chinese Walls

“Chinese Walls” zijn de onzichtbare “muren” tussen bedrijfsonderdelen binnen een organisatie om belangenverstrengeling te voorkomen tussen medewerkers van twee of meer bedrijfsonderdelen die dezelfde klant bedienen. Chinese Walls moeten voorkomen dat gevoelige informatie wordt uitgewisseld tussen organisatieonderdelen Het betreft hier een methode om eventuele conflicten die tussen betrokken partijen zouden kunnen ontstaan te beheersen. Big Data beleid en/of procedures op het gebied van Chinese Walls moeten voortdurend worden aangepast om aan de interne organisatorische veranderingen en eisen die gesteld worden door de toezichthouders te voldoen. De maatregelen kunnen zijn het treffen van een fysieke, organisatorische en personele scheiding van verschillende activiteiten die tot belangenconflicten kunnen leiden.


“Onjuist gebruik en onjuiste inzet van data kan

leiden tot een onderzoek door het "College Bescherming Persoonsgegevens" (CBP). Dit kan

vervolgens resulteren in dwangsommen of boetes, reputatieschade en het (verplicht)

vernietigen van opgebouwde data”23

24

6.5 Wet bescherming persoonsgegevens (Wbp)

Zoals eerder aangegeven zijn in Nederland de belangrijkste regels met betrekking tot de privacy van burgers opgenomen in de Wet Bescherming Persoonsgegevens. Voor het gebruiken en verwerken van persoonsgegevens gelden specifieke voorschriften.

De Wbp schrijft voor dat persoonsgegevens25 niet oneindig bewaard mogen blijven. Het doel van de verwerking van deze datagegevens is dat vooraf moet vaststaan dat zo min mogelijk gegevens mogen worden verzameld als nodig voor dit specifieke doel. Echter, Big data schept een heleboel mogelijkheden die breder zijn dan de wettelijke

uitzonderingen. De ontwikkelingen op het gebied van Big Data hebben duidelijke gevolgen voor de privacy van klanten. De Wet bescherming persoonsgegevens (WBP), die vanaf 1 september 2001 van kracht is, bevat regels over de geautomatiseerde verwerking van persoonsgegevens en verwerking van persoons gegevens in bestanden. Dit omvat alle handelingen met die gegevens vanaf het verzamelen tot aan het vernietigen. Op grond van deze wet is een verantwoordelijke verplicht om geautomatiseerde verwerkingen van persoonsgegevens te melden bij het College bescherming persoonsgegevens (CBP) of bij de Functionaris voor de gegevensbescherming. Het feit dat het CBP in de nabije toekomst meer bevoegdheden krijgt om boetes uit te delen, vormt naar verwachting een krachtige impuls voor bedrijven om 'privacycompliant' te worden en een Data Protection Officer aan te stellen. Momenteel mogen bedrijven en andere organisaties zelf bepalen of ze een Functionaris voor de Gegevensbescherming benoemen. Dit wordt anders zodra de Europese Privacy Verordening in werking treedt. De Functionaris voor de Gegevensbescherming houdt toezicht op de toepassing en naleving van de Wbp binnen een organisatie. De wettelijke taken en bevoegdheden van de FG geven hem een onafhankelijke positie in de organisatie.

6.5.1 De klant

De klant heeft het recht om zijn gegevens in te zien, aan te vullen of soms zelf te laten verwijderen. Om te voldoen aan de privacywetgeving moeten organisaties toezicht houden op de verwerking van de klantgegevens. Indien geen gestructureerd overzicht bestaat van de opgeslagen klantgegevens, kan een klant de wettelijke rechten niet uit oefenen én kan een organisatie niet aan de wettelijke plichten voldoen. Bij Big Data is dit een groot probleem; door de hoeveelheid opgeslagen data, weet niemand precies waar, wanneer, en voor welk doel de data is opgeslagen. Op basis van Big Data kunnen organisaties al analyses maken van “opvallende transacties”. Dit kunnen banken al doen om eventuele criminele en terroristische activiteiten op te sporen. Daartoe kunnen bijvoorbeeld dreigingsanalyses, onderzoek rapportages en management informatie vanuit Big Data analyses worden opgesteld.

24 Quote van expert uit het werkveld (anoniem) 25 Persoonsgegevens = Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd

“Als de data wordt omgezet naar een niet tot de oorspronkelijke persoon herleidbare unieke code, heeft dit

volgens mij geen materiële impact op de privacy van de klant”24

25

6.5.2 Vertrouwen

Het initiatief van ING26 op dit gebied laat zien dat Big Data een relevante ontwikkeling is die gevoelig ligt bij klanten. Het gebruik van klantgegevens kan immers het vertrouwen van de consument schaden. Hierop reageerde de AFM (Autoriteit Financiële Markten) met een oproep27 aan alle Nederlandse banken om met de maatschappij in gesprek te gaan over het gebruik van

gegevens van klanten, oftewel Big Bata. Het initiatief van ING op het gebied van Big Data laat zien dat dit een relevante ontwikkeling is die erg gevoelig ligt bij klanten. De bedoeling was dat een groep ING-klanten zich kon inschrijven voor een experiment waarbij klanten transactiegegevens worden gebruikt voor op maat gemaakte advertenties van

andere bedrijven. Het plan van ING haalde veelvuldig de landelijke media, kreeg kritiek vanuit de politiek, en klanten dreigden met overstappen naar andere banken. ING heeft aangegeven in gesprek te gaan met klanten, toezichthouders en consumentenorganisaties om te bepalen hoe men verder gaat.

