Virtualisatie en IT-auditing Scriptie ter afronding van de postgraduate IT-audit opleiding aan de VU Definitieve versie
Auteur: M.J.Montero Teamnummer: 722 VU begeleider (extern): dr. Rene Matthijsse Bedrijfscoach (intern): ir. Ton Stevenhagen RE Afstudeerdatum: 4 juni 2007
If it’s there and you can see it – It’s Real! If it’s not there and you can’t see it – It’s Gone! If it’s there and you can’t see it – It’s Transparent! If it’s not there and you can see it (Roy Wilks, 1983)
- It’s Virtual!
2
Voorwoord Het schrijven van een scriptie is sinds kort een verplicht onderdeel van het curriculum van de postgraduate IT-audit opleiding aan de Vrije Universiteit in Amsterdam. In het begin was het lastig om een relevant onderwerp te vinden dat een toegevoegde waarde heeft voor het vakgebied en tegelijkertijd niet technisch is. Uiteindelijk heb ik virtualisatie als onderwerp gekozen. Ik wil mijn VU begeleider Rene Matthijsse bedanken voor zijn input. Ook wil ik mijn bedrijfscoach Ton Stevenhagen en de overige collega’s van de EDP Audit Pool en van het ZBO bedanken voor hun tijd en energie. Niet minder belangrijk zijn de mensen die mij dagelijks van dichtbij moeten meemaken, mijn vriendin en mijn familie. Zonder de nodige steun, begrip en geduld is het volgen van een studie naast het werk bijna onmogelijk. Ik heb de afgelopen drie collegejaren een leuke en leerzame periode gehad op de VU. Daarom raad ik een ieder aan, die van plan is een studie IT-audit te gaan volgen, om de VU te overwegen. Het rest mij niets anders dan u veel plezier te wensen met het lezen van mijn scriptie, met als onderwerp “Virtualisatie en IT-auditing”.
Angelo Montero Den Haag Mei 2007
3
Inhoudsopgave 1 Inleiding ..................................................................................................................................................................... 6 1.1 Methodologie .................................................................................................................................................... 9 1.2 Doelgroep........................................................................................................................................................ 10 1.3 Opbouw ........................................................................................................................................................... 10 2 Virtualisatie .............................................................................................................................................................. 11 2.1 Inleiding en definitie....................................................................................................................................... 11 2.2 Virtualisatie vanuit meerdere perspectieven .............................................................................................. 12 2.3 Toepassingen en voordelen van virtualisatie............................................................................................. 15 2.4 Mogelijke valkuilen bij de toepassing van virtualisatie ............................................................................. 19 2.5 Onjuist gebruik en misbruik van virtualisatie.............................................................................................. 19 3 IT-Management en IT-auditing............................................................................................................................... 22 3.1 Inleiding ........................................................................................................................................................... 22 3.2 IT-governance en IT-management.............................................................................................................. 22 3.3 IT-audit............................................................................................................................................................. 30 4 Praktijkcasus ............................................................................................................................................................ 35 4.1 Inleiding ........................................................................................................................................................... 35 4.2 Organisatie achtergrond ............................................................................................................................... 35 4.3 Het IT-beleid van het ZBO............................................................................................................................ 36 4.4 Aanleiding tot de implementatie van virtualisatie ...................................................................................... 37 4.5 Besluitvorming ................................................................................................................................................ 37 4.6 Voor- en nadelen............................................................................................................................................ 40 4.7 Beheerorganisatie.......................................................................................................................................... 42 5 Toepassing van Cobit op de praktijkcasus............................................................................................................... 44 5.1 Inleiding ........................................................................................................................................................... 44 5.2 Werkwijze........................................................................................................................................................ 44 5.3 Beoordeling van de opzet ............................................................................................................................. 45 5.4 Conclusie......................................................................................................................................................... 46 6 Virtualisatiemanagementcyclus: model en uitwerking ........................................................................................... 48 6.1 Inleiding ........................................................................................................................................................... 48 6.2 Uitgangspunten .............................................................................................................................................. 48 6.3 Virtualisatiemanagementcyclus ................................................................................................................... 48 6.4 Uitwerking virtualisatiemanagementcyclus ................................................................................................ 51 6.5 Afsluiting.......................................................................................................................................................... 57 7 Conclusie en reflectie............................................................................................................................................... 58
