Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen. IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August.

Ähnliche Präsentationen


Präsentation zum Thema: "... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen. IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August."—  Präsentation transkript:

1 ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen. IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August 2011

2 Begrifflichkeiten

3 IT IT Governance Corporate Governance Unternehmens - strategie Unternehmens- kultur Technologie Gover - nancevorgaben IT- Rolle IT- Skills IT- Archi - tektur IT- Strategie Gesetzliche Vorgaben, FDA, BaselII/III, SolvencyII, … Branchen- anforderungen Investoren Kunden- anforderungen Best Practise Wettbewerb IT Governance Praxis

4 Merkmale von Governance Corporate GovernanceBusiness GovernanceIT Governance Trennung von Eigentum und KontrolleAusrichtung und Steuerung des GeschäftsAusrichtung und Steuerung der IT Im Nachhinein festgestelltIm Vorhinein festgelegt Pflichten der Führungskräfte/Leiter Deren gesetzliche/treuhänderische Einhaltung & Kontrolle Aktionärsrechte Ethische Grundsätze & Integrität Geschäftsabläufe, Risiken & Kontrolle Finanzbuchführung & Berichterstattung Anlagen-Management Risiko-Management Geschäftsziele und -zielvorgaben Geschäftsstrategie und -planung Geschäftsaktivitäten und -prozesse Innovations- und Forschungskapazität Wissen & intellektuelles Kapital Informationen & ihr Management Personalwirtschaft Kundendienst & -beziehungen Interne und externe Kommunikation Performance-Kontrolle IT-Ziele Ausrichtung an Unternehmens- zielen IT-Ressourcen IT-Wissensmanagement IT-Strategie & Planung IT-Beschaffung & Einführung IT-Betrieb, Risiken & Kontrolle IT-Anlagen-Management IT-Risiko-Management

5 IT Governance - Elemente Die Kernelemente sind: genaue Kenntnis über Wert und Werterbringung der IT Management der mit der IT verbundenen Risiken Umsetzung der steigenden Anforderungen an Steuerung und Kontrolle Oder einfacher: Werte Risiken Kontrollen

6 Rahmenwerk COBIT - Hintergrund COBIT (Control Objectives for Information and related Technology) Orientierung am IT-Lifecycle: 4 Domänen Planung&Organisation, Akquisition&Implemementierung, Delivery&Support und Monitoring&Evaluierung insgesamt 34 IT Prozessen mit Steuerungszielen (Status, Veränderung, Erfolg) Anforderungen an Information: Effektivität, Effizient, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance, Verlässlichkeit IT-Ressourcen zur Erfüllung der Geschäftsprozesse: Anwendungen, Menschen, Infrastruktur Bestimmung des Reifegrades IT-Prozesse von nicht-existent bis optimiert Definition von Verantwortlichkeiten mit RACI Modell: Responsible, Accountable, Consultable, Informed

7 CobiT IT Lifecycle: 4 Domänen mit 34 IT-Prozessen Planung & Organisation (PO – Planning & Organization) Bereitstellung und Unterstützung (DS – Delivery & Support) PO1 Definition eines strategischen Plans für die IT DS1 Definition und Management von Service-Levels PO2 Definition der Informationsarchitektur DS2 Management der Services von Drittanbietern PO3 Bestimmung der technologischen Richtung DS3 Leistungs- und Kapazitäts-Management PO4 Definition der IT-Organisation und ihrer Beziehungen DS4 Sicherstellen der Dienstleistungskontinuität PO5 Management der IT-Investitionen DS5 Sicherstellen der Systemsicherheit PO6 Kommunikation von Managementzielen und –richtungen DS6 Identifikation und Zuordnung von Kosten PO7 Personal-Management DS7 Aus- und Weiterbildung der Endanwender PO8 Qualitäts-Management DS8 Servicedesk- und Störfall-Management PO9 IT-Risikobeurteilung und –management DS9 Konfigurations-Management PO10 Projekt-Management DS10 Problem-Management Beschaffung und Implementierung (AI – Acquisition & Implementation) DS11 Verwaltung von Daten AI1 Identifikation von automatisierten Lösungen DS12 Verwaltung der physischen Umgebung AI2 Beschaffung und Pflege von Anwendungssoftware DS13 Produktions-/Betriebs-Management AI3 Beschaffung und Pflege der technologischen Infrastruktur Überwachung und Evaluierung (M – Monitoring & Evaluation) AI4 Schaffen der Voraussetzungen für Betrieb und Nutzung ME1 Überwachung und Evaluierung der IT-Leistung AI5 Beschaffung der IT-Ressourcen ME2 Überwachung und Evaluierung der internen Kontrollen AI6 Change-Management ME3 Sicherstellen der Compliance AI7 Installation und Akkreditierung von Lösungen und Änderungen ME4 Sicherstellen der IT-Governance

