Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------Figuur 4 IT-governance en managementmodellen in breedt en diepte (Derksen & Noordam, 2008)Op basis van de uitgevoerde analyse van beschikbare referentie modellen is besloten dat voor ditonderzoek CobiT als kapstok zal dienen waaraan de geïdentificeerde risico’s en beheersmaatregelenworden opgehangen. Wanneer het voor dit onderzoek nodig is zal voor de diepte en uitwerking van deverschillende processen aanvullende raamwerken waaronder ITIL worden geraadpleegd.Het CobiT (Control Objectives for Information and related Technology) raamwerk is ontwikkeld doorISACA en ITGI (IT Governance Institute). In de laatste editie, versie 4.1(CobiT 4.1, ITGI), worden171 beheersmaatregelen beschreven verdeeld over 34 processen welke zijn opgenomen in een van devier onderkende domeinen, te weten;• Plan and Organize;• Acquire and implement;• Deliver and support;• Monitor and Evaluate.In het CobiT-raamwerk wordt voor elk proces aangegeven of deze wel of geen primaire dan welsecundaire impact heeft op een of meerdere van de volgende kwaliteitsaspecten:• Effectiveness;• Efficiency;• Confidentiality;• Integrity;• Availibility;• Compliance;• Reliability.Een overzicht van de 4 domeinen met de 34 processen is opgenomen in bijlage 2. Hierin is tevensaangegeven op welke kwaliteitsaspecten het proces een primaire (P) of secundaire (S) impact heeft. Inde voorgaande paragraaf is aangegeven dat deze scriptie zich richt op de kwaliteitsaspectenbeschikbaarheid (Availibility), integriteit (Integrity) en vertrouwelijkheid(Confidentiality). Op basisvan CobiT versie 4.1 is vastgesteld dat de volgende processen direct (Primair) worden beïnvloed doorde geselecteerde kwaliteitsaspecten (ITGI, 2007):• Define the information architecture(PO02);---------------------------------------------------------------------------------------------------------------------------Pagina 22
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------• Assess and manage IT risks(PO09);• Manage changes(AI06);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage data(DS11);• Manage the physical environment(DS12).Om de volledigheid van de geselecteerde processen te verifiëren zijn de geselecteerde processenvergeleken met de raamwerken van Deloitte en HP. Het blijkt dat deze raamwerken ook aandachtbesteden aan capaciteit- en configuratiebeheer (Baldwin, 2008).Bij de beschrijving van de virtualisatie architectuur (hoofdstuk 2), is gewezen op het feit datvirtualisatie vaak leidt tot een consolidatie van meerdere logische VM’s op één fysieke machine(apparatuur). De fysiek beschikbare resources moeten worden verdeeld over de hierop draaiendeVM’s. Er vindt dus een verdeling van resources plaats na gelang van de beschikbare capaciteit en ditbeïnvloed de performance van de afzonderlijke VM’s. Juist de impact hiervan voor eendatabaseserver is beschreven aangezien dit type applicatie zich vaak kenmerkt vanwege hogeperformance eisen. Het beheersen van prestaties en capaciteit verdient dus extra aandacht in eengevritualiseerde infrastructuur.Een ander virtualisatie kenmerk dat reeds in hoofdstuk 2 is beschreven is de flexibiliteit van deinfrastructuur. Een voorheen fysieke machine, netwerk en opslag worden gevirtualiseerd. Natuurlijkblijft er nog een fysiek component over, namelijk de onderliggende resource, maar het beheer zalvoornamelijk betrekking hebben op virtuele componenten. Een voordeel van deze virtuelecomponenten is de flexibiliteit, zoals bijvoorbeeld het verplaatsen van het ene naar de anderevirtualisatie platform. Dit heeft grote gevolgen voor IT-beheer wat betreft het bijhouden van deactuele configuratie van de IT-infrastructuur, beter bekend als configuratiemanagement. Het isnamelijk van belang om continu in beeld te hebben op welke wijze de omgeving is ingericht eningesteld (Hietala, 2009).Deze twee constateringen zijn besproken met verschillende virtualisatie professionals (zie bijlage 4).Ook vanuit deze gesprekken komt naar voren dat deze twee beheerprocessen essentieel zijn voor dekwaliteitsaspecten ‘BIV’. Er is daarom besloten om twee additionele processen toe te voegen aan delijst van relevante IT-beheerprocessen. Het gaat hierbij om de volgende CobiT-processen, dezeprocessen raken volgens CobiT het kwaliteitsaspect beschikbaarheid indirect (Secundair):• Manage performance and capacity(DS03);• Manage the configuration(DS09).De totale lijst met processen die zullen worden meegenomen in ons onderzoek bestaat uit de volgendeCobiT-processen:• Define the information architecture(PO02);• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11);• Manage the physical environment(DS12).Voor deze negen processen zullen in het volgende hoofdstuk specifieke risico’s wordengeïdentificeerd en de noodzakelijke beheersmaatregelen worden gedefinieerd.---------------------------------------------------------------------------------------------------------------------------Pagina 23
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 74 and 75:
Possen & UlrichRisico’s van een g
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Risico’s van een gevirtualiseerde
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?