Aktuelle Herausforderungen der Revision im IT-Umfeld

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Aktuelle Herausforderungen der Revision im IT-Umfeld"

Transkript

1 1 Aktuelle Herausforderungen der Revision im IT-Umfeld Bewegen Sie sich jetzt, bevor Sie untergehen! ISACA After Hours Seminar 29. Juni 2010 Peter R. Bitterli CISA, CISM, CGEIT Bitte beachten Sie das Urheberrecht: Sie dürfen diese Folien ausschliesslich zusammen mit diesem Copyright-Vermerk an Dritte weitergeben. Wenn Sie Teile daraus in eigenen Referaten oder Darstellungen verwenden, bitte ich Sie um einen entsprechenden Quellenhinweis so wie auch ich bei allen von anderen Personen oder Stellen übernommenen Darstellungen einen entsprechenden Hinweis aufführe. Jegliche kommerzielle Verwendung (z.b: in einem Kurs, in Artikeln, in Broschüren usw.) ist nur mit schriftlicher Einverständnis des Verfassers gestattet. Inhaltsübersicht Typische Feststellungen von IT-Revisionen Neue (?) IT-Architekturen Virtualisierung & Cloud Computing Zukunft der IT Zusammenarbeit Interne/Externe Revision mit IT-Revision Schlussfolgerungen

2 2 Kurze Einführung Prozessebene Geschäftsprozesskontrollen IT-Anwendung IT-Anwendungskontrollen IT-Basissysteme Generelle / spezielle IT-Kontrollen IT-Infrastruktur Generelle / spezielle IT-Kontrollen Risiko im Geschäftsprozess Risiko in Informatik- Infrastruktur Kontrolle Definition Informatikrevision Informatikrevision (information systems auditing) ist definiert als jede Revision, welche die Überprüfung und Beurteilung aller Aspekte von automatisierten, informationsverarbeitenden Systemen (oder Teilen davon) umfasst; inklusive der damit zusammenhängenden nicht-automatisierten Prozesse und ihrer Schnittstellen. ISACA

3 3 Definition Ordnungsmässigkeit Eine Buchführung, Bilanzierung und Erfolgsermittlung ist dann ordnungsgemäss, wenn sie vollständig wahr klar aktuell (à jour) systematisch angelegt zweckmässig organisiert nachprüfbar ist. Ordnungsmässigkeit und Informatik Phasen/ Anforderungen Erfassung & Eingabe Verarbeitung Ausgabe & Aufbewahrung wahr x x klar x x vollständig x x x aktuell (à jour) x x systematisch x x x zweckmässig x x nachprüfbar x x x Fortführung x Vorsicht x Stetigkeit (x) x Bruttoprinzip x x Interne Kontrolle Besondere Aspekte der Informatik Belegprinzip Kontenführung Grundjournal Aufbewahrung Prüfpfad Quelle: Lukas Marbacher

4 4 Typische Feststellungen Eine Einführung in eher generische Schwachstellen Die nachfolgenden Zitate stammen aus Revisionsberichten der letzten zehn Jahre. Die Aussagen sind echt, aber aus didaktischen Gründen und wegen dem notwendigen Vertraulichkeitsschutz so entstellt, dass keine Rückschlüsse auf die betroffenen Unternehmen möglich sind. Die Beispiele sind aber dermassen typisch, dass sich jeder angesprochen fühlen könnte. Änderungsmanagement (I) Typische Revisionsfeststellungen Änderungen werden nicht nachvollziehbar festgehalten Für normale Programm-Änderungen besteht ein klarer Prozess mit den üblichen Schlüsselkontrollen. Wir haben jedoch festgestellt, dass Änderungen an Anwendungen nicht automatisch festgehalten werden und somit nicht zwingend erkennbar sind.

5 5 Änderungsmanagement (II) Typische Revisionsfeststellungen Notfall-Änderungen werden nicht nachvollziehbar festgehalten Für normale Änderungen besteht ein klarer Prozess mit den üblichen Schlüsselkontrollen. Wir haben jedoch festgestellt, dass für Notfalländerungen ein abgekürztes Verfahren besteht, und dass diese Notfalländerungen nicht weiter überwacht werden. Damit kann der normale Änderungsmanagement-Prozess unterlaufen werden. Berechtigungsmanagement Typische Revisionsfeststellungen Die Gültigkeit von Berechtigungen wird nicht nachweislich verifiziert Die Fachbereiche erhalten alle 6 Monate eine Liste mit den Berechtigungen ihrer Mitarbeiter zur Überprüfung. Notwendige Korrekturen werden markiert und durch den Administrator umgesetzt. Wir haben festgestellt, dass die Erledigung der Korrekturaufträge in keiner Art und Weise nachvollziehbar ist.

6 6 Neuvergabe von Passwörtern Typische Revisionsfeststellungen Die verwendeten Initialpasswörter sind leicht erratbar und widersprechen den aufgestellten Passwort-Regeln Als Initialpasswort wird ein vierstelliges Kürzel verwendet, das der Mitarbeiter- Personalnummer entspricht und beim ersten Login geändert werden muss. Falls Mitarbeiter ihr Passwort vergessen haben, wird ihnen ebenfalls das ursprüngliche Initialpasswort gesetzt. Entwickler Typische Revisionsfeststellungen Entwickler haben schreibenden Zugriff auf die Produktion Die Anwendungsentwickler können sich mit der produktiven Datenbank XY verbinden. Wir haben festgestellt, dass ein schreibender Zugriff auf die Tabellen möglich ist, dieser Zugriff nicht protokolliert wird

7 7 Zugriffsschutz allgemein Typische Revisionsfeststellungen Etablierter Berechtigungsmanagementprozess kann umgangen werden Wir haben herausgefunden, dass es für jeden Mitarbeiter möglich ist: sich direkt mit der produktiven Datenbank ZZZ zu verbinden sich für diese Datenbank Berechtigungsprofile jeglicher Art zuzuteilen einem bestehenden Benutzer innerhalb des DBMS ein neues Passwort zuzuteilen Helpdesk Typische Revisionsfeststellungen Der Helpdesk verfügt über die Möglichkeit und die Berechtigungen für Änderungen an produktiven Daten. Wir haben festgestellt, dass der User Helpdesk verschiedentlich im Auftrag eines Benutzers direkte Änderungen an produktiven Daten vorgenommen hat.

8 8 Betriebsvereinbarungen Typische Revisionsfeststellungen Eine Betriebsvereinbarung besteht nicht resp. wird nicht regelmässig verifiziert Wir haben herausgefunden, dass zwischen MusterAG und dem Provider XYZ ein Rahmenvertrag sowie separate Dienstleistungsvereinbarungen (SLAs) bestehen für den Server X kein SLA besteht und keinerlei Sicherheitsanforderungen festgehalten wurden die Dienstleistungsvereinbarung (SLA) für den Server Y nicht regelmässig verifiziert wird Konfigurationsmanagement Typische Revisionsfeststellungen Ungetestete und ungenehmigte Konfigurationsänderungen gefährden den Betrieb Für die Vorgehensweise bei Konfigurationsänderungen sowie den vorhergehenden Tests und Fallback-Vorbereitungen gibt es keine dokumentierten Richtlinien und Test- Standards. Änderungen durchlaufen keine expliziten Genehmigungsschritte.