4
Geraadpleegde bronnen .............................................................................................................................................. 61 Bijlage A1 De vijf componenten van IT-governance................................................................................................. 63 Bijlage A2 Beschrijvingskader IT-governance bij ministeries .................................................................................. 64 Bijlage B1 Business goals gekoppeld aan IT goals en kwaliteitsaspecten ................................................................ 67 Bijlage B2 IT Goals gekoppeld aan de Cobit processen ............................................................................................ 68 Bijlage B3 De Cobit processen uit bijlage B2 uitgeschreven..................................................................................... 69
5
1 Inleiding Volgens een recent onderzoek van Ziff Davis Media [1] heeft ruim 80% van de ondervraagde IT-managers virtualisatie in de IT-omgeving al geïmplementeerd of zijn ze van plan dit binnenkort te doen. Het onderzoeksbureau Gartner [2] noemde virtualisatie een “megatrend” en het beste hulpmiddel dat bedrijven momenteel hebben om efficiëntieverbetering en serveroptimalisatie te realiseren. Volgens de consulting director van IDC [3] wordt 2007 het jaar van de doorbraak van virtualisatie. Naast deze drie berichten zijn nog veel voorbeelden te noemen van artikelen en uitspraken die wekelijks in IT-bladen verschijnen. Virtualisatie is dus hot! Wat is virtualisatie eigenlijk? Virtualisatie houdt in dat er op één fysieke server meerdere servers softwarematig gesimuleerd worden. Op elk van deze gesimuleerde machines, zogeheten gasten of virtuele machines, kan in principe een apart besturingssysteem draaien. Het woord “virtueel” wordt gebruikt omdat het lijkt alsof alle servers fysieke servers zijn, terwijl er in feite sprake is van één fysieke machine waarop één of meerdere logische servers draaien. Deze vorm van consolidatie brengt veel voordelen met zich mee. In hoofdstuk 2 wordt dieper ingegaan op deze voordelen. Uit onderzoek Ziff Davis Media [1] blijkt dat er verscheidene redenen bestaan bij IT-managers om virtualisatie te gaan toepassen. De belangrijkste reden is efficiëntie. In deze scriptie is sprake van efficiëntie als dezelfde doelen met minder kosten en/of inspanning gerealiseerd kunnen worden door een groep virtuele servers ten opzichte van een groep fysiek servers. Hierbij worden dus de kosten en baten van een groep fysieke servers vergeleken met een groep virtuele servers. Hieronder is een overzicht van de redenen waarom organisaties besluiten gebruik te gaan maken van virtualisatie [1]:
Reden Lagere hardwarekosten Verminderen van onderhoudskosten Gebruikspercentage servers is te laag Lagere kosten voor serverbeheer Vereenvoudigen van softwareonderhoud Verminderen van storingstijd Flexibiliteit in behoud van bestaande systemen Verbeteren van reactietijd systemen Vereenvoudigen van opslag- en herstelproces Verminderen van wildgroei servers Lagere kosten van systeemsoftware Vereenvoudigen van beveiligingskwesties Verminderen van kosten testomgevingen
% 43 32 30 27 25 20 19 17 17 16 16 13 3
Tabel 1. Redenen om virtualisatie te implementeren volgens het onderzoek van Ziff Davis Media.
6
Efficiëntie betekent in feite een beoogd resultaat bereiken met zo laag mogelijke kosten. Als we bijvoorbeeld
de
toepassing
server
consolidatie1
in
beschouwing
nemen
zijn
de
volgende
efficiëntievoordelen te behalen: 1. Door gebruik te maken van slechts één fysieke server wordt het aantal benodigde fysieke servers gereduceerd terwijl (afhankelijk van de processorcapaciteit en de hoeveelheid intern geheugen) nagenoeg hetzelfde resultaat wordt bereikt; 2. Doordat er minder fysieke servers zijn, worden beheer en onderhoud van de fysieke servers goedkoper; 3. Serverruimte en stroomvoorzieningen zijn beperkter dan wanneer meerdere fysieke machines worden gebruikt. De belangrijkste (beoogde) voordelen van virtualisatie zijn kostenreductie en flexibiliteit. Voor de ITmanager zijn deze voordelen zeker aantrekkelijk. Maar naast kosten dient de IT-manager ook rekening te houden met andere aspecten. De aspecten vertrouwelijkheid, integriteit en beschikbaarheid zijn van belang. De IT-manager dient zich bewust te zijn van mogelijke risico’s om de nodige maatregelen te kunnen treffen. IT-auditors zijn vanwege hun expertise op het gebied van IT, advies en attest de aangewezen personen om de IT-manager van dienst te kunnen zijn tijdens het hele virtualisatietraject. Bij de invoering van een nieuwe technologie dient een aantal zaken in ogenschouw te worden genomen. De keuze om virtualisatie toe te passen moet in lijn zijn met de bedrijfsdoelstellingen. Verder dient rekening te worden gehouden met de impact die de verandering met zich meebrengt: De toepassing van virtualisatie kan invloed hebben op bestaande IT-systemen en bedrijfsprocessen. De IT-manager moet tenminste de belangrijkste risico’s onderkennen en weten hoe met deze risico’s om te gaan. De getroffen maatregelen ter beperking van deze risico’s dienen regelmatig getoetst en verbeterd te worden. Er zijn verschillende generieke modellen ten behoeve van IT-beheersing. De IT-auditor kan bij opdrachten die gerelateerd zijn aan virtualisatie gebruik maken van deze modellen. De algemene verwachting is dat de toepassing van virtualisatie in IT-omgevingen de komende jaren alleen maar zal toenemen. IT-auditors moeten meegaan met deze ontwikkelingen en voorbereid zijn op toekomstige ontwikkelingen. Deze scriptie zal daarom gericht zijn op de aandachtspunten die van belang zijn in een omgeving waar het concept van virtualisatie wordt geïmplementeerd.