7. Conclusies Doelstelling van deze scriptie is enerzijds terugkoppeling te geven op de hoofd- en deelvragen. Anderzijds kunnen de onderzoeksresultaten ook gebruikt worden om te discussiëren over de mogelijkheden, beperkingen en het toekomst perspectief van Big Data. Tijdens het afnemen van de interviews werd door één van de experts het volgende gezegd: “De klant centraal stellen is een belangrijk thema. Met Big Data kan de zorgplicht van bijvoorbeeld financiële instellingen beter ingevuld worden. Big Data is een marketing term maar het gebruik en analyseren van grote hoeveelheden data is niets nieuws”.

7.1 Conclusies van het onderzoek Zoals al eerder aangegeven zijn aan de geraadpleegde bronnen de definitie en het concept van Big Data ontleend met gerelateerde impact en recente en toekomstige ontwikkelingen van Big Data. De uitwerkingen van de deelvragen tijdens het literatuur- en praktijkonderzoek dragen bij aan een antwoord op de hoofdvraag. Uit het literatuuronderzoek en de expert interviews is een controlframework vanuit stakeholder perspectief samengesteld met de risico’s met bijbehorende controle maatregelen en uit te voeren teststeps (Bijlage A). Dit heeft (deels) geleid tot de beantwoording van de onderzoeksvraag van deze thesis:

26 Zie www.ing.nl/nieuws/nieuws_en_persberichten/2014/03/ing_en_het_gebruik_van_klantdata. 27 Zie www.afm.nl/nl/nieuws/2014/mrt/big-date.aspx 28

Quote van expert uit het werkveld (anoniem)

‘’Big Data…Big Brother…Big Business’’28

26

“Welke aandachtspunten zijn bij de toepassing van Big Data vanuit het IT-audit perspectief relevant?’’ 7.1.1 “Wat is Big Data?”

Big Data biedt volgens de literatuur de bedrijfsvoering van organisaties de mogelijkheid tot het transformeren naar efficiënter werken, het scheppen van meer transparantie en beter gefundeerde beslissingen. Een eenduidige exacte definitie van de term Big Data niet beschikbaar is. Om een onderzoek te starten naar Big Data is het van belang om een definitie van Big Data te formuleren. In deze scriptie is de volgende definitie gehanteerd, welke is gebaseerd om de modellen uit de literatuur: “Big Data is alle data die niet meer fysiek of logisch in één locatie of in één systeem kan worden opgeslagen. Big Data is te groot is om met reguliere databasemanagementsystemen te onderhouden”.

7.1.2 “Wat zijn de ontwikkelingen en bijbehorende impact van Big Data?”

Negentig procent van alle gegevens in datacenters is in de afgelopen twee jaar aangelegd. Deze data is een goudmijn voor de business want met behulp van nieuwe technieken is het mogelijk om over die gegevens te rapporteren. Uit onderzoek van de “Big Data Insight Group survey” (2012) bij een breed scala van industriële sectoren blijkt dat veel organisaties Big Data zien als een van de belangrijkste ontwikkelingen voor hun organisaties. Het gebruik van Big Data draagt bij aan de prestatie verbetering van bedrijven en organisaties. Big Data analyses kunnen diverse mogelijkheden binnen organisaties blootleggen29. In deze scriptie zijn een aantal “what if…” vragen opgesomd welke organisaties zichzelf kunnen stellen om vast te stellen of de Big Data informatiebehoefte intern aanwezig is. De beantwoording van deze vragen leidt direct tot Big Data ideeën en behoefte. Onderliggende investeringsredenen in Big Data kunnen een financiële, technische of business gerelateerde zijn. Innovatieve business modellen worden mogelijk en de uitdagingen in de opslag van data blijven exponentieel groeien.

7.1.3 “Wat zijn aandachtspunten en de relevante kwaliteitsaspecten bij de toepassing van

Big Data?”

Veel organisaties ervaren Big Data als een belangrijke ontwikkeling. Deze interesse kan zich vertalen in een toenemende vraag naar Big Data-technologieën. Hierbij zal de interesse gelinkt moeten worden aan de kwaliteitsaspecten van Big Data en de betekenis van het gebruik van Big Data vanuit de interne beheersing. De variatie en de complexiteit van een toenemende hoeveelheid data zijn specifieke kenmerken van Big Data. De manier waarop alle data met elkaar in verband worden gebracht, de betrouwbaarheid van informatie, relevantie en toegang en controle zijn aanvullende belangrijke kenmerken. Aan de hand van het GRC model kunnen het management en de proceseigenaren middels een intern beheersingsraamwerk ondersteund worden bij het begrijpen en beheersen van de aan IT gerelateerde Big Data risico’s.

