... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen.

IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August

2011

Begrifflichkeiten

IT

IT Governance

CorporateGovernance

Unternehmens -strategie

Unternehmens-kultur

Technologie

Gover -nancevorgaben

IT-Rolle

IT-Skills

IT-Archi -tektur

IT-Strategie

Gesetzliche Vorgaben, FDA,

BaselII/III, SolvencyII, …

Branchen-anforderungen

Investoren Kunden-anforderungen

Best Practise

Wettbewerb

IT Governance Praxis

Merkmale von Governance

Corporate Governance Business Governance IT Governance

Trennung von Eigentum und Kontrolle Ausrichtung und Steuerung des Geschäfts Ausrichtung und Steuerung der IT

Im Nachhinein festgestellt Im Vorhinein festgelegt Im Vorhinein festgelegt

• Pflichten der Führungskräfte/Leiter• Deren gesetzliche/treuhänderische Einhaltung & Kontrolle

• Aktionärsrechte• Ethische Grundsätze & Integrität• Geschäftsabläufe, Risiken & Kontrolle

• Finanzbuchführung & Berichterstattung

• Anlagen-Management• Risiko-Management

• Geschäftsziele und -zielvorgaben

• Geschäftsstrategie und -planung

• Geschäftsaktivitäten und -prozesse

• Innovations- und Forschungskapazität

• Wissen & intellektuelles Kapital

• Informationen & ihr Management

• Personalwirtschaft

• Kundendienst & -beziehungen

• Interne und externe Kommunikation

• Performance-Kontrolle

• IT-Ziele

• Ausrichtung an Unternehmens- zielen

• IT-Ressourcen

• IT-Wissensmanagement

• IT-Strategie & Planung

• IT-Beschaffung & Einführung

• IT-Betrieb, Risiken & Kontrolle

• IT-Anlagen-Management

• IT-Risiko-Management

IT Governance - Elemente

Die Kernelemente sind:

• genaue Kenntnis über Wert und Werterbringung der IT• Management der mit der IT verbundenen Risiken• Umsetzung der steigenden Anforderungen an Steuerung und Kontrolle

Oder einfacher:

• Werte

• Risiken

• Kontrollen

Rahmenwerk COBIT - Hintergrund

COBIT (Control Objectives for Information and related Technology)• Orientierung am IT-Lifecycle: 4 Domänen Planung&Organisation, Akquisition&Implemementierung, Delivery&Support und Monitoring&Evaluierung

• insgesamt 34 IT Prozessen mit Steuerungszielen (Status, Veränderung, Erfolg)

• Anforderungen an Information: Effektivität, Effizient, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance, Verlässlichkeit

• IT-Ressourcen zur Erfüllung der Geschäftsprozesse: Anwendungen, Menschen, Infrastruktur

• Bestimmung des Reifegrades IT-Prozesse von nicht-existent bis optimiert

• Definition von Verantwortlichkeiten mit RACI Modell: Responsible, Accountable, Consultable, Informed

CobiT IT Lifecycle: 4 Domänen mit 34 IT-ProzessenPlanung & Organisation

(PO – Planning & Organization)Bereitstellung und Unterstützung

(DS – Delivery & Support)

PO1 Definition eines strategischen Plans für die IT DS1 Definition und Management von Service-Levels

PO2 Definition der Informationsarchitektur DS2 Management der Services von Drittanbietern

PO3 Bestimmung der technologischen Richtung DS3 Leistungs- und Kapazitäts-Management

PO4 Definition der IT-Organisation und ihrer Beziehungen DS4 Sicherstellen der Dienstleistungskontinuität

PO5 Management der IT-Investitionen DS5 Sicherstellen der Systemsicherheit

PO6 Kommunikation von Managementzielen und –richtungen DS6 Identifikation und Zuordnung von Kosten

PO7 Personal-Management DS7 Aus- und Weiterbildung der Endanwender

PO8 Qualitäts-Management DS8 Servicedesk- und Störfall-Management

PO9 IT-Risikobeurteilung und –management DS9 Konfigurations-Management

PO10 Projekt-Management DS10 Problem-Management Beschaffung und Implementierung

(AI – Acquisition & Implementation) DS11 Verwaltung von Daten

AI1 Identifikation von automatisierten Lösungen DS12 Verwaltung der physischen Umgebung

AI2 Beschaffung und Pflege von Anwendungssoftware DS13 Produktions-/Betriebs-Management

AI3 Beschaffung und Pflege der technologischen Infrastruktur Überwachung und Evaluierung(M – Monitoring & Evaluation)

AI4 Schaffen der Voraussetzungen für Betrieb und Nutzung ME1 Überwachung und Evaluierung der IT-Leistung

AI5 Beschaffung der IT-Ressourcen ME2 Überwachung und Evaluierung der internen Kontrollen

AI6 Change-Management ME3 Sicherstellen der Compliance

AI7 Installation und Akkreditierung von Lösungen und Änderungen ME4 Sicherstellen der IT-Governance

