Inleiding[Dit artikel is in hoge mate gebaseerd op de handleiding ZekeRE-Business van de NOREA ([NORE01]).]

Bij business-to-business handel via internet (e-B2B) is het vertrouwen in de elektronische handelspartner van groot belang, niet alleen qua organisatie, maar zeker ook qua techniek. Vertrouwen dient enerzijds te worden verdiend en anderzijds door waarborgen te zijn omgeven, waardoor dit vertrouwen gehandhaafd blijft. De NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland, heeft op deze behoefte aan vertrouwen ingespeeld door de ontwikkeling van het certificeringsproduct ZekeRE Business.

Dit product heeft als doel de gekwalificeerde IT-auditor en diens opdrachtgever een handvat te bieden om in een aantal stappen na te gaan of en zo ja, in welke mate het gebruik van internet in een bepaald bedrijfsproces als ‘veilig'[De NOREA verstaat onder het begrip veilig het ruime scala van kwaliteitsaspecten, zoals integriteit, exclusiviteit en continuïteit.] kan worden beschouwd dan wel kan worden gemaakt. ZekeRE Business is gericht op Nederland en tot op heden is slechts een beperkt aantal certificaten uitgereikt.

Betrokken partijen

ZekeRE Business beoogt een antwoord te zijn op een behoefte van managers aan steun en zekerheid wanneer zij internet gebruiken of willen gaan gebruiken in een bedrijfsproces dat is gericht op e-B2B (zowel handel als zakelijke dienstverlening). Bij de ontwikkeling van ZekeRE Business was het doel immers het verantwoordelijke management een goede ‘nachTrust’ te geven. De primaire gebruiker van ZekeRE Business en tevens opdrachtgever is dus het verantwoordelijke management van de e-B2B-toepassing.

Onder voorwaarden kan ook een openbaar certificaat worden afgegeven om op de internetsite van de e-B2B-toepassing te plaatsen. Hierdoor kan ook vertrouwen worden gegeven aan de e-B2B-handelspartners van de opdrachtgever. Een certificaat kan worden afgegeven door iedere organisatie, indien de eindverantwoordelijkheid voor het certificeringstraject bij een gekwalificeerde IT-auditor (RE) ligt.

In feite kan worden gesteld dat, indien de ZekeRE Business-mededeling niet aan derden wordt verstrekt en er geen openbaar certificaat wordt afgegeven, dit onderzoek is te classificeren als een adviesopdracht. Immers, voor een assuranceopdracht zijn drie partijen een vereiste, te weten de serviceprovider (in dit geval de opdrachtgever), de auditor en de gebruiker van de mededeling (zijnde niet de serviceprovider zelf). In het artikel van Van Langen elders in deze Compact, dat mede is gebaseerd op het auditframework ‘International Standard on Auditing 100’ van de International Federation of Accountants ([IFAC00]), wordt deze zienswijze verder toegelicht.

Onderzoek

De scope van ZekeRE Business beslaat alle beheermaatregelen die in het kader van het te auditen e-businessproces (zullen) zijn getroffen. Hiertoe behoren alle technologische en organisatorische maatregelen die invloed hebben op de veilige werking van het e-businessproces en dus op de zekerheid die de opdrachtgever aan zijn businesspartners kan bieden. Indien procesonderdelen zijn uitbesteed aan andere organisaties, dan behoren ook deze subprocessen tot de scope van de audit. De door de IT-auditor uit te voeren audit heeft onder andere betrekking op:

• het e-businessproces en de daarbijbehorende informatiesystemen;
• de relatie met de internetserviceprovider, inclusief het communicatietraject.

Aan de opdrachtgever wordt voorafgaand aan de ZekeRE Business-audit een beleidsdocument gevraagd waarin ten minste de volgende zes aandachtsgebieden dienen te zijn uitgewerkt: contentmanagement, infrastructuur, berichtenverkeer, transacties, logistieke organisatie en financiële organisatie.

