Umfassendes IT-Governance, Risk and Compliance steigert die Qualität der IT-Infrastruktur
//
Data & Analytics
Tool-gestützte Lösungen erleichtern die Einhaltung regulatorischer Anforderungen wie der des ISO/IEC 27001 und des Sarbanes-Oxley Act
Die IT-Infrastrukturen von Unternehmen unterschiedlicher Branchen, insbesondere Unternehmen des Finanzsektors, müssen einer steigenden Anzahl interner und externer Anforderungen genügen. Dazu zählen Anforderungen aus gesetzlichen Vorschriften und Regulierungen (Sarbanes-Oxley Act), Standards (PCI DSS, COBIT), Normen (ISO/IEC 27001) und internen Vorgaben. Diese müssen im Rahmen der IT-Governance auf strategischer Ebene berücksichtigt und über entsprechende Prozesse, Ressourcen und Richtlinien auf operativer Ebene umgesetzt werden. Zur Bewertung der Effektivität der gewählten Maßnahmen und der Einhaltung der zuvor genannten Anforderungen aus Sicht der IT-Compliance wird ein umfangreiches internes Kontrollsystem vorausgesetzt. Die Qualität dieses Kontrollsystems und die enge Verzahnung mit Prozessen des IT-Risikomanagements sind entscheidend. Einerseits soll damit die Qualität der IT-Infrastruktur kontinuierlich gesteigert werden, indem IT-Risiken identifiziert, analysiert, bewertet und mit geeigneten Maßnahmen behandelt werden. Andererseits wird die Effektivität und Effizienz von Auditierungen maßgeblich beeinflusst, was immer mehr Unternehmen motiviert, in eine umfassende, integrierte und Tool-gestützte IT-Governance, Risk and Compliance (IT GRC) Lösung zu investieren.
Die Symantec Control Compliance Suite bietet umfassende Möglichkeiten
Der Hersteller Symantec bietet mit der Symantec Control Compliance Suite (CCS) ein umfangreiches modulares IT GRC Toolset mit einer hochgradig skalierbaren Architektur. Die insgesamt sieben Module decken unterschiedliche Funktionsbausteine ab. Diese sind über eine einheitliche CCS-Infrastrukturkomponente, ein zentral definiertes Asset System und ein einheitliches Kontrollsystem flexibel kombinierbar und integrierbar.
So lassen sich über die Infrastrukturkomponente Daten unterschiedlicher Module und Daten von Drittanbietern zusammenführen und ergeben letztlich ein Gesamtbild mit vielfältigen Auswertungsmöglichkeiten für Risiko- und Compliance-Bewertungen. Gegenstand dieser Bewertungen sind IT und Business Assets, die über das Asset System verwaltet werden. Das Kontrollsystem definiert die Gesamtheit aller Kontrollen. Eine Kontrolle kann mit mehreren Mandaten (gesetzliche Vorschriften, Regulierungen, Standards, Normen, etc.) in Beziehung gesetzt werden. So wird einerseits ein mandatsbezogenes Berichtswesen ermöglicht, andererseits werden Redundanzen auf Kontrollebene vermieden, welche durch das direkte Ableiten von Kontrollen aus redundanten Anforderungen unterschiedlicher Mandate auftreten können. Die detaillierte Umsetzung einer Kontrolle wird durch Zuweisung von technischen oder organisatorischen Prüfungen spezifiziert.
Ein mehrschichtiges Kontrollsystem hilft, kostspielige Redundanzen zu vermeiden
Einer Kontrolle können mehrere zielsystemspezifische Prüfungen zugeordnet werden, um Konfigurationen auf Zielsystemen unterschiedlicher Betriebssysteme und Betriebssystemversionen ermitteln und auswerten lassen zu können. Neben der Definition der Zielwerte und -intervalle einzelner Prüfungen lassen sich zudem Risikofaktoren pflegen, um das Risiko bei auftretenden Abweichungen bewerten zu können.
Organisatorische Prüfungen lassen sich Tool-gestützt über das Erstellen, Verteilen, Sammeln und Auswerten von Fragebögen durchführen. Die technischen Prüfungen hingegen werden über konfigurierbare und planbare Prozesse automatisiert. Zunächst werden die Rohdaten bzgl. der relevanten Systemkonfigurationen über einen oder mehrere CCS-Server agentenbasiert (über eine auf dem Zielsystem installierte Agentensoftware) oder agentenlos (über einen privilegierten funktionellen Benutzer) von den Zielsystemen ermittelt und abgespeichert. Anschließend werden sie über einen Auswertungsprozess gemäß der in den Prüfungen definierten Zielvorgaben und Risikofaktoren evaluiert.
Vielfältige Auswertungen über Dashboards und Berichte
Die Auswertungsergebnisse können am Ende über vordefinierte sowie kundenindividuelle Berichte und Dashboards adressatengerecht auf unterschiedlichem Detaillierungsniveau und bezogen auf unterschiedliche Mandate ausgegeben und veröffentlicht werden.