8 C OBI T - Kontrollziele Kontrolle über den IT-Prozess Sicherstellen der Systemsicherheit (AI5) zur Erfüllung des Geschäftsanforderungen Schutz vor Informationen vor unberechtigter Verwendung, Aufdeckung oder Änderung, Beschäftigung oder Verlust wird ermöglicht durch Logische Zugriffkontrollen, die sicherstellen, dass ein Zugriff auf Systeme, Daten und Programme auf berechtigte Personen beschränkt ist Unter Berücksichtigung von: - Vertraulichkeits- Und Datenschutzanforderungen - Berechtigung, Authentisierung und Zugriffschutz - Benutzeridentifikation und Berechtigungsprofile - Need-to-have und Need-to-do - Verwaltung kryptographischer Schlüssel - Problemmeldewesen, Berichterstattung, Folgeaktivitäten - Entdeckung von Viren - Firewalls - Zentralisierte Sicherheitsadministration - Benutzerausbildung - Werkzeuge für Überwachung der Einhaltung rechtlicher Erfordernisse, - Einbruchversuche und Berichterstattung Effektivität EffizienzVertraulichkeitIntegritätVerfügbarkeitCompilanceVerlässlichkeit SP P People ApplicationsTechnologyFacilitiesData Beispiel: Übergeordnetes Kontrollziel des IT- Prozesses AI5

9 RACI für Datenbankadministratoren: AI Acquire and Implement ResponsibleAccountableConsultInform AI1 Identify Automated Solutions XX AI2 Acquire and Maintain Application Software XXX AI3 Acquire and Maintain Technology Infrastructure XXX AI4Enable Operation and Use XXX AI5Procure IT Resources XXX AI6Manage Changes X AI7 Install and Accredit Solutions and Changes X

10 RACI für Datenbankadministratoren: DS Deliver and Support ResponsibleAccountableConsultInform DS1 Define and Manage Service Levels XX DS2 Manage Third-party Services XX DS3 Manage Performance and Capacity XXX DS4 Ensure Continuous Service XXX DS5 Ensure Systems Security XXX DS6 Identify and Allocate Costs X DS7 Educate and Train Users X DS8 Manage Service Desk and Incidents X DS9 Manage the Configuration X DS10 Manage Problems X DS11 Manage Data X DS12 Manage the Physical Environment XX DS13 Manage Operations X

11 Cobit für Datenbankadministratoren BereichCobit Domäne DSx OS Security 5.3 Identity Management 5.4 User Account Management DB Security Privilegien5.3 Identity Management Access Control 5.3 Identity Management; 5.4 User Account Management; 5.5 Security Testing, Surveilance and Monitoring; Auditing&Logfiles5.5 Security Testing, Surveilance and Monitoring; Trusted Relationship 5.3 Identity Management; 5.11 Exchange of Sensitive Data Network Security 5.3 Identity Management; 5.10 Network Security General Control 5.1 Management of IT Security; 5.3 Identity Management; 5.5 Security Testing, Surveilance and Monitoring; 5.6 Security Incident Definition; 5.9 Malicious Software Prevention, Detection and Correction PO2.3 Data classification Schema Application Security5.3 Identity Management; 5.4 User Account Management; 13.4 Sensitive Documents and Output Devices

