CHAPNEWS
Chapnews
VOORZITTER
Colofon Deze nieuwsbrief is een uitgave van ISACA NL Chapter.
Rechte ruggen en ??
Redactie: T. Bakker, B. van Staveren en A. Shahim
aardbeving. De onzekerheid over het vervolg is nog groot. Als je dit
Het redactieadres: ISACA NL Chapter t.a.v. Redactie Nieuwsbrief
[email protected]
Een roerig jaar laten we achter ons. Als ik dit schrijf, eind november 2008, komen we net weer een beetje bij van de financiële leest kan de volgende (financiële) instelling alweer zijn omgevallen. In dit verband kom ik op de vraag: Hoe vasthoudend kan en moet je zijn als auditor die assurance opdrachten uitvoert? Het gezegde “Wie betaalt, bepaalt” zou dan immers voor auditors niet op mogen gaan. En ook zou voor hen niet gelden: “Wiens brood men eet, diens woord men spreekt.” Maar ja, niet alle gezegdes kloppen. Denk maar aan appels die maar niet van de boom vallen. Is het nou echt zo moeilijk om nee te zeggen en een opdrachtgever met een negatieve uitkomst te confronteren? Kennelijk wel, gezien de vele slippers de laatste jaren. Overigens, zelfs in de Bijbel werd hier al over geschreven; je kon maar beter geen boodschapper van slecht nieuws zijn (2 Samuel 18:19-43).
Het valt soms ook niet mee als auditor. Ik ben zelf werkzaam in het auditvak en maak maar al te vaak mee dat een opdrachtgever niet zo blij is met de uitkomsten van een onderzoek (niet mijn onderzoek natuurlijk). Wie herkent niet het onderhandelingsspel dat vanaf dat moment begint. “Als we die zin nu eens zo formuleren…” of: “Dat punt vind ik voor deze opdracht niet zo relevant”. Dat zijn dan nog de genuanceerde opmerkingen. Ook de botte methode kom je wel tegen. Zo opende ooit een projectleider de vergadering, waar een vennoot van een groot kantoor zijn auditrapport kwam toelichten, met de woorden: “Ik loop nu toch al 25 jaar mee maar dit hier, dit rapport, is zo slecht, dat heb ik nog nooit meegemaakt. Ik begrijp niet dat iemand hiervoor durft te tekenen Wie is eigenlijk de eindverantwoordelijke (vennoot zat er dus bij) binnen jullie organisatie?” Opmerkingen als: Je had de spellingchecker er wel eens overheen kunnen halen” en “Kijk, die zin is niet af” verhogen de feestvreugde ook al niet. Nog enkele bekende reacties: “Is dit procedureel wel goed afgedekt? en “Heeft er wel voldoende hoor en wederhoor plaatsgevonden?”. Ook deze doet het goed: “We laten het hele onderzoek nog eens door een onafhankelijke derde uitvoeren”. Maar, mits steekhoudend, ben ik het wel eens met veel opmerkingen. Een rapport is immers je visitekaartje en moet er dus gelikt uitzien. Minstens zo belangrijk is de wijze waarop het tot stand komt.
2
Chapnews
Welke houding dan? Ik vind dat de opdrachtgever niet moet beginnen met het aanvallen van het auditrapport en/ of de auditor, maar ervoor dient te zorgen dat de ergste tekortkomingen binnen de organisatie zo snel mogelijk worden opgelost. Opmerkelijk in dat kader vind ik de reacties van de Amerikaanse en Japanse auto-industrie op het aanscherpen van de milieueisen voor auto’s in de VS. De Japanners zorgden ervoor dat ze met de beste ingenieurs de auto’s aanpasten aan de nieuwe regels. De Amerikanen trachtten met vooraanstaande advocaten de regels ongeldig te laten verklaren. Wie is er nu het meest succesvol in de autoindustrie? En voor de auditor zo vlak voor de feestdagen: Houd je rug recht. Als jij vindt dat het vaktechnisch zo moet, hou daar dan aan vast. Ga niet schipperen. En vooral: wees duidelijk in je communicatie; zeg duidelijk wat je er van vindt. Als jíj het verhaal niet vertelt, wie dan wel? Jij bent de Uiterton.
