r
Technology Risk Consulting
IT Risk management in een technologische wereld
UFSIA Forum Technologie en Management 16 Februari 2001 Jeroen Devenyn & Olivier Naeyaert
1
Structuur & timing van de presentatie
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE 1
CASE 2
CASE 3
CASE 4
(10’)
(10’)
(10’)
(10’)
CASE 5 (10’)
Project Risk Management
Business Systems
Website Review
Security Audit
Reorganisatie IT Departement
Arthur Andersen (10’) Drinks !! (??? ’)
3
Technologie - Gisteren…
•
“I think there is a world market of maybe 5 computers.” Tom Watson, CEO IBM, 1943
•
“Computers in the future may weigh no more than 1.5 tons.” Popular Mechanics, 1949
•
“It would appear that we have reached the limits of what is possible to achieve with computer technology.” John Von Neumann, 1949
•
“There is no reason why anyone would want a computer in their home” Ken Olsen, Founder & CEO DEC, 1977
•
“640Kb ought to be enough for users to run all computer applications.” Bill Gates, Founder Microsoft, 1981
4
2
Technologie - Vandaag...
5
Structuur
• Cases – oplossen real life problemen – projecten van ons team in 2000 / 2001 – added value voor de klant
• Structuur Cases – Wat was het probleem / vraag van de klant – Wat hebben we gedaan – Lessons Learned
• Belangrijke lessen meegeven die je niet op school leert – stuff that really matters
6
3
IT Risk Management
Inleiding en structuur presentatie (5’)
IT Risk Management (20’) CASE 1
CASE 2
CASE 3
CASE 4
(10’)
(10’)
(10’)
(10’)
CASE 5 (10’)
Project Risk Management
Business Systems
Website Review
Security Audit
Reorganisatie IT Departement
Arthur Andersen (10’) Drinks !! (??? ’)
7
Algemene IT Risico’s
1. 2. 3. 4. 5. 6. 7. 8. 9.
Availability Performance Capacity/Scalability Integrity Access/Security Cost Management Continuity Strategic Alignment Infrastructure Flexibility/Nimbleness
8
4
IT management functies
•
•
Plan
•
Monitor
1. Strategy
10. Security Management
2. Organization
11. Service Management
3. Business Continuity Management
12. Asset Management
Operate
•
4. Application Management
Infrastructure Resource Planning 13. Enterprise Systems Management
5. Data/DBMS Management 6. Network Management
•
Project Management
7. Platform Management 8. Desktop Management 9. Computer Operations Management
Focus op management ! Wat houdt IT mgmt in ? 9
Strategy
– Risico indicatoren • Ontevredenheid met formele IT organisatie • Verhoogde backlog; • Verhoogd gebruik van consultants of outsourcers voor strategische taken • Hoge turnover; Problemen aantrekken van bepaalde IT profielen • Steeds overschrijding IT budget – Potentiële impact • Verlies opportuniteiten door onkunde van IT om tijdig oplossingen te bieden voor business • Overdadige investeringen in IT met minimale return • Oplossingen die niet beantwoorden aan business vereisten • Verhoogde turnover door dysfunctionele organisatie 10
5
Organization
– Risico indicatoren • Ontbrekend organigram veroorzaakt verwarring over rollen en verantwoordelijkheden • Overlapping rollen resulterend in zwak gecoördineerd werk • Veel gebruik externen - verlies van interne competenties en kennis • Zwak gedocumenteerde profielbeschrijvingen • Gebrek aan performantiemeting • Gebrek aan aandacht voor training • ”Parallelle" IT initiatieven vanuit de gebruikersorganisaties ontevredenheid met bestaande formele IT organisatie
11
Organization
– Potentiële impact • Inefficiënties in de werking van de dienst, resulterend in financiële en operationele risico’s • Problemen met betrouwbaarheid en beschikbaarheid van IT • Problemen met aantrekken en behouden van competenties
12
6
Business Continuity Management
– Risico indicatoren • Geen gedocumenteerd business continuity plan. • Geen Business Impact Analyse • Afwezigheid van service level agreements (aanvaardbare downtime) – Potentiële impact • Onmogelijkheid om snel terug tot een aanvaardbaar operationeel niveau te komen, wat eventueel tot het stopzetten van het bedrijf kan leiden. • Vals gevoel van veiligheid door gedateerde of niet geteste continuïteitsprocessen.
