FINANCIAL SERVICES COBIT 4.1. Ein Überblick in 30 min Christoph Schier, GI e.v. Regionalgruppe Düsseldorf ADVISORY

Transkript

1 FINANCIAL SERVICES COBIT 4.1 Ein Überblick in 30 min Christoph Schier, GI e.v. Regionalgruppe Düsseldorf ADVISORY

2 Agenda Ausgangslage für IT Governance Die vier Grundprinzipien von COBIT 4.0/4.1 COBIT und Standards, regulatorische Anforderungen und Anwendungsbeispiele Umsetzung und Qualifizierung 1

3 Einige Thesen zur Ausgangslage Anspruch Die wichtigsten Unternehmenswerte sind heute Informationen. Die IT ist wesentlich bei der Schaffung und Erhaltung dieser immateriellen Vermögensgegenstände Die IT ist einer der wesentlichsten Geschäftstreiber und wichtiger Unterstützungsprozess Neue Geschäftsmodelle (z.b. Supplier- Integration, music on demand) verlangen die enge Verzahnung von fachlichen Funktionen und IT Funktionen Aus betriebswirtschaftlicher Sicht ist Steuerung und strategische Weiterentwicklung der IT notwendig Wirklichkeit Die IT ist im Regelfall nicht effizient genug, nicht messbar, nicht nachvollziehbar Die IT verfügt in der Regel über kein umfassendes Kontrollsystem Die IT-Kosten sind oft nicht transparent und nicht zuordenbar Die IT hat oft kein Risikomanagement und kein Risikobewußtsein Business Value der IT-Investitionen ist häufig weder transparent, noch erhebbar, noch überprüfbar Eine Steuerungsfunktion (CIO) ist nur teilweise installiert, die Steuerungsbasis fehlt meistens 2

4 Anforderungen an IT Governance? Ausrichtung von IT-Zielen und Unternehmenszielen ermöglichen Prozessorientierung aufbauen, welche den Umfang und den Grad der Abdeckung definiert und einfach handzuhaben ist, Technologieunabhängigkeit akzeptierte Best Practices und Standards beinhalten ( Akzeptanz) notwendige IT-Controls beinhalten (externen Revision, Gesetzgeber) gemeinsame Sprache etablieren für alle Interessensgruppen fokussiert auf das Geschäft Orientiert an Prozessen Basierend auf Controls Getrieben durch Messung 3

5 Agenda Ausgangslage für IT Governance Die vier Grundprinzipien von COBIT 4.0/4.1 COBIT und Standards, regulatorische Anforderungen und Anwendungsbeispiele Umsetzung und Qualifizierung 4

6 Die vier Grundprinzipien von COBIT 4.1 fokussiert auf das Geschäft Orientiert an Prozessen Basierend auf Controls Getrieben durch Messung 5

7 Fokussiert auf das Geschäft IT Resources IT Processes Business Requirements Information Applications Infrastructure People Plan and Organise (PO) Acquire and Implement (AI) Deliver and Support (DS) Monitor and Evaluate (ME) Effectiveness Efficiency Confidentiality Integrity Availability Compliance Information Reliability 6

8 Die vier Grundprinzipien von COBIT 4.1 fokussiert auf das Geschäft Orientiert an Prozessen Basierend auf Controls Getrieben durch Messung 7

9 Orientiert an Prozessen Source: ITGI: COBIT 4.0 Deutsche Ausgabe, Abb. 16 8

10 Orientiert an Prozessen IT Ressourcen Informationskriterien Menschen Information Anwendungen Infrastruktur Effektivität Effizienz Vertraulichkeit Integrität Verfügbarkeit Compliance Verläßlichkeit Planen und Organisieren PO1 Definition eines strategischen Plans für IT X X X X P S PO2 Definition der Informationsarchitektur X X S P S P PO3 Bestimmen der technologischen Richtung X X P P PO4 Definition der IT-Prozesse, Organisation und ihrer Beziehungen X P P PO5 Management der IT-Investitionen X X X P P S PO6 Kommunikation von Unternehmenszielen und -richtung X X P S PO7 Management des IT Personals X P P PO8 Qualitätsmanagement PO9 Beurteilung und Management der IT Risiken PO10 Projektmanagement Source: ITGI, COBIT 4.0 Deutsche Ausgabe, Anhang II (S. 194) 9

11 Die vier Grundprinzipien von COBIT 4.1 fokussiert auf das Geschäft Orientiert an Prozessen Basierend auf Controls Getrieben durch Messung 10

