Risico’s van een gevirtualiseerde IT-omgeving

Possen & UlrichRisico’s van een gevirtualiseerde IT-omgeving---------------------------------------------------------------------------------------------------------------------------• Nieuwe beheersmaatregelen;• Gewijzigde beheersmaatregelen;• Geen wijzigingen in de bestaande beheersmaatregelen.Er zijn geen beheersmaatregelen geïdentificeerd die als gevolg van virtualisatie komen te vervallen.Nieuwe beheersmaatregelen: Virtualisatie heeft de grootste impact op de processen: “Managechanges(AI06)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)” en“Managedata(DS11)”. De processen “Manage changes” en “Ensure continuous service” kunnenbinnen een gevirtualiseerde infrastructuur op nieuwe manieren worden geïmplementeerd. Het proces“Ensure systems security” moet worden toegepast op een nieuwe infrastructurele laag die voorheenniet bestond. Deze virtualisatielaag grijpt in op voorheen fysiek uitgevoerde componenten zoalsnetwerk en storage. Het proces “Manage data” krijgt te maken met nieuwe vormen vangegevensopslag, namelijk de (virtuele) server zelf. Deze eigenschappen en nieuwe mogelijkheden alsgevolg van virtualisatie om deze IT-beheerprocessen in te vullen, maken de introductie van nieuwebeheersmaatregelen noodzakelijk.De tweede categorie bestaat uit beheersmaatregelen die wijzigen. De beheersmaatregelen zoals die ineen niet-gevirtualiseerde omgeving bestaan, blijven gewoon van toepassing. Echter met de introductievan virtualisatie moeten de beheersmaatregelen ook op de virtuele-infrastructuur worden toegepast.Dit betekent dat binnen de beheersmaatregelen expliciet aandacht moet worden besteed aan dezevirtuele laag. Voor de volgende processen zijn beheersmaatregelen geïdentificeerd die niet zozeerinhoudelijk wijzigen, maar verder zijn toegeschreven naar een gevirtualiseerde (database)serveromgeving:• Assess and manage IT risks(PO09);• Manage changes(AI06);• Manage performance and capacity(DS03);• Ensure continuous service(DS04);• Ensure systems security(DS05);• Manage the configuration(DS09);• Manage data(DS11).De derde categorie bestaat uit bestaande beheersmaatregelen die niet veranderen. Ten aanzien van deprocessen “Define the information architecture(PO02)” en “Manage the physical environment(DS12)”zijn er in dit onderzoek geen wijzigingen in de bestaande beheersmaatregelen aangetroffen.Op basis van interviews en de geformuleerde “delta” kan worden geconcludeerd dat de impact vanvirtualisatie op databaseservers dit wezenlijk verschilt van andere typen servers (bijvoorbeeld eenapplicatieserver). Het verschil heeft betrekking op de applicatielaag. Eendatabasemanagementsysteem is een applicatie met een hoge I/O ratio ten opzichte van de meesteapplicaties. Daarnaast brengt de informatie in een databasemanagementsysteem vaak andere eisen metzich mee ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en vertrouwelijkheid.vanwege de gegevens die erin zijn opgeslagen. Dit betekent dat niet zozeer de beheersmaatregelenveranderen, maar het type applicatie vraagt specfieke aandacht op het gebied van “Manageperformance and capacity (DS03)” en “Ensure continuous service (DS04)”.Het onderzoek toont aan dat bij het uitvoeren van audits op een gevirtualiseerde infrastructuur ook devirtuele laag moet worden beoordeeld. In het verleden was de scope van een audit vaak beperkt tot deserver waarop de applicatie wordt gehost. De beheersmaatregelen die in dit onderzoek zijn opgesteld,zie bijlage 1, moeten worden opgenomen in de huidige beheersmaatregelenraamwerken. Ditonderzoek toont de delta aan tussen een traditionele, niet gevirtualiseerde omgeving en een omgevingwaarin de verschillende servers en overige IT-componenten zijn gevirtualiseerd.---------------------------------------------------------------------------------------------------------------------------Pagina 72