9 9 Netzwerk-Zugang Typische Revisionsfeststellungen Jeder Mitarbeiter oder Besucher kann ein beliebiges Gerät an das interne Netzwerk anhängen Wir haben festgestellt, dass auf Netzwerkebene keine funktionierende Zugriffskontrolle besteht, so dass z.b. Notebooks von Beratern, Gästen oder unberechtigten Dritten in das interne Netzwerk eingebunden werden können. Netzwerk-Administration Typische Revisionsfeststellungen Die für die Netzwerk-Administration verwendeten Passwörter sind unsicher Die Netzwerk-Komponenten werden über unpersönliche Administrator-Accounts verwaltet. Alle Netzwerk-Komponenten verfügen über das gleiche fünfstellige Passwort, das allen Mitarbeitern der Netzwerkabteilung bekannt ist.

10 10 Virenschutz Typische Revisionsfeststellungen Die Überprüfung der Clients hinsichtlich Virenschutz erfolgt zu selten und ist nicht nachvollziehbar Auf den Netzwerk-Gateways sowie auf allen Servern sind Virenschutz-Programme mit aktuellen Signaturdateien vorhanden. Die Clients werden monatlich zentral durch den Betrieb gescannt; dieser Prozess ist weder dokumentiert noch nachvollziehbar festgehalten. Datensicherungen Typische Revisionsfeststellungen Datensicherungen werden periodisch erstellt, ihre Lesbarkeit wird aber nicht geprüft Wir haben festgestellt, dass operationelle Datensicherungen nach einem vordefinierten Plan erstellt werden; es findet jedoch keine Überprüfung statt, ob der Backup auch vollständig und lesbar ist.

11 11 Elektroinstallation/USV Typische Revisionsfeststellungen Die Wirksamkeit der unterbruchsfreien Stromversorgung (USV) ist nicht sicher Wir haben festgestellt, dass keinerlei Informationen über die Elektroinstallation und -verkabelung vorliegen. Die USV- Anlage ist zwar dokumentiert, es besteht aber weder ein Inventar der angeschlossenen Bezüger noch der jeweiligen Leistungsbezüge und Anforderungen an Laufzeiten. Datenträger-Entsorgung Typische Revisionsfeststellungen Es ist nicht erkennbar, ob zur Entsorgung bereitgestellte Medien wirklich vernichtet werden Alte, nicht mehr benötigte Datenträger werden aus Druckern, Computern usw. ausgebaut und zur Entsorgung in einer Kiste beim Hausdienst gesammelt. Wir haben festgestellt, dass der Entsorgungsablauf keiner Protokollierung unterliegt.

12 12 Neue IT-Architekturen Klassisches & kaskadiertes Outsourcing ERP das Problem mit den Anwendungen Virtualisierung (-> nächstes Thema) Outsourcing Problembereich IT-Architektur Typische Erfahrungen bei echtem und unechtem (internem) Outsourcing

13 13 Outsourcing: Beispiele Problembereich IT-Architektur Produktivitätssteigerungen/Kostenreduktion durch Auslagerung des Verwaltung von: Telekommunikation: 15% Infrastruktur (Server, Speicher, Informationsschutz, Notfall-RZ): 20% Technischer Support: 5 40% IT Asset Management Managed Security Services Quelle: IBM Global Technology Services 2009 Auftraggeber <-> Provider Typische Aufgabenteilung im Service Management Business Unit Business Unit Business Unit IT Service Mgmt System Auftraggeber Taktical Processes Business Relationship Mgmt Supplier Mgmt Operational Processes Request Mgmt Tactical Processes IT Service Mgmt System Operational Processes Business Relationship Mgmt Availability & IT Continuity Mgmt Incident Mgmt Configuration Mgmt Provider Service Level Mgmt Capacity Mgmt Problem Mgmt Capacity Mgmt Service Reporting IT Security Mgmt Change Mgmt IT Security Mgmt Supplier Mgmt Budgeting & Accounting Release Mgmt Budgeting & Accounting Sub Contracting Subcontracted Supplier Tactical Processes Business Relationship Process IT Service Mgmt System Operational Processes Incident Mgmt Quelle: Martin Andenmatten / Glenfis

14 Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 14 Fragebogen mit Schlüselkontrollen gemäss Maturitätsmodell Process Maturity Level Assessment Management System Security Management Incident Mgmt IT Service Continuity Mgmt Problem Mgmt Availability 0 Configuration Management Capacity Mgmt Change Mgmt Service Level Mgmt Release Mgmt Business Relationship Mgmt fiktives aber realistisches Beispiel Quelle: Martin Andenmatten / Glenfis Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Beispiel Inventare (Config. Management) mehrere verschiedene Inventare für unterschiedliche (teilweise auch identische) HW/SW- Kategorien Mutationsanomalien Mehrkosten, z.t. auf Kunden abwälzbar langsamere Problemlösung event. falsche Fakturierung erbrachter Leistungen event. fehlende Notfall-Reaktionsmöglichkeit Tactical Processes Operational Processes

15 Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 15 Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Beispiel Change Management unwirksame Tests/Kontrollen bei Change Management Belastung durch Changes anderer Kunden hohe Zahl von Fehlern ausgelöst durch unsaubere Changes Umgehung von Change Management durch falsch deklarierte Notfälle Tactical Processes Operational Processes Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Tactical Processes Operational Processes Beispiel Incident/Problem Management zu langsame Fehlerbehebung zu rasche Fehlerhebung > neue Fehler Symptom- statt Ursachenbekämpfung wiederholtes Auftreten von Fehlern Beispiel Capacity Management) keine autom. Zusammenführung der Zahlen kein proaktives Kapazitätsmanagement (->Absturz)

16 Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 16 Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Tactical Processes Operational Processes Beispiel Notfall (Business Continuity Mgmt) für Störfallbehebung notwendige Informationen nicht auffindbar oder falsch nicht optimal aufbereitet nur wenige Kompetenzträger verfügbar Disaster Recovery zu wenig gut getestet Notfälle tangieren häufig mehrere Kunden z.b. gehackter Server in Netzwerksegment Störungen werden zu Lasten anderer Kunden gelöst Typische Revisionsergebnisse Outsourcing-Risiken, welche Auswirkungen auf Auftraggeber haben Provider Tactical Processes Operational Processes Allgemein niedrige Maturität von IT-Prozessen (viel auf Stufe 1, wenige auf 2) Unklare Zuständigkeiten Direkte Schnittstellen in Provider hinein Regulatorische Anforderungen Bankgeheimnis FINMA(EBK) RS99/2 > führen manchmal zu Insellösungen

17 Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 17 Typische Revisionsergebnisse Outsourcing-Risiken, welche Auswirkungen auf Auftraggeber haben Provider Tactical Processes Operational Processes Ungenügende Kontroll- und Überwachungsmöglichkeiten der erbrachten Leistungen Erhebliche Mehrkosten, welche teilweise auf Kunden abgewälzt werden Trägheit in der Anpassung an die spezifischen Bedürfnisse des Auftraggebers Länger als notwendig dauernde Behebung von Störungen bis zu gravierenden Ausfällen Typische Revisionsergebnisse Ursachen der typischen Outsourcing-Risiken Belastung durch Integration neuer Kunden hoher Projektdruck belastet konzeptionelles und strategisches Denken neue Projekte belasten insbesondere Knowhow- Träger Vernachlässigung des eigentlichen Betriebes Provider Tactical Processes Operational Processes Belastung durch unnötige Revisionen zu viele (jeder Kunde will selber) sinnlose Themen zu schlechte Durchführung / Berichterstattung