Ik wens iedereen een heel goed nieuw audit jaar! Klaas Piet Meindertsma President ISACA
CISA TRAINING Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISA examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. Bij voldoende belangstelling organiseert het ISACA NL Chapter trainingen ten behoeve van deze examens. Er is één trainingsvariant ontwikkeld die zowel basiskennis als examentraining omvat. Alle relevante onderwerpen worden systematisch behandeld en er wordt geoefend op de specifieke examentechniek die gehanteerd wordt tijdens het examen. Het betreft een multiple choice examen waarbij in relatief korte tijd 200 vragen moeten worden beantwoord. Veel tijd om na te denken is er vaak niet.
De CISA training duurt 10 avonden en wordt gegeven in april-mei en oktober-november 2008. De kosten voor deze training bedragen EURO 975,- voor ISACA-leden en EURO 1075,voor niet-leden.
3
Chapnews
IT Governance Global Status Report – 2008 From July until October 2007 a survey reaching members of the C-suite was conducted to determine their sense of priority and actions, as well as tools and services needed, relative to IT governance. Focus points include the:
VERSLAG VAN ISACA PRESIDENTS COUNCEL MEETING (PCM) IN ROME Door het ISACA Rome Chapter was op zaterdag 11 oktober en zondag 12 oktober een ISACA Presidents Councel Meeting (PCM) in Rome georganiseerd voor de chapters uit Europa en Afrika. In totaal waren 20 lokale chapters almede ISACA International vertegenwoordigd door 35 deelnemers. Vanuit Nederland waren de ISACA president en ondergetekende vertegenwoordigd. Het voorprogramma begon op vrijdagmiddag 10 oktober met verschillende presentaties op het gebied van informatiebeveiliging.
Degree to which the concept of IT governance is recognised, established and accepted within boardrooms and especially by CIOs Level of existing IT governance expertise and which frameworks are known and are (or will be) adopted Extent to which ITGI’s own framework, COBIT, is selected and how it is perceived. Because this report is the third consecutive undertaking of this IT governance research project, the project team was able to use historical data from the previous reports to discover trends in a number of areas.
De presentaties werden onder andere gegeven door een aantal hoogleraren verbonden aan de Universiteit van Rome en Milaan. In de avond was er door het Rome Chapter een welkomstborrel georganiseerd. Voor de deelnemers was dit een mogelijkheid om met elkaar kennis te maken en de contacten tussen de chapters te onderhouden. Op zaterdag werden wij welkom geheten door de voorzitter van het Rome Chapter. Daarna was het woord aan de internationale president van ISACA. Zij heeft onder andere een aantal belangrijke strategische ontwikkelingen binnen ISACA toegelicht zoals het bouwen van een nieuwe website met meer faciliteiten voor onze leden. Vervolgens is door ISACA International een presentatie gegeven over de ontwikkelingen binnen de verschillende lokale chapters. Hierin is onder andere het belang van de Chapter Balanced Scorecard aangegeven en nader ingegaan op de ondersteuning die ISACA International aan de lokale chapters kan bieden, bijvoorbeeld bij het vertalen van ISACA publicaties. Aan het eind van de zaterdagochtend heeft het Duitsland Chapter een toelichting gegeven over haar organisatie en activiteiten. Daarbij zijn tevens de ervaringen toegelicht inzake het organiseren van de EuroCACS 2009 in Frankfurt. Direct na de lunch waren door het Rome Chapter ‘breakouts’ georganiseerd om de ervaringen tussen de verschillende chapters uit te wisselen. De onderwerpen waren onder andere het motiveren van bestuursleden om resultaten te bereiken, het ontwikkelen en onderhouden van contacten met universiteiten en het verbeteren van de dienstverlening aan de leden. Vervolgens is door het Israel Chapter een presentatie gegeven over
4
Chapnews
