IT Governance Implementation mit COBIT und ITIL am Beispiel von Cloud Computing

Transkript

1 IT Governance Implementation mit COBIT und ITIL am Beispiel von Cloud Computing Presented by: Urs Fischer, CISA, CRISC ISACA Guidance and Practices Committee

2 About ISACA Founded in 1969; non-profit, independent association that helps members achieve greater trust in, and value from, their information systems Has more than 95,000 constituents in 160 countries and more than 190 chapters worldwide Sponsors international conferences and education Publishes original research Develops international IS audit and control standards Offers CISA, CISM, CGEIT and CRISC certifications Developed and continually updates the COBIT, Val IT and Risk IT frameworks, as well as the IT Assurance Framework and Business Model for Information Security

3 Urs Fischer CPA (Swiss) by origin, CISA & CIA 5 year external auditor Switch to IT Audit In IT Audit for 13 years incl. Head of IT Audit 6 years Head IT Governance & Risk Mgmt at Swiss Life Since October 2010 Independent IT Governance, Risk & Compliance Consultant 2010 Receiver of the John W. Lainhart IV Common Body of Knowledge Award Board member of ISACA CH Chapter for about 8 years Co-Author of CobiT4 and Co-Developer of CobiT Control Practices Member of the CobiT Steering Committee for 3 years Member and Chair of ISACA s EuroCACS Conference Programme Committee for 6 years Chairman of ITGI s 'Risk IT' Task Force that was charged to develop Risk IT Since 2006 Member of ISACA Audit Committee (since 2008 Chairman) Since 2009 Member of ISACA s Credentialing Board Since 2009 Chair of ISACA s CRISC Committee Since 2010 Member of ISACA0 s Guidance & Practice Committee

4 The world is getting a little bit cloudy! Where is technology going?

5 Key IT Business Ziele Fokus Kosten-Reduktion Source: Everything Channel, State of Technology Data Center

6 What is the Cloud? Es existieren eine Reihe von pragmatischen Definitionsansätzen: Cloud Computing steht für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann. (Quelle: Forrester Research) Cloud Computing umfasst On-Demand-Infrastruktur (Rechner, Speicher, Netze) und On-Demand-Software (Betriebssysteme, Anwendungen, Middleware, Management- und Entwicklungs-Tools), die jeweils dynamisch an die Erfordernisse von Geschäftsprozessen angepasst werden. Dazu gehört auch die Fähigkeit, komplette Prozesse zu betreiben und zu managen. (Quelle: Saugatuck Technology)

7 What is the Cloud? 2009 veröffentlichte das National Institute for Standards and Technology (NIST) eine Definition, die auf weitgehende Akzeptanz stieß und verschiedene Definitionsansätze bündelt. Sie enthält die drei verschiedenen Servicemodelle (IaaS, PaaS und SaaS), vier Liefermodelle (private clouds, public clouds, hybrid clouds und community clouds) und listet fünf essenzielle Charakteristika für Cloud Computing. (Quelle: NIST) Demzufolge geht Cloud Computing über andere gegenwärtig diskutierte Ansätze (Software-as-a-Service, Organic Computing ) und Konzepte (Virtualisierung) hinaus. Unter der Bedingung einer öffentlichen Verfügbarkeit, ähnlich beispielsweise dem öffentlichen Telefonnetz, kann man Cloud Computing je nach Architektur auch als Summe von SaaS und Utility Computing ansehen. (Quelle: Berkeley)

8 Die Versprechungen von Cloud Tiefe Hürden für den Eintritt Geringerer Kapital- bzw. Investitions-Aufwand Weniger Fachkenntnisse notwendig Weniger Gemeinkosten Zahle für das was benötigt wird Tiefer jährlicher Unterhalt Weniger ungeplante Breaks/Fixes Besseres Ausrichten der IT auf das Business Fokussierung auf die Notwendigkeiten des Business

9 Wohin geht die Reise?

10 CIO/CTO Veränderte Aufgaben Die Rolle des CIO befindet sich in einem Wechsel vom Management von Operations hin zum Management der IT als eine Service Value Chain Bisher: Der CIO führte eine interne IT Fabrik Neu: Sowohl interne wie auch externe Service-Provider werden zu Hersteller und Benutzer von Services Der CIO muss diese Value Chain verweben und optimieren um die diversen Kunden zu unterstützen und das Geschäft der Unternehmung zu ermöglichen

11 Service Value Chain

12 Herausforderungen

13 Wer hilft?

14 Governance in einer sich schnell wandelnden Zeit Governance ist entscheidender denn je: Immer grösser werdende Risiken inkl. Sicherheit, Compliance, Projekte und Partner Kontinuität von kritischen Business-Prozessen betrifft mehr als nur das Rechenzentrum Wegen der immer grösseren Abhängigkeit von Dritten müssen die organisatorische Ziele klar definiert sein Effektive und effiziente, flexible und abgestimmte Governance ist eine Notwendigkeit

15 Governance ist ein Muss Aber wie? Kubernán (gr): to steer a ship the process of continually orienting and adjusting

16 IT governance IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT1 die Unternehmensstrategie und - ziele unterstützt.

