Management in Motion. IT Governance in praktijk. Zoetermeer, 4 juli Job Stierman & Bauk van der Valk

Transcriptie

1 Management in Motion IT Governance in praktijk Zoetermeer, 4 juli 2016 Job Stierman & Bauk van der Valk Job Stierman & Bauk van der Valk

2 Disclaimer voor het materiaal van ISACA 2012 ISACA. All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise) without the prior written authorisation of ISACA. Use of this publication is permitted solely for personal use and must include full attribution of the material s source. No other right or permission is granted with respect to this work. 2

3 Agenda - Kennismaking - Drijfveren en doelstelling - Inleiding in IT-Governance - Oefening: stel huidige controls vast - Verkenning Cobit - Oefening met Cobit-materiaal - Cobit in space: benchmark, Cobit 4 & 5, ITIL, ISO27999/25010, ALM, BISL, toezicht etc. - Wrap-up

4 Drijfveren en doelstelling Waarom Cobit? - Een algemeen geaccepteerd governance framework - Een leidraad bij het inrichten van IT-organisatie en processen - Objectiveert diagnose, ondersteunt communicatie - Onvolprezen checklist Doel van deze kennissessie: - Vergroten kennis Governance, Toezicht en Framework - Uitleg hoe het framework kan worden toegepast (De weg te vinden in het referentiemateriaal)

5 The Need for IT Governance The IT space: a complex landscape Aligning IT with Business Security Keeping IT Running Managing Complexity Value/Cost Regulatory Compliance Organisations require a structured approach for managing these and other challenges. This will ensure that there are agreed objectives for IT, good management controls in place and effective monitoring of performance to keep on track and avoid unexpected outcomes.

6 Context-voorbeeld: Toezicht door De Nederlandsche Bank - Prudentieel toezicht richt zich op de soliditeit van financiële ondernemingen en draagt bij aan de stabiliteit van de financiële sector. De Nederlandsche Bank (DNB) is in Nederland belast met dit toezicht. - Hoe kunnen financiële instellingen voldoen aan de wettelijke eisen voor de beveiliging van geautomatiseerde gegevensverwerking?

7 Voorbeeld: toezicht door de De Nederlandsche Bank Conform de Wet Financieel Toezicht en de Pensioenwet is DNB van oordeel dat de: - financiële instellingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico's. Het gaat hierbij onder meer om: - het waarborgen van de continuïteit van de IT en de beveiliging van informatie. Adequaat betekent in dit verband dat de procedures zijn gebaseerd: - op de aard van de financiële instelling en de complexiteit van de organisatiestructuur. De procedures moeten voldoen aan algemeen geaccepteerde standaarden (good practices). Een voorbeeld van dergelijke standaarden zijn Cobit en ISO Deze standaarden bevatten in beginsel door DNB toereikend geachte maatregelen.

8 Oefening 1 - Welke KPI s zijn van toepassing op jouw afdeling/ opdracht - Welke KPI s bepalen jouw handelen en functioneren? - Hoe laat je zien dat je in control bent? - Hoe overtuig je Management/Bestuur, Opdrachtgever, RvC en Toezichthouder?

9 Kern Cobit: Governance and Management: - Governance ensures that enterprise objectives are achieved by evaluating stakeholder needs, conditions and options; setting direction through prioritisation and decision making; and monitoring performance, compliance and progress against agreed-on direction and objectives. - Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives COBIT brings together the principles that allow the enterprise to build an effective governance and management framework for the benefit of stakeholders.

10 Cobit5 Referentiemodel Eisen van de organisatie Governance evalueer stuur monitor Management plan ontwikkel run monitor

11 Waarom Cobit? Cobit as a Response to the need for an IT control framework: - Incorporates major International Standards - Has become the de facto standard for overall control over IT - Starts from business requirements

12 Evolution of scope Cobit Governance of Enterprise IT IT Governance Management Val IT 2.0 (2008) Control Audit Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / ISACA All rights reserved. 12

13 Cobit: IT Governance Stakeholders Board and executive Set direction for IT, monitor results and insist on corrective measures Business management Defines business requirements for IT and ensures that value is delivered and risks are managed IT management Delivers and improves IT services as required by the business IT audit Provides independent assurance to demonstrate that IT delivers what is needed Risk and compliance Measures compliance with policies and focuses on alerts to new risks

14 Cobit: a holistic approach Organisations will use a variety of IT models, standards and best practices. These must be understood in order to consider how they can be used together, with Cobit acting as the consolidator ( umbrella ). COSO COBIT ISO ISO 9000 WHAT ITIL HOW SCOPE OF COVERAGE

15 Cobit framework BUSINESS REQUIREMENTS IT PROCESSES IT RESOURCES In order to provide the information that the organisation needs to achieve its objectives, IT resources need to be managed by a set of naturally grouped processes.

