Risico’s van een gevirtualiseerde IT-omgeving

More documents

Recommendations

Info

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------raamwerk wordt aangegeven: “Within each IT process, control objectives are provided as genericaction statements”. Hieruit blijkt duidelijk dat deze definitie meer aansluit op de definitie van eenbeheersmaatregel, zoals in dit onderzoek is gehanteerd.De beheersmaatregelen binnen dit onderzoek zijn zo generiek mogelijk gedefinieerd voor de audit vaneen gevirtualiseerde databaseserver omgeving ongeacht welk virtualisatieproduct hierbij wordtgehanteerd. Er is specifiek gekozen voor een databaseserver omgeving omdat het virtualiseren vaneen databaseserver soms ter discussie wordt gesteld (AMD, 2008). Daarnaast is de databaseserveraltijd een belangrijk object van onderzoek voor (financiële) audits. Tijdens de praktijktoetsing bleekechter dat er op het gebied van beheersing nauwelijks verschillen bestaan tussen het virtualiseren vaneen applicatieserver en databaseserver. Wel zijn enkele attentiepunten te benoemen die voor eengevirtualiseerde databaseserver speciale aandacht vragen, zoals “Manage performance and capacity(DS03)”. Het generiek formuleren van beheersmaatregelen heeft als voordeel dat het raamwerk voormeerdere virtualisatieproducten is te gebruiken. Het mogelijke nadeel is dat er soms nog eenconcretisering van het raamwerk moet plaatsvinden. Binnen deze scriptie is de infrastructuur vanVMware als voornaamste referentiepunt gebruikt. Enerzijds omdat “Deloitte Websolutions” gebruiktmaakt van VMware en anderzijds omdat VMware momenteel de marktleider is op het gebied vanvirtualisatie. Voor enkele meer technische beheersmaatregelen is er een specifieke toevoeging voorVMware opgenomen. Deze toevoeging geeft een auditor soms meer achtergrondinformatie om debeheersmaatregel goed te kunnen toetsen.Voor het inventariseren en verifiëren van de voorgestelde beheersmaatregelen (delta) is adviesingewonnen bij een virtualisatie architect van ContinuityCenter, een expert op het gebied vanBusiness Technology (ontwikkelingen op het gebied van virtualisatie en Cloud Computing) van IBMen diverse deskundigen binnen Deloitte ERS. Een volledig overzicht is opgenomen in “Bijlage 4Beschrijving van toetsingsobject en (externe) deskundigen”Toetsing van het raamwerk heeft plaats gevonden bij “Deloitte Websolutions”. Een voordeel van‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken konden worden gevoerdover mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen. Vaak is eenvolledig externe organisatie huiverig dergelijke informatie met anderen te delen, echter de auteurs vandit onderzoek hadden toegang tot deze informatie omdat ze ook bij Deloitte werkzaam zijn. De door‘Deloitte Websolutions’ aangedragen vertrouwelijke informatie heeft bijgedragen aan het formulerenvan mogelijke beheersmaatregelen maar wordt niet expliciet kenbaar gemaakt in dit rapport.Op basis van de praktijktoetsing is de relevantie (is deze beheersmaatregel terecht opgenomen?), dejuistheid (klopt de beschrijving?), de volledigheid (zijn er nog andere risico’s en noodzakelijkebeheersmaatregelen?) en toepasbaarheid (is de beheersmaatregel te begrijpen en bruikbaar voor eenderde?) van de geformuleerde beheersmaatregelen vastgesteld. Tenslotte zijn de doorgevoerdewijzigingen en conclusies als gevolg van de praktijktoetsing met “Deloitte Websolutions” besproken.5.4 Aanvullend onderzoekVirtualisatie is een relatief nieuwe ontwikkeling en zal zich in de toekomst verder ontwikkelen. Dezeontwikkeling zal wellicht risico’s die in dit onderzoek zijn geïdentificeerd mitigeren. Daarnaast is hetaannemelijk dat de verdergaande ontwikkeling ook nieuwe of gewijzigde risico’s en noodzakelijkebeheersmaatregelen met zich meebrengt. In de toekomst zullen de resultaten van dit onderzoek danook moeten worden geactualiseerd.De eindresultante van het onderzoek bestaat uit een generiek toepasbaar raamwerk voor eengevirtualiseerde (database)server omgeving. Hierbij is de terminologie en architectuur van VMwareals leidraad gehanteerd. Toekomstige onderzoeken zouden zich kunnen richten op het verderconcretiseren van de geformuleerde beheersmaatregelen voor één of meerdere specifiekevirtualisatieplatformen.