IT-Governance. Jimmy Heschl. April Jimmy Heschl

Transkript

1 IT-Governance Jimmy Heschl April 2011 Jimmy Heschl

2 Agenda Vorstellung und Zielsetzung Überblick über aktuelle Entwicklungen der IT-Governance Nationale und Internationale Anforderungen an IT-Compliance Methoden / Standards ITIL COBIT ISO27001 weitere Standards Integration von COBIT mit ITIL, ISO 27001, etc Jimmy Heschl - 2

3 Jimmy Heschl Studium Wirtschaftsinformatik in Linz bwin Interactive AG Vorher: KPMG, EY, Stieglbrauerei Mitglied im Vorstand der ISACA Österreich Mitglied im COBIT Steering Committee, COBIT 5.0 Task Force Buch: IT Governance Mitautor von COBIT 4.0 / 4.1 Übersetzer von COBIT 4.0 für den deutschen Sprachraum Autor mehrerer Publikationen: COBIT Mapping Overview of International IT Guidance, 2nd Edition Mapping of ITIL v2 & v3 Mapping of ISO/IEC 17799:2005 Board Briefing on IT Governance etc. CISA, CISM, CGEIT, ITIL Service Management,... Definition und Prüfung von IT Prozessen mit unterschiedlichen Standards (COSO, COBIT, ITIL, 2700x, GSHB,...) in unterschiedlichen Organisationen Jimmy Heschl - 3

4 Leader in online gaming World s leading provider of online Sports Betting One of the largest Poker networks Integrated gaming portal in 22 languages Active in 25 core markets Elements of success: brand and technology Jimmy Heschl - 4

5 World-class performance >2.1m active customers (FY08) EURm 420,9 gross gaming revenues (FY09) Daily Page Views: >15m Daily Unique Visitors (peak): > payment transactions per day Number of servers: Data Centers: 9 Jimmy Heschl - 5

6 Flagship product: Sportsbetting Europe s largest betting line-up > 90 different sports covered > bets offered simultaneously > 1 million placed bets per day 3,000 live events and 800 hours' live sports programming each month Jimmy Heschl - 6

7 Poker Casino Games Europe s largest poker platform Up to concurrent players Poker platform to handle ~ 250k users bwin offers extensive range of Casino games Constantly adding new games to portfolio Jimmy Heschl - 7

8 Handling of payment transactions and issue of prepaid cards Advanced payment solutions Complete range of payment services Internally (bwin) and externally (merchants) Comprehensive risk management and fraud prevention Kalixa" prepaid Mastercard Access to 1.2 million cash dispensers worldwide Jimmy Heschl - 8

9 IT-Governance Warum und was ist das? Jimmy Heschl

10 Herausforderungen der IT Viele Organisationen investieren große Summen und Ressourcen in die IT. IT unterstützt die Unternehmensprozesse und hilft dabei, die Organisationsziele zu erreichen. Die Herausforderungen der IT gehen von der Anpassung an die Unternehmenserfordernisse bis hin zum Management hoch-komplexer technologischer Risiken und Chancen. Die Organe der Organisationen verfügen über wenig Transparenz in die Abläufe der IT-Abteilung(en). Den Betrieb der IT erhalten Nutzen Kosten Komplexität meistern Mit der Organisation integrieren Einhaltung von Gesetzen Sicherheit Jimmy Heschl - 10

11 Was ist IT-Governance? Ursprung griechisch: kybernân Ein Schiff führen / leiten Jimmy Heschl - 11

12 IT-Governance: Definition Corporate Governance IT Governance Business Informations -systeme Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. IT Governance Institute Jimmy Heschl - 12

