Peter R. Bitterli, CISA, CISM, (noch nicht) CGEIT ISACA AHS, 25. November CGEIT: die (fünf)zehnjährige Entwicklungsgeschichte in 5 Minuten

Transkript

1 To CGEIT or not to CGEIT that is the question! 1 To C or not to C that is the question! Das neue ISACA-Zertifikat CGEIT (Certified in the Governance of Enterprise IT) scheint hoch-attraktiv zu sein. Bereits über 1000 Personen haben über den Grandfathering- Prozess das neue Zertifikat erhalten. Inhalt: CGEIT: die zehnjährige Entwicklungsgeschichte in 5 Minuten CGEIT-Areas voller Überraschungen Blick auf wichtigste Task und Knowledge Statements Vergleich zu CISA und CISM Warum ja und warum nein Peter R. Bitterli, CISA, CISM, (noch nicht) CGEIT ISACA AHS, 25. November 2008 Seite 1 To CGEIT or not to CGEIT that is the question! CGEIT: die (fünf)zehnjährige Entwicklungsgeschichte in 5 Minuten wie alles begann Seite 2

2 To CGEIT or not to CGEIT that is the question! 2 Am Anfang stand EDPAA Control Objectives Contol Objectives 4 th ed, Erscheinungsdatum 1992 Seite 3 Am Anfang stand COBIT I COBIT = Control Objectives for Information and Related Technology COBIT in Switzerland Results of a Very Recent Survey 15 of 97 use COBIT risk analysis: 4 audit: 9 security policy: 1 security handbook: 1 actuality ease of use indepence certification realization efficiency adaptibility result range of scope COBI T ゥ BITTERLI CONSULTING COBIT I, Erscheinungsdatum April 1996 Audit Guidelines Seite 4

3 To CGEIT or not to CGEIT that is the question! 3 COBIT II COBIT II Erscheinungsdatum April 1998 Control Objectives Seite 5 COBIT II Aus einer Präsentation (Oktober?) 1998 Aus einer Präsentation (November?) 1999 Seite 6

4 To CGEIT or not to CGEIT that is the question! 4 COBIT III Executive Summary Senior Executives (CEO, CIO) There is a Method... COBIT III, Erscheinungsdatum Juli 2000 Management Guidelines Framework Senior Operational Management The Method Is... Implementation Tool Set Director, Middle Management Here s How You Implement... Management Guidelines Director, Middle Management Here s How You Measure... Control Objectives Middle Management Minimum Controls Are... Audit Guidelines Line Management, Controls Practitioner Here s How You Audit... Key Goal Indicator Critical Success Factor Key Performance Indicator Maturity Model Seite 7 Elemente von COBIT 4.1 Stand Juli 2008 PERFORMANCE MEASUREMENT STRATEGIC ALIGNMENT RESOURCE MANAGEMENT VALUE DELIVERY RISK MANAGEMENT COBIT 4.1 Eigentliches Framework Kontrollziele High-Level Detaillierte Kontrollziele Management Guidelines Prozess Input-Output RACI Chart Ziele und Messgrössen Maturitäts-Modelle generisch spezifisch COBIT 4.1 Zusätzliche Komponenten IT Assurance Guide IT Governance Implementation Guide Control Practices COBIT Zusatzprodukte Control Objectives for SOX Control Objectives for Basel II COBIT Security Baseline COBIT Online COBIT Quickstart Seite 8

5 To CGEIT or not to CGEIT that is the question! 5 COBIT I bis 4.1 Eine Entwicklung in 4.5 Phasen? Governance Management Evolution Control Audit COBIT 1 COBIT 2 COBIT 3 COBIT Seite 9 To C or not to C that is the question! Seite 10