18 Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 18 Typische Revisionsergebnisse Ursachen der typischen Outsourcing-Risiken Hoher Preisdruck durch Auftraggeber immer neue Sparprojekte keine Investitionen in Mittelfrist-Massnahmen wenig Personal > keine Stellvertretungen Engpässe im Normalbetrieb kritische Abhängigkeiten im Notfall Provider Tactical Processes Operational Processes Outsourcing-Vereinbarungen Wichtigste Fragestellungen Quelle: 2000 Newsletter ISACA Switzerland Chapter

19 19 PS402/SAS-70 Bericht Möglicher Lösungsansatz zur Eindämmung von Outsourcing-Risiken Quelle: ITACS Training AG Outsourcing & Revision Kunde (User Organization) hat ausgelagert, weil er etwas nicht (mehr) machen will hat keine Ahnung, wie er Provider überwachen könnte hat keine Lust, den Provider zu prüfen geht davon aus, dass SAS-70 eine Zertifizierung ist, die alles abdeckt Revisor A (User Auditor) muss das IKS der ausgelagerten finanzrelevanten Prozesse beurteilen muss das Risiko von material misstatement of financial statements beurteilen muss entweder selber beim Provider prüfen oder eine bereits erfolgte Prüfung eines anderen Revisors verwenden Provider (Service Organization) hat bereits alles im Griff nervt sich über jeden Revisor, der in seinem Bereich herumtrampelt möchte eine eierlegende Wollmilchsau, die er für alle unbequemen Kunden einsetzen kann hat Angst, dass Revisor von Kunde A etwas über Kunde B heraus findet Revisor B (Service Auditor) ist sowieso schon im Haus muss aber nicht das IKS in den finanzrelevanten Prozessen des Providers prüfen sondern das IKS in den finanzrelevanten Prozessen des (der) Kunden haftet (zu einem gewissen Grad) für seine Beurteilung und will daher möglichst viel und lange prüfen Quelle: P.R.Bitterli; Seminar ISACA/Treuhand-Kammer 2006

20 20 ERP Anwendungsprobleme Problembereich IT-Architektur Mögliche Arten von Anwendungen: Standard-Anwendungen stark angepasste Standard-Anwendungen intern entwickelte Anwendungen Obige Unterscheidung ist wichtig, da diese Kategorien sehr unterschiedliche Risikoprofile haben ERP Anwendungsprobleme Problembereich IT-Architektur Z.B. Standard-Anwendungen: Vielfalt von relevanten, eingebauten Kontrollen, typischerweise für: Validierung der Eingaben Steuerung der Verarbeitung Verarbeitung der Transaktionen Management von Ausnahmen Sicherstellen, dass entsprechende Kontrollen vorhanden sind und angewandt werden Frage: Wurden die Standard-Anwendungen zertifiziert und durch wen?

21 21 ERP Anwendungsprobleme Problembereich IT-Architektur Z.B. stark angepasste Standard- Anwendungen: Obwohl solche Komponenten zuverlässig sein könnten, werden weitere Informationen benötigt über Interaktion dieser Komponenten, da solche Anwendungen für jeden Kunden individuell angepasst werden zusätzliche kundenspezifische Programmierung ERP Anwendungsprobleme Problembereich IT-Architektur Standard-Anwendungen sind nicht immer zuverlässig erst recht die stark angepassten Standard-Anwendungen Parameter Standard- Anwendung Kern Technische Umgebung Ruck- Säcke Informationen einholen über: Maturität der Softwareversion Grad der Parametrisierung Frühere Prüfresultate (von Kollegen?) Internet Foren Offizielle Release-Dokumentation

22 22 Access Control Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern Correctness Inventory Closing Microsoft Business Solutions Axapta 3.0 and Service Packs Version: 1.0, published: December, 2004 Under certain conditions, Microsoft Axapta 3.0 can return incorrect inventory values in the general ledger as reported from different modules within Microsoft Axapta. Customers may also experience issues with running inventory closing routines at all, due to one or more code issues that can manifest under specific conditions. Finally, the value of the inventory as reported from the Microsoft Axapta Financial Management module may not match the expected value when customers perform a physical inventory count.. Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern

23 23 Correctness Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern

24 24 Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern

25 25 Virtualisierung & Cloud Computing Problembereich IT-Architektur Definition (Ch. Wegener) Virtualisierung bezeichnet Methoden, die es erlauben, Ressourcen im IT-Bereich zusammenzufassen oder aufzuteilen Virtualisierung Hardware-Virtualisierung (Bsp. virtueller Speicher, virtuelle CPU) Software-Virtualisierung (Bsp. virtuelles Betriebssystem wie Java) Netzwerk-Virtualisierung (Bsp. virtuelles LAN) Virtualisierung Problembereich IT-Architektur Betriebssystem Betriebssystem Betriebssystem Virtual Machine Monitor Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Gast Betriebssystem Anwendung Virtual Machine Monitor Betriebssystem Hardware Hardware Hardware Quelle:Wikipedia; gesehen bei Ch. Wegener

26 26 Cloud Computing (I) Ist nur eine weitere Form von Virtualisierung Cloud Service Delivery Models Software as a service (SaaS) Platform as a service (PaaS) Infrastructure as a service (IaaS) Cloud Service Modalities / Deployment Models private public hybrid Cloud Computing (II) Ist nur eine weitere Variante von Virtualisierung Service-Modell Definition Wichtige Fragestellungen Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) Fähigkeit für die Bereitstellung von Verarbeitungs-, Speicher-, Netzwerk- und andere grundlegende Computer-Ressourcen, welche dem Kunden die Möglichkeit bieten, beliebige Software zu installieren und zu betreiben, einschliesslich Betriebssysteme und Anwendungen. IaaS legt deren IT-Betrieb in die Hände einer Drittpartei. Fähigkeit, eigenentwickelte oder eingekaufte Anwendungen auf einer Cloud-Infrastruktur zu betreiben, welche durch vom Provider zur Verfügung gestellten Programmsprachen oder Werkzeugen erstellt wurden. Fähigkeit, die auf einer Cloud-Infrastruktur laufenden Anwendung des Providers zu verwenden. Die Anwendungen sind über verschiedene Geräte des Kunden zugänglich via einer Thin Client-Schnittstelle wie beispielsweise einen Webbrowser (z.b. ). Optionen zur Beschränkung der Auswirkungen, falls der Provider einen Unterbruch erleidet. Verfügbarkeit Vertraulichkeit Datenschutz und Haftungsfragen im Falle eines Sicherheits-Versagens (da die sensitiven Daten extern verarbeitet werden) Daten-Eigentümerschaft E-Discovery (Herausgabepflicht von Unterlagen) Wer besitzt die Anwendungen= Wo laufen die Anwendungen wirklich? Quelle: ISACA Whitepaper: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives; Übersetzung Peter R, Bitterli

