wenn der wind des wandels weht, bauen die einen mauern, die anderen windmühlen
Post on 21-Mar-2016
18 Views
Preview:
DESCRIPTION
TRANSCRIPT
... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen.
IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August
2011
Begrifflichkeiten
IT
IT Governance
CorporateGovernance
Unternehmens -strategie
Unternehmens-kultur
Technologie
Gover -nancevorgaben
IT-Rolle
IT-Skills
IT-Archi -tektur
IT-Strategie
Gesetzliche Vorgaben, FDA,
BaselII/III, SolvencyII, …
Branchen-anforderungen
Investoren Kunden-anforderungen
Best Practise
Wettbewerb
IT Governance Praxis
Merkmale von Governance
Corporate Governance Business Governance IT Governance
Trennung von Eigentum und Kontrolle Ausrichtung und Steuerung des Geschäfts Ausrichtung und Steuerung der IT
Im Nachhinein festgestellt Im Vorhinein festgelegt Im Vorhinein festgelegt
• Pflichten der Führungskräfte/Leiter• Deren gesetzliche/treuhänderische Einhaltung & Kontrolle
• Aktionärsrechte• Ethische Grundsätze & Integrität• Geschäftsabläufe, Risiken & Kontrolle
• Finanzbuchführung & Berichterstattung
• Anlagen-Management• Risiko-Management
• Geschäftsziele und -zielvorgaben
• Geschäftsstrategie und -planung
• Geschäftsaktivitäten und -prozesse
• Innovations- und Forschungskapazität
• Wissen & intellektuelles Kapital
• Informationen & ihr Management
• Personalwirtschaft
• Kundendienst & -beziehungen
• Interne und externe Kommunikation
• Performance-Kontrolle
• IT-Ziele
• Ausrichtung an Unternehmens- zielen
• IT-Ressourcen
• IT-Wissensmanagement
• IT-Strategie & Planung
• IT-Beschaffung & Einführung
• IT-Betrieb, Risiken & Kontrolle
• IT-Anlagen-Management
• IT-Risiko-Management
IT Governance - Elemente
Die Kernelemente sind:
• genaue Kenntnis über Wert und Werterbringung der IT• Management der mit der IT verbundenen Risiken• Umsetzung der steigenden Anforderungen an Steuerung und Kontrolle
Oder einfacher:
• Werte
• Risiken
• Kontrollen
Rahmenwerk COBIT - Hintergrund
COBIT (Control Objectives for Information and related Technology)• Orientierung am IT-Lifecycle: 4 Domänen Planung&Organisation, Akquisition&Implemementierung, Delivery&Support und Monitoring&Evaluierung
• insgesamt 34 IT Prozessen mit Steuerungszielen (Status, Veränderung, Erfolg)
• Anforderungen an Information: Effektivität, Effizient, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance, Verlässlichkeit
• IT-Ressourcen zur Erfüllung der Geschäftsprozesse: Anwendungen, Menschen, Infrastruktur
• Bestimmung des Reifegrades IT-Prozesse von nicht-existent bis optimiert
• Definition von Verantwortlichkeiten mit RACI Modell: Responsible, Accountable, Consultable, Informed
CobiT IT Lifecycle: 4 Domänen mit 34 IT-ProzessenPlanung & Organisation
(PO – Planning & Organization)Bereitstellung und Unterstützung
(DS – Delivery & Support)
PO1 Definition eines strategischen Plans für die IT DS1 Definition und Management von Service-Levels
PO2 Definition der Informationsarchitektur DS2 Management der Services von Drittanbietern
PO3 Bestimmung der technologischen Richtung DS3 Leistungs- und Kapazitäts-Management
PO4 Definition der IT-Organisation und ihrer Beziehungen DS4 Sicherstellen der Dienstleistungskontinuität
PO5 Management der IT-Investitionen DS5 Sicherstellen der Systemsicherheit
PO6 Kommunikation von Managementzielen und –richtungen DS6 Identifikation und Zuordnung von Kosten
PO7 Personal-Management DS7 Aus- und Weiterbildung der Endanwender
PO8 Qualitäts-Management DS8 Servicedesk- und Störfall-Management
PO9 IT-Risikobeurteilung und –management DS9 Konfigurations-Management
PO10 Projekt-Management DS10 Problem-Management Beschaffung und Implementierung
(AI – Acquisition & Implementation) DS11 Verwaltung von Daten
AI1 Identifikation von automatisierten Lösungen DS12 Verwaltung der physischen Umgebung
AI2 Beschaffung und Pflege von Anwendungssoftware DS13 Produktions-/Betriebs-Management
AI3 Beschaffung und Pflege der technologischen Infrastruktur Überwachung und Evaluierung(M – Monitoring & Evaluation)
AI4 Schaffen der Voraussetzungen für Betrieb und Nutzung ME1 Überwachung und Evaluierung der IT-Leistung
AI5 Beschaffung der IT-Ressourcen ME2 Überwachung und Evaluierung der internen Kontrollen
AI6 Change-Management ME3 Sicherstellen der Compliance
