Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.2 Assess and manage IT risks (PO09)IT-risicomanagement wordt binnen het CobiT-raamwerk behandeld in het proces “PO9 Assess andManage IT Risks”. Dit proces is erop gericht dat een organisatie een duidelijk proces heeftgeïmplementeerd voor risicobeheersing. Dit betekent dat (IT)risico’s worden geïdentificeerd,geanalyseerd, beoordeeld en overwogen maatregelen worden geïmplementeerd. Debeheersdoelstelling voor dit proces wordt in CobiT 4.1 is als volgt gedefinieerd (ITGI, 2007);“Er bestaat een beheerst proces voor IT-risico identificatie, beoordeling en beheersing. Alle ITrisico’sen mogelijke impact op de processen en doelen van een organisatie worden onderzocht enbinnen de organisatie gedeeld.”Binnen CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• PO9.1 IT Risk Management Framework;• PO9.2 Establishment of Risk Context;• PO9.3 Event Identification;• PO9.4 Risk Assessment;• PO9.5 Risk Response;• PO9.6 Maintenance and Monitoring of a Risk Action Plan.Virtualisatie van (database) servers heeft een kleine impact op de vereiste beheersmaatregelen van ITrisicomanagement.De impact van virtualisatie komt voort uit de additionele complexiteit dievirtualisatie met zich mee brengt. Hiermee worden nieuwe risico’s geïntroduceerd ten aanzien van de(IT) organisatie, de automatiseringsomgeving en de (IT) beheerprocessen. Het is belangrijk dat degeïntroduceerde virtualisatielaag ook wordt meegenomen in de beheersmaatregelen met betrekking totIT-risico’s (Dutton, 2007)(Behnia & Wrobel, 2009). Hierbij is het belangrijk om de risico’s vanvirtualisatie op bedrijfsproces niveau te beoordelen en te mitigeren tot een geaccepteerd niveau voordeze bedrijfsprocessen (niet IT gedreven)(Ranada, 2009).Experts geven aan dat wanneer de risico’s van virtuele (database)servers niet worden beheerst, devoordelen van de virtuele omgeving zullen worden overtroffen (Melançon, 2008). Hierbij is hettevens van belang om bij het uitvoeren van de risicoanalyse experts op het gebied van(database)servervirtualisatie te betrekken zodat de bedreigingen, risico’s, maatregelen eninschattingen (impact en waarschijnlijkheid gerelateerd aan het voordoen van het risico) in de juistecontext worden geanalyseerd. De experts dienen kennis te hebben van het gebruiktevirtualisatieproces en de impact op de verschillende (virtuele) onderdelen adequaat in te kunnenschatten. Hierbij dient de impact voor de volgende onderdelen van een virtuele omgeving wordenbepaald:• Virtual Machine (VM);• Service Console;• VirtualCenter;• Virtualization Layer;• Virtual network;• Virtual Storage;---------------------------------------------------------------------------------------------------------------------------Pagina 26
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.ReferentieRM-01RM-02RM-03Referentie CobiTbeheersmaatregelPO9.1 IT RiskManagement FrameworkPO9.2 Establishment ofRisk ContextPO9.3 EventIdentificationGeïdentificeerde beheersmaatregel t.b.v. virtualisatieIn het IT-risicomanagement raamwerk wordt aandacht besteedaan de risico’s voor virtualisatie van (database) servers en deimpact hiervan op de bedrijfsprocessen, (virtuele) infrastructuuren (IT) beheerprocessen. Hierbij moeten de volgende onderdelenvan een virtuele omgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageBij het vaststellen van de risico context voor debedrijfsprocessen, (IT) beheerprocessen en de (virtuele)infrastructuur dient expertise op het gebied van (database)servervirtualisatie aanwezig te zijn. Hierbij moeten de volgendeonderdelen van een virtuele omgeving worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual StorageEr bestaat een periodiek proces voor het identificeren van debedreigingen voor de bedrijfsprocessen, (IT) beheerprocessen ende (virtuele) infrastructuur. Hierbij moeten de specifiekebedreigingen van een virtuele omgeving worden meegenomen enis expertise op het gebied van (database)server virtualisatiebetrokken. De volgende onderdelen van een virtuele omgevingmoeten hierin in iedergeval worden meegenomen;• Virtual Machine (VM)• Service Console• VirtualCenter• Virtualization Layer• Virtual network• Virtual Storage---------------------------------------------------------------------------------------------------------------------------Pagina 27
Page 1: Risico’s van een gevirtualiseerde
Page 4 and 5: Possen & UlrichRisico’s van een g
Page 78 and 79:
Possen & UlrichRisico’s van een g
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Risico’s van een gevirtualiseerde
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?