12 Vorbereitung des DBA Bevor der Wirtschaftsprüfer zweimal klingelt Werden sensitive Accounts und Rechte monitored? Werden Fehler im errlog.log monitored? Dito Tracefile-Erzeugung? Backup&Recovery-Strategie, inkl. Dokumentation und regelmässiger Proben? Logische Sicherung mittels unloaddb nicht vergessen!! Verwendet jeder DBA einen eigenen Account? Arbeiten alle DBAs als Ingres? Arbeiten alle User als Ingres? Geordneter Prozess für Rechtevergabe und –entzug? Liste aktiver User aus PersoAbt? Rechte für Rollen, Gruppen, Profile? Direkte grants von insert, delete, update? Grant … with grant? Internet-Zugriffe auf die DB? Emergency Access: Wie kommt man in der Not an die Passwörter? Daten-/Informations-Klassifikationsschema Zugriff auf multiple und sensitive Funktionen: Betrug, Diebstahl, …

13 Vorbereitung des DBA: Access Control Access Control durch … ? Setzen von Ressource-Limits bei Query-Ausführung und Delegation von Admin-Arbeiten Rechte an Rollen, Gruppen, Profile statt an User View-Zugriff statt Tabellenzugriff (Restriktionen in der Praxis) Datenbankprozeduren, Trigger, Events Gruppe Public, Public Datenbanken Generische Accounts Zugriffe durch Dynamic SQL oder Zugriffe auf das Betriebssystem?

14 Control Objectives PO10 PO Programme Management Framework PO Project Management Framework PO Project Management Approach PO Stakeholder Commitment PO Project Scope Statement PO Project Phase Initiation PO Integrated Project Plan PO Project Resources PO Project Risk Management PO Project Quality Plan PO Project Change Control PO Project Planning of Assurance Methods PO Project Performance Measurement, Reporting and Monitoring PO Project Closure Übersicht: Steuerungsziele für PO10 - Manage Projects

15 Reifegrad PO10 Projektmanagement[1] Nicht existent (0): Projektmanagement-Techniken werden nicht verwendet und die Unternehmung betrachtet Geschäftsauswirkungen nicht im Zusammenhang mit schlechtem Management oder Entwicklungsfehlern. Ad hoc (1): Die Unternehmen ist sich generell bewusst, dass Projektrisiken bestehen und das Projekte strukturiert werden müssen. Die Entscheidung für die Verwendung von Projektmanagement-Techniken und -vorgehen wird den einzelnen Projektleitern überlassen. Projekte werden generell schlecht definiert und enthalten keine geschäftlichen und technischen Ziele der Unternehmen oder der verantwortlichen Fachbereiche. Das Management fühlt sich kaum den Projekten verpflichtet und kritische Entscheide werden ohne Fachbereichsvertreter gefällt. Es gibt keine klare Projektorganisation und Rollen wie Verantwortlichkeiten sind nicht definiert. Projektpläne und Meilensteine sind ungenügend definiert. Der Arbeitsaufwand und andere Kosten werden nicht überwacht und mit dem Budget verglichen. Wiederholbar aber intuitiv (2): Die Geschäftsleitung hat die Notwendigkeit für ein IT-Projektmanagement formuliert. Die Unternehmung ist daran, von Projekt zu Projekt bestimmte Techniken und Methoden zu lernen. IT-Projekte beinhalten informelle geschäftlichen und technischen Ziele. Es bestehen Richtlinien für die meisten Aspekte des Projektmanagement, doch ihre Anwendung bleibt den einzelnen Projektleitern überlassen. Definierter Prozess (3): IT-Projektmanagementprozess und –methodologie wurden formal etabliert und kommuniziert. IT-Projekte werden mit angemessenen geschäftlichen und technischen Zielen definiert. Stakeholder sind im Projektmanagement involviert. Die IT-Projektorganisation und einzelne Rollen und Verantwortlichkeiten sind definiert. IT-Projekte verfügen über definierte und aktualisierte Projektmeilensteine, Pläne, Budget und Leistungsmessung. Qualitätssicherungsverfahren wurden definiert, aber durch die Projektleiter noch nicht umfassend angewandt. Richtlinien für die ausgewogene Verwendung von internen und externen Ressourcen wurden aufgestellt. Reifegrad/Beschreibung