13 Was ist IT-Governance? IT-GOVERNANCE Evaluiere Performance Setze Ziele IT-GOVERNANCE IT arbeitet im Sinne des Kerngeschäfts (Alignment) IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) IT Ressourcen werden verantwortungsvoll eingesetzt IT-bezogene Risiken werden angemessen gemanagt Gib die Richtung vor Messe und Berichte über Performance Setze die Strategie um Erhöhe die Automation (mache das Kerngeschäft wirksam) Senke Kosten (mache das Unternehmen wirtschaftlich) Manage Risiken (Security, Verlässlichkeit und Compliance) Überführe die Richtung in eine Strategie IT-MANAGEMENT Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt Methode: Führungs- und Organisationsstrukturen sowie Prozesse Verantwortung: Vorstand und Geschäftsführung Jimmy Heschl - 13

14 IT-Governance Prinzipien Betroffene und Beteiligte Direct and Control Die klare Ausrichtung der Organisation, Prozesse und Ressourcen an gemeinsamen Zielen und das Monitoring der Zielerreichung Aktivitäten Beschreibung der notwendigen Aktivitäten zur Erreichung der Ziele Zuständigkeit Zuweisung von Ressourcen zu den Aktivitäten Verantwortlichkeit Übergabe und Übernahme der klaren Verantwortung für Aufgaben, Themen, Prozesse, etc, damit die Zielerreichung gewährleistet wird. Intern IT-Management Unternehmensleitung, Geschäftsführung Aufsichtsrat Risiko-Management IT-Prüfer Extern Gesetzgeber Externe Prüfer Kunden Lieferanten und Dienstleister Verbundene Unternehmen Jimmy Heschl - 14

15 Gesetze + Standards Jimmy Heschl

16 IT Governance Warum? Fragen des Aufsichtsrats bezüglich IT Verfolgen wir die richtigen Vorhaben? Verfolgen wir die Vorhaben richtig? Werden die Aufgaben gründlich erledigt? Wird effizient gearbeitet? Bestehen Risiken, die wir nicht kennen? Was passiert mit den Ressourcen, die für IT bereitstehen? Druck auf das Unternehmen und die IT Kostenkürzung, höhere Profite und Marktanteil Höhere Funktionalität und einfachere Bedienung Höhere Verantwortung bezüglich Datenschutz, etc.) Jimmy Heschl - 16

17 IT-Governance Warum? 81 AktG: Bericht des Vorstands an den Aufsichtsrat 82 AktG / 22 GmbHG: Internes Kontrollsystem 131 BAO: Ordnungsmäßigkeit der Buchführung 38 BWG: Bankgeheimnis 39 BWG: Sorgfaltspflicht und ORM 14 DSG: Datensicherheitsmaßnahmen 15 DSG: Anordnung durch den Arbeitgeber Emittenten-Compliance-Verordnung ECV Corporate Governance Codex KonTraG... Jimmy Heschl - 17

18 Gartner s Regulations and Related Standards Hype Cycle Solvency II Jimmy Heschl - 18

19 IT-Governance Warum? Fragen des Vorstandes bezüglich IT Verfolgen wir die richtigen Vorhaben? Verfolgen wir die Vorhaben richtig? Werden die Aufgaben gründlich erledigt? Wird effizient gearbeitet? Gehen wir vernünftig mit den Ressourcen um? Werden die Ziele erreicht? Erkennen wir Chancen und ergreifen wir sie? Druck auf das Unternehmen und die IT Kostenkürzung, höhere Profite und Marktanteil Höhere Funktionalität und einfachere Bedienung Höhere Verantwortung bezüglich Datenschutz, etc.) Jimmy Heschl - 19

20 IT-Governance Erfolgreiche Unternehmen verstehen die Risiken und realisieren den Nutzen der IT und erreichen einen Weg, um die IT-Strategie der Unternehmensstrategie anzupassen, die Strategie und Ziele der IT in der Organisation herunter zu brechen, Organisationsstrukturen zu etablieren, welche die Umsetzung von Strategien und Zielen ermöglichen, Konstruktive Beziehungen und Kommunikation zwischen Kerngeschäft, IT und externen Partnern zu betreiben und die IT-Performance zu messen. Jimmy Heschl - 20

