IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August 2011 ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen.

Begrifflichkeiten

Gesetzliche Vorgaben, FDA, BaselII/III, SolvencyII, … IT Governance Praxis Gesetzliche Vorgaben, FDA, BaselII/III, SolvencyII, … Corporate Governance Wettbewerb Gover - nancevorgaben IT Governance Unternehmens - strategie IT- Skills IT- Rolle Branchen- anforderungen IT Best Practise IT- Strategie IT- Archi - tektur Technologie Unternehmens- kultur Kunden- anforderungen Investoren

Merkmale von Governance Corporate Governance Business Governance IT Governance Trennung von Eigentum und Kontrolle Ausrichtung und Steuerung des Geschäfts Ausrichtung und Steuerung der IT Im Nachhinein festgestellt Im Vorhinein festgelegt Pflichten der Führungskräfte/Leiter Deren gesetzliche/treuhänderische Einhaltung & Kontrolle Aktionärsrechte Ethische Grundsätze & Integrität Geschäftsabläufe, Risiken & Kontrolle Finanzbuchführung & Berichterstattung Anlagen-Management Risiko-Management Geschäftsziele und -zielvorgaben Geschäftsstrategie und -planung Geschäftsaktivitäten und -prozesse Innovations- und Forschungskapazität Wissen & intellektuelles Kapital Informationen & ihr Management Personalwirtschaft Kundendienst & -beziehungen Interne und externe Kommunikation Performance-Kontrolle IT-Ziele Ausrichtung an Unternehmens- zielen IT-Ressourcen IT-Wissensmanagement IT-Strategie & Planung IT-Beschaffung & Einführung IT-Betrieb, Risiken & Kontrolle IT-Anlagen-Management IT-Risiko-Management

IT Governance - Elemente Die Kernelemente sind: genaue Kenntnis über Wert und Werterbringung der IT Management der mit der IT verbundenen Risiken Umsetzung der steigenden Anforderungen an Steuerung und Kontrolle Oder einfacher: Werte Risiken Kontrollen

Rahmenwerk COBIT - Hintergrund COBIT (Control Objectives for Information and related Technology) Orientierung am IT-Lifecycle: 4 Domänen Planung&Organisation, Akquisition&Implemementierung, Delivery&Support und Monitoring&Evaluierung insgesamt 34 IT Prozessen mit Steuerungszielen (Status, Veränderung, Erfolg) Anforderungen an Information: Effektivität, Effizient, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance, Verlässlichkeit IT-Ressourcen zur Erfüllung der Geschäftsprozesse: Anwendungen, Menschen, Infrastruktur Bestimmung des Reifegrades IT-Prozesse von nicht-existent bis optimiert Definition von Verantwortlichkeiten mit RACI Modell: Responsible, Accountable, Consultable, Informed

CobiT IT Lifecycle: 4 Domänen mit 34 IT-Prozessen Planung & Organisation (PO – Planning & Organization) Bereitstellung und Unterstützung (DS – Delivery & Support) PO1 Definition eines strategischen Plans für die IT DS1 Definition und Management von Service-Levels PO2 Definition der Informationsarchitektur DS2 Management der Services von Drittanbietern PO3 Bestimmung der technologischen Richtung DS3 Leistungs- und Kapazitäts-Management PO4 Definition der IT-Organisation und ihrer Beziehungen DS4 Sicherstellen der Dienstleistungskontinuität PO5 Management der IT-Investitionen DS5 Sicherstellen der Systemsicherheit PO6 Kommunikation von Managementzielen und –richtungen DS6 Identifikation und Zuordnung von Kosten PO7 Personal-Management DS7 Aus- und Weiterbildung der Endanwender PO8 Qualitäts-Management DS8 Servicedesk- und Störfall-Management PO9 IT-Risikobeurteilung und –management DS9 Konfigurations-Management PO10 Projekt-Management DS10 Problem-Management Beschaffung und Implementierung (AI – Acquisition & Implementation) DS11 Verwaltung von Daten AI1 Identifikation von automatisierten Lösungen DS12 Verwaltung der physischen Umgebung AI2 Beschaffung und Pflege von Anwendungssoftware DS13 Produktions-/Betriebs-Management AI3 Beschaffung und Pflege der technologischen Infrastruktur Überwachung und Evaluierung (M – Monitoring & Evaluation) AI4 Schaffen der Voraussetzungen für Betrieb und Nutzung ME1 Überwachung und Evaluierung der IT-Leistung AI5 Beschaffung der IT-Ressourcen ME2 Überwachung und Evaluierung der internen Kontrollen AI6 Change-Management ME3 Sicherstellen der Compliance AI7 Installation und Akkreditierung von Lösungen und Änderungen ME4 Sicherstellen der IT-Governance

