IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August 2011 ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen.
Download ReportTranscript IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August 2011 ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen.
IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August 2011 ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen. Begrifflichkeiten IT Governance Praxis Corporate Governance Gesetzliche Vorgaben, FDA, BaselII/III, SolvencyII, … Wettbewerb Gover nancevorgaben Unternehmens strategie IT Governance ITSkills ITRolle Branchenanforderungen ITStrategie IT Best Practise ITArchi tektur Technologie Unternehmenskultur Investoren Kundenanforderungen Merkmale von Governance Corporate Governance Business Governance IT Governance Trennung von Eigentum und Kontrolle Ausrichtung und Steuerung des Geschäfts Ausrichtung und Steuerung der IT Im Nachhinein festgestellt Im Vorhinein festgelegt Im Vorhinein festgelegt • Pflichten der Führungskräfte/Leiter • Geschäftsziele und -zielvorgaben • IT-Ziele • Deren gesetzliche/treuhänderische • Geschäftsstrategie und -planung • Ausrichtung an Unternehmens- Einhaltung & Kontrolle • Aktionärsrechte • Geschäftsaktivitäten und -prozesse zielen • Innovations- und Forschungskapazität • IT-Ressourcen • Wissen & intellektuelles Kapital • IT-Wissensmanagement • Informationen & ihr Management • IT-Strategie & Planung • Personalwirtschaft • IT-Beschaffung & Einführung • Kundendienst & -beziehungen • IT-Betrieb, Risiken & Kontrolle • Anlagen-Management • Interne und externe Kommunikation • IT-Anlagen-Management • Risiko-Management • Performance-Kontrolle • IT-Risiko-Management • Ethische Grundsätze & Integrität • Geschäftsabläufe, Risiken & Kontrolle • Finanzbuchführung & Berichterstattung IT Governance - Elemente Die Kernelemente sind: • genaue Kenntnis über Wert und Werterbringung der IT • Management der mit der IT verbundenen Risiken • Umsetzung der steigenden Anforderungen an Steuerung und Kontrolle Oder einfacher: • Werte • Risiken • Kontrollen Rahmenwerk COBIT - Hintergrund COBIT (Control Objectives for Information and related Technology) • Orientierung am IT-Lifecycle: 4 Domänen Planung&Organisation, Akquisition&Implemementierung, Delivery&Support und Monitoring&Evaluierung • insgesamt 34 IT Prozessen mit Steuerungszielen (Status, Veränderung, Erfolg) • Anforderungen an Information: Effektivität, Effizient, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance, Verlässlichkeit • IT-Ressourcen zur Erfüllung der Geschäftsprozesse: Anwendungen, Menschen, Infrastruktur • Bestimmung des Reifegrades IT-Prozesse von nicht-existent bis optimiert • Definition von Verantwortlichkeiten mit RACI Modell: Responsible, Accountable, Consultable, Informed CobiT IT Lifecycle: 4 Domänen mit 34 IT-Prozessen Planung & Organisation (PO – Planning & Organization) Bereitstellung und Unterstützung (DS – Delivery & Support) PO1 Definition eines strategischen Plans für die IT DS1 Definition und Management von Service-Levels PO2 Definition der Informationsarchitektur DS2 Management der Services von Drittanbietern PO3 Bestimmung der technologischen Richtung DS3 Leistungs- und Kapazitäts-Management PO4 Definition der IT-Organisation und ihrer Beziehungen DS4 Sicherstellen der Dienstleistungskontinuität PO5 Management der IT-Investitionen DS5 Sicherstellen der Systemsicherheit PO6 Kommunikation von Managementzielen und –richtungen DS6 Identifikation und Zuordnung von Kosten PO7 Personal-Management DS7 Aus- und Weiterbildung der Endanwender PO8 Qualitäts-Management DS8 Servicedesk- und Störfall-Management PO9 IT-Risikobeurteilung und –management DS9 Konfigurations-Management PO10 Projekt-Management DS10 Problem-Management Beschaffung und Implementierung (AI – Acquisition & Implementation) DS11 Verwaltung von Daten AI1 Identifikation von automatisierten Lösungen DS12 Verwaltung der physischen Umgebung AI2 Beschaffung und Pflege von Anwendungssoftware DS13 Produktions-/Betriebs-Management AI3 Beschaffung und Pflege der technologischen Infrastruktur Überwachung und Evaluierung (M – Monitoring & Evaluation) AI4 Schaffen der Voraussetzungen für Betrieb und Nutzung ME1 Überwachung und Evaluierung der IT-Leistung AI5 Beschaffung der IT-Ressourcen ME2 Überwachung und Evaluierung der internen Kontrollen AI6 Change-Management ME3 Sicherstellen der Compliance AI7 Installation und