13
Application Management
– Risico indicatoren • SLA's en andere indicatoren zijn niet ontwikkeld om de performantie, beschikbaarheid en capaciteit van toepassingen na te gaan. • Hoog aantal wijzigingen in productietoepassingen, zonder voldoende change management controles, wat resulteert in systeem downtime en mogelijke integriteitsproblemen. • Toepassingen zijn frequent niet beschikbaar. – Potentiële impact • Zwakke responstijden gesignaleerd door gebruikers, waardoor de verwerking niet binnen redelijke tijd gebeurt. • Problemen met integriteit, beschikbaarheid en performantie.
14
7
Data/DBMS Management
– Risico indicatoren • Data zijn verloren of kunnen niet hersteld worden door gebrek aan back-up, restore of recovery procedures. • Gebruikers hebben geen vertrouwen in beschikbaarheid, integriteit, of relevantie van data. • Duplicate processen om data en informatie te vergaren, verwerken en verdelen. – Potentiële impact • Nemen van bedrijfsbeslissingen wordt ondermijnd omdat noodzakelijke data niet bestaan, moeilijk te verkrijgen of inaccuraat zijn. • Database integriteitsproblemen door inconsistente routine operations en onderhoud.
15
Network Management
– Risico indicatoren • Network performantie of capaciteitsproblemen • Verouderd plan IT architectuur • Gebrek aan metingen van netwerk performantie, beschikbaarheid, enz. • Veranderingen aan netwerk worden niet nagezien, gepland of gecommuniceerd naar gebruikers – Potentiële impact • Onstabiele omgeving en zwakke service levels naar gebruikers • Network is onder/over-sized • Migratie en onderhoud is complex en neemt tijd door inconsistent gedocumenteerde architectuur • Management richt zich op incorrect technisch plan 16
8
Platform Management
– Risico indicatoren • • • •
Systemen frequent niet beschikbaar Maintenance windows zijn niet gepland Te frequente veranderingen aan besturingssystemen Decentrale IT eilanden in business omdat IT hun noden niet kan beantwoorden
– Potentiële impact • Verlies inkomsten / kosten • Onstabiele omgeving; zwakke service naar gebruikers • Beschikbaarheid en operations risico’s
17
Desktop Management
– Risico indicatoren • Geen inventaris van hardware of software. Geen formeel licentie beheer. • Verschillende versies van dezelfde software; Upgrades gebeuren op ad-hoc basis. • Software distributie neemt veel tijd en is complex. • Users moeten regelmatig rebooten. • Departmenten kopen eigen materiaal en verwachten dat IT dit later ondersteunt.
18
9
Desktop Management
– Potentiële impact • Excessieve kosten door reactief problemen op te lossen • Productiviteit gebruikers (crashes) • Negatief imago IT omdat desktop niet werkt. • Overtreden licentie overeenkomst. • Gebrek aan schaalvoordelen bij aankopen • Gebrek aan standardisatie leidt tot hogere support kost & incompatibiliteit tussen systemen. • Onderhoud is duur en complex.
19
Computer Operations Management
– Risico indicatoren • Geen planning voor hardware/software upgrades • Geen capaciteitsplanning voor storage beperkingen. • Geen formele procedures of automatische tools voor batch scheduling en voor monitoring en dynamische aanpassing van toegewezen computing resources. – Potentiële impact • System response tijd met negatieve impact productiviteit en service. • Volledige jobs moeten herdraaid worden door gebrek recovery/restart procedures. • Productie jobs crashen door onvoldoende CPU resources, storage capacity, of slecht doorgevoerde programma wijzigingen.