6 To CGEIT or not to CGEIT that is the question! 6 Offizielles Zielpublikum C-level executives (CEO, CIO, CFO, ) IT governance director/manager IS/IT director/manager IS/IT consultant IS/IT audit director/manager IS/IT compliance director/manager Information security director/manager Business executive/manager General manager Project manager Seite 11 Unser Zielpublikum Der CGEIT-Kurs richtet sich an alle Personen, welche im IT-Umfeld bereits grössere Management-Verantwortung tragen oder dorthin unterwegs sind: Führungs- und Fachverantwortliche im Bereich Compliance, Informations-/IT-Sicherheit, IT-Architektur, IT-Risikomanagement oder IT-(Strategie-) Beratung entsprechende Assurance-Funktionen wie Compliance, Audit usw. Projektleiter Seite 12

7 To CGEIT or not to CGEIT that is the question! 7 To CGEIT or not to CGEIT that is the question! Die CGEIT-Areas sind voller Überraschungen Seite 13 CGEIT das aktuelle Berufsbild für Spezialisten in IT-Governance IT-Governance Framework (25%) Strategische Ausrichtung (15%) Werte-Auslieferung(15%) Risikomanagement (20%) Ressourcen-Management (31%) Leistungs-Messung (12%) Seite 14

8 To CGEIT or not to CGEIT that is the question! 8 CGEIT-Zertifikat Voraussetzungen zur Erlangung des Zertifikates bestandene Prüfung und 5 Jahre Berufspraxis in IT-Governance mindestens 1 Jahr in Area 1, Rest in mindestens 2 Areas Anrechenbar maximal 2 Jahre: je max. 1 Jahr für Management-Tätigkeit ausserhalb IT- Governance; CISA, CISM; ITIL Service Manager; CITP; CITP; I.S.P.; PMP; CIA; CBM; Prince2); Advanced (postgraduate) degree from an accredited university in governance, information technology, information management or business administration behalten : minimale Weiterbildung und Maintenance Fee Seite 15 Seite 16

9 To CGEIT or not to CGEIT that is the question! 9 To CGEIT or not to CGEIT that is the question! Ein Blick auf die wichtigsten Task und Knowledge Statements Seite Task Statements in Area 1 IT-Governance Framework Definition, Einrichtung und Management- Strukturen Nutzenoptimierung für Unternehmen Sicherstellung der Einhaltung anwendbarer externer Anforderungen auch in der IT Anwendung bewährter IT-Praktiken Framework für Überwachung geeignete Rollen/Verantwortlichkeiten Rapportierung über Status Kommunikations-/Marketingkanäle Seite 18

10 To CGEIT or not to CGEIT that is the question! Task Statements in Area 2 Strategische Ausrichtung Rahmen für strategische Planung Anwendung Enterprise Architektur- Modelle Richtlinien/Verfahren für Planungsprozesse Beseitigung von Hindernissen Abstimmung Geschäftsbereiche und der IT Kaskadierung von Geschäfts- und IT-Zielen Unterhalt/Überwachung strateg. IT-Pläne Bewertung zukünftiger Technologien Seite Task Statements in Area 3 Werte-Auslieferung Engagement der Geschäftsbereiche Management IT-gestützter Investitionen Entwicklung/Unterhalt von IT-Lösungen Auslieferung von IT-Dienstleistungen Festlegung/Überwachung geeigneter Metriken Einbezug sämtlicher Stakeholder Sicherstellung der Ausrichtung Seite 20

11 To CGEIT or not to CGEIT that is the question! 11 8 Task Statements in Area 4 Risikomanagement (RM) Geschäftsstrategie und strategische Planungsprozesse Ausrichtung auf Unternehmens-RM konsistente Anwendung des RM-Frameworks Risikomanagementstrategien zeitgerechte Rapportierung auf richtiger Stufe Überwachungsprozesse Seite Task Statements in Area 5 Ressourcen-Management Erfassung der Ausbildungs-Bedürfnisse Richtlinien für Aus-/Weiterentwicklung Aufzeichnung der verfügbaren Ressourcen Durchführung von Gap-Analysen Zuordnung zu Investitionsprogrammen Sourcingstrategien Integration in Planungs-/Betriebsprozesse Standardisierung der IT-Infrastruktur Management/Schutz von IT-Werten Seite 22