Akkreditierung von Lösungen und Änderungen ME4 Sicherstellen der IT-Governance Technology Beispiel: Übergeordnetes Kontrollziel des IT- Prozesses AI5 Applications COBIT - Kontrollziele Data Facilities zur Erfüllung des Geschäftsanforderungen Schutz vor Informationen vor unberechtigter Verwendung, Aufdeckung oder Änderung, Beschäftigung oder Verlust People Kontrolle über den IT-Prozess Sicherstellen der Systemsicherheit (AI5) S P Verlässlichkeit Compilance Verfügbarkeit Integrität Vertraulichkeit Effizienz Effektivität wird ermöglicht durch Logische Zugriffkontrollen, die sicherstellen, dass ein Zugriff auf Systeme, Daten und Programme auf berechtigte Personen beschränkt ist Unter Berücksichtigung von: - Vertraulichkeits- Und Datenschutzanforderungen - Berechtigung, Authentisierung und Zugriffschutz - Benutzeridentifikation und Berechtigungsprofile - Need-to-have und Need-to-do - Verwaltung kryptographischer Schlüssel - Problemmeldewesen, Berichterstattung, Folgeaktivitäten - Entdeckung von Viren - Firewalls - Zentralisierte Sicherheitsadministration - Benutzerausbildung - Werkzeuge für Überwachung der Einhaltung rechtlicher Erfordernisse, - Einbruchversuche und Berichterstattung RACI für Datenbankadministratoren: AI Acquire and Implement Responsible Accountable Consult Inform X X AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software X X X AI3 Acquire and Maintain Technology Infrastructure X X X AI4 Enable Operation and Use X X X AI5 Procure IT Resources X X X AI6 Manage Changes X AI7 Install and Accredit Solutions and Changes X RACI für Datenbankadministratoren: DS Deliver and Support Responsible Accountable Consult Inform DS1 Define and Manage Service Levels X X DS2 Manage Third-party Services X X DS3 DS4 DS5 Manage Performance and Capacity Ensure Continuous Service Ensure Systems Security X X X X X X DS6 Identify and Allocate Costs X DS7 Educate and Train Users Manage Service Desk and Incidents Manage the Configuration Manage Problems Manage Data Manage the Physical Environment Manage Operations X DS8 DS9 DS10 DS11 DS12 DS13 X X X X X X X X X X Cobit für Datenbankadministratoren Bereich OS Security DB Security Privilegien Access Control Auditing&Logfiles Trusted Relationship Network Security General Control Application Security Cobit Domäne DSx 5.3 Identity Management 5.4 User Account Management 5.3 Identity Management 5.3 Identity Management; 5.4 User Account Management; 5.5 Security Testing, Surveilance and Monitoring; 5.5 Security Testing, Surveilance and Monitoring; 5.3 Identity Management; 5.11 Exchange of Sensitive Data 5.3 Identity Management; 5.10 Network Security 5.1 Management of IT Security; 5.3 Identity Management; 5.5 Security Testing, Surveilance and Monitoring; 5.6 Security Incident Definition; 5.9 Malicious Software Prevention, Detection and Correction PO2.3 Data classification Schema 5.3 Identity Management; 5.4 User Account Management; 13.4 Sensitive Documents and Output Devices Vorbereitung des DBA Bevor der Wirtschaftsprüfer zweimal klingelt • Werden sensitive Accounts und Rechte monitored? • Werden Fehler im errlog.log monitored? Dito Tracefile-Erzeugung? • Backup&Recovery-Strategie, inkl. Dokumentation und regelmässiger Proben? Logische Sicherung mittels unloaddb nicht vergessen!! • Verwendet jeder DBA einen eigenen Account? Arbeiten alle DBAs als Ingres? Arbeiten alle User als Ingres? • Geordneter Prozess für Rechtevergabe und –entzug? Liste aktiver User aus PersoAbt? Rechte für Rollen, Gruppen, Profile? • Direkte grants von insert, delete, update? Grant … with grant? • Internet-Zugriffe auf die DB? • Emergency Access: Wie kommt man in der Not an die Passwörter? • Daten-/Informations-Klassifikationsschema • Zugriff auf multiple und sensitive Funktionen: Betrug, Diebstahl, … Vorbereitung des DBA: Access Control Access Control durch … ? • Setzen von Ressource-Limits bei Query-Ausführung und Delegation von Admin-Arbeiten • Rechte an Rollen, Gruppen, Profile statt an User • View-Zugriff statt Tabellenzugriff (Restriktionen in der Praxis) • Datenbankprozeduren, Trigger, Events • Gruppe Public, Public Datenbanken • Generische Accounts • Zugriffe durch Dynamic SQL oder Zugriffe auf das Betriebssystem? Control Objectives PO10 Übersicht: Steuerungsziele für PO10 - Manage Projects PO10.1 - Programme Management Framework PO10.2 - Project Management Framework PO10.3 - Project Management Approach PO11.4 - Stakeholder Commitment PO10.5 - Project Scope Statement PO10.6 - Project Phase Initiation PO10.7 - Integrated Project Plan PO11.8 - Project Resources PO10.9 - Project Risk Management PO10.10 - Project Quality Plan PO10.11 - Project Change Control PO11.12 - Project Planning of Assurance Methods PO10.13 - Project Performance Measurement, Reporting and Monitoring PO11.14 - Project Closure Reifegrad PO10 Projektmanagement [2] Das Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement) “Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. Das Projektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen am Projektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet. Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie. Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessen und vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um die Unternehmensziele und nicht nur diejenigen der Informatik zu erreichen. Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetzt und ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurde aufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstruktur implementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welche Outsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach der Inbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt InformatikRessourcen zur Beendigung der Projekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und ITRessourcen optimal verwendet werden zur Unterstützung der strategischen Initiativen. Vorbereitung der PM/PL Bevor der Wirtschaftsprüfer zweimal klingelt • Gibt es eine aktuelle Übersicht über Inhalt und Umfang alller IT-Projekte? • Passen IT-Projektportfolio uns unternehmensweites Projektportfolio zusammen? • Kennen die Mitarbeiter den aktuellen Projektmangement-Ansatz? • Werden Stakeholder beteiligt und informiert? • Messen der wesentlichen Projektkriterien (Umfang, Leistung, Kosten, Qualität) ? • Formale Bestätigung von Phasen, Teilleistungen, … , Ende des Projektes? •… Prozesse: input-putput-output PO5 Manage the IT Investment (II) Input Output Strategische IT-Planung Festlegung der IT- Technologie PO10 Projektmanagement AI1 Identifiziere automatisierte Lösungen AI7 Installiere und akkreditiere Lösungen und Changes DS3 Manage Performance und Kapazität DS6 Identifiziere und verrechne Kosten ME4 Sorge für IT-Governance Kosten-/Nutzenbericht (PO1, AI2, DS6, ME1, ME4) PO1 PO3 IT-Budgets (DS6) PO5 Aktualisiertes IT-Serviceportfolio (DS1) Aktualisiertes IT-Projektportfolio (PO10) Kennzahlen aus CobiT PO5 Manage the IT Investment (IV) KPI KGI • % der Projekte mit vorab definierten Nutzen • Anzahl von Budgetabweichungen • % der bepreisten IT- Services • % der Budgetabweichungen Verglichen mit dem Gesamtbudget • % der Projekte mit nachträglichem Review • Frequenz des Nutzerreporting • % der Projekte, von denen eine PerformanceInformation verfügbar ist (Kostenperformance) • % der Reduktion der Stückkosten bei erbrachten IT-Services • % der IT-Investitionen, die den vorab definierten Nutzen erbringen IT Key Goal Indicators • % der IT-Investitionen, die den vorab be stimmten Geschäftsnutzen erreichen oder übertreffen • % der IT-Ausgaben im Verhältnis zu Business Value Driver (z.B.Verkaufswachstum infolge erhöhter Konnekt.) • % der IT Value-Driver abgebildet auf die Business Value Driver Überdeckungen der Referenzmodelle und Normen IT - Führung COBIT ISO 9001 IT - Entwicklung IT - Betrieb Geltungsbereich ISO 27002 CMMI ISO 12207 SPICE ITIL V3 Prozessdefinition MOF Prozessanforderung Schwerpunkte MITO Prozessverbesserung Vergleich CobiT | ITIL In ITIL wird bei der Messung der Prozesse eine kontinuierliche Verbesserung der Leistungserbringungsprozesse beschrieben, während COBIT eine kontinuierliche Verbesserung der gesamten IT-Abteilung beschreibt. Weitere Eigenschaften der Kennzahlen im Vergleich: COBIT ITIL Zufriedenheit der Benutzer Erfüllung der Services Zufriedenheit der Kunden Erfüllung der Verträge Messzahlen eher qualitativ Messzahlen eher quantitativ Messzahlen berücksichtigen auch die Übergänge zwischen IT und Business Messzahlen sind nach intern (IT-Abteilung) gerichtet Was machen die “Wettbewerber”? Best Practice ? Best Practice = Old Practice Good Practice = Old Practice Selber nachdenken + Anpassung an eigene Umgebung = Richtige Praktik Wie geht es weiter? Fragen: Jetzt Audit vor Ort: Kurzfristig nach Vereinbarung Seminar: ab Januar 2012 (Details via [email protected])