haar organisatie en activiteiten, waaronder het vertalen van CobiT. Tevens is ingegaan op de ervaringen bij het organiseren van een conferentie met internationale sprekers. Ter afsluiting van de eerste dag is door ISACA International een toelichting gegeven over de samenstelling, doelstellingen en activiteiten van de Membership Board. Deze Membership Board bestaat uit tien leden en is vertegenwoordigd door tenminste twee afgevaardigden uit verschillende continenten. Een belangrijke doelstelling van de Membership Board is het ondersteunen van de lokale chapters bij het werven van nieuwe leden. Het avondprogramma bestond uit een rondleiding en diner in het centrum van Rome. De tweede dag begon met een presentatie over de uitkomsten van de Chapter Balanced Scorecards die jaarlijks moeten worden ingevuld door alle chapters. De uitkomsten worden door ISACA International onder andere gebruikt om de strategische doelstellingen van de lokale chapters beter op elkaar af te stemmen. Daarnaast kan ook worden vastgesteld hoe de lokale chapters beter kunnen worden ondersteund bij het behalen van de strategische doelstellingen, bijvoorbeeld bij het organiseren van internationale congressen. Vervolgens hebben de chapters uit Milaan, Luxemburg, Londen en Barcelona een presentatie gegeven over haar organisatie en activiteiten. Aan het eind van de zondagochtend heeft ISACA International het gebruik en de mogelijkheden van BrightTALK toegelicht. Dit wordt onder andere door ISACA gebruikt voor het organiseren van een E-Symposium. Ter afsluiting hebben wij gezamenlijk een evaluatie van de meeting gedaan en de belangrijkste actiepunten besproken. Iedereen was het erover eens: dit was een zeer nuttige bijeenkomst waarbij het nogmaals duidelijk is geworden dat het uitwisselen van ervaringen cruciaal is bij het verder ontwikkelen van de lokale chapters. Door Danny Onwezen, bestuurslid ISACA
CISM TRAINING Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISM examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. Bij voldoende belangstelling organiseert het ISACA NL Chapter trainingen ten behoeve van deze examens. Er is één trainingsvariant ontwikkeld die zowel basiskennis als examentraining omvat. Alle relevante onderwerpen worden systematisch behandeld en er wordt geoefend op de specifieke examentechniek die gehanteerd wordt tijdens het examen. Het betreft een multiple choice examen waarbij in relatief korte tijd 200 vragen moeten worden beantwoord. Veel tijd om na te denken is er vaak niet. De CISM training duurt 6 avonden en wordt gegeven in november 2008. De kosten voor deze training bedragen EURO 675,- voor ISACA-leden en EURO 800,- voor niet-leden. Afhankelijk van het aantal deelnemers kunnen de kosten nog worden aangepast.
5
Chapnews
INTRODUCTIE BESTUURSLEDEN Marcel van Dijk
1. Wie ben jij ? Ik ben Marcel van Dijk, inmiddels 52 jaar, woonachtig te Austerlitz. Werkzaam bij de Rabobank en sinds vorig jaar penningmeester. Ik ben Accountant, ooit netjes de Nivra-opleiding tot Register Accountant doorlopen, de hardway, ongeveer 10jr parttime studie. In die tijd raakte ik ook bij de IT-audit betrokken. Daar werd in mijn begintijd, begin jaren tachtig nog niet zoveel aan gedaan. Ik heb toen ook de Ambi-opleiding gedaan, in die tijd de gangbare automatiseringsopleiding. In de eerste jaren van mijn werkzame leven heb ik als assistent account bij het Verificatie-bureau gewerkt. Het VB hield zich bezig met de controle van gemeenten en gemeentelijke instellingen. In 1980 ben ik voor wat toen de NMB (later opgegaan in ING) heette gaan werken als informatieanalist, vijf jaar later heb ik de overstap naar de Rabobank gemaakt. Bij de Rabobank heb ik eerst nog twee jaren als informatie-analist gewerkt maar ook de Accountancy bleef mijn belangstelling houden en zeker de IT-Audit. Toen zich intern een mogelijkheid voordeed om binnen de Audit Rabobank Groep als IT-auditor aan de slag te gaan heb ik hier gebruik van gemaakt. Aangezien er in die tijd nog geen post-doctorale opleidingen op IT-audit gebied waren heb ik samen met een collega een training in Antwerpen gevolgd, gegeven door Wim Grembergen (dezelfde die nu de Cobittrainingen voor ons verzorgd), toen heb ik ook kennisgemaakt met de ISACA (Erik Guldentops was ook een van de docenten). In die tijd hebben we ook de CISA certificatie verkregen, toendertijd waren de CISA’s in Nederland op een hand te tellen. In de jaren daarna ben ik binnen Audit oa verantwoordelijk geweest voor de audits binnen het rekencentrum van de Rabobank, later kwamen daar het Betalingsverkeer en de Produkt Markteenheden bij. In tussentijd ook nog de post doctorale opleiding IT-Audit aan de VU gevolgd. Ongeveer vier jaar geleden heb ik de overstap gemaakt naar Professional Practice en ben in die functie verantwoordelijk voor methoden/technieken, opleidingen, kennismanagement etc. ten behoeve van onze auditors. Prive ben ik getrouwd, drie kinderen, waarvan de oudste medicijnen studeert in Groningen, de andere twee zijn nog thuis en intensieve sporters.