7.1.4 “Hoe kunnen de aandachtspunten beheerst worden vanuit IT-audit perspectief?”

Naast een algemene inventarisatie van wat nu zoal op het gebied van Big Data bekend is, is een normenkader ontworpen welke toepasbaar is voor toekomstige audits aangaande innovatieve Big

29 Zie Hoofdstuk 5 Impact en ontwikkelingen van Big Data

27

Data projecten. Het toepassen van het framework heeft een positief effect op de effectiviteit van interne controle. Uit de interviews is gebleken dat vanuit de perspectieven business, legal en IT het raamwerk duidelijke handvatten biedt. Praktijk toetsing Het was deels mogelijk om het raamwerk in de praktijk te toetsen. Big Data wordt gezien als een vorm van innovatie en de organisatie daaromheen kan vaak nog niet volwassen genoemd worden. De IT-organisatie dient echter wel een bepaalde mate van volwassenheid te hebben om het controle raamwerk effectief toe te kunnen passen. Het aspect governance/organisatie is belangrijk om het eigenaarschap aan te kunnen geven van datasets of projecten. Uit de interviews blijkt echter dat eigenaarschap per dataset lastig te definiëren is. Ook het budget op lange termijn en een strategie met een organisatie brede visie en doelstellingen is noodzakelijk voor een bepaalde continuïteit. Big Data kan organisaties in staat stellen verder te gaan dan het traditionele data warehouse, zodat nieuwe inzichten en waarborging kan worden gecreëerd. Op basis van die inzichten kan strategische besluitvorming worden verbeterd. Hierbij kan het van belang zijn om bijvoorbeeld een “board” met diverse afgevaardigden vanuit de organisatie op te richten om een helpende hand te bieden.

28

Levend document Zoals aangegeven is het raamwerk deels in de praktijk getoetst. Uit de resultaten van de interviews blijkt dat dit raamwerk geen statisch framework betreft. Ontwikkelingen in bijvoorbeeld strengere wet- en regelgeving, toenemende informatiebehoeftes van organisaties en klanteisen zullen invloed hebben op de geformuleerde risico’s met bijbehorende testwerkzaamheden. Hierdoor is deels een antwoord gegeven op de onderzoeksvraag én een momentopname gemaakt van aandachtspunten welke op het moment van schrijven relevant zijn geacht bij de toepassing van Big Data. 7.1.5 Wetenschappelijk onderzoek

De auteur van deze scriptie was in de veronderstelling dat er meer wetenschappelijke artikelen beschikbaar zijn met de inzet van IT auditors op het gebied van Big Data. De vakliteratuur heeft echter vooral betrekking op de praktische toepassingen van Big Data. Op basis van de voorbereidingsgesprekken en informatie uit de oriëntatiefase vanuit de theorie, werd de verwachting gewekt dat er meer IT audit ervaring met Big Data zou zijn. 7.1.6 Toekomstige rol IT auditor

Iedere expert uit het werkveld is het ermee eens: het is niet de vraag óf men iets met Big Data moet doen, maar wát zij hiermee moeten en kunnen doen. Opvallend is dat hierbij iedere keer wordt beaamd dat de IT auditor in een vroeg stadium als begeleider/adviseur kan optreden. Uit dit onderzoek blijkt dat IT auditors zelden worden ingezet op Big Data projecten. De opvallendste reden dat de IT auditor nog niet word betrokken bij Big Data initiatieven is dat het onderwerp Big Data nog te onbekend is om specifieke verwachtingen te creëren vanuit IT audit perspectief. Het experimenteren met modelleren van data (zoals databases, online koopgedrag, sociale media data, klantenservice data) kan de behoefte naar inzet van IT auditors wel degelijk laten toenemen. Big Data heeft raakvlakken met het vakgebied en de deskundigheid van de IT auditor. De IT auditor moet in een vroeg stadium aansluiten op projecten en ervoor zorgen dat duidelijke korte- en lange termijn doelstellingen verwerkt zijn. Hierbij wordt volgens de geïnterviewden de rol van IT auditor gezien als “spil in het web”, met als randvoorwaarde voldoende kennis van de deelproducten. Monitoring van de diverse stakeholder perspectieven zoals senior management, IT, business, marketing en compliance is hierbij noodzakelijk. Uit de interviews zijn additioneel nog een aantal aandachtspunten aan te geven. Verantwoordelijkheden in kaart brengen met betrekking tot het toekennen van business rules

en autorisaties binnen de verschillende datasets. Waarborgen/definiëren van primaire functiescheiding van toegangsrechten en profielen. Toetsen van rollenstructuur zoals de organisatie deze heeft gedefinieerd (opstellen van RBAC-

normenkader). Aansluiten van gebruikersrollen op rollen in de organisatie. Controle op interface beveiliging van koppelingen tussen de verschillende bron systemen.