20
10
Security Management
– Risico indicatoren • Geen formele security standaarden en procedures. Geen bescherming van data assets. • Geen controle toegangen op basis van "need-to-have" access volgens toegewezen verantwoordelijkheden – Potentiële impact • Niet geauthoriseerde wijzigingen, verwijdering, of publicering van data • Kosten voor recovery van beschadigde of gedelete files. • Legale exposure door overtreding van vereisten op vlak van data bescherming
21
Service Management
– Risico indicatoren • Geen formele Helpdesk functie. De Helpdesk gebruikt geen software pakket om tracking van problemen te doen. • Gebruikers hebben geen vertrouwen dat IT hen kan helpen. Gebruikers klagen over inconsistente service. – Potentiële impact • Niet alle problemen worden consistent behandeld. Trial-and-error antwoorden. Geen knowledge sharing. • Users vermijden Helpdesk en contacteren andere eindgebruikers of gaan direct naar andere profielen binnen IT. Return on investment van IT is gesuboptimaliseerd. • Geen continue verbetering van IT services mogelijk.
22
11
Asset Management
– Risico indicatoren • Geen inventaris van assets; geen periodieke inventarisatie. Decentrale technologie zit niet in centrale asset repository. • Inadequate link met problem management en aankopen. Totale kosten voor IT assets zijn niet bekend. IT kosten gaan altijd boven geplande budget. – Potentiële impact • Geen historiek van IT kosten voor assets • Overtollige (niet gebruikte) assets maar ook “verdwijningen” • Verhoogde technische complexiteit. Gebruik niet standaard materiaal / software bij desktop en servers
23
Enterprise Systems Management
– Risico indicatoren • Verschillende management tools voor IT infrastructuur zonder centraal en overkoepelend management. • Geen documentatie over kritische business process flows. – Potentiële impact • Te hoge kosten voor software tools (shelfware of onderbenutting); Zeker geen ‘best practice’ • Efficiëntie en effectiviteit van business processen.
24
12
Project Management
– Risico indicatoren • Projecten worden niet binnen de afgesproken termijnen en budgetten afgeleverd. • Scope van het project is niet eenduidig gedefinieerd en geauthoriseerd en verandert regelmatig. • Onaangepaste middelen voor het project (budget en personeel) • Kosten worden niet opgevolgd en vergeleken t.o.v. budget. • Projecten worden niet volgens een standaard methodologie beheerd. – Potentiële impact • Budgetoverschrijdingen en onvoldoende kwaliteit. • Reputatie van het bedrijf staat op het spel. • Niet-kwalitatieve Project Management processen leiden tot probleme met data-integriteit, beschikbaarheid, slechte performantie.
25
Aandachtsgebieden voor beheer IT risico’s
De domeinen
De taken 1. Tactical Alignment
1. Plan 2. Operate 3. Monitor 4. Enterprise Systems Management 5. Project Management
2. Stability and Reliability 3. Processes 4. Technology Leverage 5. Results Management 6. Human Capital
26
13
CASE 1: Project Risk Management
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE
CASE 1
CASE 2
CASE 3
CASE 4
(10’) Een project Project Risk aanpak Management
(10’)
(10’)
(10’)
(10’)
Business Systems
Website Review
Security Audit
Reorganisatie IT Departement
CASE 5
Arthur Andersen (10’) Drinks !! (??? ’)
27
CASE 1: Project Risk Management
•
•
Plan
•
Monitor
1. Strategy
10. Security Management
2. Organization
11. Service Management
3. Business Continuity Management
12. Asset Management
Operate
•
4. Application Management
Infrastructure Resource Planning 13. Enterprise Systems Management
5. Data/DBMS Management 6. Network Management
•
Project Management
7. Platform Management 8. Desktop Management 9. Computer Operations Management
28
14
CASE 1: Project Risk Management & E-Business
29
CASE 1: Project Risk Management & E-Business
• Wat was het probleem / vraag van de klant – – – –
Klant is grote oliemaatschappij Heeft een aantal Ebiz ideeën… Wat moeten we nu aanvangen met het Net ? Hoe realiseren we het ?