2. Wat wil je worden ? Interessante vraag als je inmiddels de 50 bent gepasseerd. Op dit moment heeft Maatschappelijk Verantwoord Ondernemen mijn speciale aandacht. Voor de accountancy is dit nog een redelijk onontgonnen gebied. Binnen de Rabobank ben ik o.a. verantwoordelijk voor de werkzaamheden die we intern verrichten met betrekking tot de beoordeling van het Maatschappelijk Jaarverslag, dit hele gebied is nog in ontwikkeling.
3. Hoe en waarom bij ISACA ? Bij de beantwoording van vraag 1 ben ik hier al deels op ingegaan. Vanuit mijn huidige functie heb ik nog veel te maken met het uivoeren van IT Audits wereldwijd. Dat laatste maakt het belangrijk dat onze methoden/technieken, standaarden wereldwijd geaccepteerd zijn. Een internationale organisatie als ISACA kan daar dus prima bij helpen. Ik zie hier ook veel parallellen met het IIA waar we als Rabobank ook bij aangesloten zijn.
6
Chapnews
4. Welke ambities heb je binnen ISACA? Als treasurer is mijn eerste taak natuurlijk het financiële beleid en zorgen voor een financieel gezonde chapter. Vanuit een financieel gezonde basis kan dan de toegevoegde waarde voor de leden verder vergroot worden. Hier liggen denk ik onze voornaamste ambities, naast de vele opleidingen en round tables die ISACA al organiseert de toegevoegde waarde voor de leden nog verder vergroten door handreikingen op diverse gebieden uit te brengen. Hiernaast vind ik het belangrijk om onze eigen organisatie verder te professionaliseren hiertoe zijn inmiddels stappen ondernomen via de aanpassingen rondom de Webside en de samenwerking met APPR als ondersteunende organisatie. Een ander belangrijk punt is mijn inziens de samenwerking met organisaties als IIA en Norea.
5. Wat wordt de komende periode het belangrijkste waarmee ISACA in Nederland naar buiten komt. Handhaven danwel verbeteren van de dingen die we nu al goed doen zoals de opleidingen voor CISA, CISM, Cobit etc en de Round tables. Ik verwacht veel van de werkgroepen die we willen gaan opstarten om handreikingen voor onze leden op te stellen.
6. Wat is je opmerkelijkste IT gebeurtenis. Nou ja opmerkelijk. Als je uit een tijdperk stamt waar nog geen e-mail was, een printje verkrijgen een dag duurde zijn er heel veel opmerkelijke gebeurtenissen. Ik weet nog dat ik zelf mijn eerste PC aanschafte, een APPLE IIe. In die tijd een flinke investering. Waarbij je op die PC nog zelf moest programmeren. Ik heb een teleac-cursus PASCAL gevolgd en kon daarna mijn eigen programma’s schrijven. Meer recent is de introductie van onze audittool binnen Audit Rabobank Groep. Dit tool wordt wereldwijd door al onze auditors gebruik. Het ondersteunt bij de uitvoering van de audit en de vastlegging van de evidence. Vanuit Professional Practice kunnen bij direct meekijken met wat onze collega’s all over the world hebben vastgelegd.
Ontplooien initiatieven voor en door zelfstandig gevestigde professionals ISACA is voortdurend op zoek naar manieren waarop het haar diensten aan de leden kan optimaliseren. Binnen ISACA willen wij starten met een initiatief voor en door de groeiende groep van zelfstandig gevestigde professionals. Het doel is om zelfstandig gevestigde professionals binnen ISACA met elkaar in contact te brengen. Daarbij willen wij initiatieven ontplooien waar professionals elkaar kunnen coachen, kennis kunnen delen en door bundeling hun individuele succes kunnen vergroten. Ben je zelfstandig gevestigd professional en heb je interesse? Heb je zelf ideeën en vindt je het leuk om te helpen bij het ontplooien van één van de initiatieven? Neem dan contact op met Danny Onwezen (
[email protected]).
7
Chapnews
SAMENVATTING VAL-IT TRAINING OP 10 EN 11 SEPTEMBER IN BREUKELEN
In navolging op het succes van de COBiT trainingen die ISACA sinds vorig jaar aanbiedt, vond in september de eerste VAL IT training plaats. De training had als subtitel: Hoe bedrijfswaarde te realiseren uit IT investeringen? en was bedoeld voor CIO´s, IT Managers, IT-auditors, Controllers en IT Governance professionals. Docenten van de training waren Prof. dr. Chris Verhoef en Prof. dr. Wim van Grembergen en dr. Steven De Haes. Laatstgenoemden verzorgen tevens de COBiT trainingen van ISACA in Nederland. Ongeveer 20 ISACA-leden volgen de training, nagenoeg allemaal ´in business´ bij grote Nederlandse organisaties. Hieronder volgt een kort verslag.
