1 / 23

... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen.

IT-Governance und Compliance für Ingres PL/DBA/ Programmierer. 05. August 2011. ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen. Begrifflichkeiten. IT Governance Praxis. Corporate Governance. Gesetzliche Vorgaben, FDA, BaselII /III, SolvencyII , ….

obelia
Download Presentation

... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT-Governance und Compliance für Ingres PL/DBA/Programmierer 05. August 2011 ... wenn der Wind des Wandels weht, bauen die einen Mauern, die anderen Windmühlen.

  2. Begrifflichkeiten

  3. IT Governance Praxis Corporate Governance Gesetzliche Vorgaben, FDA,BaselII/III, SolvencyII, … Wettbewerb Gover - nancevorgaben IT Governance Unternehmens - strategie IT- Skills IT- Rolle Branchen- anforderungen IT Best Practise IT- Archi - tektur IT- Strategie Technologie Unternehmens- kultur Kunden- anforderungen Investoren

  4. Merkmale von Governance

  5. IT Governance - Elemente • Die Kernelemente sind: • genaue Kenntnis über Wert und Werterbringung der IT • Management der mit der IT verbundenen Risiken • Umsetzung der steigenden Anforderungen an Steuerung und Kontrolle • Oder einfacher: • Werte • Risiken • Kontrollen

  6. Rahmenwerk COBIT - Hintergrund • COBIT (Control Objectives for Information and related Technology) • Orientierung am IT-Lifecycle: 4 Domänen Planung&Organisation, Akquisition&Implemementierung, Delivery&Support undMonitoring&Evaluierung • insgesamt 34 IT Prozessen mit Steuerungszielen (Status, Veränderung, Erfolg) • Anforderungen an Information: Effektivität, Effizient, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance, Verlässlichkeit • IT-Ressourcen zur Erfüllung der Geschäftsprozesse: Anwendungen, Menschen, Infrastruktur • Bestimmung des Reifegrades IT-Prozesse von nicht-existent bis optimiert • Definition von Verantwortlichkeiten mit RACI Modell: Responsible, Accountable, Consultable, Informed

  7. CobiT IT Lifecycle: 4 Domänenmit 34 IT-Prozessen

  8. COBIT - Kontrollziele Beispiel: Übergeordnetes Kontrollziel des IT- Prozesses AI5 • Kontrolle über den IT-Prozess • Sicherstellen der Systemsicherheit (AI5) • zur Erfüllung des Geschäftsanforderungen • Schutz vor Informationen vor unberechtigter Verwendung, • Aufdeckung oder Änderung, Beschäftigung oder Verlust • wird ermöglicht durch • Logische Zugriffkontrollen, die sicherstellen, dass ein Zugriff auf Systeme, • Daten und Programme auf berechtigte Personen beschränkt ist • Unter Berücksichtigung von: • - Vertraulichkeits- Und Datenschutzanforderungen • - Berechtigung, Authentisierung und Zugriffschutz • - Benutzeridentifikation und Berechtigungsprofile • - Need-to-have und Need-to-do • - Verwaltung kryptographischer Schlüssel • - Problemmeldewesen, Berichterstattung, Folgeaktivitäten • - Entdeckung von Viren • - Firewalls • - Zentralisierte Sicherheitsadministration • - Benutzerausbildung • - Werkzeuge für Überwachung der Einhaltung rechtlicher Erfordernisse, • - Einbruchversuche und Berichterstattung   People Technology Data Applications Facilities Effektivität Vertraulichkeit Verfügbarkeit Verlässlichkeit Effizienz Integrität Compilance P S P

  9. RACI für Datenbankadministratoren: AI

  10. RACI für Datenbankadministratoren: DS

  11. Cobit für Datenbankadministratoren

  12. Vorbereitung des DBA • BevorderWirtschaftsprüferzweimalklingelt • Werden sensitive Accounts und Rechte monitored? • Werden Fehler im errlog.log monitored? Dito Tracefile-Erzeugung? • Backup&Recovery-Strategie, inkl. Dokumentation und regelmässiger Proben? Logische Sicherung mittels unloaddb nicht vergessen!! • Verwendet jeder DBA einen eigenen Account? Arbeiten alle DBAs als Ingres? Arbeiten alle User als Ingres? • Geordneter Prozess für Rechtevergabe und –entzug? Liste aktiver User aus PersoAbt? Rechte für Rollen, Gruppen, Profile? • Direkte grants von insert, delete, update? Grant … withgrant? • Internet-Zugriffe auf die DB? • Emergency Access: Wie kommt man in der Not an die Passwörter? • Daten-/Informations-Klassifikationsschema • Zugriff auf multiple und sensitive Funktionen: Betrug, Diebstahl, …