27 27 Cloud Computing (III) Ist nur eine weitere Variante von Virtualisierung Quelle: ISACA Whitepaper: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives; Übersetzung Peter R, Bitterli Auslieferungs- Modell Private cloud Community cloud Public cloud Hybrid cloud Beschreibung der Cloud- Infrastruktur nur für eine Unternehmung betrieben kann sowohl durch das Unternehmen selbst als auch durch eine Drittpartei betrieben werden kann sowohl auf dem Firmengelände als auch ausserhalb sein von mehreren Unternehmungen geteilt Unterstützt eine spezifische Gemeinschaft mit einer gemeinsamen Mission oder Interessen kann sowohl durch das Unternehmen selbst als auch durch eine Drittpartei betrieben werden kann sowohl auf dem Firmengelände als auch ausserhalb sein der generellen Öffentlichkeit oder einer grossen Firmengruppe zugänglich im Besitz eines Unternehmens, dass Cloud-Services verkauft Eine Verbindung von zwei oder mehr Auslieferungsmodellen (private, community or public cloud), welche eigenständig bleiben aber über standardisierte oder proprietäre Technologie verbunden sind, was die Portabilität von Daten und Anwendungen ermöglicht (z.b. Lastausgleich zwischen zwei Wolken) Wichtige Fragestellungen Auslieferungsmodell mit den kleinsten Risiken bietet möglicherweise nicht die Skalierbarkeit und Beweglichkeit von öffentlichen Cloud-Dienstleistungen analog zu Private Cloud, plus: Die Daten werden möglicherweise zusammen mit den Daten von Mitbewerbern gespeichert. analog zu Community Cloud, plus: Daten werden möglicherweise an unbekannten Orten gespeichert und könnten unter Umständen nicht einfach zurückholbar sein. Kombination der Risiken der Vermischung der verschiedenen Auslieferungsmodelle Klassifikation und Kennzeichnung von Daten könnte nützlich sein für den Sicherheitsverantwortlichen, um sicherzustellen, dass Daten dem richtigen Auslieferungsmodell zugewiesen werden. Cloud Computing / Outsourcing Eine Unterscheidung ist oft schwierig Anwendungsbeispiele für Firmen: Mailverkehr (Hotmail, Gmail) Internet-Auftritt -> Webshops Terminsuche Internet-Telefonie Dokumentenaustausch Dokumentenbearbeitung (Google Docs) Speicherplatz

28 28 Die Zukunft der IT Kann die Interne Revision damit Schritt halten IT-Bedrohungslage Angriffstrends IT-Sicherheits-Modethemen Strategische IT-Trends IT-Bedrohungslage Viren, Würmer und andere Malware Polymorphe Schadprogramme zunehmend auch auf mobilen Endgeräten zunehmend auch gegen exotische Ziele zunehmend für Botnetze und Keylogger Angriffsmethoden Phishing, Farming und andere Social Engineering-Attacken (siehe nächstes Slide) Anstieg von Ausfällen

29 29 Angriffs-Trends Quelle: u.a. SYSDATA 6/09 Social Engineering-Attacken gut personalisierte Angriffe Angriffe mit angeblichen Sicherheitstools Angriffe über Social Networking Plattformen URL-Abkürzungsdienste Angriffe in korrekter Sprache IT-Sicherheits-Modethemen zur Verminderung von IT-Risiken Data Leakage Prevention / Protection Fraud Prevention Identity & Access Management PCI DSS Kryptographie-Anwendungen Digital Rights Management Records Management Trust Management

30 30 Strategische IT-Trends Gartner-Orakel 2010 Cloud Computing Advanced Analytics Client Computing Green IT Effizientere Rechenzentren Social Computing Aktives Monitoring Flash Memory Virtualisierung Mobile Anwendungen

31 31 Zusammenarbeit Interne/Externe Revision mit IT-Revision Optik (externer) Wirtschaftsprüfer Optik interne Revision Externe Revision Aufgaben und Verantwortlichkeiten Externe Revision ist nicht Teil der Internen Kontrolle, berücksichtigt aber im Rahmen des risikoorientierten Prüfansatzes deren Ausgestaltung und Qualität. begutachtet die Ausgestaltung der Internen Kontrolle und der Risikobeurteilung, was Aussagen zur Ordnungsmässigkeit der Buchführung und Rechnungslegung ermöglicht. basiert auf: Interne Kontrolle in der Schweizer Praxis, KPMG 2005

32 32 Optik Externe Revision Zusammenarbeit mit der IT-Revision Strategische Prüfungsplanung Berücksichtigung von IT-Aspekten Fokus finanzrelevante Anwendungen Integrale Prüfung von Anwendungen (siehe Optik Interne Prüfung) Fokus (wenige) generelle IT-Kontrollen wenn überhaupt Jahresabschlussprüfung Sinnvolle IT-Prüfungen als Basis der Abschlussprüfung Aktuelle Übersicht über die Informationsverarbeitung Analyse der IT-Risiken Kontrolle der Betriebssysteme (Sicherheit) Kontrolle der Datenbank (Sicherheit) Kontrolle der IT-Prozesse Prüfung der IT-abhängigen Geschäftsprozesse Prüfung des Zugriffschutzsystems zu Applikationen Analyse der Bewegungsdaten Einhalteprüfungen regulatorischer Vorschriften

33 33 Ausgangslage Neue Ausgangslage gemäss Art. 728O Gemäss Art. 728a OR ist ab Geschäftsjahr 2008 Existenz eines Internen Kontrollsystems zu bestätigen Gemäss PS890 sind die Risiken im Informatikbereich zu prüfen: < Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungsprozess von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von und Umgang mit Informatik-Systemen haben könnten > Moderner Prüfungsansatz (HWP 3.22) Phase 1 Prüfungsvorbereitung Phase 2 Prüfungsplanung Vorgehen gemäss HWP 1992 Wesentlichkeit Interne Kontrollen strategische Planung Risikobeurteilung Informatik Analyse der Jahresrechnung Datenmenge Strategiefestlegung Detailplanung Phase 3 Prüfungsdurchführung Phase 4 Prüfungsabschluss & Berichterstattung

34 34 Neues Vorgehensmodell IT-Risikoanalyse Vorgehensmodell IT-Risikoanalyse für KMU-Prüfer Geschäftsprozesse IT-Anwendungen (Automatisierte Prozesse) IT-Basissysteme (z.b. SAP, IMS, Oracle, ) Entwickelt durch Peter Steuri Peter R. Bitterli Reviewt von den anderen Mitgliedern des Fachstabs für Informatik der Schweiz. Treuhand-Kammer derzeit in Vernehmlassung IT-Infrastruktur (Hardware, Kommunikationsnetz) = Risiko = Kontrolle ITACS Training Neues Vorgehensmodell IT-Risikoanalyse Das Vorgehensmodell unterstützt den Wirtschaftsprüfer bei der Erkennung und Bewertung von möglichen Risiken, die vom Informatikeinsatz ausgehen deckt die im PS890 angesprochenen generellen Informatik-Kontrollen ab fokussiert auf für Buchführung und Rechnungslegung relevanten Bereiche ist unabhängig von der Art der Revision; es orientiert sich an der Bedeutung der Informatik Herausforderung 68 IT

