Risico’s van een gevirtualiseerde IT-omgeving

Risico’s van een gevirtualiseerde IT-omgevingPossen & Ulrich---------------------------------------------------------------------------------------------------------------------------6. ConclusieHet virtualiseren van (database)servers die zijn gebaseerd op x86 technologie is een trend dietoeneemt. Steeds meer organisaties kiezen ervoor om hun IT-infrastructuur te virtualiseren.Virtualisatie is een technologie waarmee IT-hardwareresources in logische objecten kunnen wordenverdeeld of samengesteld door als een interface te fungeren tussen de IT-hardware en software. Dehardware en logische laag worden door de virtualisatie-techniek volledig van elkaar losgekoppeld.Op basis van dit onderzoek komt naar voren dat de keuze voor virtualisatie een grote impact heeft opIT-beheerprocessen en de IT-infrastructuur in het algemeen. Het gebruik van virtualisatie vraagt eenandere wijze van denken, werken en beheersen ten aanzien van de IT-omgeving. De keuze om over testappen op virtualisatie kan dan ook niet uitsluitend vanuit IT gedreven zijn, maar moet aansluiten opde doelstellingen van de organisatie. Er dient een duidelijke strategie ten grondslag te liggen aan hetgebruik van virtualisatie, waarbij aandacht wordt besteed aan culturele en procesmatige wijzigingen.Zo wordt door Bittman aangegeven: “Virtualization without good management is more dangerousthan not using virtualization in the first place” (Gartner, 2007). De wijzigingen op IT-beheerprocessenen IT-infrastructuur leiden tot noodzakelijke wijzigingen van het risicoprofiel, beheersmaatregelen ende IT-auditaanpak. Dit vraagt van een IT-auditor inhoudelijke kennis van de virtualisatietechnologieen geschikte tooling om de risico’s en impact voor een organisatie inzichtelijk te maken. Ditonderzoek geeft een eerste aanzet voor dergelijke tooling door de formulering van een algemeenbeheersmaatregelenraamwerk voor een gevirtualiseerde (database)server omgeving.In deze scriptie is beoordeeld welke impact virtualisatie heeft op een databaseserver omgeving tenaanzien van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Na een korteinventarisatie van beschikbare raamwerken, zijn de raamwerken NIST, ITIL en CobiT meerinhoudelijk geëvalueerd. Er is gekozen om CobiT als uitgangspositie te hanteren om een tweetalredenen. Ten eerste is de reikwijdte (scope) voor IT vanuit een audit-perspectief gezien breder tenopzichte van de andere kwaliteitsmodellen. Ten tweede zijn de CobiT-processen gekoppeld aanverschillende kwaliteitsaspecten waaronder de aspecten die in dit onderzoek centraal staan.Op basis van CobiT is er een inventarisatie gemaakt van alle relevante IT-beheerprocessen. Daarnaastzijn verschillende interviews gehouden met experts op het gebied van virtualisatie en auditing. Ditheeft tot de selectie van een negental CobiT beheerprocessen geleid:• Define the information architecture(PO02);• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11);• Manage the physical environment(DS12).Aan de hand van interviews, literatuurstudie en andere informatiebronnen is vervolgens voor dezenegen IT-beheerprocessen beoordeeld welke wijzigingen van beheersmaatregelen noodzakelijk zijnals gevolg van de introductie van virtualisatie. De geformuleerde beheersmaatregelen zijn in depraktijk getoetst op basis van relevantie, juistheid, volledigheid en toepasbaarheid. De resultaten vandeze toetsing zijn verwerkt en besproken met inhoudelijke experts. Een volledig overzicht van degewijzigde en nieuwe beheersmaatregelen is opgenomen in bijlage 1.Op basis van het uitgevoerde onderzoek kan worden vastgesteld dat de impact van virtualisatie op debeheersmaatregelen binnen de CobiT-processen een drietal categorieën zijn te onderkennen:---------------------------------------------------------------------------------------------------------------------------Pagina 71