• Wat hebben we gedaan – brainstorming sessies over gebruik e-business – market research voorbeelden in Oil & Gas industrie – Texaco Benelux was pionier in project • • • • •
doe alles zelf voor 1ste keer design implement test go-live 30
15
CASE 1: Project Risk Management & E-Business
• Strategie • ‘customer self service’ voor informatie: localisatie service stations • bijkomende business opportuniteiten ter beschikking stellen service stations als pick up point frequent bezoek + 24/7 open
• Resultaat – Partnership tussen Texaco Worldwide en UPS betreft de levering van consumentengoederen via Texaco benzine stations. – Vatten markt online consumenten. Via website retailer toegang tot Texaco website voor pick-up point.
31
CASE 1: Project Risk Management & E-Business
• Beslissing implementatie – begeleiding & coördinatie van alle bij het project betrokken partijen – risico management bij projectbeheer • quality deliverable • on time • on budget
– assistentie bij selectie partners • ontwikkeling website • ontwikkeling geografische kaarten • hosting
– Provider focus is teveel op verkoop technische oplossingen, niet de business. 32
16
CASE 1: Project Risk Management & E-Business
Business Consulting •
Creatie statische screenshots van website
•
Voor negotiatie met partner voor design, ontwikkeling en implementatie van site
•
Voor negotiatie partnerships met online retailers
33
CASE 1: Project Risk Management & E-Business
Technology Risk Consulting •
Selectie partner hosting services – negotiatie SLA interventies voor updates site
•
Selectie map provider om high-quality kaarten te maken
• • • • • •
Assistentie bij webdevelopers Registratie domeinnamen & diensten voor launch site Coördinatie partijen (stricte timing!) Advies voor technologie (server sizing, …) Testing & debugging site voor launch Monitoring van website performantie na launch
– geen copy paste van Internet…
34
17
CASE 1: Project Risk Management & E-Business
• Lessons Learned – hoe meer partijen er bij een project betrokken zijn, hoe belangrijker een goed en efficiënt project management wordt. – spanningen tussen de verschillende partners kunnen dikwijls hoog oplopen (relaties bleven goed) – leer het Internet kennen: browse het WWW, koop af en toe eens iets online, maak je eigen homepage, … – you can make money on the net
35
CASE 1: Project Risk Management & E-Business
36
18
CASE 2: Business Systems Risk Management
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE
CASE 2
CASE 1 (10’) Project Risk Management
(10’)
CASE 3
CASE 4
(10’)
(10’)
(10’)
Website Review
Security Audit
Reorganisatie IT Departement
Een project Business aanpak Systems
CASE 5
Arthur Andersen (10’) Drinks !! (??? ’)
37
CASE 2: Business Systems Risk Management
•
•
Plan
•
Monitor
1. Strategy
10. Security Management
2. Organization
11. Service Management
3. Business Continuity Management
12. Asset Management
Operate
•
4. Application Management
Infrastructure Resource Planning 13. Enterprise Systems Management
5. Data/DBMS Management 6. Network Management
•
Project Management
7. Platform Management 8. Desktop Management 9. Computer Operations Management
38
19
CASE 2: Business Systems Risk Management
• Wat was het probleem / vraag van de klant – groep actief in groothandel voor tabak (miljarden) – gedwongen vanuit groepsniveau om SAP te implementeren – one big mess door een ERP systeem
• Serieuze problemen waren bekend in aantal domeinen: – Incorrecte cost of sales (vervuiling van CO module data) – Incorrecte inventaris waardering (vervuiling van master data) – Problemen met account assignment (automatische boekingen)
• Problemen met audit. Getrouw beeld jaarrekening ? • Correctie van deze problemen & opkuis van data in SAP voor fiscal year 2000. 39
CASE 2: Business Systems Risk Management
• problemen met lokaal management – desastreus projectbeheer – verschillende consultants – – – – – –
IT in absolute cowboy style lots of politics ; Dallas & Dynasty (lokaal niveau tov groep) compleet onbetrouwbaar systeem overal integriteitsproblemen oncontroleerbare firma (absoluut geen cijfers, geen zicht op marges) gigantisch kostenplaatje
