Independent Competence Platform
for Integrated Security in Switzerland.

08.09.2012
by: Andreas Wisler

CobiT - Control Objectives for Information and related Technology

Im letzten Teil der IT-Normen widmen wir uns dem CobiT, IT Governance Institute, Control Objectives for Information and related Technology. CobiT wurde zur internen Kontrolle von verschiedenen Aspekten entwickelt. Mehrheitlich richtet es  sich an Geschäftsführer, jedoch werden auch IT Elemente stark fokussiert. Ohne IT ist eine Firma heute kaum mehr zu führen. Diesem Umstand wird Rechnung getragen.

Entwickelt wurde CobiT vom IT Governance Institute. Aktuell liegt die Version 5 vor. CobiT geht davon aus, dass die IT die Informationen liefern soll, die der Empfänger benötigt, um seine Ziele zu erreichen. Daher liegt ein Schwerpunkt in der Kontrolle von Prozessen und deren Eigner.

In der Regel wird die Geschäftsleitung nur über die Struktur, den Umfang und die Umsetzbarkeit der IT informiert. Zu kurz kommen oft wesentliche Themen wie Risikomanagement und IT-Governance. Daher liegt bei CobiT ein grosser Fokus bei der IT-Governance:

  • Steigende IT-kosten und deren Nutzung müssen so verwaltet werden, dass die Investitionen einen angemessenen Gewinn erzielen.
  • Risiken, die in der digitalen Welt entstehen, müssen erkannt und gemanagt werden. Dies muss auch die Auswirkung berücksichtigen.
  • Die IT ist so zu betreiben, dass die Kontinuität auch in einem Notfall sichergestellt ist (Business Continuity).
  • Die IT-Mittel sind so zu benützen, dass die Informationen zu jedem Zeitpunkt vollständig und korrekt zur Verfügung stehen.
  • Es muss sichergestellt sein, dass das IT-Wissen aufgebaut und verfügbar ist.
  • Fehler und Problemstellen müssen erkannt und vermieden werden.

Das Hauptziel der IT-Governance ist es, die Anforderungen an die IT sowie die strategische Bedeutung von IT zu verstehen, um den optimalen Betrieb der Unternehmensziele sicherzustellen und Strategien für die zukünftige Erweiterung des Geschäftsbetriebes zu schaffen. IT-Governance ermöglicht, dass Erwartungen an die IT erfüllt und mögliche Risiken entschärft werden.

CobiT definiert dazu im Bereich der IT-Governance fünf Ziele:

  • Strategische Ausrichtung mit Fokus für Unternehmenslösungen (Strategic Alignment)
  • Nutzengenerierung mit Fokus auf die Optimierung der Ausgaben und Bewertung des Nutzens der IT (Value Delivery)
  • Risikomanagement, das sich auf den Schutz des IT Assets bezieht, unter Berücksichtigung von Disaster Recovery (Wiederanlauf nach Katastrophen) und Fortführung der Unternehmensprozesse im Krisenfall (Risk Management)
  • Management von Ressourcen: Personen, aber auch Mittel (Resource Management)
  • Optimierung von Wissen und Infrastruktur (Performance Measurement)

Weiter werden aber auch Aspekte der Compliance, der Sicherheit und der Qualität betrachtet. Dazu beinhaltet die Norm sieben Informationskriterien. Dabei beschreiben diese Kriterien die Kerngeschäfte jeder Firma: Effektivität, Effizienz, Verfügbarkeit, Integrität, Vertraulichkeit, Verlässlichkeit und die Compliance.



Die IT-Prozesse werden dazu in 4 Domainen mit 34 Prozessen aufgeteilt. Diesen Prozessen wurden so genannte High-Level Kontrollziele vorgegeben, die sich in Kontrollbereiche und Informationskriterien aufteilen. Die wesentlich umfangreicheren Elemente von CobiT stellen dem Management und IT Verantwortlichen die Best Practice in der Umsetzung eines Kontrollumfeldes in Form von mehr als 300 detaillierten Kontrollzielen zur Verfügung. Im Anhang von CobiT sind zudem umfangreiche Audit Richtlinien abgedruckt, die helfen, die eigene Infrastruktur schnell und umfassend zu beschreiben und zu überprüfen.

Da alles auf Prozesse ausgerichtet ist, wird auch ein entsprechendes Instrument zur Verfügung gestellt. Jeder Prozess wird in mehrere Schritte unterteilt: Prozessname, welche IT-Mittel werden benötigt, welche Ziele werden damit verfolgt und welche Aktivitäten beinhaltet dieser Prozess. Weiter gehören immer auch die Kontrollpunkte mit dazu. Jeder Prozess wird dabei in den vorgestellten Würfel abgebildet: die Verknüpfung zwischen Business Anforderungen, IT-Prozessen und den Ressourcen wird damit sichergestellt.

Damit die Resultate aus den Kontrollen verglichen werden können, wird eine Skala von 0 bis 5 verwendet. So ist für das Management schnell ersichtlich, wo sich ein Prozess befindet, ob Massnahmen getroffen werden müssen oder ob Änderungen zu planen sind:


 

CobiT ist ein mächtiges „Tool“ zur Unterstützung interner Ressourcen. Da es sich immer um vorhandene Prozesse dreht, ist es auch sehr Praxisnah. Die Kontrollziele helfen, den Prozess jederzeit zu überprüfen und genügend schnell auf Veränderungen reagieren zu können.


Security-Finder Schweiz: Newsletter