Infrastruktúra menedzsment

Átírás

1 Infrastruktúra menedzsment Buday Gergely Károly Róbert Főiskola 2015 ősz

2 Nyakkendős rendszergazda

3 Nyakkendős rendszergazda 2 jól keres ért a műszaki oldalhoz ért az üzleti oldalhoz érti a kettő kapcsolatát

4 Nyakkendős rendszergazda 3 jól tud kommunikálni a felhasználókkal és ügyfelekkel jól tud kommunikálni a vezetéssel

5 IT kormányzás IT Governance pl a COBIT szabványban IT kormányzás kontra IT menedzsment

6 Moeller könyve alapján

7 IT kormányzás 2 iránymutatás a megfelelőség (compliance) a teljesítmény (performance) a haladás (progress) és a vállalati célok (enterprise objectives) felügyelete

8 IT kormányzás eszközei keretrendszerek (frameworks) alapelvek (principles) szabályzatok (policies) döntési mechanizmusok szerepek (roles)

9 IT kormányzás felelőssége felügyelőbizottság (board of directors) a CEO (Chief Executive Officer) és az elnök (chairperson) felügyeletével

10 IT menedzsment ellentétbe állítva az IT kormányzással erőforrások, munkatársak, folyamatok és céges gyakorlatok alkalmazása a vállalati célok elérésére az IT kormányzás által lefektetett célok elérésére

11 IT menedzsment 2 az IT menedzsment az IT kormányzás eszköze a célok elérésére tervezés, építés, szervezés, közvetlen irányítás

12 IT kormányzás és menedzsment az IT kormányzás és az IT menedzsment kapcsolatát és feladatait a COBIT szabvány írja le Control OBjectives for Information and related Technology, 1996

13 Top-down Moeller könyve vezetőknek szól jó ha ezt a gondolkodásmódot beosztottként is értjük törvények: Sarbanes-Oxley szabványok: GRC, COSO, COBIT, ITIL ISO 9001, ISO 27002, ISO PCI DSS, SOA, PMBOK, PRINCE2

14 Bottom-up Unix, Windows Red Hat Linux, Fedora, CentOS shell programozás: bash és PowerShell rendszergazda feladatok: mentés, helyreállítás, hálózat, fájlszerver, webszerver, adatbázis, biztonság identitás menedzsment: Active Directory, LDAP

15 Bottom-up 2 tájékozódás az Interneten Limoncelli: Practice of Administration Unix fájlrendszer hierarchia üzemeltetés felhőben

16 Bottom-up 3: gyakorlat Virtualbox-ban Fedora Linux parancssori üzemeltetés konfigurációs fájlok szoftver installálás automatizálás

17 Az Enron botrány Enron: energiavállalat, Houston, Texas 2001 Enron: csőd, Arthur Andersen: de facto feloszlás a legnagyobb amerikai csőd a legnagyobb könyvvizsgálati hiba

18 Az Enron botrány ben alapította Kenneth Lay a Houston Natural Gas és az InterNorth egybeolvasztásával hét évvel később Jeffrey Skilling több millió dolláros adósságokat tüntetett el

19 Az Enron botrány 3 Andrew Fastow CFO megvezette az igazgatótanácsot és a könyvvizsgálókat az Arthur Andersen-t rávették hogy hagyja figyelmen kívül ezeket

20 Az Enron botrány közepén 9075$-t ért a részvény 2001 novemberében 1$-t a részvényesek 40 milliárd $-ra pereltek az amerikai Securities and Exchange Comission (SEC) vizsgálatot kezdett 2001 december 2-án a cég csődöt jelentett

21 Az Enron botrány 5 néhány vezetőt börtönre ítéltek az Arthur Andersen-t bűnösnek találták a SEC vizsgálatot érintő dokumentumokat semmisítettek meg ezáltal elvesztették a könyvvizsgálati jogukat be kellett zárniuk a boltot

22 Az Enron botrány 6 az amerikai Legfelsőbb Bíróság más ítéletet hozott de ez már nem mentette meg a céget

23 Az Enron botrány 7 a botrány következtében új szabályozást hoztak a tőzsdei cégek pénzügyi jelentéseiről Sarbanes-Oxley törvény (Act) súlyosabban bünteti a szövetségi nyomozások megtévesztését a könyvvizsgáló cégekkel szemben is szigorú: tiltják a részrehajlást és az összeférhetetlenséget

24 Kormányzás (Governance) a menedzsment számonkérhetősége jogi felelősség: ügyfelek, alkalmazottak, hatóságok és részvényesek felé a cég megvédése csalások ellen stratégiai és gazdasági hatékonyság