40
20
CASE 2: Business Systems Risk Management
• Wat hebben we gedaan: verschillende fasen – – – – –
beschrijving processen (minimum controles aanwezig) aktieplan opgesteld voor correcties projectcoördinatie (opvolgen teams, management) opvolging planning & zetten prioriteiten kwaliteitscontrole over uitgevoerde werk (testscenario ’s)
41
CASE 2: Business Systems Risk Management
• Fase I: identificatie problemen - Overzicht infrastructuur + systemen + interfaces - Overzicht bedrijfsprocessen + Documenteren controles - Identificatie alle bronnen van vervuilde data
42
21
CASE 2: Business Systems Risk Management
• Procesbeschrijvingen
43
CASE 2: Business Systems Risk Management
44
22
CASE 2: Business Systems Risk Management
• exceptierapportering
45
CASE 2: Business Systems Risk Management
• Fase II: oplossing problemen - Master data review (Vendors, Customers, Articles, Sales Pricing) - Analyse en testen van data correcties - Analyse en testen van interfaces
• Fase III: project beheer - Project Coördinatie - Project Quality Assurance
46
23
CASE 2: Business Systems Risk Management
47
CASE 2: Business Systems Risk Management
• Lessons Learned – het gaat er veelal niet erg professioneel aan toe – leren werken in een groepsstructuur – doe je huiswerk op voorhand : in kaart brengen processen,... – quick & dirty: je betaalt altijd de prijs – management support bij IT projecten is essentieel – IT ondersteunt altijd de doelstellingen business – planning !!! – Voor ons: CYA - beperkingen in scope !!!
5 min BREAK
48
24
CASE 3: Website Review
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE
CASE 1
CASE 2
CASE 3
CASE 4
(10’)
(10’)
(10’)
(10’)
Project Risk Management
Business Systems
(10’) Een project Website aanpak Review
Security Audit
Reorganisatie IT Departement
CASE 5
Arthur Andersen (10’) Drinks !! (??? ’)
49
CASE 3: Website Review
• Tactical Alignment • Stability and Reliability • Processes • Technology Leverage • Results Management • Human Capital
50
25
CASE 3: Website review
• Wat was het probleem / vraag van de klant – – – –
Selexion.be Groep van distributeurs in ‘bruin goed’ hadden eerste ecommerce site was behoorlijk professioneel; klant wou korte checkup
51
CASE 3: Website review
• Wat hebben we gedaan – Limited review – een paar dagen werk – Evaluatie van belangrijkste gebieden • • • •
Content Ergonomie Technologie Tax & Legal
52
26
CASE 3: Website review
• Content – Eerste indruk – URL - bruikbare info - look - … – Belangrijke feiten op Homepage – Naam - Mission Statement – welke business … – Feedback - Catalogus - details/product – prijzen - contact gegevens - search - geografische spreiding – coming events - doelstelling - ...
53
CASE 3: Website review
• Algemene ergonomie – Look & Feel – – – – – – – –
site map - 3 clicks - home link - … overal zelfde navigatieregels titels - … Lange web pagina’s - structuur inhoudstafel - download tijd - … werken alle interne & externe links (404) bereikt de site zijn doel duidelijk - imago & kleurenpallet - overtuigend om terug te komen - …
54
27
CASE 3: Website review
• Technologie – – – – – – –
Efficientie grafische elementen Metadata Resolutie optimalisatie compatibiliteit met Browsers Plug-ins - gebruik recente technologie. is de site geregistreerd bij Search engines Technical data - Ping
55
CASE 3: Website review
• Trust – – – – – – – – –
beveiliging secure transactions - welke middelen tot betaling shipment details - confirmatie gegevens transactie Wie doet web page ontwikkeling contact webmaster - last update Legal: disclaimers - copyrights - trademarks privacy clausules - overeenkomst BTW clausules & implicaties tax wetgeving.
56
28
CASE 3: Website review
• Belangrijkste bevindingen – afwezigheid van meta-data in de pagina’s, waardoor de site niet gevonden wordt via frequent gebruikte search engines (Lycos, Infoseek, etc.). Deze kunnen de traffic gevoelig verhogen. Monitor de ranking in de resultaten van de search engines.
