Risico’s van een gevirtualiseerde IT-omgeving

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------4.8 Manage data (DS11)Data management, het beheren van gegevens, wordt binnen het CobiT-raamwerk behandeld in hetproces “DS11 Manage Data”. Dit proces is erop gericht om de eisen die aan de gegevens wordengesteld vast te leggen. Het proces voorziet in het beheren van de gegevensbibliotheken, de back-upen restore van gegevens en het verwijderen van gegevens en media. De beheersdoelstelling voor ditproces wordt in CobiT 4.1 is als volgt gedefinieerd;“Er bestaat een beheerst proces voor het beheren van gegevens. Hierbij wordt gebruik van degegevens geoptimaliseerd en beschikbaar gesteld wanneer deze zijn benodigd.”Vanuit CobiT worden een zestal beheersmaatregelen gedefinieerd welke hieronder kort wordenopgesomd, een volledige beschrijving is opgenomen in bijlage 3. Hierna zullen de wijzigingen dievoor dit proces zijn geïdentificeerd worden beschreven.• DS11.1 Business Requirements for Data Management;• DS11.2 Storage and Retention Arrangements;• DS11.3 Media Library Management System;• DS11.4 Disposal;• DS11.5 Backup and Restoration;• DS11.6 Security Requirements for Data Management.Data management is binnen een virtuele wereld niet wezenlijk anders ten opzichte van een fysiekeserver infrastructuur. Echter virtualisatie biedt nieuwe mogelijkheden op het gebied van back-up enrecovery. Zie hiervoor tevens de paragraaf 4.4 Manage performance and capacity (DS03).De fysieke server is een logisch bestand geworden. Wat betreft data management blijft datamanagement niet meer beperkt tot een gegevensverzameling of applicatie, maar wordt een back-upvan de complete VM gemaakt. Dit betekent dat VM’s eenvoudiger zijn te restoren aangezien er geenconflicten meer optreden tussen de gearchiveerde data en de software versie toentertijd. Echter hetintroduceert tevens het risico dat de VM back-up gebaseerd is op een oude (beveiligings)instellingenen niet is voorzien van de laatste patches, waardoor er bij het restoren een beveiligingsrisico ontstaat.In de procedures voor back-up en restore moet voldoende rekening worden gehouden met de risico’svan de nieuwe virtualisatiefunctionaliteit op dit vlak.In onderstaande tabel zijn de geïdentificeerde beheersmaatregelen voor een virtuele databaseserveromgeving beschreven met daarbij de referentie naar de bijbehorende CobiT-beheersmaatregel.Referentie Referentie CobiTbeheersmaatregelGeïdentificeerde beheersmaatregel t.b.v. virtualisatieDM-01 DS11.2 Storage andRetention ArrangementsDM-02DM-03DS11.6 SecurityRequirements for DataManagementDS11.5 Backup andRestorationEr bestaat een duidelijk beleid over de manier waarop er eenback-up wordt gemaakt van VM, service console envirtualization layer, de locatie waar back-up bestanden wordenopgeslagen en het bewaartermijn.In de back-up en restore procedure van virtual machines wordtrekening gehouden met het verschil in (beveiligings)instellingenen patchniveaus tussen het moment dat de back-up is gemaakt ende restore wordt uitgevoerd op basis van de configuratie DB.Het bewaren en verwijderen van back-up bestanden vanVM,Service Console en virtualization layer is inovereenstemming met het continuïteitsbeleid.---------------------------------------------------------------------------------------------------------------------------Pagina 60