16 Interrelationship of the COBIT Components

17 Cobit framework MONITOR AND EVALUATE INFORMATION Criteria effectiveness efficiency confidentiality integrity availability compliance reliability IT RESOURCES data application systems Infrastructure people PLANNING AND ORGANISATION DELIVERY AND SUPPORT ACQUISITION AND IMPLEMENTATIO N

18 CobIT raamwerk ME1. Monitor en evalueer de IT-prestatie ME2. Monitor en evalueer de interne controle ME3. Zorg dat voldaan wordt aan externe eisen (compliance) ME4. Zorg voor IT-governance MONITOR AND EVALUATE DS1. Bepaal servicelevels en manage ze DS2. Manage diensten van externe leveranciers DS3. Manage performance en capaciteit DS4. Borg continuiteit van de dienstverlening DS5. Zorg voor systeembeveiliging DS6. Identificeer kosten en wijs ze toe DS7. Opleiden en trainen van gebruikers DS8. Manage de helpdesk en de aangemelde incidenten DS9. Manage de configuratie DS10. Voer problem management uit DS11. Beheer de data DS12. Beheer de fysieke omgeving DS13. Voer het operationeel beheer uit DELIVER AND SUPPORT INFORMATIE Criteria effectiviteit efficiency vertrouwelijkheid integriteit beschikbaarheid compliance betrouwbaarheid IT-MIDDELEN Informatie Applicaties Infrastructuur Mensen PO1. Maak een strategisch IT-plan PO2. Bepaal de informatiearchitectuur PO3. Bepaal technologische ontwikkelingsrichting PO4. Benoem IT-processen, organisatie en onderlinge samenhang PO5. Manage de IT-investeringen PO6. Communiceer managamentdoelen en richting PO7. Manage IT human resources PO8. Manage kwaliteit PO9. Beoordeel en manage IT-risico s PO10. Manage projecten PLAN AND ORGANISE ACQUIRE AND IMPLEMENT AI1. Bepaal geautomatiseerde oplossingen AI2. Verwerf en onderhoud applicatiesoftware AI3. Verwerf en onderhoud technologieinfrastructuur AI4. Zorg dat applicaties gebruikt kunnen worden AI5. Koop IT-middelen in AI6. Manage wijzigingen AI7. Voer applicaties en wijzigingen in

19 Cobit control objectives Definition of Control Definition of IT Control Objective IT control objectives provide a complete set of high-level requirements to be considered by management for effective control of each IT process. They: Are statements of managerial actions to increase value or reduce risk Consist of policies, procedures, practices and organisational structures Are designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected

20 Cobit maturity models Maturity Models: Goal setting and measurement Non- Existent Initial Repeatable Defined Managed Optimised Legend for symbols used Enterprise current status International standard guidelines Industry practice Enterprise target Legend for rankings used 0 - Management processes are not applied at all 1 - Processes are ad hoc and disorganised 2 - Processes follow a regular pattern 3 - Processes are documented and communicated 4 - Processes are monitored and measured 5 - Best practices are followed and automated

21 Oefening 2 - Beschouw PO4 - Stel het maturiteitsniveau vast voor je eigen organisatie - Welke verbeteracties zie je?

22 Oefening aanpak - Zoek het proces op in beide boeken - Bestudeer Proces description en Control Objectives - Welke input & output is nodig in dit proces? - Welke input & output is beschikbaar in de organisatie - (RACI chart en Goals & Metrics zijn vooral van belang bij implementatie) - Bestudeer het maturiteitsmodel - Stel het maturiteitsniveau vast - Welke verbeteracties zie je?

23 Example From Cobit Graphical Representation Observations What is required for the next maturity level? Evidence

24 Results : Maturity 2007, 2008, 2009 Process PO1 Define a Strategic IT plan 3 3,5 4,2 PO2 Define the Information Architecture PO4 Define the IT Processes, Organisation and Relationships 3 3 3,8 PO5 Manage the IT Investment 4 PO8 Manage Quality PO9 Assess and Manage IT Risks 3,5 4 PO10 Manage Projects 3 3,5 4 AI5 Procure IT resources 4 4 AI6 Manage Changes 2 3,5 4 AI7 Install and Accredit Solutions and Changes DS1 Define and Manage Service Levels 3 3,5 4 DS2 Manage Third-party Services 2 3,5 4 DS4 Ensure Continuous Services DS5 Ensure Systems Security 2 3,5 4 DS8 Manage Service Desk and Incidents 4 4 DS10 Manage Problems 2 4 DS11 Manage Data 3 3 ME1 Monitor and Evaluate IT Performance 2 3,5 4 ME3 Ensure Compliance with External Requirements 1 2,5 3,5 ME4 Provide IT Governance AVG 2,27 3,39 3,93

25 Maturity Results 2007, 2008, 2009 Cobit CMM measurments 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 PO1 Define a Strategic IT plan PO2 Define the Information Architecture PO4 Define the IT Processes, Organ... PO5 Manage the IT Investment PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects AI5 Procure IT resources AI6 Manage Changes AI7 Install and Accredit Solutions an... DS1 Define and Manage Service Levels Processes DS2 Manage Third-party Services DS4 Ensure Continuous Services DS5 Ensure Systems Security DS8 Manage Service Desk and Incid... DS10 Manage Problems DS11 Manage Data ME1 Monitor and Evaluate IT Perfor... ME3 Ensure Compliance with Extern.. ME4 Provide IT Governance