Folgeaktivitäten, wie das Akzeptieren von Abweichungen bei Risikoübernahme durch eine dazu autorisierte Partei (Exception Management) oder das Einleiten von Maßnahmen zur Behebung von Abweichungen (Remediation), werden im Tool oder durch Integrationsmöglichkeiten, wie z.B. Programmierschnittstellen zur Anbindung von Ticketsystemen, unterstützt.
noventum unterstützt Einführung der Symantec Control Compliance Suite
noventum unterstützt ein international tätiges Unternehmen der Telekommunikationsbranche bei der Einführung der Symantec Control Compliance Suite. CCS soll künftig ein zentraler Bestandteil eines neuen IT-Service sein, der die Compliance und die Risiken der IT-Infrastruktur in den betriebenen Rechenzentren bewertet. Die aufgedeckten Handlungsbedarfe sollen zu Maßnahmen und kontinuierlichen Verbesserungen der in den Rechenzentren betriebenen
IT-Services führen. Ein weiteres hoch priorisiertes Ziel ist es, die Nachweise für Auditierungen im Rahmen des Sarbanes-Oxley Act (SOX) und des Payment Card Industry Data Security Standards (PCI DSS) effektiver und effizienter bereitstellen zu können.
Zur Datenbewirtschaftung des Asset Systems der Control Compliance Suite mit IT und Business Assets wurde auf Basis des Microsoft SQL Servers und der Microsoft SQL Server Integration Services (SSIS) eine Schnittstelle entwickelt. Daten von IT und Business Assets (Unix, Windows, Oracle, MS SQL, Business Services) werden regelmäßig über ETL-Prozesse primär aus dem zentralen Konfigurationsmanagementsystem, aber auch aus weiteren Datenquellen (z.B. Netzwerkscanner oder lokal gepflegte Inventarlisten), extrahiert, bereinigt, integriert und transformiert, um sie letztlich in das Asset System von CCS zu importieren. Als kritischer Erfolgsfaktor stellte sich in diesem Zusammenhang die Qualität der Prozesse des Konfigurationsmanagements und damit einhergehend die Datenqualität des Konfigurationsmanagementsystems heraus.
Prozessqualität und Datenqualität können zum kritischen Faktor werden
Das existierende Kontrollsystem des Unternehmens wurde überarbeitet und in die Control Compliance Suite migriert. Dabei wurden bestehende Kontrollen des Unternehmens den in CCS vordefinierten Inhalten (Mandate, Kontrollen, technische Prüfungen) zugeordnet und nach Bedarf erweitert bzw. adaptiert. Insbesondere die in CCS vordefinierten Center for Internet Security Benchmark (CIS Benchmark) Standards eignen sich, um relevante Kontrollen und technische Prüfungen auszuwählen. Zudem liefern sie umfangreiche Metadaten wie detaillierte Beschreibungen und Handlungsanweisungen. Um eine langfristige positive Entwicklung der IT-Infrastruktur zu gewährleisten, wurden die Kontrollen mit den Standardkonfigurationen der IT-Assets abgestimmt und werden künftig bei der Qualitätssicherung vor der Inbetriebnahme neuer Server berücksichtigt.
Für die agentenlose Durchführung der Kontrollen mussten zunächst privilegierte Benutzer auf den Zielsystemen angelegt werden. Der damit verbundene Aufwand wird maßgeblich dadurch beeinflusst, wie viele Zielsysteme zentral verwaltet werden. Aufgrund der Verteilung der IT-Assets über mehrere Rechenzentren und Netzwerke stellte das Routing der IT-Assets zu von ihnen erreichbaren CCS-Servern eine Herausforderung dar. Hierbei wird der Aufwand überwiegend durch die Komplexität der Netzwerktopologie bestimmt. Es gilt, die richtige Anzahl CCS-Server an den richtigen Stellen im Netzwerk zu platzieren, um nachträgliche Korrekturen und unnötige Freischaltungen von Firewalls zu vermeiden.
Die Komplexität der Netzwerktopologie bestimmt oftmals den Aufwand
Die Durchführung und Auswertung der Kontrollen wurde mittels diverser CCS-interner Prozesse so konfiguriert, dass jedes IT-Asset einmal monatlich bewertet wird. Kundenspezifische, durch noventum erstellte Reports liefern die Auswertungsergebnisse für unterschiedliche Adressaten auf unterschiedlichen Detaillierungsniveaus und für unterschiedliche Verwendungszwecke wie Auditierungen oder Folgeprozesse zur Behebung oder Akzeptanz von Abweichungen.
noventum ist seit einigen Jahren in die Prozesse rund um die Nachweiserbringung eines Teilbereichs der jährlichen SOX-Auditierung des Kunden involviert und war maßgeblich an dem Design der zugehörigen Prozesse beteiligt. Die Koordination der Aktivitäten und der Beteiligten (z.B. Auditoren, Kunden der IT-Services, Teams in den Rechenzentren, IT-Compliance, IT-Risikomanagement) sowie das Reporting im Zusammenhang mit der SOX-Auditierung gehören zu den Aufgabenbereichen der eingesetzten Berater. Obwohl es sich um ein laufendes Projekt handelt, zeichnet sich schon jetzt der Mehrwert der eingeführten Lösung ab. Die Control Compliance Suite konnte im vergangenen Fiskaljahr erstmals erfolgreich bei der Nachweiserbringung bezüglich der SOX-Auditierung eingesetzt werden und führte zu einem spürbaren Zuwachs an Effektivität und Effizienz.
Das breite Serviceangebot von noventum bietet bei der Einführung einer umfangreichen Lösung wie der Symantec Control Compliance Suite einen deutlichen Vorteil, da für die vielfältigen Tätigkeiten Expertise aus unterschiedlichen Services einfließen kann. Für das vorgestellte Projekt sind Berater unterschiedlicher Services im Einsatz und bringen ihre Kompetenzen aus den Bereichen Data Integration & Business Intelligence, IT Service Management, Data Center Services, IT-Prozesse und Organisation erfolgreich ein.
noventum consulting GmbH
Münsterstraße 111
48155 Münster