35 35 IT-Kurzcheck Warum? Gute Gründe auch ausserhalb der ordentlichen Revision (I) Ordentliche Revision Beurteilung IT-Risiken ist Teil der strategischen Prüfungsplanung Auswahl weiterer Prüfungen Eingeschränkte Revision Beurteilung IT-Risiken ist freiwillig aber sinnvoll Empfehlung weiterer Prüfungen Weitere gute Gründe: hohe Abhängigkeit von der Informatik unklare Abhängigkeit von der Informatik ausgelagerte Informatik Türöffner für vertiefte Untersuchungen (aus Optik Revision) Kunde als Partner anschauen Neues Vorgehensmodell IT-Risikoanalyse Ansatz in zwei resp. drei Phasen Im Vorgehensmodell enthalten Phase-1: Grobe Risikoeinschätzung Phase-2: Erhebung Informatikeinsatz Im Vorgehensmodell nicht enthalten Umfassende Informatik-Revision Herausforderung 70 IT

36 36 Inhalte der Phase-2 20 Themen / 91 Fragen; grösstenteils generelle IT-Kontrollen IT-relevante Dokumentation (4) Organisation der IT (7) IT-Governance (6) IT-Risikomanagement (3) Compliance (2) IT-Projektmanagement (6) Software-Entwicklung (7) Testen von Anwendungen (5) Rechnungswesen (3) direkte Anwend.kontrollen (4) unterstützende Anwendungskontrollen (5) Anwender-Richtlinien (3) Anwender-Ausbildung (3) Zugriffsschutz (5) IT-Sicherheit (6) Physische Sicherheit (3) IT-Betrieb (7) Problem Management (3) Datensicherung (5) Outsourcing (4) Herausforderung 71 IT Ergebnisse der Phase-2 20 Themen / 91 Fragen; grösstenteils generelle IT-Kontrollen Bank IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Kleinst-Spital IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Problem Management 2.5 IT-Risikomanagement Problem Management 2.5 IT-Risikomanagement 2 2 IT-Betrieb Compliance IT-Betrieb Compliance Physische Sicherheit 0 IT-Projektmanagement Physische Sicherheit 0 IT-Projektmanagement IT-Sicherheit Software-Entwicklung IT-Sicherheit Software-Entwicklung Zugriffsschutz Testen von Anwendungen Zugriffsschutz Testen von Anwendungen Anwender-Ausbildung Rechnungswesen Anwender-Ausbildung Rechnungswesen Anwender-Richtlinien direkte Anwend.kontrollen Anwender-Richtlinien direkte Anwend.kontrollen unterstützende Anwendungskontrollen unterstützende Anwendungskontrollen Industrie IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Treuhand IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Problem Management 2.5 IT-Risikomanagement Problem Management 2.5 IT-Risikomanagement 2 2 IT-Betrieb Compliance IT-Betrieb Compliance Physische Sicherheit 0 IT-Projektmanagement Physische Sicherheit 0 IT-Projektmanagement IT-Sicherheit Software-Entwicklung IT-Sicherheit Software-Entwicklung Zugriffsschutz Testen von Anwendungen Zugriffsschutz Testen von Anwendungen Anwender-Ausbildung Rechnungswesen Anwender-Ausbildung Rechnungswesen Anwender-Richtlinien direkte Anwend.kontrollen Anwender-Richtlinien direkte Anwend.kontrollen unterstützende Anwendungskontrollen unterstützende Anwendungskontrollen

37 37 Ausbaumöglichkeiten Vergleich Soll-/Ist-Profil der generellen IT-Kontrollen Interne Revision Aufgaben und Verantwortlichkeiten Interne Revision unterstützt in erster Linie den Verwaltungsrat bei der Wahrnehmung der Funktion als oberstes Organ im Unternehmen. In dieser Rolle beurteilt sie die Steuerungs- und Kontroll-Prozesse sowie das Risikomanagement des Unternehmens und kommuniziert die Erkenntnisse dem Verwaltungsrat bzw. dem Audit Committee. Ebenso werden Prozessverbesserungen vorgeschlagen. Die Interne Revision hat auch die Effizienz und Effektivität der Internen Kontrolle zu beurteilen. Quelle: Interne Kontrolle in der Schweizer Praxis, KPMG 2005

38 38 Optik Interne Revision Zusammenarbeit mit der IT-Revision Fokus integrale Anwendungsprüfung Vorgehensmodell Anwendungsprüfung Umfassendere Infrastruktur-Prüfungen ERP-Plattformen Oursourcing-Provider Vorgehensmodell Anwendungsprüfung entwickelt vom Fachstab für Informatik der Schweiz. Treuhand-Kammer Ursprungssprache Deutsch (Mai 08) übersetzt auf Französisch (November 08) Englisch (durch den European Court of Auditors; Juni 09) Weder Prüfungsstandard (PS) noch Prüfungsempfehlung (PE) sondern eine Information

39 39 Vorgehensansatz: Ziele Für die Prüfung (IT-gestützter) Anwendungen: integrierter, gemeinsamer Ansatz für Finanzwie für IT-Prüfer geeignete Berücksichtung aller wichtiger Aspekte sowohl IT wie nicht-it Prüfung wichtiger IT-Aspekte mit signifikanten Auswirkungen auf die Prüfziele Minimierung des Prüfungsrisikos

40 40 Unser Ansatz: 8 empfohlene Schritte Analyse von Bilanz und Erfolgsrechnung Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und der wichtigsten IT-relevanten Schnittstellen Identifikation der Risiken und Schlüsselkontrollen Walk-through Beurteilung des Kontroll-Designs Beurteilung der Umsetzung der Kontrollen Gesamtbetrachtung und Ergebnisfindung Analyse der finanziellen Berichterstattung und diesbezügliche Risiken ermöglicht Identifikation der wichtigen Anwendungen Analyse der Qualität des Kontrollsystems Design Effectiveness Operational Effectiveness Prüfung der generellen IT- Kontrollen nicht abgedeckt!

41 41 Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Integrale Prüfung Weil das korrekte Funktionieren heutiger Anwendungen letztlich immer auch die automatisierten Geschäftsprozesse = IT-Anwendungen umfasst ERP- und andere komplexe Anwendungen weil sie einen wesentlichen Anteil am Unternehmenserfolg haben und nicht wirklich optimal laufen weil sogar Standsoftware fehleranfällig ist -> Prüfungen durch die gesamte Cremeschnitte! Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Generellen IT-Kontrollen weil ihr Versagen halt doch Auswirkungen hat auf Themen wie Funktionentrennung, Ordnungsmässigkeit, usw. Outsourcing weil man letztlich vom Provider nur das bekommt, was man bestellt und weil man nur das wirklich bekommt, was man auch ausreichend überwacht und weil aus den Augen aus dem Sinn für den Revisor sowieso keine gute Lösung ist

42 42 Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Technologie Virtualisierung weil sie reichlich problembehaftet ist auch bei rein interner Anwendung weil auch die generellen IT-Kontrollen bis zu einem gewissen Grad an die Virtualisierung angepasst werden müssten Cloud Computing weil zwangsläufig GL und CIO aus Kostengründen diese Services auch extern beziehen wollen und werden! Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Neue (IT-)Projekte immer begleiten! Strategisch: frühzeitiges Einklinken in Investitions-Management Projektportfolio-Management Multi-Compliance Management Taktisch: projektbegleitende Prüfungen Eigenentwicklungen (selber/ausgelagert) bei wichtigsten Phasen Standard-Software (ob minimal angepasst oder stark konfiguriert): bei Anforderungsdefinition bei Testkonzept und Abnahme