29

8. Reflectie Zoals in de inleiding van hoofdstuk zeven beschreven, is het tegengevallen hoeveel ervaring IT auditors hebben met het daadwerkelijk auditen van Big Data. Zowel de adviesfunctie als de audit functie wordt vaak niet gehanteerd. De toegevoegde waarde van de IT auditor zit echter wel in het feit dat een audit zowel voor business als IT waardevol kan zijn.

8.1 Reflectie op scriptie inhoud

Dit onderzoek is van toegevoegde waarde voor het vakgebied IT auditing omdat het laat zien dat er nog een onbekend gebied is betreffende het onderwerp Big Data waar de IT-auditor een rol in kan spelen. Big Data kan organisaties en haar klanten vele kansen kan bieden met bijbehorende uitdagingen voor marketeers, juristen en specialisten. Om Big Data succesvol in een organisatie te introduceren en een vast onderdeel te laten worden van de bedrijfsprocessen, is het experimenteren met kleine sets data de eerste stap. Als deze zogenoemde “proofs of concept” succesvol zijn, kan daarmee het management overtuigd worden van de waarde van Big Data en een gedegen plan voor de lange termijn worden ontwikkeld. Hierbij dient de IT auditor in een vroeg stadium betrokken te worden bij de experimentfase om zodoende ook de noodzakelijke ervaring op te doen met het fenomeen Big Data. De praktische toepasbaarheid van het framework is per organisatie verschillend.

8.2 Reflectie op eigen ervaringen

Het finaliseren van mijn IT audit opleiding in combinatie met mijn werkzaamheden tijdens een audit naar Big Data binnen de ABN AMRO was een zeer goede manier om mijn verkregen theoretische kennis met de audit praktijk te combineren. Vorig jaar werd ik na het lezen van diverse artikelen enthousiast over het onderwerp Big Data en besloot mijn onderzoek hierop te richten. Het doel van het onderzoek was het verwerven van inzicht in de mogelijkheden betreffende interne beheersing van Big Data. De gesprekken hebben op verschillende manieren waarde toegevoegd. Naast het verworven inzicht in het fenomeen Big Data heeft het ook mijn professionele netwerk zowel binnen als buiten de bank vergroot. Door verschillende partijen te spreken is mijn zicht op Big Data verbreedt. De relatie tussen IT, Business en Compliance zal naar mijn mening komende jaren ingrijpend veranderen betreffende Big Data projecten. In essentie is Big Data niets meer dan het verzamelen van grote datasets. Naast dat deze datasets kansen biedt, brengen ze ook uitdagingen met zich mee. Big Data op de juiste manier gebruiken kan resulteren in groot succes. Verkeerde strategische beslissingen door incorrecte interpretatie van de data kan voor organisaties natuurlijk ook desastreus zijn. Uit het literatuuronderzoek blijkt dat er zeer gevarieerde Big Data omschrijvingen zijn. Een eenduidige definitie is nog niet gegeven. Het is in mijn ogen noodzakelijk om een eenduidige definitie te creëren. Hiertoe behoort ook een strategie met een organisatie brede visie en bijbehorende doelstellingen. Daarop aanvullend ben ik van mening dat het begrip Big Data kritisch onder de loep moet worden genomen middels wet- en regelgeving om te onderzoeken welke wettelijke aanpassingen nodig zijn om het gebruik van Big Data in goede banen te leiden.

30

9. Referenties - Babbie, E. (2007). The practice of Social Research. Thomson, Wadsworth. - Bain. (2013). Big Data: The organizational challenge. - Boerkamp. F.J., Soerjoesing. S.P. (2009). De rol van data-analyse bij het beoordelen van informatie integriteit - Bruins. R. (2013). Big Data en de Business. (Computerworld management special) - Capgemini. (2011). Onderzoek naar Big Data. Bezocht op 02-01-2014 - Caseware. (2013). Big Data – Just Noise or Does it Matter? Bezocht op 08-08-2013 - Computerworld. (2012). Big Data, Big Demands. Scale-out storage meets enterprise requirements for Big Data. Whitepaper. - Colak, H. (2009). Effectiviteit van GRC -Tools - Cronenberg, S. (2011). Meetlat voor beheersing. GRC in ontwikkeling. - Davenport, T.H. (2012). Targets Picking Your Spots for Analytics How to Apply Analytics Where They Will Yield the Greatest Results. Harvard Business Press. - Dekker. M. (2009). Verbeterde datakwaliteit door standaardisatie. - Gartner. (2012): Information Management Goes ‘Extreme’: The Biggest Challenges for 21st Century - Global Pulse. (2012) Big Data for Development: Challenges & Opportunities - Hulten, H. (2013). Big Data bij de Rabobank. Interne presentatie. NGI. - IBM. (2012). Compliance uncompromised. A corporate regulatory governance perspective for globally integrated enterprises - IIA. Institute of Internal Auditors. (2013). Big Data: Collect It, Respect It. - Insight Group. (2012) Big Data Insight Group survey. - ISACA. (2013). Big Data Analytics – What it means to the Audit community. - KPMG Audit. (2012). Big Data. The Risks and Rewards Locked in Vast Oceans of Data. - KPMG Audit. (2013). KPMG’s Audit Committee Priorities for 2013. Bezocht op 06-07-2013 - KMPG Advisory. (2013). Big Data & Analytics. Turning conceptual thinking into powerful results.