21 IT-Governance Focus Areas Focus Areas Resource Management Jimmy Heschl - 21

22 IT Governance Focus Areas (1) Strategic Alignment (Strategische Ausrichtung) Sicherstellung des Verbunds von Unternehmens- und IT Zielen Festlegung, Beibehaltung und Validierung des Wertbeitrags Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT Value Delivery (Schaffen von Werten/Nutzen) Realisierung des Wertbeitrags im Leistungszyklus Sicherstellung der Generierung des strategisch geplanten Nutzen Kostenoptimierung Erbringung des intrinsischen Nutzen der IT Resource Management (Ressourcenmanagement) Optimierung von Investitionen in IT-Ressourcen geregeltes Management von IT-Ressourcen Optimierung von Wissen und Infrastruktur Jimmy Heschl - 22

23 IT Governance Focus Areas (2) Risk Management (Risikomanagement) Risiko-Awareness bei der Unternehmensleitung Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis für Compliance-Erfordernisse Transparenz über die für das Unternehmen wichtigsten Risiken Integration der Verantwortlichkeit für Risikomanagement in der Organisation Verfahren: Reduzieren, Transferieren, Akzeptieren, Vermeiden Performance Measurement (Messen von Performance) Verfolgen und überwachen der Umsetzung der Strategie und von Projekten Verwendung von Ressourcen Prozessperformance (Balanced Scorecard) Leistungserbringung (engl: Service Delivery) Jimmy Heschl - 23

24 Es geht um Balance Performance Verbesserung der Profitabilität, Effizienz, Effektivität und Wachstum Conformance Einhaltung von Gesetzen, internen Vorgaben und Prüfungs- Erfordernissen Governance erfordert einen Ausgleich zwischen Performance und Conformance nach den Vorgaben der Geschäftsführung Performance Conformance Jimmy Heschl - 24

25 IT Governance Aufgaben Aufgaben des Vorstandes Herunterbrechen der Unternehmensstrategie und -ziele für die IT Organisatorische Ausrichtung der IT Prozessorientierung Aufbau und Unterhalt des internen Kontrollsystems in der IT Messung der Zielerreichung Anpassen, falls nicht adäquat Setzen von messbaren Zielen je Prozess Ergebnis vergleichen IT - Aktivitäten Messen der Performance Jimmy Heschl - 25

26 Standards Jimmy Heschl

27 Qualitätsmanagement Service M anagement Projektmanagement Risiko & Security Anw endungs-entw. IT Planung Frameworks und Standards Governance Basel II Solvency II AktG / GmbHG COSO Sarbanes Oxley COBIT 8. EU Audit Richtlinie Management COBIT ValIT Betrieb CMMI IT-Betrieb SixSigma ISO9000 V- Modell ISO BS PMI PRINCE2 ITIL ISO20000 Jimmy Heschl - 27

28 COSO (Internal Control - Integrated Framework) 1992 durch The Committee of Sponsoring Organizations of the Treadway Commission veröffentlicht Gemeinsame Sprache über Kontrollen, Definitionen, Modelle Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) Compliance (Einhaltung von Gesetzen und Regulationen) Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld) Risk Assessment (Risikobewertung) Control Activities (Kontrollaktivitäten) Information & Communication (Information & Kommunikation) Monitoring (Überwachung) Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen: September 2004: Enterprise Risk Management (COSO II) Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting Jimmy Heschl - 28

29 ITIL IT Infrastructure Library Jimmy Heschl

30 ITIL - IT Infrastructure Library Security Management Financial Management Capacity Management Service Level Management Incident Management Configuration Management Problem Management Change Management Availability Management Continuity Management Release Management Jimmy Heschl - 30

31 Management Tools Alerts, Exceptions, Changes ITIL V2 Service Delivery Processes The Business, Customers & Users Availability Management Availability Plan AMDB Design Criteria Targets/Thresholds Reports Audit Reports Queries Enquiries Communication Updates Reports Capacity Management Capacity Plan CDB Targets/Thresholds Capacity Reports Schedule Audit Reports SLA s, OLA s, SLR s Service requests Service catalogue SIP Exception reports Audit reports Service Level Management IT Financial Management Financial Plans Types & Models Costs & Charges Reports Budgets & Forecasts Audit Reports Requirements Targets Achievements IT Service Continuity IT Continuity Plans BIA & Risk Analysis Define Requirements Control Centers DR Contacts Reports Audit Reports Jimmy Heschl - 31