12 To CGEIT or not to CGEIT that is the question! 12 7 Task Statements in Area 6 Leistungs-Messung Aufstellung der strategischen IT-Ziele Einrichtung von durch Metriken unterstützten Ergebnis- und Leistungsmessungen Bewertung der Leistung Reifegradmodelle und andere Beurteilungstechniken Verwendung kontin. Leistungsmessungen Berichterstattung an relevante Stakeholder Seite Knowledge Statements in Area 1 IT Governance Framework Enterprise governance framework, at enterprise level, business drivers, accountability for information requirements, data and system ownership, and IT processes, COBIT, Val IT, ITIL, CMMI, PRINCE2, PMBOK, TOGAF, ISO 17799/27000 series, IT Balanced Scorecard, continuous process improvement, Six Sigma, Total Quality Management, IT practices, needs and culture of enterprise, assurance methodologies, marketing and communications, mission, vision, guiding principles, critical success factors, cultural change Seite 24

13 To CGEIT or not to CGEIT that is the question! Knowledge Statements in Area 2 Strategische Ausrichtung Enterprise s mission, objectives, culture, economic and business environment, key business processes, structure, operational frameworks, systems, resources, internal and external stakeholder relationships, strategic planning process, enterprise architecture components, principles and frameworks, IT dashboard/balanced scorecard, benchmarking planned vs. actual strategic performance, investment programs, portfolio, program and project management techniques, value proposition, IT strategy, current and future technology direction, technological infrastructure plan ISACA After and Hours architecture Seminar: To CGEIT or not to CGEIT board that is the question! Seite 25 9 Knowledge Statements in Area 3 Werte-Auslieferung Enterprise s mission, objectives, culture, economic and business environment, key business processes, structure, value governance, IT investment management, business case development, portfolio program and project management practices, IT investment processes, funding models and investment life cycle management, including benefits management, cost optimization, solution delivery processes and practices, systems development life cycle, service delivery practices and processes, enterprise, information and IT architecture techniques and frameworks Seite 26

14 To CGEIT or not to CGEIT that is the question! Knowledge Statements in Area 4 Risikomanagement Strategic, portfolio, program, project, operations level risk; risk management frameworks and standards (e.g., COSO ERM, MoR, OCTAVE, ISO31000, AS/NZ 4360:2004), risk management framework, internal and external business environment, business strategies, map business process down to IT process, dependencies and root cause, risk appetite, IT resources, threats, vulnerabilities and opportunities, business risks, exposures and threats, quantitative and qualitative methods, sensitivity, criticality and maturity, quantitative/qualitative methods, process analysis techniques, ISACA After Hours Seminar: risk To CGEIT mitigation or not to CGEIT that is strategies, the question! techniques Seite Knowledge Statements Area 5 Ressourcen-Management Business and IT resources, acquisition processes, skill and technology mixes, HR management, business proficiency, competency, capability requirements, outsourcing, offshoring, investment program, operation and service level agreements, strengths and weaknesses, human and technical business and IT resources, requisite skill sets, work competency and proficiency, enterprise business strategies, business and IT resource planning, strategic/tactical planning methods, techniques and processes, quantitative/qualitative methods, business/it resource utilization, methods for monitoring ISACA After Hours Seminar: on To CGEIT resource or not to CGEIT performance that is the question! Seite 28

15 To CGEIT or not to CGEIT that is the question! Knowledge Statements in Area 6 Leistungs-Messung Business objectives, strategy mapping, balanced scorecard principles, IT maturity models, data collection techniques, continuous improvement methodologies, IT governance implementation practices, measures and metrics, outcome measures and performance drivers, practices in performance measurement, effective industry benchmarking techniques, measurements, good communications and organizational change, automated monitoring tools and techniques, root cause analysis techniques, life cycle cost-benefit analysis techniques, evaluating and monitoring IT performance ISACA After Hours Seminar: and To CGEIT or value not to CGEIT governance that is the question! Seite 29 Seite 30