31

- Kvale, S. (1996). Interviews: An Introduction to Qualitative Research Interviewing. Sage. - McKinsey & company. (2011). Big data: The next frontier for innovation, competition, and productivity - Mouthaan. N. (2012). Effects of Big Data analytics on organizations’ value creation. - Netapp. (2012). The European Organization for Nuclear Research. Technical Case Study. (CERN) - Netapp. (2012). Big Data zonder een (te) Groot Datacenter. (Whitepaper) - NIST. (2013). Big Data Public Working Group. Security and Privacy Subgroup Presentation. - Oracle. (2011). Mastering Big Data: CFO Strategies to Transform Insight into Opportunity. Whitepaper - Oracle. (2012). Solving Data Management and Scalability Challenges with Oracle Coherence. Whitepaper. - Pettey, C. (2012). Gartner Identifies the Top 10 Strategic Technologies for 2012. Gartner. - Protiviti. (2013). Internal Audit Capabilities and Needs Survey Report. Assessing the Top Priorities for Internal Audit Functions - PricewaterhouseCoopers N.V. (2012). Internal Audit in transformatie. Een praktijkstudie naar achtergrond en oplossingsrichtingen. - Rackspace. (2013). Reference Architecture. Enterprise Security for the Cloud. (Rackspace) - Securitos. (2012). Securing Big Data: Security Recommendations for Hadoop and NoSQL Environments - Semeijn, B. (2013). Big Data en de privacyregels. (Computerworld management special) - The Boston Consultancy Group. (2012). Geospatical Services. A $1.6 Trillion Growth Engine for the U.S. Economy. How Consumers and Business Benefit from Location-Based information. - The Economist. (2012). Big Data. Lessons from the Leaders. - Van Praat (2012). Postdoctorale opleiding IT-auditing. Vrije Universiteit. - Verschuren, P., Doorewaard, H. (2007). Het ontwerpen van een onderzoek. Uitgeverij Lemma. - VINT. (2012). Helderheid creëren met Big Data. (Onderzoeksnotitie van Sogeti) - Vital Wave Concultancy. (2012). Big Data, Big Impact: New Possibilities for International Development - White, C. (2011). Using Big Data for Smarter Decision Making. Sponsored by IBM.

32

- Zikopolous, P.C. (2012). Understanding Big Data. Analytics for Enterprise Class Hadoop and Streaming Data. (IBM).

33

Bijlage A: Control Framework

(link with figures and table)

Risk Description (Subject)

Control Description (Detail)

Test Description (Detail)

Governance and Risk Management Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension b) Figure E: Investment reasons Big Data (business reasons)

Data ownership and governance is unclear and insufficiently defined in details. The risk is that a specific organization or the data owner is nog accountable and does not have the ability to create, edit, modify, share and restrict access to the data. Lack of shared values in the organisation could lead to inefficiency and ineffectiveness in a ‘strategic roadmap’ of change the organisation or usual activities. This could cause unavailability risks or even result in faulty data

The data should have a business owner that takes accountability for the proper management and maintenance of the data. Rules concerning system and environment (e.g. mandate), knowledge of Big Data etc. and check if the split between business and IT is clear and defined.

- Ownership of experiments (+ results) including escalation process. - Ownership of data and infra. Check existence of rules concerning data governance (interfaces, ownership of data etc.) This applies both to incoming and outgoing data and also includes escalation process. - Check if there are rules concerning system and environment (e.g. mandate), knowledge of Big Data etc. and check if the split between business and IT is clear and defined.

Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension b) Figure E: Investment reasons Big Data (business reasons)

Management does not have sufficient insights into the progress, financial impact and quality of Big Data process It is not clear what results related to the Big Data strategy should be achieved, when and how these results should be realized.

A Big Data strategy is defined and includes SMART objectives

- Review senior management meeting minutes of business and IT related to Big Data - Interview senior management on their involvement in Big Data. - Review Big Data strategy documents, tactical and operational year plan. - Review whether these strategy objectives are SMART (Specific, Measurable, Achievable, Realistic and Time-bound). - Review KPI's. - Review whether the Big Data strategic, tactical and operational results are evaluated periodically.