COBIT - Kontrollziele Beispiel: Übergeordnetes Kontrollziel des IT- Prozesses AI5  People Applications Technology Facilities Data Kontrolle über den IT-Prozess Sicherstellen der Systemsicherheit (AI5) zur Erfüllung des Geschäftsanforderungen Schutz vor Informationen vor unberechtigter Verwendung, Aufdeckung oder Änderung, Beschäftigung oder Verlust wird ermöglicht durch Logische Zugriffkontrollen, die sicherstellen, dass ein Zugriff auf Systeme, Daten und Programme auf berechtigte Personen beschränkt ist Unter Berücksichtigung von: - Vertraulichkeits- Und Datenschutzanforderungen - Berechtigung, Authentisierung und Zugriffschutz - Benutzeridentifikation und Berechtigungsprofile - Need-to-have und Need-to-do - Verwaltung kryptographischer Schlüssel - Problemmeldewesen, Berichterstattung, Folgeaktivitäten - Entdeckung von Viren - Firewalls - Zentralisierte Sicherheitsadministration - Benutzerausbildung - Werkzeuge für Überwachung der Einhaltung rechtlicher Erfordernisse, - Einbruchversuche und Berichterstattung Effektivität Effizienz Vertraulichkeit Integrität Verfügbarkeit Compilance Verlässlichkeit S P P

RACI für Datenbankadministratoren: AI Acquire and Implement Responsible Accountable Consult Inform AI1 Identify Automated Solutions X AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes

RACI für Datenbankadministratoren: DS Deliver and Support Responsible Accountable Consult Inform DS1 Define and Manage Service Levels X DS2 Manage Third-party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations

Cobit für Datenbankadministratoren Bereich Cobit Domäne DSx OS Security 5.3 Identity Management 5.4 User Account Management DB Security Privilegien Access Control 5.3 Identity Management; 5.4 User Account Management; 5.5 Security Testing, Surveilance and Monitoring; Auditing&Logfiles Trusted Relationship 5.11 Exchange of Sensitive Data Network Security 5.10 Network Security General Control 5.1 Management of IT Security; 5.6 Security Incident Definition; 5.9 Malicious Software Prevention, Detection and Correction PO2.3 Data classification Schema Application Security 13.4 Sensitive Documents and Output Devices

Vorbereitung des DBA Bevor der Wirtschaftsprüfer zweimal klingelt Werden sensitive Accounts und Rechte monitored? Werden Fehler im errlog.log monitored? Dito Tracefile-Erzeugung? Backup&Recovery-Strategie, inkl. Dokumentation und regelmässiger Proben? Logische Sicherung mittels unloaddb nicht vergessen!! Verwendet jeder DBA einen eigenen Account? Arbeiten alle DBAs als Ingres? Arbeiten alle User als Ingres? Geordneter Prozess für Rechtevergabe und –entzug? Liste aktiver User aus PersoAbt? Rechte für Rollen, Gruppen, Profile? Direkte grants von insert, delete, update? Grant … with grant? Internet-Zugriffe auf die DB? Emergency Access: Wie kommt man in der Not an die Passwörter? Daten-/Informations-Klassifikationsschema Zugriff auf multiple und sensitive Funktionen: Betrug, Diebstahl, …