Realistisch investeren = kleine projecten De hete middag van 10 september werd verzorgd door Prof. Dr. Chris Verhoef, professor aan de VU in Amsterdam. Verhoef is guru op het gebied van het kwantificeren van IT Governance. Hij heeft een theorie ontwikkeld die probeert te verklaren waarom grote (overheids)projecten eigenlijk altijd over budget en streeftijd gaan. Dit leidde tot spraakmakende voorbeelden in de warme ruimte van het Van der Valk in Breukelen. Toen wij een ober vroegen of de airco wat hoger kon was zijn antwoord: “dan moet u de ramen wat verder open zetten”. Met het ietwat storende gezoem van de A2 vertelde Verhoef dat gewone economische modellen kunnen niet goed worden toegepast op IT (gerelateerde) projecten. Daarom heeft hij zijn theorie onderbouwd met een formule voor IT economics, die weer is afgeleid van functiepunt analyses uit de economische wetenschap. Doel: op voorhand beter inzicht krijgen in de haalbaarheid van business cases en projecten. Interessante opmerking van Verhoef is het fenomeen ´time compression´. Wanneer een projectplanning wordt ingekort vanwege tijdsdruk leidt dat tot zoveel druk (stess?) dat een exponentiële budget overrun het gevolg is. Tot slot is het aardig te vermelden dat er in de VS een wet bestaat die grote overheidsuitgaven en projecten verbiedt. Staten en gemeentes zijn verplicht programma-initiatieven te verdelen in kleine, meetbare deelprojecten die op zichzelf waarde toevoegen. Dit alles om de uitgave van belastinggelden te verantwoorden. Iets voor de Nederlandse overheid om een te onderzoeken?
Enterprise Governance of IT = COBiT + VAL IT De tweede dag werd verzorgd door Prof. dr. Wim van Grembergen en dr. Steven De Haes die beiden lesgeven aan de Universiteit van Antwerpen en onderdeel uitmaken van het COBiT ontwikkelteam. Deze dag had Van de Valk ons in een andere, ietwat koelere ruimte gepland. Dit
8
Chapnews
in overeenstemming met het doel van deze dag: de theorie rond VAL IT.
Val IT
Cobit
Doen we de juiste dingen?
Krijgen we wel de voordelen?
Doen we ze op een goede manier?
Worden ze goed uitgevoerd?
VAL IT is een toevoeging aan de COBiT richtlijn met methoden voor meten, monitoren en maximaliseren van toegevoegde business waarde van IT investeringen. Daar waar VAL IT focust op de investeringsbeslissing (doen we de juiste dingen) en de realisatie van benefits (krijgen we de benefits?), focust CobiT op de uitvoering van IT investeringen (doen we de dingen goed en op de juiste manier?). VAL IT biedt – net als COBiT een aardig raamwerk bestaande uit de volgende drie good practises: 1) establish Governance framework for Value Management, 2) manage the Investment Portfolio en 3) Manage the Investments. Deze drie practises vallen uiteen in processen en sub-processen en zijn op dezelfde manier als COBiT voorzien van Management
COBIT Mapping: Mapping of NIST SP800-53 Rev. 1 With COBIT® 4.1 This document contains a detailed mapping of NIST SP800-53 Rev 1 with COBIT 4.1 and also contains the classification of the standards discussed in this paper as presented in the overview document COBIT® Mapping: Overview of International IT Guidance, 2nd Edition. NIST SP800-53 is a security-related technical standard issued by NIST. It is one of NIST’s SP800-series of reports ‘providing research, guidelines, and outreach efforts in information systems security, and its collaborative activities with industry, government, and academic organizations’. Although this is a US federal government standard, it is applicable for all organisations interacting with the US federal government. More important, the standards included in NIST are good security practices for all organisations and therefore need to be looked at and used from that perspective.
9
Chapnews
Guidelines, Goals en Objectives. En ook voor VAL IT is het mogelijk voor organisaties om hun eigen volwassenheidsniveaus te scoren. Bij het invullen van de RACI chart voor de VAL IT processen komt het grote verschil naar boven: de accountability en responsibility voor nagenoeg alle processen ligt bij business functies. En dat is waar de discussie in het laatste deel van de dag - en de borrel achteraf - over ging.
