Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------“Beschikbaarheid refereert aan informatie die beschikbaar is wanneer dit gevraagd wordt in hetbedrijfsproces nu en in de toekomst. Het refereert ook aan de bescherming van de benodigdemiddelen en daaraan gerelateerde mogelijkheden.”De definitie van CobiT is duidelijk breder dan de definitie zoals gehanteerd door het handboek EDPauditing.Binnen CobiT wordt ook op de continuïteit van beschikbaarheid gedoeld en raakt daarmeeprocessen als continuïteitsmanagement. Binnen dit onderzoek zal de definitie van CobiT wordengehanteerd.3.1.2 IntegriteitIn het handboek EDP-auditing (1999) wordt het kenmerk integriteit beschreven als de zekerheid ofbetrouwbaarheid van de informatievoorziening in organisaties. De integriteit van deinformatievoorziening bestaat uit drie onderdelen. De data (stamgegevens), transacties en parametersin de databases en de formules en rekenregels in de programmatuur. Integriteit wordt door CobiT(ITGI, 2007) als volgt beschreven;“Integriteit refereert aan de nauwkeurigheid en volledigheid van informatie en tevens aan degeldigheid van de informatie in relatie met bedrijfswaarden en verwachtingen.”3.1.3 VertrouwelijkheidMet vertrouwelijkheid van de informatievoorziening wordt de beperking van bevoegdheden en demogelijkheden van het raadplegen, wijzigen, afdrukken of kopiëren van gegevens tot eengeautoriseerde groep van gebruikers. Hiermee wordt niet alleen de gegevens in de databases bedoeldmaar ook toegang tot systeemsoftware, applicatiesoftware, etc. (Handboek EDP-auditing, 1999).CobiT (ITGI,2007) beschrijft vertrouwelijkheid als volgt:“Vertrouwelijkheid gaat over de bescherming van gevoelige informatie tegen ongeautoriseerdeopenbaarmaking.”In de definitie van CobiT komt weliswaar niet een expliciete verwijzing voor van de objecten waarvertrouwelijkheid betrekking op heeft, maar binnen het CobiT-raamwerk wordt vertrouwelijkheidgeprojecteerd tegen de objecten: infrastructuur, applicaties, informatie en personen. Een database valthierbij onder het object ‘applicatie’.3.2 IT beheersmaatregelraamwerkenVoor het uitvoeren van een audit op een IT-omgeving bestaan verschillende beheersmaatregelraamwerken die zijn op gesteld door verschillende organisaties. Enkele algemeen erkende standaardenzijn ontwikkeld door ISO(International Organization for Standardization), NIST (National Institute ofStandards and Technology), ISF(Information Security Forum) en ISACA (Information Systems Auditand Control Association)(Van der Beek e.a., 2009). Daarnaast hebben de meeste (accountant)organisaties een eigen raamwerk voor het toetsen van de algemene IT-beheersmaatregelen. Vaak zijndeze raamwerken een afgeleide van één of meerdere door o.a. bovengenoemde organisatiesgepubliceerde raamwerken.Hewlett-Packard Development Company (HP) heeft onderzoek gedaan naar de ITbeheersmaatregelendie in binnen een standaard (niet gevirtualiseerd) datacenter audit worden getoetsten de impact van virtualisatie hierop. Door HP worden de volgende drie gebieden onderkend(Baldwin e.a., 2008):• Data Centre Operations, dit gebied omvat de beveiliging van het datacentrum, operationsmanagement, incident en service beheer en continuïteit;• Data Centre Services, dit gebied omvat het beheer van de Active Directory, gebruikersbeheer,beveiliging, back-up en configuratiemanagement;• Servers, dit gebied omvat antivirus maatregelen, patchbeheer, wachtwoordinstellingen,wijzigingsbeheer en capaciteitsbeheer.---------------------------------------------------------------------------------------------------------------------------Pagina 20