25 Kormányzás 2 erős menedzsment képességek döntéshozatal vezetés (leadership) IT rendszerek és processzek

26 IT kormányzás az IT korai időszakában a döntéseket delegálták az IT részlegnek félresikerült projektek nem valósultak meg a célok későn fejezték be biztonsági hibák hamar elavultak

27 IT kormányzás 2 ezért van szükség IT kormányzásra a fókusz nem a technikai oldalon van mégcsak nem is az auditon a cél a vállalati vezető némi IT ismerettel a fókuszban: ügyek és processzek

28 Service Level Agreement (SLA) pl az IT részleg ki van szervezve pl a távközlési szolgáltatótól 999%-os rendelkezésreállást várunk hogyan menedzseljük ezeket?

29 IT kormányzás témái 1 IT kormányzás fogalmai 2 IT kormányzás keretrendszerei 3 ITK eszközök és technológiák 4 ITK rendszerek létrehozása és monitorozása 5 az ITK ellenőrzése: belső audit 6 az ITK vállalati céljai

30 1 IT kormányzás fogalmai Sarbanes-Oxley Act Governance, Risk & Compliance kormányzás, kockázatelemzés és jogi megfelelés

31 2 IT kormányzás keretrendszerei Committee of Sponsoring Organisations (COSO) Control Objectives for Information and relate Technology (COBIT) IT Governance Institute Information Technology Infrastructure Library (ITIL) IT Service Management Forum ITSMF Open Compliance and Ethics Group (OCEG)

32 3 ITK eszközök és technológiák virtualizáció hálózat biztonság

33 4 ITK rendszerek létrehozása szolgáltatás-orientált architektúra service-oriented architecture (SOA) projekt menedzsment eszközök

34 5 az IT kormányzás ellenőrzése belső audit (internal audit) a belső audit fontossága az IT kormányzás szempontjából dokumentum menedzsment archiválás

35 6 az ITK vállalati céljai munkahelyi etikai kultúra létrehozása és fenntartása szociális hálózatok a munkahelyen az IT üzleti értékének a kommunikációja

36 Az IT kormányzás fontossága Információs Technológia: 60-as évek nagy befektetések a kudarcok ellenére velünk van lassan kialakuló szabványok más ágazatokban hamarabb voltak szabványok

37 Szabványok könyvelésben Securities and Exchange Commission az amerikai tőzsdefelügyelet marketingben minőségbiztosításban

38 Az IT kormányzás új fogalom az IT-ről támogató funkcióként gondolkoztak a vállalati kormányzásról megváltozott a gondolkodás az Enron botrány után ami teljesen váratlan volt Sarbanes-Oxley törvény

39 Az IT kormányzás 2 parancsnoki és irányítási szabályok (command and control), amiket az auditorok kényszerítenek ki Big Brothert megvalósító vállalati mechanizmus az IT alkalmazott sokszor feleslegesnek látja: akadályozza a kreativitást és a termelékenységet

40 A jó IT kormányzás szabályzatok (policies) bevett gyakorlatok (best practice) amik segítik az üzleti működést segíti a cég átláthatóságát beleillik a vállalat általános működésébe

41 Governance, Risk & Compliance kormányzás kockázatelemzés megfelelés a jogi környezetnek

42 Az IT kormányzás 3 nem csak nagy cégeknek való segít a versenyképességben az ITK definiálja az üzleti teljesítményt különösen az IT erőforrások teljesítményét pl mi az hogy a hálózat lassú?

43 A jó IT kormányzás 2 megnövekedett termelékenység jobb minőség jobb pénzügyi eredmények

44 A rossz IT kormányzás programozott veszteség bürokrácia alacsony munkamorál kisebb nyereség

45 Az ügyfelek felől az ügyfél a rendelő felületet látja a megérkezett terméket vagy szolgáltatást esetleg piackutatásban nyújt információt az ügyfél ezek alapján ítél az IT kormányzás feladata a háttérben zajló üzleti folyamatok hatékonnyá tétele

46 Az ügyfelek felől 2 a rossz IT kormányzás elveszti szem elől az ügyfelet és csak a jogszabályok, szabványok és szabályzatok regulations, standards and policies betartására figyel

47 Az IT kormányzás megítélése a felső vezetés kérdése: Mennyire hatékonyak az IT kormányzás folyamatai a stratégiai üzleti célok teljesítése végett? Megismételhetőek, megjósolhatóak és skálázhatóak-e a folyamataink, és tényleg a cég és az ügyfelek szükségleteit elégítik-e ki?