32 ITIL V2 Service Support Processes Management Tools Incidents Incidents Difficulties Queries, Enquiries The Business, Customers & Users Communication Updates Work-arounds Incident Service Desk Changes Service Reports Incident statistics Audit Reports Problem Statistics Trend Analysis Problem Reports Problem Reviews Diagnostic Aids Audit Reports Problem Change Schedule CAB Minutes Change Statistics Change Reviews Audit Reports Change Release Schedule Release Statistics Release Reviews Secure Library Testing standards Audit Reports Release Releases Configuration CMDB Reports CMDB Statistics Policy/Standards Audit Reports CMDB Incidents Problems Known Errors Changes Releases CIs Relationships Jimmy Heschl - 32

33 The v3 Service Management Lifecycle Jimmy Heschl

34 ITIL Service Lifecycle Jimmy Heschl - 34

35 ITIL Prozesse (Version 3) SERVICE STRATEGY Financial Management Return on Investment Service Portfolio Mgmnt Demand Management SERVICE DESIGN Service Catalogue Management Service Level Management Capacity Management Availability Management IT Service Continuity Management Information Security Management Supplier Management SERVICE OPERATION Event Management Incident Management Request Fulfilment Problem Management Access Management CONTINUAL SERVICE IMPROVEMENT 7-Step Improvement Process SERVICE TRANSITION Transition Planning and Support Change Management Service Asset & Configuration Management Release & Deployment Management Service Validation Evaluation Knowledge Management Jimmy Heschl - 35

36 COBIT Jimmy Heschl

37 COBIT COBIT = Control Objectives for Information and Related Technology Prozessorientiertes Framework für die Steuerung von IT-Prozessen Herausgegeben vom IT Governance Institute, früher ISACA Inhalt wird vom COBIT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT-Management, Governance, Consulting und Audit entwickelt Orientiert sich an Unternehmenszielen und Unternehmenserfordernissen Werkzeug für Geschäftsführung, IT-Management und IT-Prozessmanager Basiert auf einer Vielzahl internationaler Standards Dokumente auf zum Download und als Bücher verfügbar Jimmy Heschl - 37

38 Der Ansatz von COBIT Unternehmensziele IT Prozesse (mit Verantwortlichen) IT Ziele IT Prozesse liefern betreiben benötigt Information Anwendungen Infrastruktur und Personal Finanzperspektive Kundenperspektive Interne Perspektive Unternehmensziel IT-Ziele 1 Marktanteil erhöhen Erträge erhöhen Rendite 24 4 Kapitalverwertung optimieren 14 5 Geschäftsrisiken managen Kunden- und Serviceorientierung erhöhen Kostengünstige Produkte und Services anbieten Verfügbarkeit von Services Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) Kostenoptimierung bei Serviceerbringung Automatisierung und Integration der Wertschöpfungskette Geschäftsprozess überarbeiten und verbessern Prozesskosten reduzieren Compliance mit Gesetzen und Regulativen Transparenz Compliance mit internen Regelungen Betriebliche- und Mitarbeiterproduktivität steigern Lern- und 18 Produkt-/Geschäftsinnovation Wachstumsperspektive 20 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 19 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen IT-Ziele Prozesse 1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben PO1 PO4 PO10 ME1 ME3 3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13 4 Optimiere die Verwendung von Information PO2 DS11 5 Stelle IT-Agilität her PO2 PO4 PO7 AI3 Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt 6 werden. AI1 AI2 AI6 7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme PO3 AI2 AI5 8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur AI3 AI5 9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen PO7 AI5 10 Stelle gegenseitig zufriedenstellende Lieferantenbeziehungen sicher DS2 11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse PO2 AI4 AI7 12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher PO5 PO6 DS1 DS2 DS6 ME1 ME4 13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher PO6 AI4 AI6 AI7 DS7 DS8 14 Übernimm die Verantwortung für und schütze alle IT-Anlagen PO9 DS5 DS9 DS12 ME2 15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten PO3 AI3 DS3 DS7 DS9 16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb PO8 AI4 AI6 AI7 DS10 17 Schütze die Erreichung der IT-Ziele PO9 DS10 ME2 18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen PO9 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher PO6 DS5 DS11 DS12 20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann PO6 AI7 DS5 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können 21 PO6 und ihre Wiederherstellung gewährleistet ist AI7 DS4 DS5 DS12 DS13 ME2 22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist PO6 AI6 DS4 DS12 23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher DS3 DS4 DS8 DS13 24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg PO5 AI5 DS6 25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um PO8 PO10 26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur AI6 DS5 27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher DS11 ME2 ME3 ME4 Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung 28 zeigt PO5 DS6 ME1 ME3 Jimmy Heschl - 38

