Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Figuur 3 VMware Infrastructure (VMware, 2006a)Uit bovenstaande beschrijving van toegangspaden, kan geconcludeerd worden dat bij het virtualiserenvan de infrastructuur een tweetal nieuwe lagen van toegangsbeveiliging worden geïntroduceerd(InfoGard Laboratories, 2006).• Virtualization Layer toegang (grote grijze blok): De eerste laag wordt gebruikt voor hetverifiëren van toegang tot objecten onder de controle van de Virtualization Layer doorprocessen handelend namens gebruikers die op de Virtualization Layer zijn ingelogd ennamens gebruikers die verzoeken uitvoeren op de Virtualization Layer vanuit deVirtualCenter omgeving.• VirtualCenter toegang: de tweede laag van toegangsbeveiliging bestaat uit het verifiëren vantoegang tot objecten binnen de VirtualCenter server, door processen handelend namensgebruikers die ingelogd zijn op de VirtualCenter omgeving.In dit hoofdstuk is het onderwerp ‘virtualisatie’ beschreven door aandacht te besteden aan dedrijfveren en toekomstige ontwikkelingen. De keuze voor virtualisatie blijkt een grote impact tehebben op de gehele IT-infrastructuur en beheerprocessen. Om deze impact inzichtelijk te maken zijnde generieke componenten van een gevirtualiseerde infrastructuur belicht. Vanuit deze componentenzijn de gevolgen voor de infrastuctuur en beheerprocessen kort beschreven.Het hoofdstuk heeft een verkenning gegeven voor de impact op de IT-infrastructuur en enkelebeheerprocessen. Deze scriptie richt zich tot het opleveren van een audit-raamwerk van nieuwe ofgewijzigde beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving. In het volgendehoofdstuk zal een duidelijke scope afbakening plaatsvinden en aansluiting worden gezocht bijbestaande raamwerken.---------------------------------------------------------------------------------------------------------------------------Pagina 18
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------3. IT Audit van een databaseserver omgevingIn dit hoofdstuk zal aandacht worden besteed aan de auditaanpak van een databaseserver omgeving.Hierbij zal worden ingegaan op de kwaliteitsaspecten die als basis voor het te ontwikkelen raamwerkzullen worden gehanteerd. Op basis van bestaande raamwerken zullen processen worden geselecteerddie een impact hebben op de relevante kwaliteitsaspecten.3.1 Audit aanpakBij een audit gaat het om de bepaling van de kwaliteit van een onderzoeksobject. Hierbij is niet altijdduidelijk wat met het begrip kwaliteit wordt bedoeld. ISO-9000 definieert kwaliteit als volgt (VanPraat & Suerink, 2004):“Kwaliteit is de mate waarin een geheel van eigenschappen en kenmerken voldoet aan eisen”Van Praat en Suerink (2004) geven aan dat de eisen die een IT-auditor hanteert voor de uitvoering vanaudits ook wel toetsingsnormen worden genoemd. Hierbij is het van belang dat vooraf duidelijkheidbestaat aan welke normen een onderzoekobject moet voldoen. Van Praat en Suerink (2004) wijzenerop dat binnen het vakgebied van de IT-auditor, normen niet altijd even duidelijk zijn. Het is daaromvan belang een eenduidige definitie van de gehanteerde normen te gebruiken.In het Handboek EDP-Auditing (1999) gezamenlijk uitgegeven door het NIVRA en NOREA wordenzeven kwaliteitsaspecten benoemd: 1. beschikbaarheid, 2. exclusiviteit, 3. integriteit, 4.controleerbaarheid, 5. doelmatigheid, 6. doeltreffendheid van informatie en 7. de bescherming vanwaarden (beveiliging). Eén van de standaarden voor het beoordelen van beheersmaatregelen is CobiT(Van der Beek, ea, 2009). In het CobiT-raamwerk worden ook zeven kwaliteitsaspecten onderkend.CobiT onderkent de volgende kwaliteitsaspecten 1. effectiveness, 2. efficiency, 3. confidentiality, 4.integrity, 5. availibility, 6. compliance en 7. reliability (ITGI, 2007). In het handboek EDP-Auditingen CobiT worden dus verschillende kwaliteitseisen benoemd welke overlap met elkaar vertonen.Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en“vertrouwelijkheid” (ook bekend als ‘BIV’ of in het Engels ‘CIA’) centraal. Deze driekwaliteitsaspecten worden vaak als uitgangspunt gehanteerd voor een IT-Audit met als doel hettoetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerdeomgeving (Huet & Staquet, 2006). De verschillende kwaliteitsaspecten kunnen elkaar aanvullen maarsoms ook tegenwerken. Zoals Van Praat en Suerink (2004) illustreren met het voorbeeld dat eengebruikersvriendelijk informatiesysteem wellicht geen toegangsbeveiliging heeft aangezienwachtwoorden over het algemeen niet als gebruiksvriendelijk wordt ervaren. Dit staat echter haaks oponder andere het kwaliteitsaspect vertrouwelijkheid.In de volgende paragrafen zullen de drie ‘BIV’ kwaliteitsaspecten verder worden toegelicht:• Beschikbaarheid (Availibility);• Integriteit (Integrity);• Vertrouwelijkheid (Confidentiality).3.1.1 BeschikbaarheidBeschikbaarheid van de informatievoorziening is voor de meeste organisaties van groot belang. Hethandboek EDP-auditing (1999) definieert beschikbaarheid als volgt :“De mate waarin gegevens en IT-processen de organisatie ondersteunen op de momenten dat deorganisatie dit eist.”De bedrijfsvoering komt vaak bijna helemaal stil te liggen wanneer de ICT systemen niet meerbeschikbaar zijn (Snijders e.a.,1999). In CobiT (ITGI, 2007) wordt beschikbaarheid gedefinieerd als:---------------------------------------------------------------------------------------------------------------------------Pagina 19
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 70 and 71:
Possen & UlrichRisico’s van een g
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Risico’s van een gevirtualiseerde
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?