43 43 Personalsituation IT-Revision hat nicht nur mit IT-Revisoren zu tun Generelle Überlegungen Mangel an Informatikern auf Schweizer Markt (und weltweit) Mangel an ausgebildeten Informatik- Prüfern Mangel an IT-affinen Fach-/Finanzprüfern Auslagerung interne IT-Revision -> extern nur teilweise sinnvoll Ursachen IT-Revision hat nicht nur mit IT-Revisoren zu tun Ursachen für nicht ausreichend kompetente interne Revision: Unverständnis dafür, dass die IT so wichtig sein kann Unwillen, IT-Schichten der Cremeschnitte wirksam anzupacken Unwillen, die Problematik holistisch anzugehen Personalmangel

44 44 Schlussfolgerungen Interne Revisoren benötigen (mindestens) eine vernünftige Grundausbildung in IT Team-Leiter und Revisions-Leiter benötigen breite Ausbildung in IT-Revision (CISA) Informatik-Revisoren benötigen zusätzlich zur breiten Ausbildung in IT-Revision (CISA) auch ausreichende Aktualisierungen hinsichtlich: technologischer Entwicklungen Tools Revision an sich Kontaktangaben Revision und Beratung Bitterli Consulting AG Tel: Ausbildung (inkl. inhouse-training) ITACS Training AG Tel: Standardisierte Prüfungsdienstleistungen BPREX Group AG Tel: Peter R. Bitterli Dipl. math. ETH, CISA, CISM, CGEIT persönliche Mailanschrift Postanschrift alle Firmen Stampfenbachstr. 40, 8006 Zürich Fax:

Aktuelle Herausforderungen der Revision im IT-Umfeld

Aktuelle Herausforderungen der Revision im IT-Umfeld 1 Aktuelle Herausforderungen der Revision im IT-Umfeld Bewegen Sie sich jetzt, bevor Sie untergehen! Peter R. Bitterli, CISA, CISM, CGEIT http://www.bitterli-consulting.ch prb@bitterli-consulting.ch Bitte

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung ISACA / SVI - IT-isikoanalyse IT-isikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung Peter Steuri Certified Information Systems Auditor dipl. Wirtschaftsinformatiker BDO

Mehr

RAB-Beanstandungen IT-Revision. ISACA After Hours Seminar, 27.9.2011

RAB-Beanstandungen IT-Revision. ISACA After Hours Seminar, 27.9.2011 1 Aktuelle Fragen der IT-Revision IT-Revision ISACA After Hours Seminar, 27.9.2011 Peter R. Bitterli dipl. math. ETH, CISA, CISM, CGEIT Bitterli Consulting AG / ITACS Training AG / BPREX Group AG prb@bitterli-consulting.ch

Mehr

SAS-70 Berichte Wozu dient ein Bericht SAS 70 (Statement on Auditing Standards No. 70, Service Organizations) und wie soll man diesen interpretieren?

SAS-70 Berichte Wozu dient ein Bericht SAS 70 (Statement on Auditing Standards No. 70, Service Organizations) und wie soll man diesen interpretieren? SAS-70 Berichte Wozu dient ein Bericht SAS 70 (Statement on Auditing Standards No. 70, Service Organizations) und wie soll man diesen interpretieren? Eine sehr persönliche Zusammenfassung des Tages Was

Mehr

Fall 8: IKS-Prüfung nicht dokumentiert

Fall 8: IKS-Prüfung nicht dokumentiert Fall 8: IKS-Prüfung nicht dokumentiert Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-8: IKS-Prüfung nicht dokumentiert a) Die Prüfung des IKS wurde nicht dokumentiert

Mehr

Fall 1: Keine Übersicht (Topographie)

Fall 1: Keine Übersicht (Topographie) Fall 1: Keine Übersicht (Topographie) Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-1: Keine Übersicht (Topographie) a) Darstellung der wesentlichen Geschäftsprozesse

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Fall 6: Ungenügende Tests IT General Controls Application Controls

Fall 6: Ungenügende Tests IT General Controls Application Controls Fall 6: Ungenügende Tests IT General Controls Application Controls Bernhard Hamberger Partner Ernst & Young, Bern 6: Fehlende Prüfung der Existenz des IKS Aus den Arbeitspapieren geht hervor, dass die

Mehr

Managed Infrastructure Service (MIS) Schweiz

Managed Infrastructure Service (MIS) Schweiz Pascal Wolf Manager of MIS & BCRS Managed Infrastructure Service (MIS) Schweiz 2011 Corporation Ein lokaler Partner in einem global integrierten Netzwerk Gründung im Jahr 2002 mit dem ersten full-outtasking

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Zusammenfassung und Abschluss

Zusammenfassung und Abschluss ISACA/SVIR-Fachtagung Erfolgreiche Zusammenarbeit zwischen interner und externer (IT-) Revision Zusammenfassung und Abschluss Peter R. Bitterli, Ausbildungsverantwortlicher ISACA-CH Eine persönliche Zusammenfassung

Mehr

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel 1 IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel Peter Steuri Partner / Verantwortlicher CC Informatik BDO AG, Solothurn Einsatz des VM IT-RA in WP-Mandaten Inhaltsübersicht Modell von

Mehr

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System Qualität und Führung 18. Juni 2008 Integration IKS ins bestehende Management System 0 Anuschka Küng Betriebsökonomin FH Zertifizierungen Six Sigma Zertifizierung Risiko Manager CISA, CIA (i.a.) CV Geschäftsführerin

Mehr

Vision: ICT Services aus der Fabrik

Vision: ICT Services aus der Fabrik Vision: ICT Services aus der Fabrik Der Weg zur elastischen ICT-Infrastruktur Daniel Jossen Geschäftsführer (CEO) dipl. Ing. Informatik FH, MAS IT Network Unsere Vision Wir planen und implementieren für

Mehr

26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen

26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen 1 26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen Wie immer: Eine sehr persönliche Zusammen-fassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Cloud Computing: Hype oder Chance auch. für den Mittelstand?

Cloud Computing: Hype oder Chance auch. für den Mittelstand? Prof. Dr.-Ing. Rainer Schmidt HTW Aalen Wirtschaftsinformatik Überblick Was ist Cloud-Computing und wieso ist es für Unternehmen wichtig? Wie können Unternehmen mit Hilfe einer Cloud- Computing-Strategie

Mehr

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience Service schrittweise und systematisch umsetzen Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience santix in Kürze santix ist Unternehmensberatung und Lösungsanbieter

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Die EBCONT Unternehmensgruppe.

Die EBCONT Unternehmensgruppe. 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles IT-Infrastruktur IT-Betrieb (managed Services) Cloud / Elastizität 1200 Wien, Handelskai 94-96 Johannes Litschauer, Alex Deles Enterprise Solutions

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

it infrastruktur lösungen

it infrastruktur lösungen it infrastruktur lösungen Über uns wer wir sind und was wir tun Unseren Kunden bieten wir erstklassige und massgeschneiderte IT-Infrastruktur- Lösungen aus einer Hand. WAGNER AG: fokussiert, flexibel,

Mehr

IT Service Management

IT Service Management Strategic Outsourcing IT Service Vorlesung an der FH Wilhelmshaven SS 2007 Klaus Dörner, kdoerner@de.ibm.com ITIL Übersicht ITIL Planning to Implement Service Business The Business Perspective Service

Mehr

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic Markus Krämer Vorsitzender des Vorstandes der synergetic AG Verantwortlich für Strategie und Finanzen der synergetic

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Rollenspezifische Verhaltenstrainings

Rollenspezifische Verhaltenstrainings Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende

Mehr

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012 Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Setzen Sie die richtigen Prioritäten im Service Desk!