Push versus pull “Dergelijke processen bestaan toch al? (IT) controllers in grote organisatie voeren dergelijke activiteiten ook uit. Is het IIA ook niet bezig met een zo’n raamwerk?” De toegevoegde waarde van de inrichting van de VAL IT processen lijkt evident. En een deel van de processen is doorgaans bij grote organisaties al geïmplementeerd. Maar naast ING, waar VAL IT in oorsprong vandaan komt, zijn er nauwelijks organisaties bekend die met het concept werken. Hoe dan verder? Gaan we weer pushen vanuit IT? Of blijft het wachten op de business om het ´Enterprise Governance for IT´ raamwerk te komen halen? Wellicht te beginnen bij een Value Management self- assessment – makkelijk te vinden in de ´Getting Started with Value Management guide´ op pagina 15 (te downloaden op www.isaca.org).
Wordt vervolgd…
Meer lezen van Chris Verhoef, ga naar http://www.cs.vu.nl/~x/ipm/ipm.pdf. Naast VAL IT wordt de COBiT richtlijn op korte termijn uitgebreid met COBiT Risk voor de aansluiting met Enterprise Risk Management, zie ook www.isaca.org.
Door Suzanne Janse, Protiviti
COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1 This document contains the results of a detailed mapping of ITIL V3 with COBIT 4.1 as well as a classification of the standards discussed in this publication.
10
Chapnews
VAN IT GOVERNANCE NAAR ENTERPRISE GOVERNANCE OF IT Na het uiteenspatten van de “dotcom bubble” begin jaren 2000 was de ontnuchtering voor velen groot. Zeer ambitieuze e-business projecten hadden enorme winsten voorspeld en bedrijven hadden massaal geïnvesteerd in IT. Maar heel wat IT projecten bleken niet aan hun verwachtingen te kunnen voldoen. Enkele jaren later kwam bovendien Nicolas Carr van Harvard Business School uit met een boekje “IT doesn’t matter”, waarin hij argumenteerde dat IT eigenlijk een commodity is geworden en dus geen competitief voordeel meer kan leveren. De argumentatie van Carr om minder te investeren in IT, kwam op een moment dat IT projecten al geen te best imago hadden (te laat, te duur, etc.) en wakkerde de discussie bij heel wat bedrijfsmensen aan wat nu eigenlijk de bedrijfswaarde was van IT en waarom de hoge investeringen in IT nodig waren. De essentie van de zaak is uiteraard dat waardecreatie niet zozeer komt uit de zuivere technologie, maar wel uit de veranderingen in de organisatie die het mogelijk maakt. Neem nu het eenvoudige voorbeeld van Customer Relationship Management (CRM): als IT er in slaagt om de nieuwe CRM applicatie binnen tijd, budget en functionaliteit op te leveren, dan nog is er geen bedrijfswaarde gerealiseerd. Er zal enkel waarde worden gerealiseerd als de verkoopsmensen effectief de applicatie gaan gebruiken om meer omzet, en dus bedrijfswaarde, te realiseren. Dit vergt echter, naast het opleveren van de technische applicatie, ook het uittekenen van een gepast bedrijfs/verkoopsproces, het opleiden van de verkoopsmensen om volgens dit nieuwe proces en applicatie te werken, enz. Zuivere IT investeringen bestaan dus eigenlijk niet (met uitzondering van bv. infrastructuurprojecten en dergelijke), het zijn eerder bedrijfsinvesteringen met een grote IT component. In literatuur spreekt men dan ook minder over IT investments maar meer en meer over IT enabled business investments. De nadruk op de verantwoordelijkheid van de business in de waardecreatie, is één van de kernpunten in het nieuwe raamwerk Val IT 2.0, dat in 2008 werd uitgegeven door ISACA. In dit raamwerk worden 22 businessprocessen uitgetekend die pleiten voor een geïntegreerde aanpak tussen business en IT als het gaat over IT value management. Hoewel de belangrijkheid van dit raamwerk buiten discussie staat, zal één van de uitdagingen zijn om de business te overtuigen van de noodzaak van deze 22 processen. Zolang we immers praten of IT Governance en Val IT, waarin het woord “IT” zeer centraal staat, zal de perceptie blijven bestaan dat dit raamwerk enkel en alleen gemaakt is voor de CIO of de IT manager. Er is in elk geval een sterke stroming aan de gang die tracht om deze mindset te veranderen. In 2008 kwam ISO uit met een nieuwe standaard onder de titel “Corporate Governance of IT” (ISO38:500), en ons eigen nieuwe boek wordt uitgeven onder de titel “Enterprise Governance of IT” (in januari 2009 beschikbaar bij Springer, New-York). In deze benamingen staat duidelijk niet meer IT, maar wel de Enterprise en Corporate centraal. Het lijkt voor sommigen misschien spelen met woorden, maar het duidt op een fundamentele evolutie in het denken omtrent waardecreatie. Een evolutie die langzaam verloopt, maar die met de uitgave van Val IT 2.0 door ISACA en de ISO38:500 standaard zeker een duw in de rug heeft Door Dr. Steven de Haes en Prof. Wim van Grembergen, Universiteit Antwerpen (UA)