39 Unternehmens- und IT-Ziele - Beispiel Finanz BSC - Perspektiven Service Intern Lernen und Wachstum Unternehmensziel 8 Verfügbarkeit von Produkten IT-Ziel 10 IT-Ziel 16 IT-Ziel 22 IT-Ziel 23 Stelle für beide zufriedenstellende Lieferantenbezie hungen sicher Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb Stelle sicher, dass der Einfluss einer IT- Service-Störung oder IT-Änderung auf das Geschäft minimiert ist Stelle die Verfügbarkeit der IT- Services gemäß den Anforderungen sicher DS2 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS12 DS4 DS4 DS3 DS8 DS13 Jimmy Heschl - 39

40 Vom Ziel zur Architektur Unternehmens- und Governance- Erfordernisse Unternehmensziele für IT bestimmen messen bestimmen IT Ziele messen Unternehmensarchitektur für IT IT Scorecard Jimmy Heschl - 40

41 COBIT Framework Jimmy Heschl - 41

42 COBIT IT-Prozesse Monitor and Evaluate ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance Monitor and Evaluate INFORMATION Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability IT RESSOURCES Plan and Organise Plan and Organise PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects Applications Information Infrastructure People Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Deliver and Support Acquire and Implement Acquire and Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes Jimmy Heschl - 42

43 Bestandteile von Prozessen (1/5) Prozessbeschreibung Domäne und Information-Criteria IT-Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT-Resources Jimmy Heschl - 43

44 Bestandteile von Prozessen (2/5) RACI-Chart zur Darstellung der Verantwortlichkeiten, zb Funktionen CEO Aktivitäten Erstelle Klassifikations- (Schweregrad und Auswirkung) und Eskalationsverfahren (funktional und hierarchisch) C C C C C C C A/R Erkenne und erfasse Incidents / Serviceanfragen / Informationsanfragen A/R Klassifiziere, ermittle und diagnostiziere Anfragen I C C C I A/R Behebe, löse und schließe Incidents I R R R C A/R Informiere Benutzer (zb Statusaktualisierungen) I I A/R Erstelle Managementauswertungen I I I I I I A/R CFO Business Executive CIO Geschäftsprozesseigner Leitung Betrieb Chief Architect Leitung Entwicklung Leitung IT-Administration Projektbüro Compliance, Audit, Risk und Security Service Desk / Incident Manager Inputs und Outputs, zb Von Inputs Benutzer-, Betriebs-, Support-, technische AI4 und administrative Handbücher AI6 Freigabe von Changes AI7 Configuration Items (Released) DS1 SLAs und OLAs DS4 Incident- und Katastrophen-Schwellwerte DS5 Definition Security Incidents DS9 Details zur IT-Konfiguration / Assets Known Problems, Known Errors und DS10 Workarounds DS13 Incident-Tickets Outputs Service-Requests/Request for Change Berichte über Incidents Berichte über Prozessperformance Berichte über Benutzerzufriedenheit Nach AI6 DS10 ME1 DS7 ME1 Jimmy Heschl - 44