12 Basierend auf Controls Was ist eine Control? Richtlinien, Verfahren, Methoden und Organisationsstrukturen, die eine angemessene Sicherheit gewährleisten, dass eine Geschäftsziel erreicht wird und das Risiken verhindert oder entdeckt und korrigiert werden. Was ist in COBIT ein Control Objective? Ein angestrebtes Ziel oder Zweck, das durch den Einsatz von Kontrollund Steuerungsmaßnahmen erreicht werden soll. 11

13 COBIT 4.0 Kontrollziele: Bsp. DS5 DS5.1 Management of IT Security (Management der IT-Sicherheit) DS5.2 IT Security Plan (IT-Security Plan) DS5.3 Identity Management (Identitätsmanagement) DS5.4 User Account Management (Management von Benutzerkonten) DS5.5 Security Testing, Surveillance and Monitoring (Testen, Beobachtung und Überwachung der Sicherheit) DS5.6 Security Incident Definition (Definition von Security Incidents) DS5.7 Protection of Security Technology (Schutz von Sicherheitseinrichtungen) DS5.8 Cryptographic Key Management (Verwaltung kryptographischer Schlüssel) DS5.9 Malicious Software Prevention, Detection and Correction (Schutz vor, Erkennung und Korrektur von bösartiger Software) DS5.10 Network Security (Netzwerk-Sicherheit) DS5.11 Exchange of Sensitive Data (Austausch sensitiver Daten) 12

14 Die vier Grundprinzipien von COBIT 4.1 fokussiert auf das Geschäft Orientiert an Prozessen Basierend auf Controls Getrieben durch Messung 13

15 Prozess DS5 Unternehmensziele IT-Ziele Überwachung Umsetzung Source: ITGI: COBIT 4.0 Deutsche Ausgabe, S

16 DS5 Unternehmensziel: Geschäftsauswirkungen von Sicherheitsschwachstellen und -vorfällen minimieren Source: ITGI: COBIT 4.0 Deutsche Ausgabe, Abb

17 Reifegradmodelle zur Beurteilung der Prozessreife (Bsp. DS5) [ ] 3 Defined (definiert): Ein Sicherheitsbewusstsein ist vorhanden und wird durch das Management gefördert. Die IT-Sicherheitsverfahren sind festgelegt und mit der IT-Sicherheitspolitik abgeglichen. Verantwortlichkeiten für die IT-Sicherheit sind festgelegt und werden verstanden, werden jedoch nicht konsistent durchgesetzt. Eine Planung der IT-Sicherheit und Sicherheitslösungen ist, durch Risikoanalysen angetrieben, vorhanden. Die Berichterstattung über Sicherheit beinhaltet keinen klaren betrieblichen Fokus. Ad hoc Sicherheitstests (z. B. Testen von unberechtigten Eingriffen ( intrusion testing )) werden durchgeführt. Sicherheitsschulungen sind für die IT und die Fachbereiche verfügbar, werden aber nur informell geplant und verwaltet. 4 Managed and measurable (gemanaged und messbar): Die Verantwortlichkeiten für die IT-Sicherheit sind klar zugewiesen, verwaltet und durchgesetzt. Die Analysen der ITSicherheitsrisiken und Auswirkungen werden konsistent durchgeführt. Sicherheitsrichtlinien und -verfahren werden durch konkrete Mindeststandards für Sicherheit vervollständigt. Die Aussetzung mit Methoden für die Förderung des Sicherheitsbewusstseins ist verbindlich. Die Anwenderidentifikation, Authentifikation und Autorisierung ist standardisiert. Sicherheitszertifizierung wird für Mitarbeiter, die verantwortlich für die Prüfung und Verwaltung der Sicherheit sind, verfolgt. Sicherheitstests werden mit Hilfe standardisierter und formeller Prozesse durchgeführt, die zur Verbesserung der Sicherheit führen. Die IT-Sicherheitsprozesse werden durch eine unternehmensweite Sicherheitsfunktion koordiniert. Die Berichterstattung zur IT-Sicherheit ist mit den betrieblichen Zielen verknüpft. Die IT-Sicherheitsschulungen werden sowohl in den Fachbereichen als auch in der IT durchgeführt. Die IT-Sicherheitsschulungen sind derart geplant und verwaltet, dass die auf betriebliche Anforderungen und definierte IT-Sicherheits-/Risikoprofile reagieren. Die KGIs und KPIs für das Sicherheitsmanagement wurden definiert, werden bis jetzt aber noch nicht gemessen. [ ] Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert) Source: ITGI, COBIT 4.0 Deutsche Ausgabe, S.135 (Text zu DS5) und S. 21 (Grafik zur Prozessreife) 16