34






Without a standard set of rules & regulations regarding integrity and ethical rules (values) like code of conduct, personal account dealing, procedures for knowledge management and encompassing disciplinary HR actions could lead to insufficient awareness and knowledge on integrity and ethical cases throughout the organisation.

A standard set of rules & regulations regarding integrity and ethical rules (values) have been clearly defined and communicated to staff, addressing issues like code of conduct, personal account dealing. - Management is aware of and shows their leading role in practice and communication. (“Tone at the top”). - Staff is aware of the rules and regulation regarding integrity and ethical rules and values and the disciplinary HR actions in case of violations of expected behaviour. - A training approach is in place to set or improve awareness and knowledge on integrity and ethical cases throughout the organisation.

- Determine if a standard set of rules & regulations regarding integrity and ethical rules (values) have been clearly defined and communicated to staff, addressing issues like code of conduct, personal account dealing, procedures for knowledge management and encompassing disciplinary HR actions (in case of violations of expected behaviour). For example: code of conduct, whistle blowing procedures. - Assess if management is aware of and shows their leading role in practice and communication (“tone at the top”). - Determine if staff is aware of, understands and when necessary act upon the rules and regulation regarding integrity and ethical rules and values and the disciplinary HR actions in case of violations of expected behaviour. - Determine if a training approach is in place to set or improve awareness and knowledge on integrity and ethical cases throughout the organisation.


It is not clear how the data can be managed and maintained in such a way that the business process is adequately supported.

HR should be sufficiently sourced - Staffing should be sufficient in numbers and knowledge to support the Big Data developments. - Sufficient documentation and knowledge should be available to ensure that the application can be managed and maintained in such a way that the business process is adequately supported. - Staff should be sufficiently knowledgeable to support and work with Big Data

35





Table A: GRC-model (Risk management processes) Figure D: Interacting dimensions Big Data (dimension c)

Figure E: Investment reasons Big Data (technical and financial reasons)

Inadequate risk assessment activities could lead to inadequate preparation for business and IT risks and negative implications for the organisation once these risks materialise.

The process should provide risk assessments for both the global level and system specific level, for new projects as well as on a recurring basis, and with cross-disciplinary participation. Management should ensure that reassessments occur and that risk assessment information is updated with results of audits, inspections and identified incidents.

- Ensure that for the IT system in scope, e.g. a Risk Assessment Procedure is available and approved by the business owner of the system/process in scope. - A risk assessment should be made per experiment/project. Criteria are set to determine the acceptable risk level and the escalation path if the experiment is not conform the acceptable risk level. - Determine if Legal, Compliance, Risk etc. should be included. This assessment should include classification of data used (including risks), data governance, parties involved, risk level etc.

Table A: GRC-model (Risk management processes) Figure D: Interacting dimensions Big Data (dimension c)

Figure E: Investment reasons Big Data (technical and financial reasons)

Without data classification confidentiality, integrity and availability (CIA rating) can’t be guaranteed Without data classification the most effective and efficient use of the data is not clear.

Establish a classification scheme that applies throughout the enterprise, based on the criticality and sensitivity (e.g., public, confidential, top secret) of the organisation’ data.

- Determine that the business owner has classified the information system according to the necessary standard. (e.g. the distinguished classification aspects should be Confidentiality, Integrity and Availability.) - Determine that this corresponds to the data being used. - Determine that data owners agreed on data being used.

Input, processing and output controls Table A: GRC-model (Risk management processes) Figure D: Interacting dimensions Big Data (dimensions a,b,c) Figure E: Investment reasons Big Data (technical and financial

Incomplete or incorrect Big data in or from the Big Data project could result in incomplete information and wrong management decisions

Appropriate input controls on interfaces exist to ensure completeness and correctness

- Determine that input of data in application is automated and that it is sufficiently secure by means of encryption - Check existence of technical/applicative controls to ensure the data quality of the source systems is correct (e.g. date of file, file not empty, file complete, et cetera) and that exception reports are created in case of errors. - Determine that data manipulation procedures

36





reasons)

exist (for administrators/high privileged accounts) - Determine that adequate measures have been taken to determine the authenticity (e.g. digital signature) of received data from interfaces - Determine that rejected updates of the Big Data have been corrected and resubmitted and are subject to the same edits and validations as the original transaction - Determine that adequate audit trails of data entered manually or received online exist and are stored for an adequate period of time

Table A: GRC-model (Risk management processes) Figure D: Interacting dimensions Big Data (dimension a,b,c) Figure E: Investment reasons Big Data (technical and financial reasons)

Due to poor data quality the organisation does not meet the law and regulations and could make business decisions based on misinformation. Risk is that it is not clear whether the processing results are complete, accurate and reasonable.

Other input and processing controls on interfaces are in place

- Assess that programmed routines that check the processing results for completeness, accuracy and reasonableness (data processing edit and validation routines such as record counts, line counts and reasonableness and relational tests) are in use. - Determine that job documentation is accurate and effective for proper job scheduling and restart/recovery and job scheduling is performed accordingly. - Determine that audit trails exist that are adequate to reconstruct how data has been processed.