AI7 Installation und Akkreditierung von Lösungen und Änderungen ME4 Sicherstellen der IT-Governance
COBIT - Kontrollziele
Kontrolle über den IT-Prozess Sicherstellen der Systemsicherheit (AI5)
zur Erfüllung des Geschäftsanforderungen Schutz vor Informationen vor unberechtigter Verwendung, Aufdeckung oder Änderung, Beschäftigung oder Verlust
wird ermöglicht durch Logische Zugriffkontrollen, die sicherstellen, dass ein Zugriff auf Systeme, Daten und Programme auf berechtigte Personen beschränkt ist
Unter Berücksichtigung von: - Vertraulichkeits- Und Datenschutzanforderungen - Berechtigung, Authentisierung und Zugriffschutz - Benutzeridentifikation und Berechtigungsprofile - Need-to-have und Need-to-do - Verwaltung kryptographischer Schlüssel - Problemmeldewesen, Berichterstattung, Folgeaktivitäten - Entdeckung von Viren - Firewalls - Zentralisierte Sicherheitsadministration - Benutzerausbildung - Werkzeuge für Überwachung der Einhaltung rechtlicher Erfordernisse, - Einbruchversuche und Berichterstattung
Effek
tivitä
t
Effizi
enz
Vert
raul
ichk
eit
Inte
gritä
t
Verf
ügba
rkei
t
Com
pila
nce
Verlä
sslic
hkei
t
S P
Peop
le
Appl
icati
ons
Tech
nolo
gy
Faci
lities
Data
Beispiel: Übergeordnetes Kontrollziel des IT- Prozesses AI5
RACI für Datenbankadministratoren: AI
Acquire and Implement
Responsible
Accountable Consult Inform
AI1 Identify Automated Solutions X X
AI2Acquire and
Maintain Application Software
X X X
AI3Acquire and
Maintain Technology Infrastructure
X X X
AI4 Enable Operation and Use X X X
AI5 Procure IT Resources X X X
AI6 Manage Changes X
AI7Install and Accredit
Solutions and Changes
X
RACI für Datenbankadministratoren: DS
Deliver and Support Responsible
Accountable
Consult
Inform
DS1 Define and Manage Service Levels X X
DS2 Manage Third-party Services X X
DS3 Manage Performance and Capacity X X X
DS4 Ensure Continuous Service X X XDS5 Ensure Systems Security X X XDS6 Identify and Allocate Costs XDS7 Educate and Train Users XDS8 Manage Service Desk and
Incidents XDS9 Manage the Configuration XDS10 Manage Problems XDS11 Manage Data XDS12 Manage the Physical
Environment X XDS13 Manage Operations X
Cobit für DatenbankadministratorenBereich Cobit Domäne DSxOS Security 5.3 Identity Management
5.4 User Account ManagementDB Security Privilegien 5.3 Identity ManagementAccess Control 5.3 Identity Management;
5.4 User Account Management; 5.5 Security Testing, Surveilance and Monitoring;
Auditing&Logfiles 5.5 Security Testing, Surveilance and Monitoring;Trusted Relationship 5.3 Identity Management;
5.11 Exchange of Sensitive DataNetwork Security 5.3 Identity Management;
5.10 Network SecurityGeneral Control 5.1 Management of IT Security;
5.3 Identity Management; 5.5 Security Testing, Surveilance and Monitoring; 5.6 Security Incident Definition; 5.9 Malicious Software Prevention, Detection and CorrectionPO2.3 Data classification Schema
Application Security 5.3 Identity Management; 5.4 User Account Management; 13.4 Sensitive Documents and Output Devices
Vorbereitung des DBA
Bevor der Wirtschaftsprüfer zweimal klingelt
• Werden sensitive Accounts und Rechte monitored? • Werden Fehler im errlog.log monitored? Dito Tracefile-Erzeugung?• Backup&Recovery-Strategie, inkl. Dokumentation und regelmässiger Proben? Logische Sicherung mittels unloaddb nicht vergessen!!• Verwendet jeder DBA einen eigenen Account? Arbeiten alle DBAs als Ingres? Arbeiten alle User als Ingres?• Geordneter Prozess für Rechtevergabe und –entzug? Liste aktiver User aus PersoAbt? Rechte für Rollen, Gruppen, Profile?• Direkte grants von insert, delete, update? Grant … with grant?• Internet-Zugriffe auf die DB?• Emergency Access: Wie kommt man in der Not an die Passwörter?
• Daten-/Informations-Klassifikationsschema
• Zugriff auf multiple und sensitive Funktionen: Betrug, Diebstahl, …
Vorbereitung des DBA: Access Control
Access Control durch … ?
• Setzen von Ressource-Limits bei Query-Ausführung und Delegation von Admin-Arbeiten
• Rechte an Rollen, Gruppen, Profile statt an User
• View-Zugriff statt Tabellenzugriff (Restriktionen in der Praxis)
• Datenbankprozeduren, Trigger, Events
• Gruppe Public, Public Datenbanken
• Generische Accounts
• Zugriffe durch Dynamic SQL oder Zugriffe auf das Betriebssystem?