COBIT - Kontrollziele

Kontrolle über den IT-Prozess Sicherstellen der Systemsicherheit (AI5)

zur Erfüllung des Geschäftsanforderungen Schutz vor Informationen vor unberechtigter Verwendung, Aufdeckung oder Änderung, Beschäftigung oder Verlust

wird ermöglicht durch Logische Zugriffkontrollen, die sicherstellen, dass ein Zugriff auf Systeme, Daten und Programme auf berechtigte Personen beschränkt ist

Unter Berücksichtigung von: - Vertraulichkeits- Und Datenschutzanforderungen - Berechtigung, Authentisierung und Zugriffschutz - Benutzeridentifikation und Berechtigungsprofile - Need-to-have und Need-to-do - Verwaltung kryptographischer Schlüssel - Problemmeldewesen, Berichterstattung, Folgeaktivitäten - Entdeckung von Viren - Firewalls - Zentralisierte Sicherheitsadministration - Benutzerausbildung - Werkzeuge für Überwachung der Einhaltung rechtlicher Erfordernisse, - Einbruchversuche und Berichterstattung

Effek

tivitä

t

Effizi

enz

Vert

raul

ichk

eit

Inte

gritä

t

Verf

ügba

rkei

t

Com

pila

nce

Verlä

sslic

hkei

t

S P

Peop

le

Appl

icati

ons

Tech

nolo

gy

Faci

lities

Data

Beispiel: Übergeordnetes Kontrollziel des IT- Prozesses AI5

RACI für Datenbankadministratoren: AI

Acquire and Implement

Responsible

Accountable Consult Inform

AI1 Identify Automated Solutions X X

AI2Acquire and

Maintain Application Software

X X X

AI3Acquire and

Maintain Technology Infrastructure

X X X

AI4 Enable Operation and Use X X X

AI5 Procure IT Resources X X X

AI6 Manage Changes X

AI7Install and Accredit

Solutions and Changes

X

RACI für Datenbankadministratoren: DS

Deliver and Support Responsible

Accountable

Consult

Inform

DS1 Define and Manage Service Levels X X

DS2 Manage Third-party Services X X

DS3 Manage Performance and Capacity X X X

DS4 Ensure Continuous Service X X XDS5 Ensure Systems Security X X XDS6 Identify and Allocate Costs XDS7 Educate and Train Users XDS8 Manage Service Desk and

Incidents XDS9 Manage the Configuration XDS10 Manage Problems XDS11 Manage Data XDS12 Manage the Physical

Environment X XDS13 Manage Operations X

Cobit für DatenbankadministratorenBereich Cobit Domäne DSxOS Security 5.3 Identity Management

5.4 User Account ManagementDB Security Privilegien 5.3 Identity ManagementAccess Control 5.3 Identity Management;

5.4 User Account Management; 5.5 Security Testing, Surveilance and Monitoring;

Auditing&Logfiles 5.5 Security Testing, Surveilance and Monitoring;Trusted Relationship 5.3 Identity Management;

5.11 Exchange of Sensitive DataNetwork Security 5.3 Identity Management;

5.10 Network SecurityGeneral Control 5.1 Management of IT Security;

5.3 Identity Management; 5.5 Security Testing, Surveilance and Monitoring; 5.6 Security Incident Definition; 5.9 Malicious Software Prevention, Detection and CorrectionPO2.3 Data classification Schema

Application Security 5.3 Identity Management; 5.4 User Account Management; 13.4 Sensitive Documents and Output Devices

Vorbereitung des DBA

Bevor der Wirtschaftsprüfer zweimal klingelt

• Werden sensitive Accounts und Rechte monitored? • Werden Fehler im errlog.log monitored? Dito Tracefile-Erzeugung?• Backup&Recovery-Strategie, inkl. Dokumentation und regelmässiger Proben? Logische Sicherung mittels unloaddb nicht vergessen!!• Verwendet jeder DBA einen eigenen Account? Arbeiten alle DBAs als Ingres? Arbeiten alle User als Ingres?• Geordneter Prozess für Rechtevergabe und –entzug? Liste aktiver User aus PersoAbt? Rechte für Rollen, Gruppen, Profile?• Direkte grants von insert, delete, update? Grant … with grant?• Internet-Zugriffe auf die DB?• Emergency Access: Wie kommt man in der Not an die Passwörter?

• Daten-/Informations-Klassifikationsschema

• Zugriff auf multiple und sensitive Funktionen: Betrug, Diebstahl, …

Vorbereitung des DBA: Access Control

Access Control durch … ?

• Setzen von Ressource-Limits bei Query-Ausführung und Delegation von Admin-Arbeiten

• Rechte an Rollen, Gruppen, Profile statt an User

• View-Zugriff statt Tabellenzugriff (Restriktionen in der Praxis)

• Datenbankprozeduren, Trigger, Events

• Gruppe Public, Public Datenbanken

• Generische Accounts

• Zugriffe durch Dynamic SQL oder Zugriffe auf das Betriebssystem?