Setzen Sie die richtigen Prioritäten im Service Desk! Herzlich Willkommen zu unserem Vortrag: Setzen Sie die richtigen Prioritäten im! Ines Gebel Produktmanagerin IT-Service-Management Telefon: +49 (231) 5599-473 E-Mail: Ines.Gebel@materna.de 30.3.2007 www.materna.de

Mehr

Moderner Schutz gegen aktuelle Bedrohungen

Moderner Schutz gegen aktuelle Bedrohungen Moderner Schutz gegen aktuelle Bedrohungen Die Lösungen der PROFI AG Die Lösungen der PROFI AG Firewall Protection Content Security Data Encryption Security Services IT-Security von PROFI Sind Sie schon

Mehr

Test zur Bereitschaft für die Cloud

Test zur Bereitschaft für die Cloud Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

ITIL. Incident- und Problem- Management in der Anwendung. Uli Manschke Technical Consultant HP OpenView

ITIL. Incident- und Problem- Management in der Anwendung. Uli Manschke Technical Consultant HP OpenView ITIL Incident- und Problem- in der Anwendung Uli Manschke Technical Consultant HP OpenView 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice

Mehr

Managed Cloud Services. Christian Affolter Managed Cloud Services 11. Mai 2012

Managed Cloud Services. Christian Affolter Managed Cloud Services 11. Mai 2012 Managed Cloud Services Christian Affolter Managed Cloud Services 11. Mai 2012 Übersicht Cloud Computing Eine Einführung Vor- und Nachteile von Cloud Computing Einstiegsmöglichkeiten in die Cloud SaaS /

Mehr

(Un)mögliche Prüfung von Outsourcing

(Un)mögliche Prüfung von Outsourcing (Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, www.efk.admin.ch Mitglied des Fachstabs für Informatik

Mehr

INS Engineering & Consulting AG

INS Engineering & Consulting AG INS Engineering & Consulting AG INS Präsentation «Auslagerung von Dienstleistungen im KMU-Umfeld» 11. Juni 2015 Seite 0 Agenda Begrüssung & Vorstellung Was macht KMUs einzigartig? Was sind Gründe für eine

Mehr

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business.

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Inhaltsverzeichnis Wie der moderne CIO den Übergang von IT-Infrastruktur- Optimierung zu Innovation meistert Wie kann ich Elemente meiner

Mehr

Wie setzt Swisscom Solaris 11 ein

Wie setzt Swisscom Solaris 11 ein Wie setzt Swisscom Solaris 11 ein Fritz Wittwer Swisscom Enterprise Customers Bern / Schweiz Marcel Hofstetter St. Gallen / Schweiz Schlüsselworte Oracle Solaris 11, Virtualisierung, SPARC, T5, LDom, Solaris

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Wir machen IT-Commerce

Wir machen IT-Commerce Wir machen IT-Commerce Zahlen & Fakten Gegründet: 1992 Größe: ~200 Angestellte Umsatz: 2009: ~ 25M 2008: 20M 2007: 15.5M Standorte: Kunden: Neu-Isenburg (Headquarter EMEA), Atlanta (Headquarter US) weltweites

Mehr

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Der Blindflug in der IT - IT-Prozesse messen und steuern - Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

Peter Garlock Manager Cloud Computing Austria. Cloud Computing. Heiter statt wolkig. 2011 IBM Corporation

Peter Garlock Manager Cloud Computing Austria. Cloud Computing. Heiter statt wolkig. 2011 IBM Corporation Peter Garlock Manager Cloud Computing Austria Cloud Computing Heiter statt wolkig 1 Was passiert in Europa in 2011? Eine Markteinschätzung Quelle: IDC European Cloud Top 10 predictions, January 2011 2

Mehr

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson Cloud Computing Services oder: Internet der der Dienste Prof. Dr. Martin Michelson Cloud Cloud Computing: Definitionen Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Dienstleistungen.

Mehr

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

OSL Technologietage 2015. Virtualization Clustering

OSL Technologietage 2015. Virtualization Clustering OSL Technologietage 2015 Virtualization Clustering OSL-Technologietage Berlin, September 2015 Strategiesuche beim Thema Cloud Virtualization Clustering OSL-Technologietage Berlin, September 2015 Die Cloud

Mehr

Public Cloud im eigenen Rechenzentrum

Public Cloud im eigenen Rechenzentrum Public Cloud im eigenen Rechenzentrum Matthias Weiss Direktor Mittelstand Technologie Oracle Deutschland B.V. & Co.KG Copyright 2016 Oracle and/or its affiliates. All rights reserved. Agenda Oracle Cloud

Mehr

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1

TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 TELEKOM CLOUD COMPUTING. NEUE PERSPEKTIVEN. Dietrich Canel Telekom Deutschland GmbH 03/2013 1 DIE TELEKOM-STRATEGIE: TELCO PLUS. 2 AKTUELLE BEISPIELE FÜR CLOUD SERVICES. Benutzer Profile Musik, Fotos,

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

CONFIGURATION MANAGEMENT BEI FRANKE 2. Prozessfux Service Management Tagung. Andreas Wüthrich Kloten, 21.6.2011

CONFIGURATION MANAGEMENT BEI FRANKE 2. Prozessfux Service Management Tagung. Andreas Wüthrich Kloten, 21.6.2011 CONFIGURATION MANAGEMENT BEI FRANKE 2. Prozessfux Service Management Tagung Andreas Wüthrich Kloten, 21.6.2011 Agenda Vorstellung Franke Motivation für Configuration Management Herausforderungen Vorgehen

Mehr

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering

Azure und die Cloud. Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat. Institut für Informatik Software & Systems Engineering Azure und die Cloud Proseminar Objektorientiertes Programmieren mit.net und C# Simon Pigat Institut für Informatik Software & Systems Engineering Agenda Was heißt Cloud? IaaS? PaaS? SaaS? Woraus besteht

Mehr

2010 FUJITSU TECHNOLOGY SOLUTIONS

2010 FUJITSU TECHNOLOGY SOLUTIONS ist eigentlich Infrastructure-as-a-Service? 1 ist eigentlich Infrastructure-as-a- Service? Infrastructure-as-a-Service definiert sich über 5 Parameter: 1. Infrastruktur: Neben anderen Cloudangeboten wie

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

CIO Club of Excellence

CIO Club of Excellence CIO Club of Excellence Der Weg ist das Ziel Vom IT Betrieb zum erfolgreichen IT Service Provider R. Wagner, Managing Consultant IT Service Management 11. Juni 2013 Die Rolle des CIO verändert sich laufend

Mehr

Strategie und Vision der QSC AG 23.02.2015

Strategie und Vision der QSC AG 23.02.2015 Strategie und Vision der QSC AG 23.02.2015 STRATEGIE UND VISION QSC wird sich zu einem führenden Anbieter von Multi-Cloud-Services entwickeln! 2 STRATEGIE DIE WICHTIGSTEN MARKTTRENDS Megatrends wie Mobilität