Vorbereitung des DBA: Access Control Access Control durch … ? Setzen von Ressource-Limits bei Query-Ausführung und Delegation von Admin-Arbeiten Rechte an Rollen, Gruppen, Profile statt an User View-Zugriff statt Tabellenzugriff (Restriktionen in der Praxis) Datenbankprozeduren, Trigger, Events Gruppe Public, Public Datenbanken Generische Accounts Zugriffe durch Dynamic SQL oder Zugriffe auf das Betriebssystem?

Control Objectives PO10 Übersicht: Steuerungsziele für PO10 - Manage Projects PO10.1 - Programme Management Framework PO10.2 - Project Management Framework PO10.3 - Project Management Approach PO11.4 - Stakeholder Commitment PO10.5 - Project Scope Statement PO10.6 - Project Phase Initiation PO10.7 - Integrated Project Plan PO11.8 - Project Resources PO10.9 - Project Risk Management PO10.10 - Project Quality Plan PO10.11 - Project Change Control PO11.12 - Project Planning of Assurance Methods PO10.13 - Project Performance Measurement, Reporting and Monitoring PO11.14 - Project Closure

Reifegrad PO10 Projektmanagement[1] Reifegrad/Beschreibung Nicht existent (0): Projektmanagement-Techniken werden nicht verwendet und die Unternehmung betrachtet Geschäftsauswirkungen nicht im Zusammenhang mit schlechtem Management oder Entwicklungsfehlern. Ad hoc (1): Die Unternehmen ist sich generell bewusst, dass Projektrisiken bestehen und das Projekte strukturiert werden müssen. Die Entscheidung für die Verwendung von Projektmanagement-Techniken und -vorgehen wird den einzelnen Projektleitern überlassen. Projekte werden generell schlecht definiert und enthalten keine geschäftlichen und technischen Ziele der Unternehmen oder der verantwortlichen Fachbereiche. Das Management fühlt sich kaum den Projekten verpflichtet und kritische Entscheide werden ohne Fachbereichsvertreter gefällt. Es gibt keine klare Projektorganisation und Rollen wie Verantwortlichkeiten sind nicht definiert. Projektpläne und Meilensteine sind ungenügend definiert. Der Arbeitsaufwand und andere Kosten werden nicht überwacht und mit dem Budget verglichen. Wiederholbar aber intuitiv (2): Die Geschäftsleitung hat die Notwendigkeit für ein IT-Projektmanagement formuliert. Die Unternehmung ist daran, von Projekt zu Projekt bestimmte Techniken und Methoden zu lernen. IT-Projekte beinhalten informelle geschäftlichen und technischen Ziele. Es bestehen Richtlinien für die meisten Aspekte des Projektmanagement, doch ihre Anwendung bleibt den einzelnen Projektleitern überlassen. Definierter Prozess (3): IT-Projektmanagementprozess und –methodologie wurden formal etabliert und kommuniziert. IT-Projekte werden mit angemessenen geschäftlichen und technischen Zielen definiert. Stakeholder sind im Projektmanagement involviert. Die IT-Projektorganisation und einzelne Rollen und Verantwortlichkeiten sind definiert. IT-Projekte verfügen über definierte und aktualisierte Projektmeilensteine, Pläne, Budget und Leistungsmessung. Qualitätssicherungsverfahren wurden definiert, aber durch die Projektleiter noch nicht umfassend angewandt. Richtlinien für die ausgewogene Verwendung von internen und externen Ressourcen wurden aufgestellt.