17 Was soll IT Governance bringen? Beschäftigt sich mit zwei Resultaten: Schaffen von Wert Reduzierung von Risiken Auf 5 Bereiche fokussiert

18 Risiken und Opportunitäten

19 Risiko und Opportunitäten

20 Positionierung von IT Governance

21 Einführung von IT Governance 7 Phasen: 1. Was sind die Treiber? 2. Wo stehen wir? 3. Wo wollen wir hin? 4. Was müssen wir tun? 5. Wie kommen wir dorthin? 6. Haben wir es erreicht? 7. Wie halten wir das ganze in Schwung? 21

22 COBIT TM the roadmap Weltweit anerkanntes Werkzeug zur Sicherstellung, dass die IT effektiv arbeitet Stellt eine gemeinsame Sprache zur Kommunikation von Zweck, Zielen und erwarteten Resultate zur Verfügung Basiert auf Industrie-Standards und Good-Practices: in der Strategische Ausrichtung der IT mit Geschäftszielen im Schaffen von Werten/Nutzen von Services und Projekten im Ressourcenmanagement im Risikomanagement im Messen von Performance

23

24 RACI Wer macht was?

25 Ziele und Metriken

26 Reifegrad-Model

27 ITIL Version 3

28 Beziehung zwischen COBIT und ITIL (Synergien) COBIT ist ein IT Governance und Kontroll Rahmenwerk welches fokussiert ist auf das WAS muss unternommen werden um eine gute Governance aller IT Prozesse (inkl. der Service Management Prozesse) zu gewährleisten. COBIT bietet Unterstützung, Rahmenwerk und Werkzeuge um die gewünschte Konformität und Leistung der IT Prozesse sicherzustellen, welche zur Erfüllung der Business Anforderungen notwendig ist. ITIL bietet Best Practices (WIE) zur Planung, Design und Einführung effektiver Service Management Prozesse. Durch wirksamen Einsatz von COBIT kann eine Unternehmung sicherstellen, dass ihr Service Management in Übereinstimmung mit dem Business, der Governance und dem Internen Kontroll System ist.

29 Gemeinsame Nutzung von Rahmenwerken

30 COBIT User Guide für Service Managers Definiert die Anforderungen für Governance und das Muss für good practices Bietet eine Übersicht der spezifischen Rollen eines Service Manager Erklärt den Zusammenhang zwischen COBIT und den best practices für die Funktion (ITIL) Erklärt wie COBIT und ITIL zur Unterstützung der Governance der IT Services verwendet werden können Stellt eine Roadmap für den Einstieg/Start zur Verfügung Enthält eine Übersicht der Schlüssel-Aktivitäten von Service Managern (Basierend auf ITIL V3 und referenziert zu COBIT und ISO20000)

31 Mapping

32 Schlüssel Prozesse im Service Lifecycle Beispiel Service Operation

33 Conclusion Reifegrad-Zyklus Source: 451 Group

34 Conclusion Gute Governance oder fehlerfreies Management

35 Fragen? / Besten Dank! Urs Fischer,dipl. Wirtschaftsprüfer, CRISC, CISA Mail: fiur@bluewin.ch Xing: Linkedin: Thank you! ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL USA Phone: Fax: info@isaca.org

36 Back-Up

37 Verbindung von Unternehmenszielen und IT Zielen

38 Verbindung von IT Zielen mit IT Prozessen

39 Verbindung von IT und Business

40 1 What Are the Driver? Need for new or improved IT governance organisation is usually recognised by organisation pain points and/or trigger events Pain points should be identified by management, audit, and risk and compliance processes Board and executive management personnel should: Analyse pain points to identify root cause Look for opportunities during trigger events Combination of realised trigger events and existing pain points provide the business case for improved or new IT governance initiatives The goal of this phase of the life cycle includes: Outlining the business case Identification of stakeholders and roles and responsibilities IT governance programme wake-up call and kick-off communications

41 2 Where are We Now? Define the problems and opportunities Understand the pain points that have been identified as governance problems Take advantage of trigger events that provide opportunity for improvement Form a powerful guiding team Knowledge of the business environment Insight into influencing factors Assess the current state Identify the IT goals with respect to enterprise goals Identify the most important processes Understand management risk appetite Understand the maturity of existing governance and related processes

42 3 Where Do We Want to Be? Define the road map Describe the high level change enablement plan and objectives Communicate desired vision Develop a communication strategy Communicate the vision Articulate the rationale and benefits of the change Set the tone at the top Define target state and perform gap analysis Define the target for improvement Analyse the gaps Identify potential improvements

43 4 What Needs to Be Done? Develop programme plan Prioritise potential initiatives Develop formal and justifiable projects Use plans that include contribution and programme objectives Empower role players and identify quick wins High-benefit, easy implementations should come first Obtain buy-in by key stakeholders affected by the change Identify strengths in existing processes and leverage accordingly Design and build improvements Plot improvements onto a grid to assist with prioritisation Consider approach, deliverables, resources needed, costs, estimated time scales, project dependencies and risks

44 5 How Do We Get There? Execute the plan Execute projects according to an integrated programme plan Provide regular update reports to stakeholders Document and monitor the contribution of projects while managing risks identified Enable operation and use Build on the momentum and credibility of quick wins Plan cultural and behavioral aspects of the broader transition Define measures of success Implement improvements Adopt and adapt best practices to suit the organisation s approach to policies and process changes

45 6 Did We Get There? Realise benefits Monitor the overall performance of the programme against business case objectives Monitor and measure the investment performance Embed new approaches Provide transition from project mode to business as usual Monitor whether new roles and responsibilities have been taken on Track and assess objectives of the change response plans Maintain communication and ensure communication between appropriate stakeholders continues Operate and measure Set targets for each metric Measure metrics against targets Communicate results and adjust targets as necessary

46 7 How Do We Keep Momentum? Continual improvements keeping the momentum is critical to sustainment of the life cycle Review the programme benefits Review programme effectiveness through a programme review gate Sustain Conscious reinforcement (reward achievers) Ongoing communication campaign (feedback on performance) Continuous top management commitment Monitor and evaluate Identify new governance objectives based on programme experience Communicate lessons learned and further improvement requirements for the next iteration of the cycle