Table A: GRC-model (Risk management processes) Figure D: Interacting dimensions Big Data (dimension a,b,c) Figure E: Investment reasons Big Data (technical reasons)

Limited insight into the quality of data could lead to insufficient understanding of the risk profile of an organization or project.

Output controls on interfaces are in place

- Determine whether critical online and paper reports have been identified. For critical reports the following information should be provided: name and id number of report, source of reports (e.g. data repository, warehouse, reporting tool), frequency of reports generation, reviewer(s) of report. - Determine measures exist to ensure completeness of reports, such as header and trailer, record counts or end of report statements.

37





- Determine whether online and paper reports are restricted to authorised personnel on a need-to-know basis. - Determine whether a plausibility check of output data is performed to verify whether it is reasonable. Determine that reconciliation controls exist to compare the output control totals with input control totals.

Operational management and Changes Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension a,b,c) Figure E: Investment reasons Big Data (business and technical reasons)

Incorrect change management could lead to improper development and implementation of data, as well as the integrity of programs and data files.

Change management should be formalised, documented and acted upon

Check if - there is a documented change management process - these process are in line with bank standards - that they are adhered to so that no unauthorised changes are made during the experiment - there is a Standard Master test plan - test segregation of environments and authorisations between prod, test and dev, acceptance criteria and full range of test types) is available - there is a Release calendar - there is a Functional wish lists - Verify that the change was approved by IT and business. - Verify that the change was adequately tested (system test, functional test, acceptance test, performance/load test).

Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension a,b,c)

Inadequate Incident Management could lead to insufficient restore of normal service operation as quick as possible and high impact on business operations. Risk is that

Problem and Incident management procedures are documented which include the process for escalation.

- Verify that Problem and Incident procedures are formally documented. - Verify that the escalation process is included in this documentation. - Obtain e.g. 3 incident tickets and verify that the incidents were appropriately and timely

38





Figure E: Investment reasons Big Data (business and technical reasons)

the best possible levels of service quality and availability are not ensured.

resolved.

Table A: GRC-model (Risk management processes) Figure D: Interacting dimensions Big Data (dimension a,b,c)

Inadequate documentation of Big Data architecture, design and processes could lead to ineffective or inefficient overview of data.

All processes and data architectures are adequately documented, all changes are formally approved and recorded

- Obtain a sample of experiments /projects and verify that the Big Data lab/project team functional design, technical design and processes are adequately documented. - Verify that the documentation is periodically reviewed and up-to-date.

Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension a,b,c) Figure E: Investment reasons Big Data (business and technical reasons)

Improper information architecture and classification of data leads to incorrect response to requirements, to provide reliable and consistent information and to seamlessly integrate applications into business processes.

Maintain a (enterprise) data dictionary that incorporates the organisation’s data syntax rules.

Data Dictionary that maintenance of data definitions and business rules are subject to a formalised procedure to ensure alignment among systems using the same data. - Ensure that the metadata is up-to-date, version controlled and describing definitions, interdependencies between data elements, business rules, data input and output source and performed manipulations. - Ensure that maintenance of data definitions and business rules are subject to a formalised procedure to ensure alignment among systems using the same data. - Verify the connection with existing data dictionaries of the source systems.

Define and Manage Service Levels with the business Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension a,b,c)

Not identifying service requirements, agreeing on service levels and monitoring the achievement of service levels leads to mismatches of key IT services with business strategy.

Define and agree to service level agreements for all critical IT services based on customer requirements and IT capabilities.

- Determine the availability of signed-off, formalized arrangements (e.g. SLA, contracts) - Assess that the signed-off, formalized arrangements properly cover the essential areas, like change management, incident & problem management, availability

39





Figure E: Investment reasons Big Data (business reasons)

management, capacity management and security management.

Table A: GRC-model (Governance processes) Figure E: Investment reasons Big Data (business reasons)

Continuously monitor specified service level performance criteria. Reports are provided in a format meaningful to the stakeholders on achievement of service levels.

- Determine measures are in place to measure, monitor and report on achieved service levels and that a procedure is available to resolve discrepancies between required and achieved Service Levels.

Figure E: Investment reasons Big Data (business reasons)

Customer demands are periodically evaluated.

- Review the procedure for the periodical evaluation of the internal customer demands - - Obtain evaluation reports and notes of meetings in which results are discussed.

Ensure continuous service Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension a,b,c)

In case of a disaster the continuity of the IT services may be hampered when no appropriate continuity plan based on a continuity framework exists.

Formal Disaster Recovery plans are available.

- Obtain the disaster recovery plan. - Verify that it is based on approved business impact analyses and corresponding business requirements. - Verify that the tests not only cover bringing the systems up in the DR location but also provide sufficient assurance that the required load can be handled.

Periodical Disaster Recovery tests are performed.

- Verify that adequate capacity planning processes are in place. - Verify that current capacity is sufficient for the short term. - Verify that monitoring is in place for the availability and performance of both whole servers and Big Data application components. - Verify that incidents are adequately followed up. - Verify that all relevant network components, servers and databases are redundant. No single points of failure should exist.

40





Ensure Systems Security Figure D: Interacting dimensions Big Data (dimension a,b,c)

Inadequate safety measures to ensure systems security may results in unauthorised use of infra and databases, disclosure, modification, damage or loss of information, which impacts the integrity and availability of the entire IT landscape.

Management should have a control process in place to review and confirm access rights periodically. Periodic comparison of resources with recorded accountability should be made to help reduce the risk of errors, fraud, misuse or unauthorised alterations.

- The assignment of special privileges must be reviewed at least quarterly, with a formal sign-off by the responsible line managers. - Defined Ids and assigned roles must be reviewed at least semi-annually, with a formal sign-off by responsible line manager. - Role definitions and assigned rights to roles must be reviewed at least annually, with a formal sign-off by the manager and the involved system owners. - Determine that users who changed roles or left the organisation are blocked or removed. - Determine that the assignment of conflicting rights/roles is restricted to a specific period and is approved of next higher management. After this period, a reconfirmation is required

Figure D: Interacting dimensions Big Data (dimension a,b,c)

The logical access to and use of IT computing resources should be restricted by the implementation of adequate authentication to ensure authorised access by systems/applications.

- Determine that the minimum level of user authentication is the password. The password should meet the minimum requirements. - Verify that two-factor authentication is required for: Access to critical system functions; Access via Internet, public switched telephone networks (PSTN),or wireless connections, unless access is limited to a specific isolated computer environment that only gives access to functions or data that are not critical.


Timely action is ensured relating to requesting, establishing, issuing, suspending and closing of user accounts. A formal approval procedure outlining the data or system owner granting the access

- Determine that owners of information assets approve access to owned resources by business functions/roles (on a function and not an individual level). - Determine that line managers approve the assignment of their employees to access

41





privileges should be included. profiles. Ensure that only rights/roles that are formally requested by the user’s manager are assigned to Ids. - Determine that the assignment of special privileges (e.g. for trouble-shooting and maintenance purposes) is restricted on a need-to-use basis.


The logical access to and use of IT computing resources should be restricted by the implementation of adequate identification to restrict access to registered IDs and to relate actions to an ID.

- Assess the existence of generic User ID’s as generic User ID’s should not be used unless strictly necessary. - Determine that unique, personal User ID’s are used to identify system users and that each user only has access to one User ID.

Ensure Regulatory Compliance Table A: GRC-model (Governance processes) Figure D: Interacting dimensions Big Data (dimension a,b,c) Figure E: Investment reasons Big Data (business and technical reasons)

Inadequate data management leads to not compliant data retention periods.

Define and implement procedures for data storage and archival, so data remain accessible and usable. Establish storage and retention arrangements to satisfy legal, regulatory and business requirements for data

- Determine whether the retention periods/data removal/clearing for relevant data elements satisfy regulatory and legal requirements (e.g. Wbp, privacy, Tax and Basel II purposes). - Check whether there are rules stating that data, or output results from data source should be stored for a specific period of time, and if these are adhered to.

Due to poor data quality the organisation does not meet the law and regulations and could make business decisions based on misinformation. Risk is that the organisation is not compliant.

- Determine whether the data elements satisfy regulatory and legal requirements (e.g. Wbp, privacy, Tax and Basel II purposes).

42

Bijlage B: Big Data risico’s

43

Bijlage C: Samenvatting interviews

Aan alle personen en organisaties die hebben meegewerkt aan de interviews is anonimiteit

toegezegd.

44

Bijlage D: Zeven stappen van een interview30 The seven stages of an interview investigation (Kvale 1996) ‘’Thematizing and Designing an Interview Investigation’’. 1) Thematizing: Formulate the purpose of the investigation and describe the concept of the topic to be investigated before the interviews start. 2) Designing: Plan the design of the study, taking into consideration all seven stages, before the interview starts. 3) Interviewing: Conduct the interviews based on an interview guide and with a reflective approach to the knowledge sought. 4) Transcribing: Prepare the interview material for analysis, which commonly includes a transcription from oral speech to written text. 5) Analyzing: Decide, on the basis of the purpose and topic of the investigation and on the nature of the interview material, which methods of analysis are appropriate. 6) Verifying: Ascertain the generalizability, reliability, and validity of the interview findings. Reliability refers to how consistent the results are, and validity means whether an interview study investigates what is intended to be investigated. 7) Reporting: Communicate the findings of the study and the methods applied in a form that lives up to scientific criteria, takes the ethical aspects of the investigation into consideration, and that results in an readable product.

30

Interviewtechniek van Kvale (1996): An Introduction to Qualitative Research Interviewing

analyse van relevante aandachtspunten bij de toepassing...

Documents