Risico’s van een gevirtualiseerde IT-omgeving De databaseserver als centraal audit object Door A. Possen en P. Ulrich Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate IT-Audit opleiding, Maart, 2010                         Begeleider VU: Dr. J. Hulstijn Begeleider Deloitte: D. Suijkerbuijk MSc Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------- Samenvatting  Virtualisatie neemt een grote vlucht. Wij zijn van mening dat virtualisatie verder zal doorzetten. Binnen de markt zijn hiervoor een aantal argumenten. Ten eerste biedt virtualisatie bedrijven veel voordelen op het gebied van utilisatie. Virtualisatie maakt het mogelijk dat een verzameling resources (hardware) wordt verdeeld door meerdere virtuele servers (applicaties). Ten tweede biedt virtualisatie voordelen op het gebied van beschikbaarheid en het beheer. De virtuele servers (VM’s) kunnen namelijk tussen meerdere fysieke virtualisatieservers worden verplaatst. Hierdoor kan de belasting van servers eenvoudig worden aangepast en servers kunnen worden verplaatst voor beheerdoeleinden of continuïteitsmanagement. Ten derde zien wij vanuit onze auditwerkzaamheden vaak klanten die hun IT-infrastrucuur uitbesteden. Vaak zijn bedrijven vervolgens aan de IT-dienstverlener tot in de lengte van dagen verbonden. Virtualisatie brengt echter een scheiding aan tussen de fysieke (hardware) en logische (applicatie) laag. Hierdoor is een organisatie beter in staat zijn applicaties bij een andere IT-dienstverlener onder te brengen. Ten slotte is er een trend zichtbaar waarbij naar een meer flexibelere organisatie wordt gestreefd. Voorbeelden van dergelijke ontwikkelingen zijn Cloud Computing en SAAS. Dergelijk diensten vragen vanwege hun schaalbaarheid en flexibiliteit vaak om een gevirtualiseerde infrastructuur. Ondanks de voordelen van virtualisatie bestaat er een hoge impact op de bestaande infrastructuur en beheerprocessen.“Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012”(Gartner, 2008). Vreemd genoeg lijkt de auditor nog niet helemaal doordrongen van het concept virtualisatie en de impact op de infrastructuur en het beheer. In de praktijk wordt naar onze mening te weinig beoordeeld hoe een organisatie haar IT heeft ingericht en of hierbij gebruik wordt gemaakt van virtualisatie. Binnen dit onderzoek wordt de impact van virtualisatie op de IT-beheerprocessen geëvalueerd en wordt beoordeeld in hoeverre de bestaande beheersmaatregelen als gevolg van virtualisatie moeten worden aangepast. Wij hopen met deze scriptie het bewustzijn te stimuleren dat virtualisatie specifieke aandacht verdient en bij te dragen aan de opzet van een aanvullend (delta) beheersmaatregelen raamwerk voor een gevirtualiseerde (database)server omgeving. Deze scriptie is geschreven in het kader Postgraduate IT- audit Opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Om tot een dergelijk raamwerk te komen, zijn de bestaande kwaliteitsmethodieken beoordeeld op bruikbaarheid om als standaard beheersmaatregelen raamwerk te dienen. Op basis van een inhoudelijk vergelijking van diverse kwaliteitsmethodieken is CobiT als uitgangspunt gehanteerd. Vervolgens is er een selectie gemaakt van de IT-beheerprocessen met een impact op de kwaliteitsaspecten “beschikbaarheid”, “integriteit” en “volledigheid”. De geselecteerde set van IT-beheerprocessen zijn inhoudelijk onderzocht op de impact, de risico’s en noodzakelijke beheersmaatregelen voor virtualisatie. Voor de inventarisatie is gebruik gemaakt van interne als externe virtualisatie experts. Het opgestelde beheersmaatregelen raamwerk is inhoudelijk getoetst bij Deloitte Websolutions. Aanpassingen zijn vervolgens nogmaals met deze partij afgestemd. Wij hebben nieuwe beheersmaatregelen geïdentificeerd voor de CobiT-processen “Manage changes(AI06)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)” en “Manage data(DS11)”. Het blijkt dat door de wijziging in de IT-infrastructuur en impact op de IT-beheerprocessen er nieuwe beheersmaatregelen voor deze processen zijn vereist. Voor de CobiT-processen “Assess and manage IT risks(PO09)”, “Manage changes(AI06)”, “Manage performance and capacity(DS03)”, “Ensure continuous service(DS04)”, “Ensure systems security(DS05)”, “Manage the configuration(DS09)” en “Manage data(DS11)” zijn ook wijzigingen op beheersmaatregelen geïdentificeerd die niet de strekking van de standaard beheersmaatregel veranderen, maar de diepgang ervan. Er dient nu ook rekening te worden gehouden met de nieuwe virtualisatielaag. Wij zijn van mening dat de aanvulling op het bestaande beheersmaatregelen raamwerk in de vorm van nieuwe en gewijzigde beheersmaatregelen een IT-auditor beter zullen ondersteunen om de beheersing van een gevirtualiseerde (database)server omgeving te beoordelen. --------------------------------------------------------------------------------------------------------------------------- Pagina 1 Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------- Pagina 2 Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------- Inhoudsopgave  Samenvatting........................................................................................................................................... 1 Inhoudsopgave ........................................................................................................................................ 3 1.  Introductie ...................................................................................................................................... 5  1.1  Aanleiding ............................................................................................................................. 5  1.2  Doelstelling ............................................................................................................................ 6  1.3  Onderzoeksvraag ................................................................................................................... 7  1.4  Onderzoeksaanpak ................................................................................................................. 7 2.  Virtualisatie .................................................................................................................................... 9  2.1  Definitie van virtualisatie ...................................................................................................... 9  2.2  Virtualisatie achtergrond ....................................................................................................... 9  2.3  Virtualisatie: mogelijke voordelen of pure noodzaak? ........................................................ 10  2.3.1  Voordelen van server virtualisatie ................................................................................... 10  2.3.2  Noodzaak voor toekomstige ontwikkeling ...................................................................... 11  2.3.3  Virtualisatie van de databaseserver ................................................................................. 12  2.4  Server virtualisatie ............................................................................................................... 13  2.4.1  Volledige virtualisatie ..................................................................................................... 13  2.4.2  Paravirtualisatie ............................................................................................................... 13  2.4.3  Virtualisatie ondersteunende hardware ........................................................................... 13  2.5  Componenten bij volledige virtualisatie .............................................................................. 14  2.5.1  Virtualization Layer ........................................................................................................ 14  2.5.2  Virtual Machines ............................................................................................................. 15  2.5.3  Service Console ............................................................................................................... 15  2.5.4  VirtualCenter ................................................................................................................... 15  2.5.5  Virtual Networking Layer ............................................................................................... 15  2.5.6  Virtual Storage ................................................................................................................ 15  2.6  Consequenties voor infrastructuur en beheer ...................................................................... 15  2.6.1  Consequenties voor het netwerk ..................................................................................... 16  2.6.2  Consequenties voor de data opslag ................................................................................. 16  2.6.3  Consequenties voor infrastructuur en gebruikersbeheer ................................................. 17  3.  IT - Audit van een databaseserver omgeving ............................................................................... 19  3.1  Audit aanpak ........................................................................................................................ 19  3.1.1  Beschikbaarheid .............................................................................................................. 19  3.1.2  Integriteit ......................................................................................................................... 20  3.1.3  Vertrouwelijkheid ........................................................................................................... 20  3.2  IT- beheersmaatregelraamwerken ....................................................................................... 20  4.  Delta identificatie voor IT-beheerprocessen bij virtualisatie ....................................................... 25  4.1  Define the information architecture (PO02) ........................................................................ 25  4.2  Assess and manage IT risks (PO09) .................................................................................... 26  4.3  Manage changes (AI06) ....................................................................................................... 28  4.4  Manage performance and capacity (DS03) ......................................................................... 32  4.5  Ensure continuous service (DS04) ...................................................................................... 35  4.6  Ensure systems security (DS05) .......................................................................................... 39  4.6.1  Algemeen ........................................................................................................................ 39  4.6.2  Virtual machine (VM) ..................................................................................................... 40  4.6.3  Service Console ............................................................................................................... 44  --------------------------------------------------------------------------------------------------------------------------- Pagina 3 Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------- 4.6.4  VirtualCenter ................................................................................................................... 49  4.6.5  Virtualization Layer ........................................................................................................ 51  4.6.6  Virtual Network Layer .................................................................................................... 51  4.6.7  Virtual Storage ................................................................................................................ 56  4.7  Manage the configuration (DS09) ....................................................................................... 57  4.8  Manage data (DS11) ............................................................................................................ 60  4.9  Manage the physical environment (DS12) ......................................................................... 61  5.  Toetsing, analyse en evaluatie ...................................................................................................... 63  5.1  Toetsing van het geformuleerde IT-beheersmaatregelenraamwerk ..................................... 63  5.2  Analyse van bevindingen ..................................................................................................... 66  5.3  Evaluatie onderzoek ............................................................................................................ 67  5.4  Aanvullend onderzoek ......................................................................................................... 68  6.  Conclusie ...................................................................................................................................... 71  Bronnen ................................................................................................................................................. 75  Index ..................................................................................................................................................... 79  Bijlage 1 Opgesteld Normenkader ........................................................................................................ 81  Bijlage 2 CobiT-processen .................................................................................................................. 111  Bijlage 3 Geselecteerde CobiT-processen en beheersmaatregelen ..................................................... 113  Bijlage 4 Beschrijving van toetsingsobject en (externe) deskundigen ................................................ 123  Bijlage 5 Overzicht analyse van verschillende kwaliteitsmodellen .................................................... 125  --------------------------------------------------------------------------------------------------------------------------- Pagina 4 Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------- 1. Introductie  Binnen dit hoofdstuk zal de aanleiding van dit onderzoek worden beschreven. Daarnaast zal de doelstelling, centrale onderzoeksvraag en de onderzoeksaanpak worden beschreven. 1.1 Aanleiding  “Virtualization Will Be the Highest-Impact Trend in Infrastructure and Operations Market Through 2012” (Gartner, 2008) Het vakgebied van een IT-auditor is een gebied dat constant aan (technologische) veranderingen onderhevig is. Een ontwikkeling die zeker een grote impact heeft op het vakgebied van IT-audit is virtualisatie. Het concept “virtualisatie” is niet nieuw en bestaat al sinds de jaren zestig van de 20e eeuw voornamelijk binnen de mainframe-omgeving. Echter ook buiten de mainframe-omgeving heeft virtualisatie zich de laatste jaren sterk ontwikkeld en heeft een volwassen status bereikt. Steeds meer ondernemingen maken de stap om hun infrastructuur te virtualiseren of zijn bezig zich hierop te oriënteren. Volgens Gartner(2008) lag het gebruik van virtualisatie in 2007 nog onder de vijf miljoen servers. Naar verwachting zal dit gebruik sterk toenemen tot 660 miljoen in 2011. Virtualisatie wordt genoemd als de trend met de hoogste impact op de infrastructuur en het beheer voor de periode tot 2012 (Gartner, 2008). Het feit dat virtualisatie in steeds hogere mate wordt geaccepteerd blijkt uit de toepassing hiervan voor de IT-infrastructuur door de Olympische Spelen 2010 (Toet, 2010). Ook grote marktleiders als Amazon.com bieden hosting diensten aan (Amazon EC2) op een volledig gevirtualiseerde omgeving(Amazon, 2010). Dergelijke organisaties kiezen hierbij steeds meer voor virtualisatie onder andere vanwege de schaalbaarheid en afnemende beheerkosten. Met het toenemen van virtualisatie gebruik, ontstaat bij organisaties ook terecht de vraag welke risico’s worden geïntroduceerd door het gebruik hiervan. Enerzijds zijn dit nieuwe risico’s als gevolg van een nieuwe technologie, zoals specifieke virtualisatie-aanvallen. Anderzijds zijn dit de risico’s die samenhangen met het algemene IT-beheer. Het IT-beheer veranderd door de introductie van virtualisatie waarbij een veel flexibelere architectuur ontstaat. Middels een goed uitgewerkte configuratie en hierop afgestemde IT-beheerprocessen (bijvoorbeeld afgeleid van ITIL) moet het omslagpunt kunnen worden bereikt dat het beheer van een virtuele architectuur eenvoudiger is dan een fysieke architectuur. Naast de impact van virtualisatie op de infrastructuur en het IT- beheer biedt het ook vele voordelen. Onder andere op het gebied van flexibiliteit, de mate van gebruik van de beschikbare middelen en de beschikbaarheid van de middelen. Virtualisatie stelt de organisatie beter in staat om de beschikbare middelen volledig in te zetten en snel op technologische ondersteunende ontwikkelingen in te spelen. De voordelen kunnen worden behaald zonder afbreuk te doen aan de mate van beheersing, mits de bijkomende risico’s voldoende worden afgedekt middels effectieve beheersmaatregelen in opzet, bestaan en werking. Voorafgaande aan implementatie van virtualisatie vragen organisaties zich af, of alle applicaties en ondersteunende systemen wel geschikt zijn om te virtualiseren. Een specifiek voorbeeld van een dergelijk systeem is het database management systeem. Juist de databaseserver is voor een organisatie van onschatbare waarde. Wij zijn van mening dat de voordelen die virtualisatie biedt juist groter worden of mogelijk worden als virtualisatie in zijn uiterste vorm wordt uitgevoerd. Hiermee wordt bedoeld dat de volledige infrastructuur bestaande uit de dataopslag, netwerk, servers (inclusief databaseserver) wordt gevirtualiseerd. De flexibele (gevirtualiseerde componenten) worden dan immers niet afgeremd door de nog statisch (niet gevirtualiseerd) uitgevoerde componenten. Zover zullen nog niet alle organisaties zijn, maar de specifieke vraagtekens rondom geschiktheid tot virtualisatie, maakt de databaseserver wel een extra interessant object van onderzoek. Dat de markt deze kant opgaat, blijkt nogmaals uit een voorbeeld van Amazon EC2. Aboulnaga e.a. (2009) beschrijven een voorbeeld waarin virtualisatie volledig wordt omarmd, ook voor databaseservers. Virtualisatie wordt hierbij als eis gezien om de volgende stap van IT-flexibilisering te bereiken. Beter bekent als Cloud Computing. --------------------------------------------------------------------------------------------------------------------------- Pagina 5 Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------- Deze scriptie zal niet ingaan op de specifieke risico’s die samenhangen met Cloud Computing, maar het moge duidelijk zijn dat de introductie van virtualisatie zal leiden tot wijzigingen van het risicoprofiel, beheersmaatregelen en audit-aanpak. Er bestaat dus een duidelijke reden om de toolkit van de IT-auditor te voorzien van informatie over specifieke beheersmaatregelen die de risico’s van virtualisatie kunnen afdekken. De auditor zal bewust moeten worden van de nieuwe risico’s die met virtualisatie worden geïntroduceerd en hoe hiermee om dient worden te gaan. De wereld van virtualisatieproducten is niet uniform. Het is dus niet mogelijk één algemeen raamwerk te ontwikkelen met specifieke beheersmaatregelen die toepasbaar zijn voor elke gevirtualiseerde omgeving. Naast de product specifieke risico’s, bestaan risico’s voor de unieke situatie waarbinnen virtualisatie wordt toegepast. Het is wel mogelijk om de huidige set van algemene beheersmaatregelen die binnen een datacenter worden toegepast onder de loep te nemen en te onderzoeken in hoeverre virtualisatie hier impact op heeft. De beheersmaatregelen die voor een gevirtualiseerde omgeving zullen moeten worden aangepast, vormen een delta. De delta kan worden beschouwd als het verschil tussen het oude raamwerk van een niet gevirtualiseerde omgeving en het nieuwe raamwerk voor een gevirtualiseerde omgeving. Er wordt bewust gekozen om een delta op te stellen, in tegenstelling tot een compleet nieuw raamwerk. De voornaamste reden hiervoor is eigenlijk al genoemd: Het onderzoek is erop gericht een generiek raamwerk te formuleren met beheersmaatregelen die binnen de verschillende gevirtualiseerde omgevingen en op basis van verschillende virtualisatieproducten zijn uitgevoerd. . De beheersmaatregelen zullen voor het uitvoeren van een audit nog verder moeten worden geconcretiseerd op basis van het gebruikte virtualisatie product en (klant) omgeving. Er wordt niet verwacht dat door het toepassen van virtualisatie, reeds bestaande beheersmaatregelen komen te vervallen. De oude situatie van een server met hierop draaiende een applicatie die beiden moeten worden beheerst blijft immers bestaan, hetzij virtueel. Virtualisatie introduceert echter een extra laag binnen de bestaande IT-architectuur waarvoor nieuwe beheersmaatregelen noodzakelijk zijn en de manier waarop invulling wordt gegeven aan reeds bestaande beheersmaatregelen breder wordt. Binnen deze scriptie staan de drie kwaliteitsaspecten “beschikbaarheid”, “integriteit”, en “vertrouwelijkheid” (ook bekend als ‘BIV’ of ‘CIA’) centraal, aangezien deze drie kwaliteitsaspecten vaak als uitgangspunt worden gehanteerd voor een IT-audit met als doelstelling het toetsen van de generieke beheersmaatregelen (General Computer Controls) van een geautomatiseerde omgeving. 1.2 Doelstelling  Dit onderzoek richt zich op de risico’s die organisaties lopen indien gebruik wordt gemaakt van virtualisatie. Op basis van de genoemde kwaliteitaspecten (zie de vorige paragraaf) worden de voor dit onderzoek relevante generieke IT-beheerprocessen geselecteerd, op basis van een algemeen erkend raamwerk. Voor de generieke IT-beheerprocessen wordt de impact van virtualisatie geïnventariseerd met betrekking tot de toegepaste beheersmaatregelen. Vanwege de soms nog bestaande twijfel om databaseservers te virtualiseren, zal hierbij specifiek worden gekeken naar de risico’s voor een databaseserver omgeving. Het doel is om voor de geïdentificeerde risico’s met betrekking tot virtualisatie van een databaseserver, mitigerende beheersmaatregelen te definiëren die uiteindelijk leiden tot een algemeen beheersmaatregelenraamwerk ten behoeve van gevirtualiseerde databaseservers. Het raamwerk bestaat uit beheersmaatregelen die nodig zijn om de specifieke risico’s van virtualisatie af te dekken voor de geselecteerde IT-beheerprocessen. Het raamwerk zal niet gedetailleerd ingaan op de algemene beheersmaatregelen die niet wijzigen als gevolg van virtualisatie, maar het beschrijft een delta tussen de oude en de nieuwe beheersmaatregelen als gevolg van virtualisatie. --------------------------------------------------------------------------------------------------------------------------- Pagina 6 Risico’s van een gevirtualiseerde IT-omgeving Possen & Ulrich --------------------------------------------------------------------------------------------------------------------------- 1.3 Onderzoeksvraag  Om een voldoende afdekkend beheersmaatregelenraamwerk te definiëren met specifieke beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving, zullen een aantal onderzoeksvragen moeten worden beantwoord: Als eerste zal duidelijk moeten zijn wat virtualisatie precies inhoudt en de impact op de infrastructuur . “Wat is virtualisatie en wat is de impact hiervan op de bestaande IT- infrastructuur?” Vervolgens zal de scope van het onderzoek specifiek gericht zijn op de drie kwaliteitsaspecten (‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’) en IT-beheerprocessen. Om dit te bereiken zullen een drietal vragen moeten worden beantwoord. “Welke IT-beheersmaatregelraamwerken zijn geschikt om de relevante IT-beheerprocessen te selecteren?” “Welke IT-beheerprocessen hebben een directe invloed op de kwaliteitsaspecten ‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’?“ Nadat de IT-beheerprocessen zijn geïdentificeerd welk impact hebben op de drie genoemde kwaliteitsaspecten, zullen de specifieke risico’s van virtualisatie worden onderzocht. “Welke specifieke risico’s zijn te onderkennen binnen de geselecteerde IT-beheerprocessen als gevolg van virtualisatie van een databaseserver omgeving?” Op basis van de antwoorden op bovenstaande onderzoeksvragen zal een antwoord worden gegeven op de twee hoofdvragen van dit onderzoek, namelijk: “Wat zijn de specifieke risico’s met betrekking tot IT-beheerprocessen in een geautomatiseerde omgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie en welke mitigerende beheersmaatregelen kunnen hiervoor worden gedefinieerd en gemodelleerd in een generiek IT- beheersmaatregelraamwerk?” 1.4 Onderzoeksaanpak  In de eerste plaats zal er een theoretisch kader worden gevormd door middel van literatuurstudie. Deze literatuurstudie richt zich op bestaande kennis en informatie op het gebied van IT- beheerprocessen, gerelateerde beheersmaatregelen, virtualisatie en specifieke risico’s van virtualisatie op databaseservers. Aan de hand van de verkregen informatie zal het onderzoeksobject (gevirtualiseerde databaseserver omgeving) worden beschreven. Op basis van eigen ervaring binnen het auditvak, geraadpleegde literatuur en gesprekken met inhoudelijke deskundigen zal er een afbakening worden gemaakt van relevante IT-beheerprocessen. Vervolgens zullen aanvullende literatuurstudie, interviews en andere kennisbronnen worden geraadpleegd om specifieke risico’s met betrekking tot een gevirtualiseerde databaseserver omgeving te identificeren. Voor de geïdentificeerde risico’s worden de noodzakelijke beheersmaatregelen geïdentificeerd en geformuleerd. Aangezien VMware marktleider is op het gebied van virtualisatie, hanteren wij het VMware platform (ESX) als voornaamste referentiekader. De beheersmaatregelen zullen echter algemeen worden geformuleerd zodat ze voor alle virtualisatieproducten toepasbaar zijn. De nieuwe set van beheersmaatregelen vormen een delta. De delta geeft een overzicht van aanvullende of gewijzigde beheersmaatregelen als gevolg van het virtualiseren van het audit-object. Hierbij zal geen uitspraak worden gedaan of het beheer van de omgeving makkelijker of moeilijker --------------------------------------------------------------------------------------------------------------------------- Pagina 7 Possen & Ulrich Risico’s van een gevirtualiseerde IT-omgeving --------------------------------------------------------------------------------------------------------------------------- wordt. Bij het definiëren van de beheersmaatregelen voor een gevirtualiseerde databaseserver omgeving zal zoveel mogelijk gebruik gemaakt worden van de beschikbare wetenschappelijke literatuur, bestaande raamwerken en methodieken (best practices). Daarnaast is gebruik gemaakt van virtualisatiedeskundigen om de geïdentificeerde set van beheersmaatregelen op juistheid te verifiëren. Hierbij zijn mogelijke suggesties geopperd voor het opnemen van additionele beheersmaatregelen. Dit heeft tot aanvullende informatie en theoretisch onderzoek geleid om nog eventueel ontbrekende beheersmaatregelen te identificeren. Toetsing van de geïdentificeerde set van risico’s en hiervoor geformuleerde beheersmaatregelen vindt plaats bij ‘Deloitte Websolutions’. Er is specifiek voor ‘Deloitte Websolutions’ gekozen omdat zij databaseserver virtualisatie toepassen voor Microsoft SQL Server 2005. Het merendeel van grotere organisaties heeft nog niet de database omgeving gevirtualiseerd of maakt gebruik van mainframe toepassingen. Op basis van onze kennis en ervaring is vastgesteld dat bij kleinere organisaties database virtualisatie succesvol wordt toegepast, echter dit is niet representatief voor een data intensieve toepassing en/of infrastructuur. De specifieke details van de praktijktoets zijn ter validatie besproken tijdens verschillende afspraken met medewerkers van ‘Deloitte Websolutions’. Een voordeel van ‘Deloitte Websolutions’ als toetsingsobject is dat er inhoudelijke gesprekken konden worden gevoerd over mogelijke problemen, gekozen implementaties en toekomstige ontwikkelingen. Vaak is een volledig externe organisatie terughoudend om dergelijke informatie met anderen te delen aangezien dit potentiële zwaktes in (de beheersing van) de geautomatiseerde omgeving identificeert. Mogelijk misbruik van deze informatie kan verstrekkende (financiële) gevolgen met zich meebrengen. De door ‘Deloitte Websolutions’ aangedragen (vertrouwelijke) informatie heeft bijgedragen om de relevantie van geformuleerde beheersmaatregelen te verifiëren. Verder zijn eventueel additionele risico’s en benodigde beheersmaatregelen aangedragen. Op deze wijze is de volledigheid van het totaal van beheersmaatregelen vastgesteld. De wijze waarop de geformuleerde beheersmaatregelen moeten worden vastgesteld (audit) is daar waar nodig besproken. Voor beheersmaatregelen waarvoor onvoldoende kennis van de materie bestond om dit in praktijk vast te kunnen stellen, is aanvullende informatie ontvangen en inhoudelijk besproken. Op deze wijze is de bruikbaarheid van geformuleerde beheersmaatregelen geverifieerd. Aangezien de door ‘Deloitte Websolutions’ verstrekte informatie vertrouwelijk dient te worden behandeld, is er geen inhoudelijke informatie van configuratie en verificatie opgenomen. De praktijktoetsing bestaat uit een set van meerdere interviews met architecten en management van ‘Deloitte Websolutions’. Een beschrijving van ‘Deloitte Websolutions’ is opgenomen in bijlage 4. De uitkomsten van de praktijk toetsing heeft tot aanpassingen van de geformuleerde IT- beheersmaatregelen geleid. De totale set van geformuleerde IT-beheersmaatregelen en de impact op het IT-beheerproces zijn geëvalueerd en gecategoriseerd. De specifieke risico’s en noodzakelijke IT- beheersmaatregelen met betrekking tot de IT-beheerprocessen in een geautomatiseerde omgeving waarin gebruik wordt gemaakt van databaseserver virtualisatie zijn op hoofdlijnen nogmaals met Deloitte Websolutions afgestemd om te verifiëren dat alle wijzigingen correct zijn doorgevoerd. --------------------------------------------------------------------------------------------------------------------------- Pagina 8