Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------oTijdens de verificatie van de in CobiT aanwezige beheersmaatregelen, als onderdeel vanhet proces fysieke beveiliging, zijn geen ontbrekende of gewijzigde maatregelengeïdentificeerd.5.2 Analyse van bevindingenWanneer wordt gekeken naar de uiteindelijk geïdentificeerde beheersmaatregelen, blijkt datvirtualisatie een grote impact zal hebben op de bestaande infrastructuur en IT-beheerprocessen. Deimpact uit zich per CobiT-proces op een andere manier, maar er zijn op hoofdlijnen enkeleovereenkomsten geïdentificeerd. Deze eigenschappen zijn gecategoriseerd in:- nieuwe beheersmaatregelen;- gewijzigde beheersmaatregelen;- niet gewijzigde beheersmaatregelen.Nieuwe beheersmaatregelenTen eerste zijn er beheersmaatregelen geïdentificeerd die volledig nieuw zijn. Binnen de volgendeprocessen zijn nieuwe beheersmaatregelen gedefinieerd:• Manage changes(AI06);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage data(DS11).Dit is verklaarbaar door het feit dat een nieuwe infrastructuur laag wordt geïntroduceerd die nieuwe(beheer) mogelijkheden biedt. Voor deze nieuwe laag en (beheer)mogelijkheden bestaan ook nieuwerisico’s. Deze risico’s worden afgedekt met beheersmaatregelen die niet bestaan binnen een nietgevirtualiseerde IT-infrastructuur.Gewijzigde beheersmaatregelenDe meest omvangrijke groep bestaat uit processen waarvoor een bestaande beheersmaatregel blijftbestaan, maar een specifieke toevoeging voor virtualisatie moet worden opgenomen. Het gaat hierbijom de volgende processen;• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11).Virtualisatie introduceert een nieuwe laag binnen de infrastructuur die moet worden beheerst. Debestaande beheersmaatregelen zijn vaak globaal gedefinieerd omdat duidelijk was over welke laagwerd gesproken. Met de introductie van een extra laag (gevirtualiseerde infrastructuur) dienen dezebeheersmaatregelen expliciet deze extra laag te benoemen. Voor deze beheersmaatregelen geldt nietzozeer een ander proces, de diepgang van de beheersmaatregelen wordt groter aangezien ook devirtuele laag onderdeel zal moeten zijn van de gedefinieerde beheersmaatregelen.Geen wijzigingen in de bestaande beheersmaatregelenDe laatste categorie zijn de beheersmaatregelen waarbij geen wijzigingen zijn geïdentificeerd alsgevolg van virtualisatie. Deze categorie omvat de beheersmaatregelen zoals deze in de nietgevirtualiseerde omgeving reeds bestaan en in een gevirtualiseerde omgeving blijven bestaan. Enkelebeheersmaatregelen binnen de geselecteerd processen zullen niet wijzigen wanneer een organisatiegebruik gaat maken van virtualisatie. Deze beheersmaatregelen zijn dan ook niet opgenomen in hetopgestelde raamwerk, aangezien dit raamwerk de delta tussen virtuele en niet virtuele omgevingenbeschrijft. Op basis van dit onderzoek en praktijktoetsing is vastgesteld dat de beheersmaatregelenvoor de volgende twee processen niet wijzigen;---------------------------------------------------------------------------------------------------------------------------Pagina 66
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------• Define the information architecture(PO02);• Manage the physical environment(DS12).Hedendaagse audits richten zich vaak uitsluitend op de virtuele-infrastructuur indien hierom specifiekwordt gevraagd. In de praktijk blijkt dat indien een bepaalde applicatie onderdeel is van een audit(bijvoorbeeld een audit in het kader van de jaarrekeningcontrole) er niet altijd wordt vastgesteld of deomgeving die wordt getoetst, wel of niet gevirtualiseerd is uitgevoerd. Vaak wordt niet verdergekeken dan de server waarop de applicatie wordt gehost. Op basis van de specifiek geïdentificeerderisico’s en de impact op de IT-beheerprocessen, kan worden geconcludeerd dat in het geval vanvirtualisatie ook de virtualisatielaag onderdeel moet worden van de audit.In onderstaande tabel wordt voor elk proces nogmaals aangegeven welke impact virtualisatie heeft opde geselecteerde CobiT-processen.CobiT-procesDefine the informationarchitecture(PO02)Assess and manage ITrisks(PO09)Nieuwe beheersmaatregelenGewijzigde beheersmaatregelenManage changes(AI06) Manage performance andcapacity(DS03)Ensure continuousservice(DS04) Ensure systemssecurity(DS05) Manage theconfiguration(DS09)Manage data(DS11) Manage the physicalenvironment(DS12)Tabel 1Impact van virtualisatie op de geselecteerde CobiT-processenGeen wijzigingen inbeheersmaatregelen5.3 Evaluatie onderzoekIn dit onderzoek is CobiT gebruikt als raamwerk voor het identificeren van de delta tussen eentraditionele, niet virtuele en een gevirtualiseerde (database)server omgeving. Bestaande raamwerkenzijn geëvalueerd om als startpunt te dienen bij het ontwikkelen van een beheersmaatregelenraamwerk.Op basis van een analyse is gekozen voor CobiT als referentie raamwerk. CobiT is ontwikkeld doorISACA, een Amerikaanse beroepsvereniging voor IT-auditors en professionals op het gebied vaninformatiebeveiliging. Het raamwerk is overzichtelijk ingedeeld in 4 domeinen die overeenkomen metde 4 fasen in de cyclus van informatiesystemen. Binnen de domeinen onderkent CobiT verschillende(beheer)processen. Verder heeft CobiT als voordeel dat voor elk proces wordt aangegeven welkekwaliteitsaspecten direct (primair) of indirect (secundair) door het proces worden afgedekt. Hierdoorwas het mogelijk om op basis van CobiT, de voor dit onderzoek relevante processen te selecteren.CobiT is in het Engels gepubliceerd terwijl deze scriptie in het Nederlands in geschreven. Wanneersommige Engelse definities één op één naar het Nederlands worden vertaald dekken deze niet meer dejuiste lading. Een goed voorbeeld hiervan zijn de CobiT “Control Ojectives” die bij elke procesworden gedefinieerd. Vrij vertaald zijn dit beheersdoelstellingen. Wanneer echter wordt bekeken watCobiT control objectives noemt, zijn dit in het Nederlands beheersmaatregelen. Dit heeft gevolgenvoor de manier waarop in deze scriptie en binnen CobiT de begrippen beheersdoelstellingen enbeheersmaatregelen door elkaar lopen. De hoofddoelstelling van het CobiT-proces (binnen CobiT“key objective genaamd) wordt binnen deze scriptie als de beheersdoelstelling beschouwd. De doorCobiT gedefinieerde beheersdoelstellingen (binnen CobiT Control Objectives genaamd) wordenbinnen deze scriptie als beheersmaatregelen geïnterpreteerd. Binnen de opzet van het CobiT----------------------------------------------------------------------------------------------------------------------------Pagina 67
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7:
Page 8 and 9:
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
Page 16 and 17:
Page 18 and 19: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

Create successful ePaper yourself

Delete template?

Save as template?