1
Consolidatie is het samenvoegen van meerdere kleine servers tot één grote server met het doel meer efficiëntie te
behalen.
7
Binnen de Rijksoverheid zijn diensten ook bezig met de toepassing van virtualisatie. Sommige departementen maken al gebruik van virtualisatie, terwijl andere plannen hebben om dit te gaan invoeren. Toepassingen die op dit moment bekend zijn binnen de Rijksoverheid zijn Uitwijk, High-Availability en de virtuele OTAP-omgeving. Het doel van deze scriptie is om: 1. inzicht te geven in het concept van virtualisatie en in de mogelijke risico’s die het gebruik van deze technologie met zich meebrengt; 2. een raamwerk aan te reiken op basis waarvan beheersmaatregelen getroffen kunnen worden bij de invoering van virtualisatie. Probleemstelling
De centrale vraag van deze scriptie luidt: Welke aandachtspunten zijn bij de toepassing van virtualisatie vanuit IT- auditperspectief relevant voor het IT-management?
Om deze vraag te beantwoorden heeft nadere uitsplitsing plaatsgevonden in de deelvragen in tabel 2. Bij elke deelvraag staat aangegeven in welk hoofdstuk deze wordt beantwoord.
1 2 3 4 5
Deelvragen Hoofdstuk Wat is het principe van virtualisatie en wat zijn de meest voor de 2 hand liggende toepassingen van virtualisatie? Wat zijn de meest gangbare modellen ten behoeve van IT3 governance en IT-management? Wat is de huidige praktijk binnen de Rijksoverheid? 4 In hoeverre voldoen implementatietrajecten aan bestaande 5 modellen? Wat zijn aandachtspunten en de relevante kwaliteitsaspecten bij de 6 toepassing van virtualisatie?
Tabel 2. Deelonderzoeksvragen en de bijbehorende hoofdstukken waarin deze beantwoord worden. Afbakening Virtualisatie behoort eigenlijk tot het domein van IT-infrastructuur en is dusdanig een technisch auditobject. Desondanks wordt deze scriptie geschreven vanuit de optiek van een “allround IT-auditor”, waarbij de nadruk niet ligt op de technische implementatie c.q. inrichting van virtualisatie. Wel centraal staat het IT-audit proces rondom virtualisatie. Met name op het gebied van operationeel beheer speelt virtualisatie een belangrijke rol.
8
1.1 Methodologie Eerst is een literatuuronderzoek uitgevoerd om het concept van virtualisatie te begrijpen. Hierbij is gebruik gemaakt van presentaties van seminars, boeken, tijdschriften en internetsites. Aan de geraadpleegde bronnen zijn de definitie en het concept van de virtualisatietechniek ontleend en uitgewerkt zonder al te technische termen te gebruiken. Ook is nagegaan voor welke toepassingen virtualisatie het meest geschikt is. Daarnaast is een inventarisatie gedaan naar de voordelen, mogelijke valkuilen en misbruik van deze techniek. Vervolgens is voor dit onderwerp relevante theorie toegelicht. De basisprincipes op het gebied van ITmanagement en IT-audit worden behandeld. De positie van virtualisatie binnen de IT-organisatie wordt eerst geschetst. Vanuit het IT-governance (strategisch) oogpunt wordt daarna naar een lager niveau (tactisch en operationeel) gedaald en ingezoomd op IT-management. De relatie met IT-audit zal voorts concreter worden gemaakt en toegelicht. Om de stap te maken naar een generiek virtualisatie raamwerk wordt vervolgens Cobit 4.0 besproken. Om de relatie tussen theorie en praktijk duidelijk te maken en het concept van virtualisatie tastbaarder te maken wordt een praktijkcasus van een ZBO beschreven. Hierbij wordt ingegaan op de overwegingen die hebben geleid tot de invoering van virtualisatie bij deze organisatie. De casus zal een implementatievoorbeeld bevatten waarbij virtualisatie gebruikt wordt voor Uitwijk en de OTAP-omgeving. In de praktijkcasus zal worden gezocht naar aandachtspunten die van belang zijn bij het uitvoeren van een IT-audit naar de inrichting en het beheer van een dergelijke omgeving. In overleg met het ZBO is gebruik gemaakt van hun ontwerp documentatie. Ook is er een interview gehouden met de IT-manager en een technisch specialist. Cobit is een breed generiek raamwerk en zou, naar mijn verwachting, in principe een virtualisatie casus moeten kunnen afdekken. Om na te gaan in hoeverre tijdens het virtualisatietraject aandacht is besteed aan relevante IT-processen, is de opzet van de casus getoetst aan een aantal Cobit processen. De geselecteerde IT-processen komen voort uit de uitwerking van Cobit in de vorige stap. Er wordt een beperkt aantal IT-processen gebruikt voor deze “desktopanalyse”. In de laatste fase wordt al de verzamelde informatie in de vorige fasen c.q. hoofdstukken samengevoegd om te komen tot een algemeen virtualisatiemodel. Eerst wordt de virtualisatiemanagementcyclus gedefinieerd. Vervolgens zullen per fase van de virtualisatiemanagementcyclus de relevante virtualisatie eigenschappen worden ingevuld. In de laatste stap zullen de aandachtspunten worden uitgewerkt. Ook de kwaliteitsaspecten die van toepassing zijn zullen worden vermeld.