Control Objectives PO10
PO10.1 - Programme Management FrameworkPO10.2 - Project Management FrameworkPO10.3 - Project Management ApproachPO11.4 - Stakeholder CommitmentPO10.5 - Project Scope StatementPO10.6 - Project Phase InitiationPO10.7 - Integrated Project PlanPO11.8 - Project ResourcesPO10.9 - Project Risk ManagementPO10.10 - Project Quality PlanPO10.11 - Project Change ControlPO11.12 - Project Planning of Assurance MethodsPO10.13 - Project Performance Measurement, Reporting and MonitoringPO11.14 - Project Closure
Übersicht: Steuerungsziele für PO10 - Manage Projects
Reifegrad PO10 Projektmanagement [2]
“Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. Das Projektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen am Projektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet. Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie. Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessen und vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um die Unternehmensziele und nicht nur diejenigen der Informatik zu erreichen.
Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetzt und ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurde aufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstruktur implementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welche Outsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach der Inbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik-Ressourcen zur Beendigung der Projekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT-Ressourcen optimal verwendet werden zur Unterstützung der strategischen Initiativen.
Das Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement)
Vorbereitung der PM/PL
Bevor der Wirtschaftsprüfer zweimal klingelt
• Gibt es eine aktuelle Übersicht über Inhalt und Umfang alller IT-Projekte? • Passen IT-Projektportfolio uns unternehmensweites Projektportfolio zusammen?• Kennen die Mitarbeiter den aktuellen Projektmangement-Ansatz?• Werden Stakeholder beteiligt und informiert?• Messen der wesentlichen Projektkriterien
(Umfang, Leistung, Kosten, Qualität) ? • Formale Bestätigung von Phasen, Teilleistungen, … , Ende des Projektes?•…
Prozesse: input-putput-output
PO1 Strategische IT-PlanungPO3 Festlegung der IT- TechnologiePO10 ProjektmanagementAI1 Identifiziere automatisierte LösungenAI7 Installiere und akkreditiere Lösungen und ChangesDS3 Manage Performance und KapazitätDS6 Identifiziere und verrechne KostenME4 Sorge für IT-Governance
PO5 Manage the IT Investment (II)
Input
Kosten-/Nutzenbericht (PO1, AI2, DS6, ME1, ME4)
IT-Budgets (DS6)
Aktualisiertes IT-Serviceportfolio (DS1)
Aktualisiertes IT-Projektportfolio (PO10)
Output
PO5
Kennzahlen aus CobiT
KPI KGI IT Key Goal Indicators
• % der Projekte mit vorab definierten Nutzen
• % der bepreisten IT- Services
• % der Projekte mit nach- träglichem Review
• Frequenz des Nutzer- reporting
• % der Projekte, von denen eine Performance- Information verfügbar ist (Kostenperformance)
• Anzahl von Budget- abweichungen
• % der Budgetabweichungen Verglichen mit dem Gesamtbudget
• % der Reduktion der Stückkosten bei erbrachten IT-Services
• % der IT-Investitionen, die den vorab definierten Nutzen erbringen
• % der IT-Investitionen, die den vorab be - stimmten Geschäfts- nutzen erreichen oder übertreffen
• % der IT-Ausgaben im Verhältnis zu Business Value Driver (z.B.Verkaufs- wachstum infolge erhöhter Konnekt.)
• % der IT Value-Driver abgebildet auf die Business Value Driver
PO5 Manage the IT Investment (IV)
IT -
Führ
ung COBI
TISO 9001
ISO 27002
CMMI
SPICEISO 12207
ITIL V3 MOFMITO
IT -
Betr
ieb
IT -
Entw
ickl
ung
Prozessdefinition
Prozessanforderung
Prozessverbesserung
Schwerpunkte
Gel
tung
sber
eich
Überdeckungen der Referenzmodelle und Normen
Vergleich CobiT | ITIL
In ITIL wird bei der Messung der Prozesse eine kontinuierliche Verbesserung der Leistungserbringungsprozesse beschrieben, während COBIT eine kontinuierliche Verbesserung der gesamten IT-Abteilung beschreibt.
Weitere Eigenschaften der Kennzahlen im Vergleich:
COBIT ITIL
Zufriedenheit der Benutzer Erfüllung der Services
Zufriedenheit der Kunden Erfüllung der Verträge
Messzahlen eher qualitativ Messzahlen eher quantitativ
Messzahlen berücksichtigen auch die Übergänge zwischen IT und Business
Messzahlen sind nach intern (IT-Abteilung) gerichtet
Was machen die “Wettbewerber”?
Best Practice ?
Best Practice = Old PracticeGood Practice = Old Practice
Selber nachdenken + Anpassung an eigene Umgebung=
Richtige Praktik
Wie geht es weiter?
Fragen: Jetzt
Audit vor Ort: Kurzfristig nach Vereinbarung
Seminar: ab Januar 2012(Details via hmh@commitor.de)
top related