Risico’s van een gevirtualiseerde IT-omgeving

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------5. Toetsing, analyse en evaluatieBinnen dit hoofdstuk worden de belangrijkste uitkomsten van de praktijktoetsing vermeld. Daarnaastwordt aangegeven hoe de uitkomsten zijn verwerkt in de uiteindelijke set van geformuleerdebeheersmaatregelen. Tenslotte zal binnen dit hoofdstuk worden teruggekeken op de gemaakte keuzesbinnen het onderzoek en mogelijke verbeteringen en vervolgwerkzaamheden.5.1 Toetsing van het geformuleerde IT­beheersmaatregelenraamwerkNa een inhoudelijke afstemming met diverse professionals is er een conceptversie van hetbeheersmaatregelenraamwerk geformuleerd. Het raamwerk is getoetst bij “Deloitte Websolutions”.Deze afdeling verzorgt het beheer voor Deloitte en haar klanten. Hierbij wordt gebruik gemaakt vaneen gevirtualiseerde IT-infrastructuur (VMware) die extern bij Schuberg Philis wordt gehost. Dediensten die Deloitte door Schuberg Philis laat hosten ondersteunen Deloitte en haar globale klantenin hun risicomanagement en compliance-activiteiten. De keuze voor Schuber Philis en eengevirtualiseerd platform zijn gebaseerd op flexibiliteit, schaalbaarheid, kwaliteit en beschikbaarheidvan diensten.De toetsing van het geformuleerde beheersmaatregelenraamwerk is gebaseerd op diverse gesprekkenmet personen die direct betrokken en verantwoordelijk zijn voor de gevirtualiseerde IT-infrastructuurbinnen Deloitte Websolutions. Voor meer informatie omtrent deze partij en betrokkenen, wordtverwezen naar “Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen”. Aangezien deverantwoordelijkheid en eisen door Deloitte zijn bepaald en de geïnterviewden voldoende kennishebben van de gehanteerde configuratie hebben er geen afzonderlijke gesprekken met Schuberg Philisplaatsgevonden.Voor de geselecteerde processen zijn de geïdentificeerde risico’s en de geformuleerdebeheersmaatregelen besproken. Hierbij is gelet op de relevantie van de beheersmaatregel (is dezebeheersmaatregel terecht opgenomen, de juistheid (klopt de beschrijving), de volledigheid (zijn er nogandere risico’s en noodzakelijke beheersmaatregelen) en toepasbaarheid (is de beheersmaatregel tebegrijpen en bruikbaar voor een derde).• Define the information architecture(PO02)In het conceptraamwerk waren voor dit proces een aantal beheersmaatregelen geïdentificeerd engedefinieerd. Tijdens de praktijktoetsing bleek dat de geformuleerde beheersmaatregelen geenonderdeel zijn van het proces “define the information architecture”. Dit CobiT-proces gaat deinrichting van de informatie-architectuur op het niveau van applicaties en gegevens. Debeheersmaatregelen die waren gedefinieerd gingen in op de impact en inrichting van deinfrastructuur. Deze beheersmaatregelen zijn onderdeel van het CobiT-proces “PO03 Determinetechnological direction” wat geen onderdeel is van de scope van dit onderzoek.oOp basis van de praktijktoets is geconcludeerd dat virtualisatie geen impact heeft op ditproces. Virtualisatie is slechts faciliterend en heeft geen directe invloed op de informatiearchitectuur.Daarnaast is vastgesteld dat virtualisatie tevens een impact heeft op CobiTprocessendie niet onderdeel zijn van de scope van dit onderzoek. Dit onderzoek heeftspecifiek gekeken naar de kwaliteitsaspecten beschikbaarheid, integriteit en volledigheid.• Assess and manage IT risks(PO09);In het conceptraamwerk werd voor dit proces geen melding gemaakt van de (virtualisatie)componenten die als onderdeel van de toetsing moeten worden behandeld. Er werd onderkenddat de geformuleerde beheersmaatregelen belangrijk zijn om te waarborgen dat de keuze voorvirtualisatie aansluit op de organisatiestrategie en dat de risico’s bij virtualisatie wordenonderkend en doorvertaald naar de organisatorische doelen en processen. Qua relevantie envolledigheid bestonden er geen opmerkingen. Op het vlak van juistheid en toepasbaarheid van de---------------------------------------------------------------------------------------------------------------------------Pagina 63