57
CASE 3: Website review
• Belangrijkste bevindingen – Site is relatief traag, waardoor bezoekers de site vlug verlaten. Verander de formaten van beelden en grafische elementen, en analyseer maatregelen met de ISP.
58
29
CASE 3: Website review
59
60
30
CASE 3: Website review
• Various – .COM domein is geregistreerd door iemand anders. – In order module zijn shipping condities niet voldoende verduidelijkt, behalve voor de prijs. Wat als een Japanner betaalt voor een product met shipping? – Geen legale disclaimer, waardoor men problemen kan krijgen als foute prijzen vermeld zijn, ... – Gebruiker kan niet zien of de pagina beveiligd is op moment van gebruik van credit card. Kan barrière zijn voor de transactie. – Verschillen in versies tussen Nl & Fr: partners zijn niet dezelfde (versiecontrole) – typische schoonheidsfoutjes· • spelfouten: partenairs (in french) • Namur ligt niet in Henegouwen (bad links).
61
62
31
CASE 3: Website review
• Lessons Learned – downtime & buggy sites: happens all the time – Veel IT guys denken dat een site bouwen eenvoudig is – zelfs niet-ITers denken dat ze het kunnen – is vergelijkbaar met meer traditionele ontwikkelingsprojecten – checkup tools zijn beschikbaar op het Net • http://www.websitegarage.com
63
CASE 3: Website review
– zoniet, het Internet kerkhof...
Living.com Pets.com eToys.com
64
32
CASE 4: IT Security Audit
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE
CASE 1
CASE 2
CASE 3
CASE 4
CASE 5
(10’)
(10’)
(10’)
Project Risk Management
Business Systems
Website Review
(10’) Een project IT Security aanpak Audit
Reorganisatie IT Departement
(10’)
Arthur Andersen (10’) Drinks !! (??? ’)
65
CASE 4: IT Security Audit
•
•
Plan
•
Monitor
1. Strategy
10. Security Management
2. Organization
11. Service Management
3. Business Continuity Management
12. Asset Management
Operate
•
4. Application Management
Infrastructure Resource Planning 13. Enterprise Systems Management
5. Data/DBMS Management 6. Network Management
•
Project Management
7. Platform Management 8. Desktop Management 9. Computer Operations Management
66
33
67
CASE 4: IT Security Audit
• Wat was het probleem / vraag van de klant – belgische bank – geen sterke IT controle-omgeving – wensen audit beveiliging netwerk – verschillende ‘access paths’ • Internet • connectie filialen • dial-in voor thuiswerkers/remote access
68
34
CASE 4: IT Security Audit
• Wat hebben we gedaan – gebruiken analysetools voor scanning beveiliging – ‘ ethical hacking ’ Network Network Security SecurityPolicy Policy & Procedures & Procedures
Network Network Security Security Implementation Implementation
Network Network Security Security
Strategies & Policies Manage Monitor Events Technical Deployment Solutions Network Network Security Security Detection Detection
Process Application Data Management Platform
Network Network Incident Incident Response Response
Network Security Network Security Education & Education & Change Change
Network Physical
69
CASE 4: IT Security Audit
• Firewalls • Routers • Servers
70
35
CASE 4: IT Security Audit
• A. Firewalls : – Voor een bank is de creatie van een Demilitarized Zone (DMZ) tussen Internet en interne netwerk sterk aangewezen. – Installatie van Intrusion Detection tool om netwerk traffiek te monitoren, welke de firewall configuratie kan aanpassen bij een aanval of automatisch de administrator kan verwittigen. – Implementatie van website-blocking mechanisme. Internet gebruik is niet onder controle. Personeel en agentschappen bezoeken frequent pornosites, chatboxen en zelfs virtuele casino’s. Er is nood aan betere bewustmaking, toegangscontrole en opvolging.
71
CASE 4: IT Security Audit
• B. Routers : – Teveel mensen gedefinieerd op router die toegang geeft tot interne netwerk. Dit telefoonnummer is gekend door grote groep mensen. • Kunnen niet veronderstellen dat dit confidentieel blijft. Analyse van de lijst personen die gedefinieerd zijn op router voor remote access. Configuratie van dial-back waar mogelijk.