45 Messgrößen Ziele Bestandteile von Prozessen (3/5) Ziele und Messgrößen und deren Verbindung Unternehmen IT Prozesse Aktivitäten Kunden- und Serviceorientierung erhöhen Verfügbarkeit von Services Prozesskosten reduzieren Compliance mit internen Regelungen herstellen setze Stelle die Enduser- Zufriedenheit mit Serviceangeboten und Service Levels sicher Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher Stelle Analysiere, dokumentiere und eskaliere Incidentszeitgerecht Reagiere auf Anfragen exakt und zeitgerecht setze Führe regelmäßig Trendanalysen der Incidentsund Anfragen durch Installation und Betrieb eines Service Desk Überwachung und Berichterstattung von Trends Abstimmung der setze Lösungsprioritäten von Ereignissen mit Unternehmensanforderung Festlegung miss miss miss Benutzerzufriedenheit mit dem Erst-Support (Service Desk oder Knowledge Base) % der innerhalb einer vereinbarten/akzeptablen Zeitspanne gelösten Incidents % der direkten Lösungen basierend auf der Gesamtzahl der Anfragen % der erneut geöffneten Incidents Anteil der abgebrochenen Calls Durchschnittliche Dauer der Incidentsnach Schweregrad Durchschnittliche % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr Anzahl der pro Service Desk MitarbeiterIn pro Stunde bearbeiteten Anrufe % der Ereignisse, die Jimmy Heschl - 45

46 Bestandteile von Prozessen (4/5) Control Objectives Jimmy Heschl - 46

47 Bestandteile von Prozessen (5/5) Control Practices Jimmy Heschl - 47

48 Reifegradmodell (Maturity Model) Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert) Symbole Derzeitiger Status Internationaler Standard Strategisches Ziel Reifegrade 0.. Nicht existent 1.. Initial 2.. Wiederholbar 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert Jimmy Heschl - 48

49 Reifegradmodell - Attribute Bewusstsein und Kommunikation Policies, Standards und Verfahren Werkzeuge und Automatisierung Skills und Expertise Zuständigkeit und Verantwortlichkeit Zielsetzung und Messung Jimmy Heschl - 49

50 Generisches Reifegradmodell Overall Process Maturity Awareness and Communication Policies, Standards and Procedures Maturity Attributes Tools and Automation Skills and Expertise Responsibility and Accountability Goal Setting and Measurement to-be improvement measures as-is Jimmy Heschl - 50

51 Reifegradmodell IT-Ebene PO 10 PO 9 PO 11 Plan and Organize PO PO 2a PO 2b PO 3 AI 6b Acquire and Implement AI 7 AI AI 2 AI 2 Lücken sind erkannt: Ist- zu Sollreife PO 8 PO 4 AI 6a AI 3 PO 7 PO 6 PO 5 Deliver and Support AI 5 AI 4b Monitor and Evaluate AI 4a Plan zur Verbesserung und Umsetzung DS 11b DS 11a DS 10 DS 9 DS 13b DS 13a DS 12 DS 1a DS 1b DS 2 DS 3 DS 4 DS 5a DS 5b DS 5c ME 4 ME ME 2 Prüfung, ob Ziele erreicht wurden DS 8 DS 7 DS 6 DS 5d DS 5e DS 5f ME 3 Jimmy Heschl - 51

52 ISO/IEC 27002:2005 Jimmy Heschl

53 ISO/IEC 27002:2005 Historie: CoP for Security Management BS7799 Part 1 ISO 17799:2000, 2005 Best Practice für Informations-Sicherheit Herausgegeben von der ISO Zeitweise im Konflikt mit BSI - Grundschutzhandbuch Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2) Jimmy Heschl - 53