18 Agenda Ausgangslage für IT Governance Die vier Grundprinzipien von COBIT 4.0/4.1 COBIT und Standards, regulatorische Anforderungen und Anwendungsbeispiele Umsetzung und Qualifizierung 17

19 In COBIT 4.0 integrierte internationale Standards Committee of Sponsoring Organisations of the Treadway Commission (COSO): Internal Control Integrated Framework, 1994 Enterprise Risk Mangement Integrated Framework, 2004 Office of Government Commerce (OGC ): IT Infrastructure Library (ITIL ), International Organisation for Standardisation: ISO/IEC 17799:2005, Code of Practice for Information Security Management Software Engineering Institute (SEI ): SEI Capability Maturity Model (CMM ), 1993 SEI Capability Maturity Model Integration (CMMI ), 2000 Project Management Institute (PMI ): Project Management Body of Knowledge (PMBOK ), 2000 Information Security Forum (ISF): The Standard of Good Practice for Information Security,

20 Mappings von COBIT mit anderen Standards fertig verfügbar 19

21 COBIT zur Erfüllung regulatorischer Anforderungen und Anwendungsbeispiele aus der Praxis An US-Börsen gelistete Unternehmen Sarbanes Oxley Act Section 404 Geschäftsleitung ist verantwortlich für die Einrichtung eines Kontrollsystem auf der Basis eines anerkannten Regelwerks Unternehmen in Deutschland MaRisk Mindestanforderungen an das Risikomanagement in Kreditinstituten fordert Ausrichtung an gängigen Standards (AT 7.2) 8. EU Richtlinie für Unternehmen von öffentlichem Interesse muss ein Prüfungsausschuss die Wirksamkeit des Internen Kontrollsystems und Risikomanagementsystems überwachen (Artikel 41, in Planung). Beispiele für freiwillige Anwender KPMG Dtl: bekannte Privatbank, großes Lebensmittel-Familienunternehmen, börsennotiertes Unternehmen der optischen Industrie weitere, auch international: 20

22 Agenda Ausgangslage für IT Governance Die vier Grundprinzipien von COBIT 4.0/4.1 COBIT und Standards, regulatorische Anforderungen und Anwendungsbeispiele Umsetzung und Qualifizierung 21

23 COBIT einsetzen Einige Gedanken zur Umsetzung IT-Governance muss an jede Organisation angepasst werden es gibt keine Standardlösung Bei der Umsetzung müssen viele Rahmenbedingungen berücksichtigt werden, wie Gesetze und Regulierungen, Unternehmensstruktur und kultur, Stellung der IT innerhalb des Unternehmens, etc. Ein projekthaftes Vorgehen ist notwendig, insbesondere die Vorbereitung entscheidet über Erfolg und Nicht-Erfolg. Aktive Unterstützung der Geschäftsleitung ist erfolgskritisch Projekt aus der IT-Abteilung oder Revision heraus scheitern häufig. Projektmitarbeiter qualifizieren (vgl. Weiterbildungen: COBIT Basic Practitioner, COBIT Practitioner Ausbildung: COBIT Manager (in Planung) 22

24 COBIT einsetzen Umsetzung mit IT Governance Road Map Bedarf identifizieren Bewusstsein / Commitment Analyse der Geschäfts- und IT-Ziele Prozesse und controls auswählen Projektrisikoanalyse Verabschiedung des Projektumfangs Verbesserungspotential herausarbeiten Ist-Analyse Soll definieren Gap-Analyse / Verbesserungsmöglichkeiten Umsetzung planen Projekte definieren Umsetzungsplan entwickeln Lösung umsetzen Verbesserungen implementieren Kennzahlen in bestehende Systeme integrieren Projektnachbetrachtung Lösung nachhaltig etablieren IT Governance Strukturen und Prozesse entwickeln 23