Control Objectives PO10

PO10.1 - Programme Management FrameworkPO10.2 - Project Management FrameworkPO10.3 - Project Management ApproachPO11.4 - Stakeholder CommitmentPO10.5 - Project Scope StatementPO10.6 - Project Phase InitiationPO10.7 - Integrated Project PlanPO11.8 - Project ResourcesPO10.9 - Project Risk ManagementPO10.10 - Project Quality PlanPO10.11 - Project Change ControlPO11.12 - Project Planning of Assurance MethodsPO10.13 - Project Performance Measurement, Reporting and MonitoringPO11.14 - Project Closure

Übersicht: Steuerungsziele für PO10 - Manage Projects

Reifegrad PO10 Projektmanagement [2]

“Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. Das Projektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen am Projektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet. Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie. Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessen und vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um die Unternehmensziele und nicht nur diejenigen der Informatik zu erreichen.

Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetzt und ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurde aufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstruktur implementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welche Outsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach der Inbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik-Ressourcen zur Beendigung der Projekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT-Ressourcen optimal verwendet werden zur Unterstützung der strategischen Initiativen.

Das Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement)

Vorbereitung der PM/PL

Bevor der Wirtschaftsprüfer zweimal klingelt

• Gibt es eine aktuelle Übersicht über Inhalt und Umfang alller IT-Projekte? • Passen IT-Projektportfolio uns unternehmensweites Projektportfolio zusammen?• Kennen die Mitarbeiter den aktuellen Projektmangement-Ansatz?• Werden Stakeholder beteiligt und informiert?• Messen der wesentlichen Projektkriterien

(Umfang, Leistung, Kosten, Qualität) ? • Formale Bestätigung von Phasen, Teilleistungen, … , Ende des Projektes?•…

Prozesse: input-putput-output

PO1 Strategische IT-PlanungPO3 Festlegung der IT- TechnologiePO10 ProjektmanagementAI1 Identifiziere automatisierte LösungenAI7 Installiere und akkreditiere Lösungen und ChangesDS3 Manage Performance und KapazitätDS6 Identifiziere und verrechne KostenME4 Sorge für IT-Governance

PO5 Manage the IT Investment (II)

Input

Kosten-/Nutzenbericht (PO1, AI2, DS6, ME1, ME4)

IT-Budgets (DS6)

Aktualisiertes IT-Serviceportfolio (DS1)

Aktualisiertes IT-Projektportfolio (PO10)

Output

PO5

Kennzahlen aus CobiT

KPI KGI IT Key Goal Indicators

• % der Projekte mit vorab definierten Nutzen

• % der bepreisten IT- Services

• % der Projekte mit nach- träglichem Review

• Frequenz des Nutzer- reporting

• % der Projekte, von denen eine Performance- Information verfügbar ist (Kostenperformance)

• Anzahl von Budget- abweichungen

• % der Budgetabweichungen Verglichen mit dem Gesamtbudget

• % der Reduktion der Stückkosten bei erbrachten IT-Services

• % der IT-Investitionen, die den vorab definierten Nutzen erbringen

• % der IT-Investitionen, die den vorab be - stimmten Geschäfts- nutzen erreichen oder übertreffen

• % der IT-Ausgaben im Verhältnis zu Business Value Driver (z.B.Verkaufs- wachstum infolge erhöhter Konnekt.)

• % der IT Value-Driver abgebildet auf die Business Value Driver

PO5 Manage the IT Investment (IV)

IT -

Führ

ung COBI

TISO 9001

ISO 27002

CMMI

SPICEISO 12207

ITIL V3 MOFMITO

IT -

Betr

ieb

IT -

Entw

ickl

ung

Prozessdefinition

Prozessanforderung

Prozessverbesserung

Schwerpunkte

Gel

tung

sber

eich

Überdeckungen der Referenzmodelle und Normen

Vergleich CobiT | ITIL

In ITIL wird bei der Messung der Prozesse eine kontinuierliche Verbesserung der Leistungserbringungsprozesse beschrieben, während COBIT eine kontinuierliche Verbesserung der gesamten IT-Abteilung beschreibt.

Weitere Eigenschaften der Kennzahlen im Vergleich:

COBIT ITIL

Zufriedenheit der Benutzer Erfüllung der Services

Zufriedenheit der Kunden Erfüllung der Verträge

Messzahlen eher qualitativ Messzahlen eher quantitativ

Messzahlen berücksichtigen auch die Übergänge zwischen IT und Business

Messzahlen sind nach intern (IT-Abteilung) gerichtet

Was machen die “Wettbewerber”?

Best Practice ?

Best Practice = Old PracticeGood Practice = Old Practice

Selber nachdenken + Anpassung an eigene Umgebung=

Richtige Praktik

Wie geht es weiter?

Fragen: Jetzt

Audit vor Ort: Kurzfristig nach Vereinbarung

Seminar: ab Januar 2012(Details via hmh@commitor.de)