26 Maturity Maturity Level Through the Years Avarage Maturity Level Overview 2007, 2008, ,50 4,00 3,50 3,00 2,50 2,00 Maturity 1,50 1,00 0,50 0, Year

27 IT Budget through the years IT Budget comparison (Base is 2007) 100% 90% 80% 70% 60% 50% 40% IT Opex Projects 30% 20% 10% 0% Year

28 Score Customer Satisfaction Survey Results Customer Satisfaction Survey Results 2007, 2008, ,43 8,2 6 5 Customer Satisfaction Year

29 Amount EDP Audit Findings/Recommendations (unweighted) Number of EDP Audit recommendations 2007, 2008, Number of EDP Audit recommendations Year

30 Level All together Combined Results of Maturity increase Average Maturity Level Customer Satisfaction IT budget in % (2007 is Base Year) Number of EDP Audit recommendations Year

31 Elementen DNB thema-onderzoek Informatiebeveiliging - Gestart in 2010, doorlopend onderzoek - Doelstelling Informatiebeveiliging naar hoger niveau brengen - Selectie instellingen uit diverse sectoren (Bank/Verz/Pens) - Periodieke metingen (iedere 1 a 2 jaar) nulmeting / eenmeting / - Standaard toetsingskader - Self-assessment - Resultaten worden teruggekoppeld (individueel & sector) 31

32 Resultaten: éénmetingen blijken effectief % maatregelen op/onder niveau 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Nulmeting Eenmeting # controls op niveau # controls op niveau 2 # controls op niveau 1 - Toename bewustzijn en actiegerichtheid op bestuurs- en directieniveau door blijvende aandacht voor IB. - Zware onvoldoendes weggewerkt. Integrale aanpak IB voorkomt suboptimale oplossingen. - Ook externe partijen hanteren DNB-kader: boodschap wordt beter in de markt gezet. - Aandacht van Toezicht op voortgang actieplannen is stok achter de deur. Toename van de beheersing. Realiseren verbetering kost tijd. 32

33 Resultaten: blijvende aandacht noodzakelijk % maatregelen op/onder niveau - Eind 2011 circulaires en nieuwsbrieven aan sector: hoe is dit opgepakt? - Intrinsieke motivatie bij instellingen om beveiligingsniveau te willen verbeteren moet hoger - Samenwerking overheid en financiële instellingen is belangrijke factor Zonder directe aandacht van Toezicht opereert circa 35 % van de basis maatregelen niet op niveau. 33

34 Sectorverschillen - Sector Verzekeraars scoort lager dan Banken en Pensioenfondsen. - Een veelal complexe IT-omgeving bemoeilijkt het kunnen aantonen van een adequate werking. - Met name de sector Banken heeft op dit terrein in de afgelopen jaren al veel geïnvesteerd, waardoor het basisbeveiligingsniveau is versterkt. Sector Verzekeraars scoort gemiddeld lager. 34

35 Maturity Benchmark Results Bron: Van Grembergen Antwerpen Business School By Enterprise Size DS10 DS5 DS11 DS4 M1 Po Po3 Po5 Po9 Po10 A11 large medium small DS1 A16 A15 A12 DS10 DS5 DS11 M1 Po Po3 Po5 Po9 Po10 DS10 DS5 DS11 M1 Po Po3 Po5 Po9 Po10 DS10 DS5 DS11 M1 Po Po3 Po5 Po9 Po10 DS4 A11 DS4 A11 DS4 A11 DS1 A12 DS1 A12 DS1 A16 A15 A16 A15 Large Medium Small A16 A15 A12

36 Maturity Benchmark Results By Type of Industry DS10 DS5 DS11 DS4 M1 Po Po3 Po5 Po9 Po10 A11 Finance Other IT Services Public Sector Ret & Manu DS1 A16 A15 A12 DS10 DS5 DS11 M1 Po Po3 Po5 Po9 Po10 DS10 DS5 DS11 M1 Po Po3 Po5 Po9 Po10 DS10 DS5 DS11 M1 Po Po3 Po5 Po9 Po10 DS4 DS1 A16 A15 A11 DS4 A12 DS1 A16 A15 A11 DS4 A12 DS1 A11 A12 Financial Services Public Sector Retail/Manufacturing A16 A15

37 Implementatie

38 COBIT 5 Principles Source: COBIT 5, figure ISACA All rights reserved. 38

39 COBIT 5 Enablers Source: COBIT 5, figure ISACA All rights reserved. 39

40 New Process Reference Model Source: COBIT 5, figure ISACA All rights reserved. 40

41 Hoe verder? Overgang van Cobit4.1 naar Cobit5 - C5 nog niet compleet - Overweldigende hoeveelheid materiaal - Niet meer open source - Instrumenteel - Vereist meer kennis van tool, specialisten nodig voor gebruik -Materiaal alleen in Engels beschikbaar. We zijn begonnen met het ontwikkelen van materiaal in het Nederlands. En blijven kritisch nieuwsgierig naar Cobit5

42 Vragen?