25 Prozesse und Controls auswählen Gewichtung der Prozesse in COBIT 4.0 Bedeutung Bedeutung Planen und Organisieren PO1 Definition eines strategischen Plans für IT H PO2 Definition der Informationsarchitektur N PO3 Bestimmen der technologischen Richtung M PO4 Definition der IT-Prozesse, Organisation und ihrer Beziehungen N PO5 Management der IT-Investitionen M PO6 Kommunikation von Unternehmenszielen und -richtung M PO7 Management des IT Personals N PO8 Qualitätsmanagement PO9 Beurteilung und Management der IT Risiken PO10 Projektmanagement Beschaffen und Implementieren AI1 Identifikation von automatisierten Lösungen M AI2 Beschaffung und Unterhalt von Anwendungssoftware M AI3 Beschaffung und Unterhalt der technischen Architektur N AI4 Betrieb und Benutzung ermöglichen N AI5 Beschaffung von IT Ressourcen M AI6 Änderungswesen H AI7 Installation und Akkreditierung von Systemen und Änderungen M Betreiben und Unterstützen DS1 Definition und Management von Dienstleistungsgraden M DS2 Handhabung der Dienste von Drittparteien N DS3 Leistungs- und Kapazitätsmanagement N DS4 Sicherstellen der kontinuierlichen Dienstleistung M DS5 Sicherstellen der Systemsicherheit H DS6 Identifizierung und Zuordnung von Kosten N DS7 Aus- und Weiterbildung von Benutzern N DS8 Management von Hotline und Vorfällen N DS9 Konfigurationsmanagement M DS10 Umgang mit Problemen M DS11 Handhabung von Daten H DS12 Management der physischen Umgebung N DS13 Management der Produktion N Überwachen und Bewerten ME1 Überwachung und Beurteilung der IT Performance H ME2 Überwachung und Beurteilung der internen Kontrollen M ME3 Einhaltung von externen Anforderungen sicherstellen H ME4 IT Governance einrichten H Source: ITGI, COBIT 4.0 Deutsche Ausgabe, Anhang II (S. 194) 24

26 Diskussion Ausgangslage für IT Governance Die vier Grundprinzipien von COBIT 4.0/4.1 COBIT und Standards, regulatorische Anforderungen und Anwendungsbeispiele Umsetzung und Qualifizierung 25

27 Ihr Kontakt für IS Governance

28 Reserve

29 Governance und Corporate Governance Governance: Kontrolle, Beherrschung, Steuerung Corporate Governance: angemessene Unternehmensorganisation zur Optimierung der Unternehmensführung und -kontrolle Ziele: strategische Richtung für das Unternehmen vorzugeben gesetzte Ziele zu erreichen mit Risiken angemessen umzugehen Unternehmenressourcen verantwortlich einzusetzen IT Governance: Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern. Source: ITGI, COBIT 4.0 Deutsche Ausgabe, S. 6 28

30 Fokussiert auf das Geschäft: Informationskriterien Anforderung Effektivität Effizienz Vertraulichkeit Verfügbarkeit Integrität Compliance Verlässlichkeit Kurzerläuterung Informationen sind relevant für den Geschäftsprozess und werden zeitnah, korrekt, konsistent und in einer verwendbaren Form geliefert. Informationen werden unter optimaler Ressourcenverwendung bereitgestellt Informationen sind vor unberechtigter Veröffentlichung geschützt Informationen sind dann verfügbar, wenn sie vom Geschäftsprozess benötigt werden Informationen sind richtig, valide und vollständig Einhaltung derjenigen Gesetze, Vorschriften und vertraglichen Regelungen, denen der Geschäftsprozess unterliegt Information werden geeignet bereitgestellt, damit das Management die Organisation steuern kann und der Verantwortung für die gesetzlich oder vertraglich geforderte Berichterstattung nachkommen kann. Qualität Sicherheit Ordnungsmäßigkeit 29

31 Reifegradmodelle zur Beurteilung der Prozessreife Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert) Symbole Derzeitiger Status Internationaler Standard Strategisches Ziel Source: ITGI, COBIT 4.0 Deutsche Ausgabe, S. 21 Reifegrade 0.. Nicht existent 1.. Initial 2.. Wiederholbar 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert 30

32 In COBIT 3 integrierte internationale Standards Technische Standards aus ISO, EDIFACT usw. Geschäftspraktiken, herausgegeben durch die EU, OECD, ISACA usw. Qualifikationskriterien für IT-Systeme und Prozesse: ITSEC, TCSEC, ISO 9000, Spice, TickIT usw. Berufsstandards interner Kontrolle und Revision: ISACA, COSO Report, AICPA usw. Industrie-Praktiken und Anforderungen von Industrieforen (ESF, I4) und behördlich unterstützten Plattformen (IBAG, NIST, DTI) usw. Neue industriespezifische Anforderungen u.a. aus dem Bankenumfeld, ecommerce, IT-Produktion 31

33 Einordnung von COBIT im Verhältnis zu anderen Standards COSO Abstraktionsgrad ISO COBIT ISO ISO9000 Umsetzungsorientierung Abdeckungsbreite 32

34 COBIT einsetzen: Prozessbeurteilung mit generischen Reifegrad-Attributen Source: ITGI, COBIT 4.1, Figure 15 As-Is Remediation To-Be 33