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS)

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS) (IGS) SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Services (AMS) Martin Kadner, Product Manager SAP Hosting, GTS Klaus F. Kriesinger, Client Services Executive,

Mehr

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery www.pwc.de Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery Jörg Hild und Roland Behr IT-Organisationen heute: Die Zeiten der klaren Strukturen sind vorüber Die IT Sourcing Studie

Mehr

Reche. jede Art von Daten Mitarbeiterorientierte IT

Reche. jede Art von Daten Mitarbeiterorientierte IT Reche jede Art von Daten Mitarbeiterorientierte IT Reche jede Art von Daten Mitarbeiterorientierte IT Quelle: http://www.cio.de/bring-your-own-device/2892483/ Sicherheit und Isolation für multimandantenfähige

Mehr

Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Cloud-Monitor 2016 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG 12. Mai 2016 www.kpmg.de/cloud Cloud-Monitor 2016 Ihre

Mehr

Die Marktsituation heute und die Position von FUJITSU

Die Marktsituation heute und die Position von FUJITSU Die Marktsituation heute und die Position von FUJITSU Rupert Lehner Head of Sales Region Germany 34 Copyright 2011 Fujitsu Technology Solutions Marktentwicklung im Jahr 2011 Der weltweite IT-Markt im Jahr

Mehr

ITIL 2011. Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

ITIL 2011. Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert, Martin Bucksteeg, Nadin Ebel, Frank Eggert, Justus Meier, Bodo Zurhausen ITIL 2011 - der Überblick Alles Wichtige für Einstieg und Anwendung ^- ADDISON-WESLEY An imprint of Pearson München Boston San Francisco

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

ITIL V3 2011 Was ist neu. Dr. Helmut Steigele

ITIL V3 2011 Was ist neu. Dr. Helmut Steigele ITIL V3 2011 Was ist neu Dr. Helmut Steigele Es ist eine Neu-Auflage Es ist ein Refresh Nicht 4.0; nicht 3.1; aber 2011 Seit 29. Juli 2011 Eingeführt per Ende August Das betrifft auch die Pocket Guides

Mehr

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de

Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Robert-Bosch-Straße 18 D-63303 Dreieich Tel.: +49 6103 37416-00 Fax: +49 6103 37416-99 www.isw-online.de Inhaltsverzeichnis ISW nur ein paar Worte Cloud Computing Die richtige Cloud-Lösung Problematiken

Mehr

Überblick IBM Offerings für Cloud-Provider

Überblick IBM Offerings für Cloud-Provider - IBM Cloud Computing März, 2011 Überblick IBM Offerings für Cloud-Provider Juerg P. Stoll Channel Development Executive for Cloud IMT ALPS juerg.stoll@ch.ibm.com +41 79 414 3554 1 2010 IBM

Mehr

PMI Munich Chapter 21.04.2008

PMI Munich Chapter 21.04.2008 Projektmanagement im Rahmen einer IT-Infrastruktur- Standardisierung mit internationalen Teams Christoph Felix PMP, Principal Project Manager, Microsoft Deutschland PMI Munich Chapter 21.04.2008 Agenda

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik Cloud Computing Gliederung Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik 2 Bisher Programme und Daten sind lokal beim Anwender

Mehr

Cloud Computing. Betriebssicherheit von Cloud Umgebungen C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y

Cloud Computing. Betriebssicherheit von Cloud Umgebungen C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Cloud Computing Betriebssicherheit von Cloud Umgebungen Urs Zumstein Leiter Performance Care Team Urs.Zumstein@DevoTeam.ch 079 639 42 58 Agenda Definition von Cloud Services Anforderungen an die Betriebssicherheit

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Oracle Health Check. Enable extreme Performance. www.ise-informatik.de. zusammen mit seinem Oracle Service Partner

Oracle Health Check. Enable extreme Performance. www.ise-informatik.de. zusammen mit seinem Oracle Service Partner Oracle Health Check Oracle Health Check zusammen mit seinem Oracle Service Partner Copyright (C) ISE GmbH - All Rights Reserved 1 Übersicht Oracle Health Check Architektur und Software Oracle Lizenzierung

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

SAP und die Cloud. Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012

SAP und die Cloud. Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012 SAP und die Cloud Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012 SAP und die Cloud Zur Person Cloud = was? Sicherheit in der Cloud SAP s Cloud Historie Aktuelle Angebote Chancen

Mehr

Immer noch wolkig - aktuelle Trends bei Cloud Services

Immer noch wolkig - aktuelle Trends bei Cloud Services Dataport Hausmesse, 28.04.2015 Immer noch wolkig - aktuelle Trends bei Cloud Services Wie sieht Gartner Reifegrad und Annahme von Cloud Szenarien? Dr. Christine Zoppke-Donaldson 3 Dataport 28.04.2015 Cloud

Mehr

VMware Software -Defined Data Center

VMware Software -Defined Data Center VMware Software -Defined Data Center Thorsten Eckert - Manager Enterprise Accounts Vertraulich 2011-2012 VMware Inc. Alle Rechte vorbehalten. Jedes Unternehmen heute ist im Softwaregeschäft aktiv Spezialisierte

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

TeleTrusT-Informationstag "Cyber Crime"

TeleTrusT-Informationstag Cyber Crime TeleTrusT-Informationstag "Cyber Crime" Berlin, 20.05.2011 Udo Adlmanninger Secaron AG ILP Information ist mehr als nur Software Agenda Was ist Information Leakage Prevention Motivation aktuelle Datenpannen

Mehr

Hybride Cloud Datacenters

Hybride Cloud Datacenters Hybride Cloud Datacenters Enterprise und KMU Kunden Daniel Jossen Geschäftsführer (CEO) dipl. Ing. Informatik FH, MAS IT Network Amanox Solutions Unsere Vision Wir planen und implementieren für unsere

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

SWISS PRIVATE SECURE

SWISS PRIVATE SECURE Ihr starker IT-Partner. Heute und morgen SWISS PRIVATE SECURE Technologiewende als Wettbewerbsvorteil Sicherheitsaspekte im IT-Umfeld Bechtle Managed Cloud Services 1 Bechtle Switzerland 05/02/2014 Bechtle

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

REVISIONSHANDBUCH FÜR DEN MITTELSTAND. Die Praxis der Internen Revision. herausgegeben von. bearbeitet von. Dipl.-Ing.

REVISIONSHANDBUCH FÜR DEN MITTELSTAND. Die Praxis der Internen Revision. herausgegeben von. bearbeitet von. Dipl.-Ing. REVISIONSHANDBUCH FÜR DEN MITTELSTAND Die Praxis der Internen Revision herausgegeben von Dipl.-Ing. OTTOKAR SCHREIBER bearbeitet von Dipl.-Kff. ANJA HEIN Ass. SYLVIA KOKENGE, MBA Betriebswirt KLAUS-DIETER"

Mehr

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com IBM Software Partner Academy Whiteboarding- Positionierung des Tivoli Security Produkte 3. Tag, Donnerstag der 09.10.2008 Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd hans.lorenz@de.ibm.com

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: Microsoft Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? MICROSOFT DEUTSCHLAND GMBH Fallstudie: Telefónica

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr