Nützliche CMDBs
Problemlos durchs IT-Audit
Die IT muss komplexe regulatorische Anforderungen erfüllen, internationale Standards beachten und sich mit Frameworks und internen Policies für das Management von Geschäftsprozessen herumschlagen. Um diese Aufgaben zu erfüllen und in einem IT-Audit zu bestehen, ist der Einsatz einer Configuration Management Data- base (CMDB) hilfreich.
Der IT kommt bei der Umsetzung von Compliance-Anforderungen eine besondere Rolle zu, denn die
meisten Geschäftsprozesse sind mittlerweile IT-gestützt. Wenn Auditoren einem Unternehmen einen
Besuch abstatten, fragen sie deshalb auch nach dem IT-Bereich. Die Auditoren prüfen nicht nur, ob
ein allgemeiner Geschäftsprozess die regulatorischen Anforderungen erfüllt. Sie interessieren sich
zusätzlich für die Integrität der Konfigurationsdaten einzelner, für die Geschäftsprozesse
wichtiger IT-Prozesse. Und sie wollen zum Beispiel wissen, ob die Aufzeichnungen über die
Asset-Konfigurationen fortlaufend aktualisiert werden. Das Fehlen von Integrität der
Konfigurationsdaten kann zu einem echten Compliance-Problem werden. Damit das geforderte Material
vorgelegt werden kann, bedarf es entsprechender Kontroll- und Dokumentationsmechanismen in den
Unternehmen. Hier kann eine Configuration Management Database (CMDB) helfen. Die CMDB ist eine Art
Repository. Sie enthält für den IT-Betrieb kritische Informationen, anhand derer
Compli-ance-Prozesse einfacher verwaltet und nachverfolgt werden können. Damit ist sie eine Quelle
verlässlicher, detaillierter, aktueller und historischer Daten und liefert Informationen zu den
Konfigurationen der IT-Umgebung sowie zu sämtlichen bereits durchgeführten Änderungen. Sie bildet
so das Fundament für die Implementierung standardisierter Frameworks wie der IT Infrastructure
Library (ITIL) und der Control Objectives for Information and Related Technology (COBIT). Um
regulatorische Compliance zu erlangen und zu einem Business-orientierten Ansatz im IT-Management
überzugehen, setzen immer mehr Unternehmen auf solche Frameworks. ITIL und COBIT nehmen hierbei
eine Schlüsselrolle ein: ITIL umfasst Best Practices für das Service-Management; COBIT bietet
Kontrolle für Compliance. Die CMDB ist wiederum in der Lage, fehlerfrei die Geschäftspraxis im
Falle regulatorischer Kontrollen nachzuweisen. Die CMDB kann auch föderal sein. Die föderierte CMDB
beruht auf einer zentralisierten Datenbank, die mit anderen Datenspeichern verbunden ist. Ein
einfaches Datenmodell transportiert Informationen von einem Ort zum anderen, ohne dass dazu
zusätzlicher Code geschrieben werden müsste.
Um regulatorische Compliance für eine Wirtschaftsprüfung zu erlangen, müssen Technologien,
Personen und Prozesse der IT-Umgebung aus der Business-Perspektive verwaltet und nachverfolgt
werden. Dazu bedarf es eines IT-Service-Managements, das in Richtung eines
Business-Service-Management (BSM) ausgebaut wird. Eine CMDB vereinfacht diese Aufgaben, denn durch
sie können IT-Managementprozesse Informationen austauschen. In der CMDB stellen die verschiedensten
Quellen eine Vielzahl an Informationen bereit – zum Beispiel über Changes, Releases,
Konfigurationen, Assets und Störfälle. Dank dieser Informationen ist es möglich, die Beziehungen
der Komponenten der IT-Umgebung zu den von ihnen unterstützten Geschäftsprozessen besser zu
verstehen. Die CMDB sollte eine Reihe an Konfigurationseinheiten, so genannten Configuration Items
(CI), identifizieren und auch sämtliche IT-Ressourcen als solche CIs enthalten – technologische
Assets, Prozesse und auch Personen. Zusätzlich sollte die CMDB wichtige Details über diese
Einheiten und ihre Beziehungen enthalten und in Bezug auf Compliance zwei Hauptanforderungen
erfüllen:
Tracking und Reporting sowie
Konfigurationskontrolle und -verifizierung.
Eine besonders wichtige Compliance-Anforderung nämlich ist, dass zu allen Aktivitäten in der
IT-Umgebung, die Auswirkungen auf Geschäftsprozesse haben, ein Nachweisprotokoll entsteht. Tracking
und Reporting müssen deshalb aus der Perspektive des Business-Prozesses stattfinden und auf einer
ganzheitlichen Methode basieren, die alle IT-Prozesse, die Geschäftsprozesse unterstützen,
verknüpft.
Vereinfachtes Compliance-Reporting
In vielen Unternehmen ist die Erstellung von Compliance-Berichten noch weitgehend Handarbeit.
Die IT-Mitarbeiter sammeln manuell Daten aus mehreren über das ganze Unternehmen verstreuten
Quellen. Sie konsolidieren diese Daten manuell und setzen sie anschließend auch manuell in
Beziehung zu den Geschäftsprozessen. Diese Vorgehensweise ist sehr zeit- und arbeitsaufwändig,
fehleranfällig und teuer. Im Gegensatz dazu liefert die CMDB eine einzige, umfassende und leicht
zugängliche Quelle für das Tracking von Informationen zu Reporting-Zwecken. Dadurch entfällt die
Notwendigkeit, Daten manuell zu sammeln und zu konsolidieren. Durch automatisches Tracking
einschlägiger IT-Prozesse und Mapping der IT-Prozesse auf die Business-Prozesse sorgt die CMDB für
Datenintegrität und vereinfacht damit das Compliance Reporting. Durch die in der CMDB
bereitgestellten Informationen wird deutlich, inwiefern sich IT-Prozesse auf die Geschäftsprozesse
bezüglich Compliance auswirken. Entsprechend leichter ist es dann, zum Beispiel folgende Fragen zu
beantworten:
War die Compliance beeinträchtigt, als Daten von einem bestimmten
Geschäftsprozess zu anderen Speicherlaufwerken migriert wurden?
War die Compliance eines spezifischen Geschäftsprozesses durch Störfälle oder
andere Probleme betroffen? Wenn ja, was war die Folge?
War die Compliance eines bestimmten Geschäftsprozesses von Änderungen in der
IT-Infrastruktur betroffen?
Erfüllt ein spezifischer Business-Prozess Compliance-Vorgaben hinsichtlich
Daten-Backup-Prozeduren?
Konfigurationskontrolle und Verifizierung
Unautorisierte Änderungen gefährden die Compliance. Beispielsweise kann die Bereitstellung eines
nicht getesteten Patches für ein Serverbetriebssystem ein Sicherheitsloch in eine Applikation für
Financial Reporting reißen, sodass diese nicht mehr die Compliance-Bedingungen erfüllt. Aus diesem
Grund ist es wichtig sicherzustellen, dass sämtliche Änderungen sorgfältig durch einen bewährten
Change-Managementprozess kontrolliert werden. Die CMDB kann hierbei unterstützend wirken, indem sie
folgende Informationen bereitstellt:
eine Liste mit autorisierten Konfigurationen für alle IT-Assets,
eine Liste aller Personen, die Änderungen bewilligen dürfen inklusive Angaben
dazu, für welche Art von Änderungen die Berechtigungen gelten, und
eine Liste dazu, welche Personen welche Änderungen implementieren dürfen.
Eine Change-Managementapplikation kann auf der Basis dieser Daten sicherstellen, dass nur
autorisierte Personen Änderungen bewilligen und implementieren. Durch Hinzufügen von
Auto-Discovery-Funktionen lässt sich die IT-Infrastruktur kontinuierlich überwachen. Die Auto
Discovery aktualisiert die Informationen zu den Konfigurationen in der CMDB und zeichnet
automatisch alle Änderungen auf – sowohl geplante als auch ungeplante.
Den Geschäftsprozess im Blickfeld
Die Applikation für Konfigurationsmanagement ist wiederum in der Lage, die in der CMDB
gespeicherten Konfigurationsinformationen zu überwachen. Sie spürt Änderungen auf, ermittelt, ob
sich in Folge einer Änderung eine unautorisierte Konfiguration ergeben hat, und stellt fest, welche
Geschäftsprozesse von der Änderung betroffen sind.
Entdeckt die Applikation eine unautorisierte Konfiguration, die durch eine Änderung entstanden
ist, dann kann sie diese auf eine autorisierte Konfiguration zurücksetzen. Sie zeichnet dann ein
Protokoll zu dieser Wiederherstellung auf und legt es in der CMDB ab. Durch die kontinuierliche
Aktualisierung der CMDB entsteht eine Art Frühwarnsystem bezüglich unautorisierter Änderungen sowie
ein Protokoll über alle Änderungen. Damit ist es möglich, die Compliance besser zu überwachen. Ein
weiterer wichtiger Punkt ist, dass die CMDB ein Mapping der IT-Ressourcen mit den
Geschäftsprozessen durchführt.
Die aus all diesen Aktivitäten resultierenden Informationen können von Compliance-Analysen und
Reporting-Mechanismen verwendet werden, um automatisch Events mit Geschäftsprozessen zu
korrelieren. Es erlaubt ein Tracking und Reporting des gesamten Geschäftsprozesses, indem es
automatisiert die zahlreichen IT-Prozesse, die mit ihm in Verbindung stehen, bündelt.
Die Einführung einer CMDB und zusätzlicher Applikationen für IT-Service-Management, die
ITIL-Best-Practices und COBIT-Kontrollen unterstützen, ermöglicht es, die Kosten und Anstrengungen
zur Erreichung und zum Beweis von Compliance zu reduzieren. Darüber hinaus können Anstrengungen im
Bereich Compliance wie ein Katalysator wirken und den Boden für weitere
Business-Service-Managementinitiativen bereiten, die die IT noch enger mit dem Business
verbinden.
Lesen Sie mehr zum Thema