9
Ten slotte worden conclusies getrokken en een reflectie gegeven betreffende dit onderwerp vanuit de beleving van de auteur. De conclusie zal een antwoord geven op de hoofdvraag zoals hierboven geformuleerd: Welke aandachtspunten zijn bij de toepassing van virtualisatie vanuit IT-auditperspectief relevant voor het IT-management? 1.2 Doelgroep Aan de Vrije Universiteit worden de studenten opgeleid tot “allround IT-auditor”. De scriptie dient een actueel en innovatief onderwerp te behandelen en een toegevoegde waarde te hebben voor het vakgebied IT-audit. Daarom wordt deze scriptie voor een brede doelgroep geschreven. Deze doelgroep bestaat uit o.a. (IT-) managers, (IT-) auditors en overige IT-functionarissen. 1.3 Opbouw Na het inleidende hoofdstuk 1 zal het concept van virtualisatie uitgewerkt worden in hoofdstuk 2. De principes van IT-management en IT-auditing worden behandeld in hoofdstuk 3. Om de relatie met de praktijk te leggen wordt in hoofdstuk 4 aandacht besteed aan een praktijkcasus. In hoofdstuk 5 wordt de praktijkcasus getoetst aan een bestaand raamwerk. Hoofdstuk 6 beschrijft de opzet en uitwerking van een algemeen toepasbaar virtualisatiemodel. In hoofdstuk 7 worden de deelvragen en de probleemstelling beantwoord. Ook zal ik aandacht besteden aan een stuk reflectie.
10
2 Virtualisatie 2.1 Inleiding en definitie Om de rode draad van het verhaal te kunnen volgen is het belangrijk dat eerst het concept van virtualisatie behandeld wordt. In dit hoofdstuk zal het begrip virtualisatie op een voor de geïnteresseerde leek begrijpbare manier worden toegelicht. Ook wordt aandacht besteed aan de meest voorkomende toepassingen en voordelen, mogelijke knelpunten en het bewust of onbewust verkeerd gebruik van virtualisatie. Afbakening virtualisatie Virtualisatie is een breed begrip. Er zijn meerdere vormen en gebieden die gerelateerd worden aan virtualisatie. In de datacommunicatie bijvoorbeeld wordt al lange tijd gebruik gemaakt van Virtual Private Network (VPN) en Virtual Local Area Network (VLAN). In de praktijk komen de volgende vormen van virtualisatie voor [5], [6], [7]: -
Systeem virtualisatie: deze vorm wordt ook aangeduid als server of desktop virtualisatie;
-
OS virtualisatie: deze vorm heeft betrekking op het (hoofd)besturingssysteem;
-
CPU virtualisatie: deze vorm heeft betrekking op de processor van de server;
-
Applicatie virtualisatie: deze vorm heeft betrekking op het installeren en gebruik maken van applicaties;
-
Opslag virtualisatie: deze vorm komt voor bij opslagnetwerken ook wel Storage Area Network (SAN) genoemd.
Een uitputtende behandeling van al deze vormen valt buiten de scope van deze scriptie. Gekozen is om systeem virtualisatie, in het bijzonder server virtualisatie, in deze scriptie te behandelen. Volgens gerenommeerde IT tijdschriften bestaat de verwachting dat nagenoeg alle IT-managers de komende jaren zullen gaan investeren in deze vorm van virtualisatie. Definitie van virtualisatie Er bestaat geen standaard voor de virtualisatietechniek en “virtualisatie” wordt door diverse partijen verschillend gedefinieerd, waarbij in de meeste gevallen wel sprake is van overeenkomsten. Onderstaand volgt een aantal definities met betrekking tot de techniek van server virtualisatie.