Vervolgens wordt in samenspraak met de opdrachtgever het e-businessprofiel vastgesteld. Deze classificatie beoogt een kader te scheppen voor de beoordeling van de specifieke risico’s en het gewenste veiligheidsniveau dat is afgestemd op de aard van de onderneming. De e-businessprofielen die worden onderscheiden, zijn:

• Aanvullend. E-business is een aanvulling op of uitbreiding van de dienstverlening. Beveiliging en inperking van risico’s zijn impliciet wettelijk vereist. De opdrachtgever treedt op als goed huisvader.
• Belangrijk. E-business is van strategisch belang. Het beveiligingsniveau zal dus aan strengere eisen moeten voldoen.
• Essentieel. E-business van de organisatie heeft maatschappelijke impact. Schending van de beveiliging heeft dan ook maatschappelijke gevolgen.

Zoals in de Handleiding ZekeRE-business is beschreven, geeft goed huisvaderschap de ondergrens aan van de zorgvuldigheidsnorm: er kan pas sprake zijn van goed huisvaderschap als aan de wettelijke eisen is voldaan, zoals de Wet bescherming persoonsgegevens (Wbp). De meeste organisaties vallen dus in de categorie ‘Aanvullend’. Slechts een beperkt aantal organisaties valt in de categorie ‘Belangrijk’. Dit betreft organisaties die geen alternatieven hebben voor het gebruik van internet in hun bedrijfsproces. Hierbij kan worden gedacht aan webwinkels en pure internetbanken. In de categorie ‘Essentieel’ zijn slechts zeer weinig organisaties te classificeren. Immers, de maatschappelijke gevolgen van schending van de beveiliging zijn voor vrijwel alle organisaties beperkt. Een voorbeeld van een (in Nederland nog niet bestaande) organisatie waarbij die gevolgen wel zijn voor te stellen, is de (overheids)organisatie die het stemmen via internet exploiteert.

De NOREA stelt in de ZekeRE Business-productbeschrijving een doelstellingenmatrix beschikbaar, bestaande uit enerzijds normen onderverdeeld in de genoemde zes aandachtsgebieden en anderzijds per norm de veiligheidscriteria die relevant zijn (exclusiviteit, integriteit, authenticiteit, onweerlegbaarheid, continuïteit en controleerbaarheid). Op basis van deze doelstellingenmatrix en het vastgestelde e-businessprofiel stelt de IT-auditor samen met de opdrachtgever de ZekeRE Business-normen vast waaraan het e-businessproces moet voldoen. Vervolgens voert de IT-auditor de audit uit en bepaalt op basis van professional judgement of het samenstel van getroffen beheermaatregelen gedurende de verslagperiode in opzet, bestaan en werking heeft voldaan aan de vastgestelde ZekeRE Business-normen.

Uitkomsten

Ter afsluiting van de ZekeRE Business-audit[In de ZekeRE Business-productbeschrijving, die op de NOREA-website beschikbaar is gesteld, is de aanpak uitgebreid beschreven. In deze beschrijving is ook informatie opgenomen over het certificaat en de administratiekosten die hierover aan de NOREA verschuldigd zijn.] zal aan de opdrachtgever worden gerapporteerd. Deze rapportage bevat de gehanteerde normen, de bevindingen en – met een redelijke mate van zekerheid – het oordeel over de mate waarin opzet, bestaan en werking van de getroffen beheermaatregelen met betrekking tot het e-businessproces gedurende de verslagperiode hebben voldaan aan de vastgestelde ZekeRE Business-normen.

Indien de opdrachtgever dat wil, kan onder voorwaarden een ZekeRE Business-certificaat worden afgegeven. Dit certificaat is openbaar en wordt door de NOREA geregistreerd. De NOREA kent aan het certificaat een geldigheidsduur toe en heeft die gesteld op zes maanden vanaf het einde van de verslagperiode. Organisaties en de stand van de techniek zijn immers continu aan verandering onderhevig, waardoor herhaling van de audit elke zes maanden noodzakelijk is.