11
Chapnews
VIRTUALISATIE Virtualization, een sterk groeiende ontwikkeling op IT gebied binnen de datacenters, is de aanduiding voor ondermeer softwarematige servers, werkstations of desktops. Door gebruik te maken van virtualisatiesoftware kan een host computer (de fysieke machine) verdeeld worden in meerdere virtuele computers met gelijke of verschillende besturingssystemen. De hardware van de host computer kan gebruikt worden om toegang te krijgen tot de virtuele computer. Zo worden beeldscherm, toetsenbord, muis en geluidskaart gebruikt om de virtuele computer te kunnen ‘bedienen’. Ook kan de virtuele computer door een softwarekoppeling met het netwerk verbonden worden. In het netwerk zal de computer gezien worden met een eigen hardware (mac) en netwerk (ip) adres. Hierin onderscheidt de virtuele computer zich dus niet van de fysieke computer. Voor het virtualiseren van servers in een datacenter, is dit aspect van groot belang. Waarom Server Virtualisatie?
•
Het reduceren van het aantal servers.
•
Meerdere besturingssystemen op een server kunnen draaien.
•
Hogere beschikbaarheid door het eenvoudig kunnen verhuizen van draaiende applicaties van een Virtuele Machine op een slecht functionerende server naar een andere Virtuele Machine.
•
Minder energie consumptie en dus ook minder warmteafgifte en kosten.
•
Een lagere footprint, d.w.z. (minder vierkante meters).
•
Lagere beheerskosten.
•
Flexibel testen van nieuwe applicaties op Virtuele machines die eerst kunnen testdraaien alvorens deze in productie gaan nemen.
•
Betere verdeling en benutting van processorcapaciteit: zonder servervirtualisatie worden serverprocessoren gemiddeld maar zo’n 20% belast.
•
Server virtualisatie maakt de weg vrij voor centralisatie en dus kostenverlaging; mede door connectie op centrale storage systemen, wordt een sterke kostenreductie bereikt.
•
De sterke verglazing (dark FO) van Nederland versterkt de wens tot virtualisatie.
Toepassing Er zijn vele manieren om virtualisatie-technieken toe te passen. De bovengenoemde toepassingen (servers, werkstations en desktops) worden achtereenvolgens behandeld. Server virtualization: in een datacenter wordt, om de continuïteit te kunnen waarborgen, voor iedere applicatie één fysieke server gebruikt. Er is bijvoorbeeld een server voor de mail, de
* Dit artikel is ook gepubliceerd in IT Trends 2008
12
Chapnews
bestandsopslag, de database, etc. De reden dat iedere applicatie op een server draait is, dat er bij een hardware defect, een software crash, of een reboot, slechts één applicatie niet beschikbaar is. Het nadeel is echter dat in een middelgrote onderneming het aantal servers algauw in de honderden loopt. Dit nadeel is echter niet het enige, ook het rendement en de utilisatie liggen laag. Wanneer servers gevirtualiseerd worden, blijven de systemen gescheiden, maar kunnen de fysieke resources toch gedeeld worden. De host computer hoeft alleen de virtualisatie-software uit te voeren en is daardoor optimaal ingericht. De systemen zijn daardoor minder vatbaar voor uitval, toch blijft het risico op een hardware defect van de fysieke computer bestaan. Deze ‘single point of failure’ kan worden ondervangen door clustering, het groeperen van servers. De servers kunnen met deze techniek in aantal worden uitgebreid en de taken kunnen worden verdeeld. Workstation virtualization: deze vorm van virtualisatie wordt vaak gebruikt om op één werkstation met meerdere en tevens verschillende besturingssystemen te kunnen werken. Deze methode maakt het bijvoorbeeld mogelijk om in een test omgeving te kunnen werken zonder dat het nodig is dat er op de werkplek meerdere fysieke machines geplaatst worden. Een toepassingsvoorbeeld hiervan is het testen van de effecten van een virus zonder dat het host besturingssysteem wordt aangetast. Virtual Machine Desktops: bij deze methode worden er op een server meerdere virtuele computers geïnstalleerd met een ‘single user’ desktop operating system (bijvoorbeeld Windows XP). Deze kunnen dan benaderd worden via het netwerk door middel van een zogenaamde ‘thin client’, beter bekend als ‘terminal client’. De reguliere toepassing van ‘terminal clients’ heeft als nadeel dat een ieder op hetzelfde systeem werkt en er dus bij een software crash niemand meer kan werken. Bij virtual machine desktops heeft iedereen een eigen installatie en is dit probleem opgelost.