---------------------------------------------------------------------------------------------------------------------------Pagina 68
Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------Het geformuleerde raamwerk is getoetst binnen Deloitte Websolutions. Toekomstig onderzoek zouhet raamwerk ook bij andere organisaties kunnen verifiëren. Mogelijk dat hierbij verschillende typenorganisaties kunnen worden onderscheiden. Hierdoor zou de toepasbaarheid van het raamwerk ookvoor andere typen organisaties inzichtelijk kunnen worden gemaakt.Verder heeft deze scriptie de impact van virtualisatie op negen CobiT beheerprocessen bepaald.CobiT bestaat in totaal uit 34 beheerprocessen. De verwachting is dat virtualisatie ook een impactheeft op (een deel van) de 25 beheerprocessen die niet in dit onderzoek zijn meegenomen. Vanuit degeraadpleegde literatuur en de interviews gehouden met verschillende domeinexperts blijkt dat hetbelangrijk is dat de geïmplementeerde techniek de bedrijfsdoelstellingen op een juiste wijzeondersteund. Virtualiseren van servers is geen doel op zich. De eis of wens om servers te virtualiserenmoet meerwaarde bieden voor de organisatie en voortvloeien dan wel aansluiten op debedrijfsdoelstellingen (Montero, 2009). Hieruit blijkt dat virtualisatie bijvoorbeeld al een impact heeftop het proces “Determine Technological Direction (PO03)”Tot slot zou aanvullend onderzocht kunnen worden of virtualisatie ook voldoet aan de verwachtingendie worden geschept. Aan de ene kant wordt gepretendeerd dat het beheer van een gevirtualiseerdeomgeving makkelijker is ten aanzien van bijvoorbeeld continuïteitsbeheer. Het restoren van een backupvan een virtuele machine is makkelijker dan de back-up van een fysieke machine. Maar aan deandere kant brengt virtualisatie ook een additionele software-laag met zich mee die ook beheerd moetworden en die, zoals dit onderzoek in kaart heeft gebracht, ook de nodige risico’s met zich meebrengt.Het verdient aanbeveling om te onderzoeken of er een verschil is in “beheerlast voor de IT organisatiewanneer een omgeving wel of niet is gevirtualiseerd. Om de lijn van dit onderzoek door te trekkenzou hiervoor specifiek gekeken kunnen worden naar de kwaliteitsaspecten “effectiviteit” en“efficiëntie”. Hiervoor zou tevens CobiT kunnen worden gehanteerd, aangezien voor alle CobiTprocessenis aangegeven of er een primaire of secundaire impact op beide kwaliteitsaspecten bestaat.Hetzelfde type onderzoek zou kunnen worden verricht voor de audit van een gevirtualisseerdeinfrastructuur. Is met de introductie van virtualisatie de “audit beheerslast” gewijzigd?---------------------------------------------------------------------------------------------------------------------------Pagina 69
Page 1:
Risico’s van een gevirtualiseerde
Page 4 and 5:
Possen & UlrichRisico’s van een g
Page 6 and 7:
Page 8 and 9:
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
Page 16 and 17:
Page 18 and 19:
Page 20 and 21: Possen & UlrichRisico’s van een g
Page 84 and 85: Risico’s van een gevirtualiseerde
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
show all

Risico’s van een gevirtualiseerde IT-omgeving

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?