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Ook binnen Deloitte Enterprise Risk Services (ERS) wordt een gestandaardiseerdbeheersmaatregelraamwerk gehanteerd voor het toetsen van de algemene IT-beheersmaatregelen bijorganisaties. Dit raamwerk is opgedeeld in drie subprocessen;• Datacentrum en netwerk activiteiten, dit gebied omvat het beheer en monitoren van interfaces,batchjobs en de IT-omgeving, continuïteitsmaatregelen en fysieke toegangsbeveiliging;• Informatiebeveiliging, dit gebied omvat het gebruikersbeheer, beveiligingsinstellingen zoalswachtwoorden en logging, patchbeheer en antivirus maatregelen;• Wijzigingsbeheer, dit gebied omvat de maatregelen en processen die wijzigingen ten aanzienvan applicaties, databases, besturingssystemen en netwerkcomponenten te maken hebben.Het IT-beheersmaatregelenraamwerk van Deloitte is gebaseerd op de beheerprocessen zoalsgedefinieerd door ITIL, beheersmaatregelen zoals gedefinieerd door CobiT en haar eigen kennis enervaring met betrekking tot ‘best practice’ standaarden.De raamwerken van Deloitte en HP vertonen veel overeenkomsten ten aanzien van debeheersmaatregelen. De verschillen zitten voornamelijk in de indeling van de verschillende gebieden.Qua diepgang behandelen beide raamwerken dezelfde risico’s.In een onderzoek van Van der Beek ea. (2009) worden vier standaarden (ISO 27002, NIST SP 800-53, ISF Standaard of Good Practice en CobiT 4.1) met elkaar vergeleken op verschillende criteria. Devergelijking die in het onderzoek wordt gemaakt is opgenomen in bijlage 5. Zoals in de tabel inbijlage 5 wordt weergeven richt CobiT zich qua breedte op de beheersing van de IT-omgeving in hetalgemeen. Het model richt zich hierbij op het strategische en tactische niveau. De operationeleprocessen worden niet uitgewerkt. De andere door Van der Beek e.a. (2009) onderzochte modellen,zoals NIST en ISO, richten zich juist meer op het tactisch en operationele niveau.Een ander algemeen erkend raamwerk voor het inrichten en beoordelen van de IT-beheerprocessen isITIL (IT Infrastructure Libary). Een onderzoek van Stevens e.a.(2006) toont aan dat CobiT en ITILelkaar op verschillende vlakken aanvullen en elkaar niet uitsluiten. Volgens het onderzoek is CobiTeen raamwerk dat alle IT-processen bevat en best-practices uit de verschillende (IT)vakgebiedencombineert. Hierbij wordt aangegeven dat CobiT sterk is in de generiekheid en volledigheid van alleIT-processen. ITIL richt zich volgens het onderzoek meer op de operationele activiteiten van (IT)service management. Het onderzoek vat dit samen door te stellen dat CobiT volledig en juistdefinieert wat moet gebeuren en minder op welke wijze dit moet plaatsvinden.Uit de verschillende onderzoeken blijkt dat de behandelde modellen enige overlap met elkaarvertonen, waarbij CobiT de grootste reikwijdte lijkt te hebben (breedte). De ander modellen gaan vaakdieper in op het (deel) gebied van hun onderwerp (operationeel). Grafisch wordt dit voor een aantalmodellen in Figuur 4 gevisualiseerd. Derksen en Noordam (2008) merken hierbij op dat CobiTinderdaad als zijnde breed gekwalificeerd kan worden ten opzichte van andere hierin opgenomenkwaliteitsmodellen. Echter dit geldt dan voor het vakgebied IT vanuit een audit perspectief. Debreedte en diepgang van CobiT sluit aan op de doelstelling van deze scriptie, namelijk het opstellenvan een IT-beheersmaatregelraamwerk. Hierbij ligt de nadruk op het afdekken van risico’s in plaatsvan een gedetailleerde uitwerking van het operationele proces. Het CobiT-raamwerk is derhalve breedgeaccepteerd binnen het vakgebied van IT-auditors (Van der Beek e.a., 2009). Verder zijn de CobiTprocessengekoppeld aan verschillende kwaliteitsaspecten waaronder de aspecten die in dit onderzoekcentraal staan.---------------------------------------------------------------------------------------------------------------------------Pagina 21
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 72 and 73:
Possen & UlrichRisico’s van een g
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Risico’s van een gevirtualiseerde
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?