Huidige situatie In de grotere IT-omgevingen begint server virtualization een bekend begrip te worden. Maar we zien toch dat er nog een grote grijze wolk omheen hangt, niet zozeer in de technische hoek, maar meer op bestuurlijk en beleidsniveau. De technici maken zich deze technologie snel eigen en zien de voordelen ervan. Binnen de business is de bekendheid met de mogelijkheden nog minder, waardoor het minder de voorkeur heeft. Workstation virtualization wordt op dit moment vooral gebruikt door technici, want er zijn niet veel toepassingsmogelijkheden voor de ‘gewone’ gebruiker. Van de ‘Virtual Machine Desktop’ wordt nog weinig gebruik gemaakt omdat het nog niet goed toepasbaar is in combinatie met een mobiele werkplek. De benodigde infrastructuur is nog onvoldoende; op sommige plaatsen is het netwerk niet beschikbaar, niet snel genoeg, of onvoldoende betrouwbaar om goed te kunnen werken. Microsoft heeft tevens een onderzoek laten verrichten door Marqit naar de stand van ITbeheer in Nederland. Driehonderd grote Nederlandse organisaties hebben te kennen gegeven de komende tijd te investeren in virutalisatie van het serverpark, constante controle van applicatie en hardwareprestaties, applicatievirtualisatie en confi guratiebeheer (zie onderstaand figuur).
13
Chapnews
Figuur 1 Investeringen van grote Nederlandse berijven (Bron: Marqit in opdracht van Microsoft)
Ontwikkeling Eén van de grote drijfveren voor het gebruik van virtualisatie in datacenters, is het steeds schaarser worden van energiebronnen. Waar vroege de grootste vraagstukken voor een datacenterbeheerder nog lagen op het gebied van vloeroppervlak en koeling, is nu zijn grootste zorg de toevoer van voldoende energie. Door het beter benutten van hardware door middel van virtualisatie, kan het energieverbruik sterk verminderd worden en kan het hoofd geboden worden aan deze problematiek. Bij het bespreken van het onderwerp ‘Green IT’ is virtualisatie ook een van de vaste punten op de agenda. Verder is zoals reeds besproken het verbeteren van de beschikbaarheid een belangrijke factor bij de keuze voor deze techniek Door deze voordelen zien we een sterke toename in de interesse voor deze technologie, deze toename zal in de toekomst alleen maar groter worden. Google trendlabs laat bij dit onderwerp een statistiek zien met een sterke stijging van zoekopdrachten sinds 2005.
Kosten / baten De kosten-batenanalyse voor een virtuele server omgeving is relatief gemakkelijk te maken. De diverse ROI calculators op het internet laten op eenvoudige wijze zien wat de kosten en besparingen zijn door de tijd heen. Uiteindelijk blijken de baten de kosten te overtreffen, waarbij de winst vooral wordt behaald op het gebied van energie- en hardwarebesparingen. Verder worden voordelen behaald op het gebied van schaalbaarheid en flexibiliteit. De initiële kosten voor het inrichten van de virtuele omgeving en het aanschaffen van de benodigde hard- en software zijn relatief laag. Volgens analisten kan virtualisatie bedrijven helpen om miljoenen te besparen. (Onderzoek Butler groep.)
Risico's Door de extra schakels in de architectuur, zijn er extra onderdelen die goed beveiligd moeten worden. Voorbeelden hiervan zijn de opslag van de virtuele computer en de beveiliging van de host computer. Daarbij is de technologie nog relatief nieuw waardoor de audit- en ITrichtlijnen nog niet altijd voldoende zijn bijgesteld.
14
Chapnews
Figuur 2 Architectuur van een virtuele omgeving. Bron: www.pds-site.com/vmware/images/ws_arch.gif
Figuur 3 Virtualisatie in de pers
Door: Wouter Abma, Business Consultant Information Risk Management bij Atos Consulting N.V.,
[email protected]
15
Chapnews
16