– Een groot aantal userid's hebben een paswoord dat hetzelfde is als userid. • Paswoorden dienen automatisch veranderd te worden bij eerste login, dienen 8 karakters lang te zijn, en aan een bepaalde structuur te voldoen (nummers & karakters).
– Configuratie van bepaalde routers van externe ISP is niet bijgewerkt sinds installatie. • Voor oudere versies van operating systemen zijn zwakheden zeer gekend. Hierdoor zijn o.a. Denial-of-Service aanvallen mogelijk die de webserver (incl. Homebanking) meerdere uren kunnen uitschakelen. 72
36
CASE 4: IT Security Audit
• C. Public Servers en Hosts: – Up to date blijven met de laatste security advisories en laatste patches installeren – de beveiliging van verschillende host-machines met paswoorden is kwetsbaar: • diverse belangrijke paswoorden staan gepubliceerd in publiek toegankelijke Lotus Notes DB met procedures • paswoorden voor de meeste systemen en toepassingen circuleren in leesbaar formaat tussen werkstations en servers (pakket sniffing) • gebruikers bewaren paswoorden in macro’s hoewel dit expliciet verboden is (automatisch inlog script)
73
CASE 4: IT Security Audit
• Lessons Learned – – – – –
security is bijna altijd zwak er zijn altijd achterpoortjes beveiligingspolitiek is even belangrijk als technische know-how harmonisatie beschermingsmaatregelen de ketting is zo sterk als zwakste schakel
74
37
CASE 5: IT HR Audit + Reorganisatie IT Departement
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE 1
CASE 2
CASE 3
CASE
CASE 4
CASE 5 (10’) Een project Reorganisatie aanpak IT Departement
(10’)
(10’)
(10’)
(10’)
Project Risk Management
Business Systems
Website Review
IT Security Audit
Arthur Andersen (10’) Drinks !! (??? ’)
75
CASE 5: IT HR Audit + Reorganisatie IT Departement
•
•
Plan
•
Monitor
1. Strategy
10. Security Management
2. Organization
11. Service Management
3. Business Continuity Management
12. Asset Management
Operate
•
4. Application Management
Infrastructure Resource Planning 13. Enterprise Systems Management
5. Data/DBMS Management 6. Network Management
•
Project Management
7. Platform Management 8. Desktop Management 9. Computer Operations Management
76
38
CASE 5: IT HR Audit + Reorganisatie IT Departement
• Wat was het probleem / vraag van de klant – vakbond – IT departement : 50 man centraal + 40 decentraal – zwaar personeelsprobleem in IT – exploderend budget door o.a. (structurele) externe vervanging van vertrekken (-113 MBEF) – slechte service naar gebruikers toe – Hoe personeel fideliseren ondanks lagere compensatie? – Wat is impact op outsourcing?