48 Az IT kormányzás tájképe sok cég, sok módszer az IT kormányzás a vállalati kormányzás része ahogy a termékfejlesztés irányítása is

49 A Sarbanes-Oxley szabályok 2002 public company financial reporting, audit and enterprise governance processes a tőzsdei vállalatok pénzügyi jelentéseit, auditját és vállalati kormányzását szabályozza

50 Sarbanes-Oxley 2 Enron és WorldCom csőd után sok mindent szabályoz audit szempontból a SOx 404-es szakasz számít belső kontroll tanúvallomás és még: Auditing Standard No 5 (AS5)

51 Sarbanes-Oxley 3 Public Accounting Reform and Investor Protection Act, 2002 augusztus rövidítések: SOx, SOX, Sarbox stb

52 Sarbanes-Oxley 4 a törvény által létrejött a Public Company Accounting Oversight Board (PCAOB) a Securities and Exchange Commission alatt a SEC további szabályozással egészítette ki a törvényt

53 Auditálás PCAOB Audit Standard 3 az auditok jegyzőkönyveit 7 évig kell megőrizni előzmény: az Enron vizsgálatakor az Arthur Andersen könyvvizsgáló egy belső szabályzatra hivatkozva a legfrissebbek kivételével az összes audit dokumentumot megsemmisítette

54 Auditálás 2 a PCAOB szabályok szerint a külső auditoroknak le kell írniuk a tesztelési folyamataik hatókörét és a a tesztek eredményét az SOx előtt az auditorok belső szabályokra hivatkozva minimális teszteket hajtottak végre csak ennek ellenére a cég egészéről nyilatkoztak

55 Sarbanes-Oxley 5 az SOx 404-es szakasza előírja hogy egy cég felelősa belső könyvelési szabályai dokumentálásáért, rendszeres felülvizsgálatáért és teszteléséért ezeket át kell adni a külső auditoroknak

56 SOx: összeférhetetlenség a könyvvizsgáló cégek egy cégnél nem végezhetnek egyszerre audit és nem-audit tevékenységet pl belső auditot, tanácsadást és pénzügyi tervezést felső vezetőknek

57 SOx: összeférhetetlenség 2 szokás volt hogy egy belső auditor átment a könyvvizsgáló céghez ugyanígy: a könyvvizsgálótól átment ügyfélhez vezető pozícióba ezt ma már nem lehet

58 SOx: tiltások könyvvizsgálóknak nem tervezhetnek és fejleszthetnek pénzügyi információs rendszereket nem könyvelhetnek nem lehetnek menedzserek és személyzeti felelősök biztosítási üzletág, befektetés, audit jogi szakértés

59 SOx: összeférhetetlenség 3 a könyvvizsgáló partnere nem tölthet be egy pozíciót több mint 5 évig a SOx törvény bűncselekménnyé tette a váltás elmaradását SOx 206-os szakasz: a könyvvizsgáló nem auditálhat olyan cégnél, ahol a CEO, CFO vagy a főkönyvelő az előző évben a könyvvizsgálónál dolgozott

60 Mi az az IT kormányzás? sokféle nézet van erről hogyan költsünk IT-re? fontossági sorrend és a beruházások indoklása szabályok és jogosultsági szintek projekt menedzsment, az IT projekt-portfólió kezelése a jogi és szakmai szabályok követése, compliance

61 Mi az az IT kormányzás? 2 az IT változások és költségek összehangolása az üzleti követelményekkel és költségvetéssel + az IT személyzet fejlesztése az IT szolgáltatások menedzselése és irányítása Service Level Agreement-ek felállítása és monitorozás ez alapján

62 Mi az az IT kormányzás 3 a mindennapi IT problémamegoldás biztosítása és hogy az IT erőforrások kiszolgálják az üzleti igényeket

63 Sikerek és kudarcok volt hogy sikerre vitt cégeket de nagy kudarcok is voltak rossz projekt tervezés miatt költségtúllépés az üzleti és az IT oldal rossz kommunikációja miatt

64 Sikerek és kudarcok 2 egy 2002-es Gartner jelentés szerint az IT költés 20%-a veszteség ez évente 600 milliárd dollár egy 2004-es IBM jelentés szerint a Fortune 1000-es vállalatok CIO-i szerint az IT költés 40%-a nem térült meg

65 Sikerek és kudarcok 3 más jelentések szerint a nagy IT befektetések 20-70%-a felesleges, megkérdőjelezhető vagy nem térül meg ez mind arra mutat hogy erős IT kormányzásra van szükség

66 IT kormányzás, még egyszer az IT összes elemének irányítása az IT részeinek koordinálása pl rendszerfejlesztés és üzemeltetés divatos név: DevOps az IT folyamatok és rendszerek mérése