Reifegrad PO10 Projektmanagement [2] Das Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement) “Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. Das Projektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen am Projektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet. Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie. Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessen und vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um die Unternehmensziele und nicht nur diejenigen der Informatik zu erreichen. Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetzt und ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurde aufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstruktur implementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welche Outsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach der Inbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik-Ressourcen zur Beendigung der Projekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT-Ressourcen optimal verwendet werden zur Unterstützung der strategischen Initiativen.

Vorbereitung der PM/PL Bevor der Wirtschaftsprüfer zweimal klingelt Gibt es eine aktuelle Übersicht über Inhalt und Umfang alller IT-Projekte? Passen IT-Projektportfolio uns unternehmensweites Projektportfolio zusammen? Kennen die Mitarbeiter den aktuellen Projektmangement-Ansatz? Werden Stakeholder beteiligt und informiert? Messen der wesentlichen Projektkriterien (Umfang, Leistung, Kosten, Qualität) ? Formale Bestätigung von Phasen, Teilleistungen, … , Ende des Projektes? …

Prozesse: input-putput-output PO5 Manage the IT Investment (II) Input PO5 Output PO1 Strategische IT-Planung PO3 Festlegung der IT- Technologie PO10 Projektmanagement AI1 Identifiziere automatisierte Lösungen AI7 Installiere und akkreditiere Lösungen und Changes DS3 Manage Performance und Kapazität DS6 Identifiziere und verrechne Kosten ME4 Sorge für IT-Governance Kosten-/Nutzenbericht (PO1, AI2, DS6, ME1, ME4) IT-Budgets (DS6) Aktualisiertes IT-Serviceportfolio (DS1) Aktualisiertes IT-Projektportfolio (PO10)

Kennzahlen aus CobiT PO5 Manage the IT Investment (IV) KPI KGI IT Key Goal Indicators % der Projekte mit vorab definierten Nutzen % der bepreisten IT- Services % der Projekte mit nach- träglichem Review Frequenz des Nutzer- reporting % der Projekte, von denen eine Performance- Information verfügbar ist (Kostenperformance) Anzahl von Budget- abweichungen % der Budgetabweichungen Verglichen mit dem Gesamtbudget % der Reduktion der Stückkosten bei erbrachten IT-Services % der IT-Investitionen, die den vorab definierten Nutzen erbringen die den vorab be - stimmten Geschäfts- nutzen erreichen oder übertreffen % der IT-Ausgaben im Verhältnis zu Business Value Driver (z.B.Verkaufs- wachstum infolge erhöhter Konnekt.) % der IT Value-Driver abgebildet auf die Business Value Driver

Überdeckungen der Referenzmodelle und Normen COBIT ISO 9001 IT - Führung ISO 27002 CMMI ISO 12207 IT - Entwicklung Geltungsbereich SPICE ITIL V3 MOF MITO IT - Betrieb Prozessdefinition Prozessanforderung Prozessverbesserung Schwerpunkte

Vergleich CobiT | ITIL In ITIL wird bei der Messung der Prozesse eine kontinuierliche Verbesserung der Leistungserbringungsprozesse beschrieben, während COBIT eine kontinuierliche Verbesserung der gesamten IT-Abteilung beschreibt. Weitere Eigenschaften der Kennzahlen im Vergleich: COBIT ITIL Zufriedenheit der Benutzer Erfüllung der Services Zufriedenheit der Kunden Erfüllung der Verträge Messzahlen eher qualitativ Messzahlen eher quantitativ Messzahlen berücksichtigen auch die Übergänge zwischen IT und Business Messzahlen sind nach intern (IT-Abteilung) gerichtet

Was machen die “Wettbewerber”?

Best Practice = Old Practice Good Practice = Old Practice Selber nachdenken + Anpassung an eigene Umgebung = Richtige Praktik

Audit vor Ort: Kurzfristig nach Vereinbarung Wie geht es weiter? Fragen: Jetzt Audit vor Ort: Kurzfristig nach Vereinbarung Seminar: ab Januar 2012 (Details via hmh@commitor.de)