77
CASE 5: IT HR Audit + Reorganisatie IT Departement
• Wat hebben we gedaan (fase 1) – analyse van alle HR gerelateerde IT processen • hire, motivate & keep, train, terminate
8 6
• (zwaar) onderbetaald
– constatatie problemen bij :
Aantal personen
– vergelijking compensatie tov marktsituatie
4 2
in op 31/12
0 -2
out op 31/12 92
93
94
95
96
97
98
99 2000
netto eind jaar
-4 -6
-8 • niet marktconform organigram Jaren • zwak in uitvoeren management taken • onprofessioneel gestructureerde processen (zwak qua controles → onvermijdelijk problemen) • geen optimaal gebruik outsourcing; onvoldoende controle
78
39
CASE 5: IT HR Audit + Reorganisatie IT Departement
• Taken uitgevoerd binnen IT dienst
79
CASE 5: IT HR Audit + Reorganisatie IT Departement
• Wat hebben we gedaan (fase 2) – professionalisering & gedeeltelijke herstructurering dienst informatica – coaching IT management bij implementatie aanbevelingen – validatie acties en resultaten – – – – – – – – – –
hertekenen departementen in organigram hertekenen functiebeschrijvingen in kaart brengen decentrale IT component herallocatie taken tussen mensen opzetten nieuwe compensatiestructuur (via Tax) variabele component ter motivatie van performantie recruteringsplan; versterking management ontwikkelen service level agreements bijsturen of ontwikkelen procedures identificatie van belangrijke besparingsposten / cost control 80
40
CASE 5: IT HR Audit + Reorganisatie IT Departement
• Nieuw organigram
81
CASE 5: IT HR Audit + Reorganisatie IT Departement
• 5 fasen voor uitbesteding
82
41
CASE 5: IT HR Audit + Reorganisatie IT Departement
• Lessons Learned – investeren in goede mensen loont – goed management is essentieel & is drijfveer achter verandering – consultants moeten duurzame verandering nastreven – IT kost heel veel geld – IT dient gemanaged te worden; zoniet krijg je cost control probleem
83
THANKS!!! Technology Risk Consulting
Sprekers: Jeroen Devenyn & Olivier Naeyaert
Voor vragen of verdere info:
[email protected]
Slides beschikbaar op website Prof. Soudan 84
42
Bedrijfspresentatie
Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE 1
CASE 2
CASE 3
CASE 4
(10’)
(10’)
(10’)
(10’)
CASE 5 (10’)
Project Risk Management
Business Systems
Website Review
Security Audit
Reorganisatie IT Departement
Arthur Andersen (10’) Drinks !! (??? ’) 85
r
Technology Risk Consulting
DO YOU WANT TO LEARN SOMETHING NEW EVERY DAY ?
Welcome to Arthur Andersen !
43
Arthur Andersen BeLux
Antwerp Brussels
Hasselt
Gent
Namur Zwijnaarde
Zwevegem
Luxembourg
87
Arthur Andersen BeLux (Cont'd)
Financial Figures (in Mio. Bef/Luf)
BELUX ABA BC T/L REAL EST.
'01 6.089 2.012 2.174 1.796 107
'00 5.293 1.717 1.890 1.615 71
'99 3.453 1.400 705 1.339
'98 2.393 1.129 450 810
88
44
Our Mission and Our Vision
Mission: To help our clients and our people realize there aspirations.
Vision: To be the partner for Success in the New Economy.
89
Arthur Andersen BeLux
Example of clients y Alcatel y Aldi y Associated Weavers
y Electrabel y Estee Lauder y Federal Express
y Red Cross y "SGB/GMB" y Sara Lee
y y
y y
y y
Barconet Bekaert
Ferrero Fiat - New Holland
Schweppes Solvay
y Belgacom y Usinor ((Cockerill Cockerill Sambre) Sambre) y Colgate Palmolive y CS2
y Fnac y GIMV y Glaverbel y Levi Strauss & Co.
y Ter Beke y Texaco y TotalFina y U.Z. Leuven
y Delhaize y Dredging International
y Melexis y Mexx
y VRT y Yves Rocher
90
45
Assurance and Business Advisory
The new economy marketplace
Our Internal service categories
Assurance Business Consulting
CLIENT NEEDS
Corporate Finance
ABA
CF
BC
TLBA
eBusiness Human Capital Outsourcing Risk Consulting Tax Services 91
Assurance and Business Advisory
(Cont'd )
Business Risk Consulting and Assurance → Business Process Risk Consulting → Technology Risk Consulting (incl. eBusiness)
We help clients understand and manage business risks that can impact performance and financial results, including risks relating to business processes, technology, regulatory compliance, government contracting, fraud, and treasury and trading activities.
92
46
Career Progression
• • • • •
Rapid Responsibility from day 1 Increasing responsibility every year Salary increase and promotion based on Performance Internal and International Career Orientation Opportunities
93
Salary Package
• •
• • • •
Gross Annual Salary Net Allowances - Lunch Allowance (monthly) - Dinner Allowance (> 2h OT)
1.112.000 BEF 4.479 BEF 325 BEF
Company Car or Car Allowance and km reimbursement Eligible to Bonus Group and Medical Insurance Annual Increases
94
47
We are ready for you. Are you ready for us?
48