67 IT kormányzás, még egyszer 2 compliance, megfelelés a belső IT szabályzatoknak az IT költések indoklása számonkérhetőség és átlátszóság (transzparencia) erős figyelem az IT felhasználók igényeire régi rendszerek (legacy), biztonság, dokumentáció

68 IT és üzleti oldal az üzleti oldalnak értenie kell az IT erőforrásokat és képességeket az informatikai oldalnak értenie kell az üzleti igényeket és szempontokat a fontos IT döntéseket felső szinten kell meghozni

69 Kockázatmenedzsment jelszavak sokan a keresztnevüket használják ez veszélyes az informatikusok szabályzatokat írnak a jelszavak monitorokra ragasztott post-it cetliken jelennek meg

70 Kockázatmenedzsment 2 kockázat-étvágy risk appetite kockázat-felismerés kockázat-mérés: statisztika, valószínűségszámítás

71 Kockázatmenedzsment 3 melyik vállalati részleg válllalja a felelősséget a kockázatért? a megfelelő emberek minden kockázatra fennmaradó kockázat elfogadása residual risk nincs tökéletes könyvvizsgálat

72 Kockázatmenedzsment 4 a kockázatok kezelésének folyamatai ezek következményei és költségei IT kockázati esemény: mit kell tenni?

73 Kockázatmenedzsment 5 monitorozás akciótervek nehézség: ha le kell állítani a hálózatot ez felső döntést igényel

74 Kockázatmenedzsment 6 adatvédelem egy betörés alkalmával nyilvánosságra kerülhetnek védett adatok személyes adatok, pénzügyi adatok, bankkártyaszámok

75 Kockázatmenedzsment 7 könnyű cselekvési tervet írni de ennek költsége is van ez nem áll mindig rendelkezésre

76 Kockázatmenedzsment 8 az IT részleg gyakran csak a belső kockázatokra figyel de nem érti meg az üzleti kockázatokat a vevők és a beszállítók kockázatait

77 Kockázatmenedzsment 9 jogi felelősségek a részvényesek felé a hitelezők felé

78 Kockázatmenedzsment 10 a kockázatfelügyelet gyakran túllép az IT részleg hatáskörén fontos hogy ilyenkor tudatában legyünk a szervezeti határoknak

79 IT kockázatok behatolók megszakítják az IT üzemet szabotázs adatlopás

80 IT kockázatok 2 biztonsági szabályzat security policy kompetens biztonsági szakemberek

81 IT kockázatok 3 üzleti folytonossági terv business continuity plan legyen terv arra ha az IT leáll, hogy kell helyreállítani disaster recovery plan

82 IT kockázatok 4 malware mal- = rossz, malfunction a vezetésnek tudatában kell lennie hogy bármilyen rendszer ki van téve támadásnak és ezek jól álcázzák magukat

83 IT kockázatok 5 intrusion detection behatolás észlelés az IT eszközökhöz, hw és sw nyilván kell tartani a sebezhetőségeket és a cselekvési tervet, ha bekövetkezik a támadás

84 IT kockázatok 6 titkosítási szabályzatok elektronikus aláírás a szabályzatok mellé tréningek és ellenőrzések

85 Más biztonsági kockázatok terrorcselekmények ipari kémkedés felhő alapú üzemeltetés kockázatai

86 GRC governance, risks, compliance kormányzás, kockázatok, megfelelés IT kontextusban

87 Kockázatok kockázatok feltérképezése kockázatok mérése események kezelése monitorozás

88 Megfelelés a hatékony vállalati kormányzásnak fontos része a vállalat nevében elkövetett nem etikus és illegális tevékenységek kezelése és elkövetőik polgári vagy büntetőjogi felelősségre vonása

89 Megfelelés 2 új jogszabályok környezetvédelem sok olyan szabályra kell figyelni ami nem tartozik az üzleti célok közé Magyarországon: építési szabályok, adatvédelem, foglalkoztatás

90 Megfelelés 3 a szabályozások nem egyértelműek interpretáció kérdése sokszor nincs konszenzus minden tranzakcióhoz számlát kell kiállítani 1 $ alatt is?

91 Megfelelés 4 a szabályok sokszor átfedik egymást melyiknek is feleljünk meg? a szabályok folyamatosan változnak

92 Megfelelés 5 hogyan reagáljunk a szabályok folytonos változására? compliance osztály költséghatékonyság sok szabály előírja a dokumentumok tárolását megoldás: központi dokumentumtár

93 Megfelelés 6 a jól végzett megfelelés versenyelőny is lehet adóoptimalizálás lehetőségek felismerése gyors és pontos reagálás