16 Reifegrad PO10 Projektmanagement [2] Gemanaged und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. Das Projektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen am Projektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet. Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie. Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessen und vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um die Unternehmensziele und nicht nur diejenigen der Informatik zu erreichen. Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetzt und ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurde aufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstruktur implementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welche Outsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach der Inbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik- Ressourcen zur Beendigung der Projekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT- Ressourcen optimal verwendet werden zur Unterstützung der strategischen Initiativen. Das Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement)

17 Vorbereitung der PM/PL Bevor der Wirtschaftsprüfer zweimal klingelt Gibt es eine aktuelle Übersicht über Inhalt und Umfang alller IT-Projekte? Passen IT-Projektportfolio uns unternehmensweites Projektportfolio zusammen? Kennen die Mitarbeiter den aktuellen Projektmangement-Ansatz? Werden Stakeholder beteiligt und informiert? Messen der wesentlichen Projektkriterien (Umfang, Leistung, Kosten, Qualität) ? Formale Bestätigung von Phasen, Teilleistungen, …, Ende des Projektes? …

18 Prozesse: input-putput-output PO1 Strategische IT-Planung PO3 Festlegung der IT- Technologie PO10 Projektmanagement AI1 Identifiziere automatisierte Lösungen AI7 Installiere und akkreditiere Lösungen und Changes DS3 Manage Performance und Kapazität DS6 Identifiziere und verrechne Kosten ME4 Sorge für IT-Governance PO5 Manage the IT Investment (II) Input Kosten-/Nutzenbericht (PO1, AI2, DS6, ME1, ME4) IT-Budgets (DS6) Aktualisiertes IT-Serviceportfolio (DS1) Aktualisiertes IT-Projektportfolio (PO10) Output PO5

19 Kennzahlen aus CobiT KPI KGI IT Key Goal Indicators % der Projekte mit vorab definierten Nutzen % der bepreisten IT- Services % der Projekte mit nach- träglichem Review Frequenz des Nutzer- reporting % der Projekte, von denen eine Performance- Information verfügbar ist (Kostenperformance) Anzahl von Budget- abweichungen % der Budgetabweichungen Verglichen mit dem Gesamtbudget % der Reduktion der Stückkosten bei erbrachten IT-Services % der IT-Investitionen, die den vorab definierten Nutzen erbringen % der IT-Investitionen, die den vorab be - stimmten Geschäfts- nutzen erreichen oder übertreffen % der IT-Ausgaben im Verhältnis zu Business Value Driver (z.B.Verkaufs- wachstum infolge erhöhter Konnekt.) % der IT Value-Driver abgebildet auf die Business Value Driver PO5 Manage the IT Investment (IV)

20 IT - Führung COBI T ISO 9001 ISO CMMI SPICE ISO ITIL V3 MOF MITO IT - Betrieb IT - Entwicklung Prozessdefinition Prozessanforderun g Prozessverbesseru ng Schwerpunkte Geltungsbereich Überdeckungen der Referenzmodelle und Normen

21 Vergleich CobiT | ITIL In ITIL wird bei der Messung der Prozesse eine kontinuierliche Verbesserung der Leistungserbringungsprozesse beschrieben, während COBIT eine kontinuierliche Verbesserung der gesamten IT-Abteilung beschreibt. Weitere Eigenschaften der Kennzahlen im Vergleich: COBITITIL Zufriedenheit der BenutzerErfüllung der Services Zufriedenheit der KundenErfüllung der Verträge Messzahlen eher qualitativMesszahlen eher quantitativ Messzahlen berücksichtigen auch die Übergänge zwischen IT und Business Messzahlen sind nach intern (IT-Abteilung) gerichtet

22 Was machen die Wettbewerber?

23 Best Practice ? Best Practice = Old Practice Good Practice = Old Practice Selber nachdenken + Anpassung an eigene Umgebung = Richtige Praktik

24 Wie geht es weiter? Fragen: Jetzt Audit vor Ort: Kurzfristig nach Vereinbarung Seminar: ab Januar 2012 (Details via


Herunterladen ppt "... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen. IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August."

Ähnliche Präsentationen


Google-Anzeigen