54 Inhalt (1) Security Policy Eine Security Policy gibt die Richtung vor Enthält das Commitment und die Unterstützung des Managements Ist in der gesamten Organisation kommuniziert Organizing information security Unterstützung durch das Management Koordination der Aktivitäten Vertraulichkeitsvereinbarungen Kontakt mit öffentlichen Stellen Unabhängiger Review Risiken aus der Verbindung mit Drittparteien Jimmy Heschl - 54

55 Inhalt (2) Asset Management Inventar der Assets Verantwortung für Assets (benannter Eigner) Klassifikation von Informationen Human Resources Sicherheitserfordernisse für Mitarbeiter Verantwortlichkeit für Security Vertraulichkeitsvereinbarungen Screening von Personal Schulung und Training zu Information Security Prozess für das Reporting von Security Incidents, Schwachstellen und Software-Fehlern Formaler Disziplinarprozess Regelungen für Beendigung und Wechsel Jimmy Heschl - 55

56 Inhalt (3) Physiche Sicherheit und Schutz vor Umwelteinflüssen Sichere und angemessen abesichterte Bereiche (Büros, zentrale Einrichtungen, Bereiche zur Anlieferung) Schutz gegen Verlust, Beschädigung und Kompromittierung Anordnung von Stromzufuhr Sicherheit von Verkabelungen Wartung der Einrichtungen Einrichtungen, die außerhalb der zentralen Anlagen installiert sind Vernichtung oder Wiederverwendung von Informationen Allgemeine Controls zum Schutz von Einrichtungen (Clear Desk Policy, Clear Screen Policy, ) Jimmy Heschl - 56

57 Inhalt (4) Management von Kommunikation und Betrieb Dokumentierte Verfahren Dokumentierte Changes inklusive Incident Management Funktionstrennung Vorausbestimmung des Kapazitätsbedarfs Akzeptanzkriterien für neue Systeme Kapazitätsplanung Bösartige Software Backup von Informationen Logging von Fehlern, die durch Betriebsmitarbeiter verursacht wurden Aufbau und Betrieb von Netzwerken Schutz und Vernichtung von sensiblen Informationen Verwendung von E-Commerce Diensten Logging von relevanten Aktivitäten Bewertung der Wirksamkeit der Controls Jimmy Heschl - 57

58 Inhalt (5) Zugriffsschutz Erteilung von Zugriff zu Information Formale Zugriffsschutz Policy Regeln für den Zugriffsschutz Management von Benutzern Definition von Verantwortlichkeiten Schutz von vernetzten Services, Betriebssystem und Anwendungen Zugriff ist auf autorisierte User beschränkt Überwachung von Systemzugriffen und verwendung Mobile Rechner und Teleworking Jimmy Heschl - 58

59 Inhalt (6) Beschaffung, Entwicklung und Wartung von Systemen Definition von Security-Anforderungen Eingabe-, Verarbeitungs- und Ausgabekontrollen Verwendung von Kryptographie Sicherheit von und Zugriff zu Systemdateien Absicherung von Einrichtungen im Entwicklungs- und Supportbereich Information Security Incident Management Reporting von Incidents und Schwachstellen Verantwortlichkeiten Verfahren Jimmy Heschl - 59

60 Inhalt (7) Business Continuity Management Verhinderungen von Unterbrechungen der Business- Prozesse Übergeordnetes BCP Durchführung eines Business Impact Assessments Test, Wartung und Beurteilung des BCP Compliance Identifikation von gesetzlichen Anforderungen Compliance mit gesetzlichen Anforderungen Compliance mit der Security Policy Jimmy Heschl - 60

61 Integration von Standards Jimmy Heschl

62 Die Stimme der anderen Establish frameworks to ease Governance Implementation First COBIT for overall governance Then ITIL for service delivery and management Then ISO for information security Balanced Scorecard for measurement and communication Quelle: Forrester Helping Business Thrive On Technology Change A Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006 Jimmy Heschl - 62