11
Virtualization allows you to run multiple applications and operating systems independently on a single server. [8] Microsoft virtualization solutions enable IT managers to run multiple operating systems, applications, and middleware on a single physical machine, allowing customers to cut costs and response time without sacrificing resources. [9] Virtualisatie is het samenbrengen van fysiek of functioneel gescheiden ICT-voorzieningen (opslag, server en processor) om processen beter te beheersen of te simplificeren. [10] HP Virtualisation Solutions enable a business to pool and share IT resources so utilization is optimized and supply automatically meets demand. [11] Virtualization refers to the pooling of IT resources in a way that masks the physical nature and boundaries of those resources from resource users. In more concrete terms, virtualization is the decoupling of software from hardware. [12] Virtualisatie komt neer op het simuleren van computeronderdelen, waardoor het voor andere computers of programma’s lijkt alsof ze te maken hebben met een ‘echt’ of ‘gewoon’ systeem. [13] Virtualisation technology is a way of making a physical computer to function as if it were two or more computers, each nonphysical or “virtualised” computer is provided with the same basic architecture as that of a generic physical computer. [14] Virtualisation is the logical representation of physical systems across the entire enterprise. [15] Conclusie: Virtualisatie is de techniek die het mogelijk maakt dat besturingssystemen met bijbehorende applicaties softwarematig draaien op één fysieke computer, elk in hun eigen afgeschermde omgeving, met eigen resources en onafhankelijk van elkaar. Voor de eindgebruiker lijkt het alsof een softwarematige computer een echte fysieke machine is, terwijl dat feitelijk alleen in virtuele zin zo is. 2.2 Virtualisatie vanuit meerdere perspectieven Op zich is de techniek van virtualisatie niet nieuw. Met name IBM [16] maakt al lange tijd gebruik van deze techniek in de vorm “logical partitions”. Logical partitions staat voor logische partities, oftewel het
12
opsplitsen van een volledige computer in meerdere logische delen, waardoor het voor de gebruiker lijkt alsof er sprake is van meerdere onafhankelijke besturingssystemen. Deze delen worden partities genoemd. Tot voor kort konden alleen degenen die de beschikking hadden over een (duur) mainframe gebruik maken van dit principe. Tegenwoordig zijn “conventionele” x86 servers zodanig in kracht en mogelijkheden gegroeid dat virtualisatie ook op deze hardware aantrekkelijk is. Dit geldt zelfs voor personal computers. Daarnaast zijn er meerdere leveranciers die zich bezighouden met virtualisatie producten, de één volwassener dan de ander. In de volgende paragraaf wordt op hoofdlijnen de techniek van virtualisatie uitgelegd. Technisch perspectief In de huidige traditionele situatie beschikt iedere medewerker over één werkstation waarop alle applicaties draaien2. Bij server (en desktop) virtualisatie wordt op het bestaande besturingssysteem -de zogeheten Host- een extra softwarelaag -Virtualisatie Software oftewel Virtual Machine Monitor (VMM)- geïnstalleerd. Vervolgens worden op deze VMM-laag virtuele machines (VM’s) gemaakt. Op deze VM’s wordt vervolgens naar keuze een besturingssysteem -een zogeheten Guest- geïnstalleerd [13], [14], [17], [18]. Het principe is geïllustreerd in figuur 1. De hardwarevoorzieningen worden verdeeld onder de VM’s. Het betreft de harde schijf, de netwerkkaart, de CPU en het RAM geheugen.
Figuur 1. Principe van virtualisatie op een server met een voorgeïnstalleerd besturingssysteem.
2
High secure omgevingen zijn een uitzondering hierop, deze hebben meestal meerdere machines die op aparte
fysieke netwerken zijn aangesloten
13
Een andere variant die meer geschikt is voor high performance omgevingen maakt geen gebruik van een “Host besturingssysteem”. De VMM heeft een eigen, uitgekleed, besturingssysteem. Zie figuur 2.
Figuur 2. Principe van virtualisatie op een server zonder een voorgeïnstalleerd besturingssysteem. Elke VM beschikt over een eigen deel van de fysieke harde schijf. Als een VM wegvalt of last heeft van kwaadaardige codes zoals virussen heeft dit geen gevolg voor de overige VM's. Alle VM's zijn logisch van elkaar afgeschermd en elk kan worden gezien als een aparte omgeving. Een VM is op zich een dedicated3 server. Elke VM met bijbehorende applicatie kan als een “appliance”4 gezien worden. Dit betekent dat elke VM als een eenheid verplaatst kan worden op verschillende platformen, en dat is weer een gevolg van het feit dat elk VM het formaat van een bestand heeft. Bedrijfseconomisch perspectief Voor de IT-manager is het van belang dat IT-systemen bedrijfsvoordelen opleveren. IT-investeringen leveren op twee manieren waarde op voor de organisatie. Ten eerste is er een verbetering van bestaande bedrijfsprocessen en/of de creatie van geheel nieuwe bedrijfsprocessen, waarvan het nettoresultaat een verhoging van de efficiëntie van de onderneming is. Ten tweede wordt de snelheid van besluitvorming verhoogd en de nauwkeurigheid hiervan verbeterd. De verbeteringen in de bedrijfsprocessen en de besluitvorming zijn te meten door middel van kapitaalbudgetteringsmethoden. [19] De implementatie van virtualisatie vanuit bedrijfseconomisch perspectief betekent voor de IT-managers
3
Een dedicated server is een server met een primaire taak zoals Exchange mail of SAP applicatie.
