Change management in IT-audit: waarom gestructureerd wijzigen cruciaal is

Change management is een van de meest fundamentele controls in de IT-audit. Wijzigingen aan systemen, applicaties, infrastructuur en configuraties vormen een belangrijke bron van incidenten wanneer ze niet gestructureerd worden doorgevoerd. Een effectief change management proces waarborgt dat wijzigingen gecontroleerd, geautoriseerd en gedocumenteerd plaatsvinden.

In vrijwel elk auditframework speelt change management een centrale rol. SOC 2 beoordeelt change management onder de Common Criteria CC8.1. ISO 27001 adresseert het in meerdere Annex A controls. ITIL beschrijft change management als een kernproces. Voor de auditor is het een van de eerste gebieden die wordt getoetst.

Het change management proces begint met een verzoek tot wijziging. De auditor controleert of wijzigingen worden aangevraagd, beschreven en beoordeeld voordat ze worden doorgevoerd. Dit omvat een risico-inschatting: wat is de impact van de wijziging en wat zijn de risico's als het misgaat? Kritieke wijzigingen vereisen een goedkeuring door een change advisory board of een vergelijkbaar orgaan.

De scheiding van taken is een essentieel onderdeel. De auditor controleert of de persoon die een wijziging ontwikkelt niet dezelfde persoon is die deze goedkeurt of in productie brengt. Deze segregation of duties voorkomt dat ongeautoriseerde of ongeteste wijzigingen in productie terechtkomen.

Testen voorafgaand aan implementatie is een ander kernpunt. De auditor beoordeelt of wijzigingen worden getest in een omgeving die vergelijkbaar is met productie, of testresultaten worden gedocumenteerd, en of er acceptatiecriteria zijn gedefinieerd waaraan de test moet voldoen.

De implementatie zelf wordt ook getoetst. Is er een implementatieplan? Is er een rollback-plan voor het geval de wijziging faalt? Wordt de wijziging uitgevoerd in een onderhoudsvenster om impact op gebruikers te minimaliseren? Wordt de wijziging na implementatie geverifieerd?

Emergency changes vormen een bijzonder aandachtsgebied. In urgente situaties kan het reguliere proces niet altijd worden gevolgd. De auditor controleert of er een apart proces is voor noodwijzigingen, of deze achteraf alsnog worden gedocumenteerd en goedgekeurd, en of het gebruik van noodwijzigingen niet structureel wordt als workaround voor het reguliere proces.

Secure Audit beoordeelt change management processen als standaard onderdeel van IT-audits. Neem contact op voor een beoordeling van uw wijzigingsbeheer.