63 2 3 COBIT & ITIL (v2) M o n i t o r a n d E v a l u a t e 1 4 Monitor and Evaluate Plan and Organize Plan and Organize Service Support Coverage of CobiT Processes by ITIL Processes Service Delivery Service Desk Service Level Management Service Support Incident Management Service Delivery Availability Management Service Support Service Delivery Problem Management Capacity Management by Jimmy Heschl Deliver 6 7 and Support Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Service Support Service Delivery Change Management Financial Management Service Support Release Management Service Delivery Continuity Management Service Support Configuration Management Acquire and Maintain CobiT and ITIL by Jimmy Heschl A c q u i r e a n d I m p l e m e n t Jimmy Heschl - 63

64 Verantwortung, Überwachung, Verfolgung und Kommunikation der Lösung Gegenüberstellung ITIL und COBIT zb. Incident Management Erkennung und Aufzeichung Klassifikation und erster Support DS8.2 Registration of customer queries (Registrierung von Kundenanfragen) Service Request Service request Verfahren Nachforschung und Diagnose Lösung und Wiederherstellung Abschluss des Incident DS8.3 Incident escalation (Eskalation von Incidents) DS8.4 Incident closure (Schließen von Incidents) Jimmy Heschl - 64

65 V3 Highest-Level Mapping INFORMATION Monitor and Evaluate Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability IT RESSOURCES Plan and Organise Deliver and Support Applications Information Infrastructure People Acquire and Implement Jimmy Heschl - 65

66 V3 High-Level Mapping Monitor and Evaluate Plan and Organise COBIT processes addressed by IT Infrastucture Library v3 by Jimmy Heschl Deliver and Support full x x x none Acquire and Implement Jimmy Heschl - 66

67 V3 Detailled Mapping (excerpt) Control Objective PO1 PO1.1 PO1.2 PO1.3 COBIT Name Define a Strategic IT Plan IT Value Management Business-IT Alignment Assessment of Current Capability and Performance ITIL SS 1 Introduction SS 2 Service management as a practice SS 3 Service Strategy principles SS 3.5 Service Strategy fundamentals SS 4 Service strategy SS 2.2 What are services? SS 3.1 Value creation SS 3.4 Service structures SS 4.4 Prepare for execution SS 5.1 Financial Management SS 5.2 Return on Investment SS 5.3 Service Portfolio Management SS 2.1 What is service management SS 2.3 The business process SS 2.4 Principles of service management SS 4.4 Prepare for execution CSI 5.2 Assessments PO1.4 IT Strategic Plan SS 3.3 Service provider types SS 3.5 Service Strategy fundamentals SS 4.1 Define the market SS 4.2 Develop the offerings SS 4.3 Develop strategic assets PO1.5 IT Tactical Plans SS 4.4 Prepare for execution SS 7.1 Implementation through the lifecycle SS 7.2 Strategy and Design Coverage A+ C C C C C Jimmy Heschl - 67

68 COBIT & ISO/IEC 27002:2005 Plan and Organize Monitor and Evaluate CobiT 4.0 processes addressed by ISO/IEC 17799:2005 by Jimmy Heschl Deliver and Support Acquire and Maintain Jimmy Heschl - 68

69 COBIT & BSI Grundschutzhandbuch Plan and Organize Monitor and Evaluate CobiT 4.0 processes addressed by IT Baseline Protection Manual by Jimmy Heschl Deliver and Support Acquire and Maintain Jimmy Heschl - 69

70 COBIT & viele andere Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by COSO Internal Control - Integrated Framework by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by FIPS PUB Deliver and Support by Jimmy Heschl Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by PRINCE2 by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by ISO/IEC TR by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by ISO/IEC 15408:2005 by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by PMBOK by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by TickIT by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by CMMI by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by NIST Deliver and Support by Jimmy Heschl Acquire and Maintain Jimmy Heschl - 70

71 Ausblick Die Zeit ist reif Für nachvollziehbare und messbare IT-Prozesse Einhaltung internationaler Standards Interne Kontrollsysteme auch in der IT Die Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung empfehlenswert besonders auch mit Prüfungs- und Kontroll Know How Jimmy Heschl - 71

72 Kontakt Jimmy Heschl - 72