4
Appliance is de naam voor de combinatie van hardware en bijbehorende programmatuur die als één geheel wordt
verkocht en die out-of-the-box te gebruiken is zonder eerst de software op de hardware te installeren. Een sprekend voorbeeld is een mobiel telefoontoestel.
14
het verhogen van het rendement van de IT investeringen (Return on Investment, ROI). De formule om de ROI te berekenen is het totaal aan opbrengst gerealiseerd over een periode gedeeld door het totaal aan investeringskosten over diezelfde periode. Om de ROI te berekenen moet de Total Cost of Ownership (TCO) bekend zijn. De TCO bestaat uit alle kosten die gepaard gaan met het aanschaffen, gebruiken, beheren en buiten gebruik stellen van informatietechnologie door een organisatie gedurende de levenscyclus van de producten [4]. De besparing op TCO heeft betrekking op de volgende componenten [20]: Besparing op hardware kosten -
Minder fysieke servers in het serverpark nodig.
Besparing operationele ICT kosten -
Reductie van stroom- en koelingskosten;
-
Reductie van huurkosten in een datacenterruimte;
-
Minder netwerkkosten door het gebruik van virtuele netwerkapparatuur;
-
Beheerders hebben minder tijd nodig om servers op te zetten, configureren en migreren.
Besparing van downtime kosten -
Reductie van geplande downtime;
-
Reductie van ongeplande downtime.
Mits beheerst geïmplementeerd, zijn voor virtualisatie geen extra kosten te bedenken die kunnen leiden tot een negatieve ROI. De conclusie is dat door het gebruik van virtualisatie de TCO verlaagd kan worden en hierdoor, bij overigens gelijkblijvende omstandigheden, de ROI verhoogd wordt. Dit leidt tot meer efficiëntie in de ICT organisatie. Dit is de reden waarom uit bedrijfseconomisch oogpunt de implementatie van virtualisatie aantrekkelijk is voor elke IT-manager. 2.3 Toepassingen en voordelen van virtualisatie Virtualisatie kan in principe overal toegepast worden waar ook normale servers en desktops gebruikt worden. De inzet van virtualisatie is aantrekkelijk zolang rekening wordt gehouden met de voordelen en mogelijke knelpunten die later in dit hoofdstuk aan de orde komen. Hieronder volgt een (niet uitpuntend) overzicht van de meest voorkomende toepassingen van virtualisatie [7], [14], [17], [21], [22].
15
Server consolidatie De huidige praktijk is om elke applicatie op een aparte server te installeren. Deze praktijk wordt gevolgd om voor de kritieke applicaties hoge mate van beschikbaarheid te realiseren. Het installeren van twee applicaties op dezelfde server wordt afgeraden vanwege de kans op conflicten en wederzijdse beïnvloeding en afhankelijkheid door het gemeenschappelijke gebruik van hardware. De oplossing is een “dedicated server” per applicatie, bijvoorbeeld Exchange mail. Het gevolg is dat dure hardware aangeschaft wordt die niet optimaal benut wordt omdat er slechts één applicatie op draait. Door gebruik te maken van virtualisatie kunnen alle applicaties middels dedicated VM’s geïnstalleerd worden op één fysieke machine. De voordelen die hiermee behaald worden zijn divers: minder ruimte nodig, minder koeling en onderhoud hiervan nodig, minder elektriciteitverbruik en minder hardware onderhoud. Scheiding van omgevingen In de praktijk komt het vaak voor dat naast productieservers ook test- en ontwikkelservers aangeschaft dienen te worden. Dit om te voldoen aan de algemeen geaccepteerde eis van gescheiden omgevingen voor ontwikkelen, testen, accepteren en productie. Het onderhouden van meerdere servers kost tijd, arbeid en geld. Door consolidatie van deze verschillende omgevingen met behulp van virtualisatie kan een aanzienlijke besparing bereikt worden. De ontwikkel-, test-, acceptatie- en productieomgeving kunnen elk in een virtuele machine actief zijn zonder elkaar te beïnvloeden. En daarmee blijft de gewenste scheiding van omgevingen gehandhaafd. Door de strikte afscherming door middel van virtualisatie wordt een hoger beveiligingsniveau bereikt. Ook voor mensen die in meerdere omgevingen werken met verschillende beveiligingsniveaus kan gebruik worden gemaakt van virtualisatie. In dat geval zijn er op een laptop of desktop meerdere virtuele machines geïnstalleerd, elk geschikt voor een bepaalde omgeving, bijvoorbeeld kantoor en werken op afstand. Naast de eerder genoemde consolidatievoordelen biedt virtualisatie een hoger beveiligingsniveau door de scheiding tussen verschillende virtuele machines en ook applicaties. Vergeleken met de oude situatie met meerdere applicaties op één fysieke machine, betekent de afscherming door middel van virtualisatie een verhoogd beschikbaarheidsniveau. Wanneer kopieën van servers nodig zijn voor de testomgeving kan op eenvoudige wijze een kopie worden gemaakt van de productieomgeving en hoeft niet een complete fysieke server opgebouwd en ingericht te worden. Door het wegvallen van de noodzaak tot aanschaf van extra hardware en door het snel kunnen “nabouwen” van de productieomgeving kan efficiënter gewerkt worden. Wel is het noodzakelijk om procedures te hebben voor het proces van “snel even kopiëren vanuit de productie- naar de testomgeving”.