16 To CGEIT or not to CGEIT that is the question! 16 To CGEIT or not to CGEIT that is the question! Vergleich zu CISA und CISM: Ähnlichkeiten & Unterschiede Seite 31 CISA Certified Information Systems Auditor erstmals veröffentlicht 1978 einziges weltweit anerkanntes Zertifikat breit abgestützt durch ISACA Berufsbild letztmals aktualisiert 2005 ca. 60,000 CISAs/ davon 39,000 aktuell ca. 465 CISAs (Nov 08) : Basis Ausbildung (IT-Audit)Wirtschaftsprüfer immer häufiger Anforderung für Bewerber (Spezialisten IT-Sicherheit/Revision) Seite 32

17 To CGEIT or not to CGEIT that is the question! 17 CISA das aktuelle Berufsbild für Spezialisten der Informatik-Sicherheit/Revision IT-Revisionsprozess (10%) IT-Governance (15%) Lebenszyklus-Management für Anwendungen und Infrastruktur (16%) IT Service Delivery und Support (14%) Schutz von Informationswerten (13%) Geschäftskontinuität und Katastrophenvorsorge (14%) Seite 33 Zielpublikum CISA-Berufsbild Personen, die sich mit Sicherheit, Kontrollierbarkeit und Ordnungsmässigkeit beschäftigen welche Verantwortung tragen für IT oder IT-Governance die COBIT kennen und anwenden wollen die viel von Informatik verstehen z.b. Sicherheitsbeauftragte, Compliance-Officer, Infomatikrevisoren, IT- Projektleiter, Projektcontroller,... Seite 34

18 To CGEIT or not to CGEIT that is the question! 18 CISA-Zertifikat Voraussetzungen zur Erlangung des Zertifikates bestandene Prüfung und 5 Jahre Berufspraxis in Audit, Control & Security anrechenbar: 1 Jahr als Informatiker oder Fachrevisor 1 Jahr für Vordiplom resp. 2 Jahre für Hochschuldiplom oder 1 Jahr für Berufsprüfung resp. 2 Jahre für Höhere Fachprüfung 1 Jahr für mind. 2 Jahre als hauptamlicher Universitätsausbildner in Fachgebiet behalten : minimale Weiterbildung und Maintenance Fee Seite 35 CISM Certified Information Security Manager erstmals veröffentlicht 2002 neues Zertifikat aufgrund Marktbedürfnisse Schwerpunkt Organisation - nicht Technik ca. 9,000 CISM, davon???? aktuell 130 CISM (Nov 08) Seite 36

19 To CGEIT or not to CGEIT that is the question! 19 CISM das aktuelle Berufsbild für Spezialisten im Umfeld der Informationssicherheit Governance der Informationssicherheit (23%) Informations-Risikomanagement (22%) Entwicklung des Programms für Informationssicherheit (17%) Management des Programms für Informationssicherheit (24%) Response Management (14%) Seite 37 Zielpublikum CISM-Berufsbild Personen, die eine Funktion in der Sicherheitsorganisation haben die verantwortlich sind für (einen Teilbereich der) Sicherheit die ISO / ISO kennen und anwenden wollen z.b. (Informations-) Sicherheitsbeauftragte, Risikomanager, Verantwortliche Business Continuity,... Seite 38

20 To CGEIT or not to CGEIT that is the question! 20 CISM-Zertifikat Voraussetzungen zur Erlangung des Zertifikates bestandene Prüfung und 5 Jahre Berufspraxis in Informationssicherheit mindestens 3 der 5 CISM-Areas abgedeckt mindestens 3 der 5 Jahre als Manager anrechenbar: 2 Jahre für Titel: CISA, CISSP, 1 Jahr für Führungspraxis in der Informatik SANS Global Information Assurance Certification Microsoft Certified Systems Engineer CompTIA Security+ Disaster Recovery Institute Cert. Business Continuity Professional behalten : minimale Weiterbildung Maintenance Fee Seite 39 CISA, CISM und CGEIT Die drei Berufsbilder im Vergleich CISA CISM CGEIT Erscheinungsjahr Anzahl Areas Anzahl Task Statements Anzahl Knowledge Statements Anzahl zertifizierte Personen 39,000 9,000 1,000 Anzahl Multiple-Choice Fragen in meiner DB (Stand ) ca. 2,100 ca. 1,300 ca. 100 Seite 40