  13. Vorbereitung des DBA: Access Control • Access Control durch … ? • Setzen von Ressource-Limits bei Query-Ausführung und Delegation von Admin-Arbeiten • Rechte an Rollen, Gruppen, Profile statt an User • View-Zugriff statt Tabellenzugriff (Restriktionen in der Praxis) • Datenbankprozeduren, Trigger, Events • Gruppe Public, Public Datenbanken • Generische Accounts • Zugriffe durch Dynamic SQL oder Zugriffe auf das Betriebssystem?

  14. Control Objectives PO10 Übersicht: Steuerungsziele für PO10 - Manage Projects PO10.1 - Programme Management Framework PO10.2 - Project Management Framework PO10.3 - Project Management Approach PO11.4 - Stakeholder Commitment PO10.5 - Project Scope Statement PO10.6 - Project Phase Initiation PO10.7 - Integrated Project Plan PO11.8 - Project Resources PO10.9 - Project Risk Management PO10.10 - Project Quality Plan PO10.11 - Project Change Control PO11.12 - Project Planning of Assurance Methods PO10.13 - Project Performance Measurement, Reporting and Monitoring PO11.14 - Project Closure

  15. Reifegrad PO10 Projektmanagement [2] Das Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement) “Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. Das Projektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen am Projektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet. Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie. Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessen und vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um die Unternehmensziele und nicht nur diejenigen der Informatik zu erreichen. Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetzt und ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurde aufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstruktur implementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welche Outsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach der Inbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik-Ressourcen zur Beendigung der Projekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT-Ressourcen optimal verwendet werden zur Unterstützung der strategischen Initiativen.

  16. Vorbereitung der PM/PL • BevorderWirtschaftsprüferzweimalklingelt • Gibt es eine aktuelle Übersicht über Inhalt und Umfang alller IT-Projekte? • Passen IT-Projektportfolio uns unternehmensweites Projektportfolio zusammen? • Kennen die Mitarbeiter den aktuellen Projektmangement-Ansatz? • Werden Stakeholder beteiligt und informiert? • Messen der wesentlichen Projektkriterien (Umfang, Leistung, Kosten, Qualität) ? • Formale Bestätigung von Phasen, Teilleistungen, … , Ende des Projektes? • …

  17. Prozesse: input-putput-output PO5 Manage the IT Investment (II) Output Input PO5 Kosten-/Nutzenbericht (PO1, AI2, DS6, ME1, ME4) IT-Budgets (DS6) Aktualisiertes IT-Serviceportfolio (DS1) Aktualisiertes IT-Projektportfolio (PO10) PO1 Strategische IT-Planung PO3 Festlegung der IT- Technologie PO10 Projektmanagement AI1 Identifiziere automatisierte Lösungen AI7 Installiere und akkreditiere Lösungen und Changes DS3 Manage Performance und Kapazität DS6 Identifiziere und verrechne Kosten ME4 Sorge für IT-Governance

  18. Kennzahlen aus CobiT PO5 Manage the IT Investment (IV)

  19. Überdeckungen der Referenzmodelle und Normen COBIT ISO 9001 IT - Führung ISO 27002 CMMI ISO 12207 IT - Entwicklung • Geltungsbereich SPICE ITIL V3 MOF MITO IT - Betrieb Prozessanforderung Prozessverbesserung Prozessdefinition • Schwerpunkte

  20. Vergleich CobiT | ITIL In ITIL wird bei der Messung der Prozesse eine kontinuierliche Verbesserung der Leistungserbringungsprozesse beschrieben, während COBIT eine kontinuierliche Verbesserung der gesamten IT-Abteilung beschreibt. Weitere Eigenschaften der Kennzahlen im Vergleich:

  21. Was machen die “Wettbewerber”?

  22. Best Practice ? Best Practice = Old Practice Good Practice = Old Practice Selber nachdenken + Anpassung an eigene Umgebung= Richtige Praktik

  23. Wie geht es weiter? Fragen: Jetzt Audit vor Ort: Kurzfristig nach Vereinbarung Seminar: ab Januar 2012(Details via hmh@commitor.de)

More Related