16
Ontwikkel-, test-, acceptatie- en productie (OTAP)cyclus De OTAP-omgeving is essentieel voor IT-organisaties vanaf een zekere omvang. Er dienen voldoende representatieve servers beschikbaar te zijn om tests uit te voeren of om problemen op te lossen alvorens bepaalde wijzigingen of installaties worden uitgevoerd in de productieomgeving. Het aantal applicaties kan flink oplopen in grotere organisaties. Om voor elke applicatie een testserver aan te schaffen is uit kostenoverweging niet reëel en ook niet noodzakelijk. Meestal kunnen servers namelijk worden hergebruikt. Dit betekent echter wel dat het opzetten van servers in de OTAP-omgeving extra tijd en arbeid vergt en dat hierdoor de hele (test)cyclus onnodig lang is. Door gebruik te maken van virtuele machines kunnen testomgevingen snel opgezet worden. Ook kunnen virtuele netwerken geconfigureerd worden om bijvoorbeeld multi-tier architecturen te testen. De winst zit in het kopiëren en klonen van bestaande virtuele machines en het bijhouden van een soort bibliotheek met alle mogelijke configuraties van virtuele servers. Een ander voordeel is de mogelijkheid tot snelle rollback die aanwezig is bij de toepassing van virtuele machines. Door de verminderde noodzaak tot configuratie van hardware -te weten de diverse afzonderlijke fysieke servers- wordt de OTAP-cyclus verkort wat bijdraagt tot meer efficiëntie van IT projecten. High-Availability In Service Level Agreements (SLA’s) komt vaak de eis voor dat een systeem voor 99.x % van 24x7uur operationeel moet zijn. Deze eis wordt in het algemeen aangeduid als “High-Availability”, oftewel een hoge beschikbaarheid. High-Availability heeft betrekking op componenten die kunnen falen waardoor de beschikbaarheid in gevaar komt. Om dit probleem op te lossen worden systemen redundant uitgevoerd. Het dubbel uitvoeren van hardware heeft als gevolg dat de investeringskosten toenemen, terwijl de redundante systemen alleen maar stand-by staan en feitelijk niet echt dagelijks gebruikt worden als productiemachine. Om toch minder hardware te gebruiken wordt gebruik gemaakt van virtualisatie. Virtualisatie is voordelig in geval dat er CPU marge is op de standby machine wanneer deze actief wordt. Hierdoor kunnen nietfunctionerende virtuele of fysieke servers overgenomen worden door virtuele servers. Deze migratie kan on-the-fly gebeuren waardoor de downtime nul is. Hierbij dient opgemerkt te worden dat in het geval van migratie van een virtuele machine naar een andere virtuele machine deze twee op aparte fysieke servers staan. Een bijzondere variant en toepassing van High-Availability die ook op de grens van “disaster recovery” ligt is uitwijk (contingency). Hierbij staan de redundante systemen elk op verschillende locaties. De voordelen die bij High-Availability genoemd kunnen worden zijn zero downtime en dus efficiëntie en lage kosten.