21 To CGEIT or not to CGEIT that is the question! 21 CGEIT aus Optik CISA &CISM Welche Anteile aus den anderen Berufsbildern sind enthalten? CISA Anteil CISA an CGEIT CGEIT Anteil CISM an CGEIT CISM IT-Revisionsprozess (1; 10%) IT-Governance (2; 15%) 1/10 IT-Governance Framework (1; 25%) 1/5 Governance der Informationssicherheit (1; 23%) 1/50 Risikomanagement (4; 20%) 1/3 Informations-Risikomanagement (2; 22%) Lebenszyklus-Management (3; 16%) 1/10 Strategische Ausrichtung (2; 15%) IT Service Delivery und Support (4; 14%) 1/20 Werte-Auslieferung (3; 14%) 1/10 Ressourcen-Management (5; 13%) 1/20 Leistungsmessung (6; 12%) Schutz von Informationswerten (5; 31%) Entwicklung des Programms für Informationssicherheit (3; 17%) Management des Programms für Informationssicherheit (4; 24%) Geschäftskontinuität und Katastrophenvorsorge (6; 14%) Response Management (5; 14%) Seite 41 Seite 42

22 To CGEIT or not to CGEIT that is the question! 22 To CGEIT or not to CGEIT that is the question! Warum das neue Zertifikat ein Muss ist und warum man es lieber bleiben lassen sollte Seite 43 To CGEIT or not to CGEIT that is the question! Warum ja? nur 120 MC-Fragen zukunftsträchtig viele Wahrheiten aus COBIT bilden Basis man weiss das ja sowieso alles schon man kann bei der Vorbereitung seeeeeeeehr viel lernen Warum nein? nur ein neuer Titel maintenance fee COBIT alleine reicht nirgends hin Candidates Guide ist noch nicht griffig noch keine Lehrmittel aber teure Bücher Seite 44

23 To CGEIT or not to CGEIT that is the question! 23 To CGEIT or not to CGEIT that is the question! Ein Blick auf unsere CGEIT- Kurse Seite 45 Suche am ;15:30 Seite 46

24 To CGEIT or not to CGEIT that is the question! 24 CGEIT-Zertifikatskurs 1. Semester 2009 IT-Governance-Kurs (3 Tage; ab ) CGEIT-Repetitionsblock (2 Tage mit Übernachtung) CGEIT-Testprüfung & Besprechung (2 Tage) mind. 2 Testprüfungen total 7 Tage, CHF Semester 2009 Einführungstag (8.7.09) CGEIT-Kurs (3 Blöcke à 2 3 Tage) CGEIT-Repetitionsblock (2 Tage mit Übernachtung) CGEIT-Testprüfung & Besprechung (2 Tage) mind. 3 Testprüfungen total 13 Tage, CHF 7000 CISA: 15 Tage, 2 Übernachtungen, 1500 Seiten, 7 Testprüfungen, CHF CISM: 13 Tage, 1 Übernachtungen, 1100 Seiten, 5 Testprüfungen, CHF 8000 Seite 47 Unsere Zertifikatskurse CISA, CISM und CGEIT Achtung Wegen dem verzögerten Versand der Kursausschreibungen haben wir den Anmeldeschluss verschoben sowie einen zusätzlichen Einführungstag am 15. (CISA) resp. 16. (CISM) Dezember organisiert. CISA CISM CGEIT Anmeldeschluss Einführungstag Seite 48