17
Disaster recovery In IT jargon wordt disaster recovery in één adem genoemd met back-up en restore. Het zijn echter twee verschillende processen. Back-up en restore voorzieningen/maatregelen zijn ten behoeve van het incidenteel herstellen van kleine “fouten”. Bij sommige organisaties is dit een integraal onderdeel van de dagelijkse werkzaamheden. Hierbij wordt gebruik gemaakt van periodieke back-ups. Bij disaster recovery is de ernst van de situatie en de schade veel groter. Een ramp kan als gevolg hebben dat hele computercentra opnieuw opgebouwd dienen te worden. Dit proces kan in de praktijk heel tijdrovend zijn, vooral omdat er nauwelijks tests worden uitgevoerd om dergelijke rampscenario’s na te bootsen. Te lang uit de lucht zijn kan fatale gevolgen hebben voor een organisatie. Door gebruik te maken van virtualisatie in het geval waarbij er geen ge-mirrored uitwijklocatie is, kan het disaster recovery proces versneld worden. Men hoeft niet eerst op elk hardware het besturingssysteem te installeren en daarna applicaties en data. Door gebruik te maken van back-ups van alle VM’s hoeven deze enkel op de VMM geïnstalleerd te worden waarna alle applicaties weer draaien. De winst in efficiëntie betekent dat een organisatie een snelle recovery van de IT-systemen kan realiseren na een ramp, hetgeen bijdraagt tot een hoge business continuity. Behoud legacy systemen Legacy systemen zijn IT systemen waarvan of het besturingssysteem of de applicatie niet meer door de markt ondersteund wordt en die om uiteenlopende redenen niet gemigreerd kunnen worden naar moderne (hardware) systemen. Deze redenen kunnen bijvoorbeeld zijn incompatibiliteit, financiën of gebrek aan expertise. Helaas is legacy –vanwege hardwareafhankelijkheid- een nog vaak voorkomend verschijnsel in IT-organisaties. Virtualisatie kan echter een uitkomst bieden. Door de legacy systemen te converteren in een VM, worden het besturingssysteem en de applicatie losgekoppeld van de hardware. Hierdoor kan de desbetreffende VM met oud besturingssysteem en bijbehorende applicatie als een appliance op elke hardware geïnstalleerd worden. Het voordeel in dit geval is portabiliteit en flexibiliteit. Hierdoor kunnen legacy besturingssystemen toch op moderne hardware gedraaid worden. Het voordeel dat virtualisatie biedt is in principe voor alle genoemde toepassingen gelijk. Door het gebruik van virtualisatie wordt meer gedaan in minder tijd met minder inspanning en is er minder hardware nodig. Of, zoals het verwoord werd in de presentatie van het firma Bull [23]: “virtualisatie gaat niet over verlagen van kosten maar het elimineren van verspilling”. Het grootste voordeel is dus efficiëntie. De efficiëntie is de resultante van de flexibiliteit, portabiliteit, schaalbaarheid, onderhoudbaarheid en effectiviteit die door virtualisatie gerealiseerd worden.
18
2.4 Mogelijke valkuilen bij de toepassing van virtualisatie Doordat de virtuele machines in feite bestanden zijn en dus kopieerbaar zijn, is er een verhoogd risico aanwezig op wildgroei van virtuele machines. Invoering van virtualisatie stelt daarom eisen aan versiebeheer en beveiliging van de VM bestanden. Door de introductie van de virtualisatielaag wordt een nieuw object van beheer gecreëerd. Degene die toegang heeft tot deze laag dient kundig te zijn en er dient functiescheiding te zijn tussen het beheer van de virtualisatielaag en het beheer van de virtuele machines. Anders bestaat het risico dat systeembeheerders van bepaalde virtuele servers toegang krijgen tot overige servers waar zij niet voor verantwoordelijk zijn en waartoe zij geen toegang nodig hebben. Ook bestaat de kans dat medewerkers van de verschillende OTAP-omgevingen toegang krijgen tot elkaars data en programmatuur. Sommige licenties worden per CPU uitgegeven. Virtuele machines maken in principe gebruik van dezelfde CPU, terwijl de licenties meerdere malen gebruikt worden. Het is niet duidelijk wat de juridisch mogelijkheden en gevolgen hiervan zijn, dit onderwerp is -hoewel een belangrijk punt van aandacht- in het kader van deze scriptie niet nader onderzocht. Virtualisatieproducten zijn op dit moment allemaal leveranciersgebonden. Er is nog geen universele standaard, waardoor de vele producten niet compatibel zijn en de afnemer na de eerste investering in beginsel gebonden is aan een bepaalde leverancier. Het hoofddoel van de implementatie van virtualisatie is efficientie. Maar de efficientieverbetering kan alleen gerealiseerd worden indien er een minimaal aantal fysieke servers gevirtualiseerd worden. Voor kleine aantallen is het niet in alle gevallen voordelig. 2.5 Onjuist gebruik en misbruik van virtualisatie Virtualisatie is een handig hulpmiddel, maar is niet voor alle toepassingen geschikt. Applicaties die een hoge performance moeten leveren zijn niet geschikt om op virtuele machines te installeren. Het gaat hierbij om database managementsystemen en email servers. Deze servers dienen veel I/O-aanvragen tegelijk te verwerken en benutten daarbij de volledige servercapaciteit. Het delen van die capaciteit over meerdere virtuele servers kan in deze situatie beperkend werken voor de performance. Nog een aandachtspunt is de zogenoemde Single Point of Failure. Dit betekent dat een systeem op een enkel punt zodanig kwetsbaar is dat een defect gevolgen kan hebben voor de beschikbaarheid. Door
19
meerdere fysieke servers te consolideren op één fysieke server heeft een hardwaredefect invloed op alle daarop geïnstalleerde virtuele servers. Dit probleem kan worden opgelost door gebruik te maken van redundante systemen. Hierbij worden op extra fysieke servers redundante meerdere virtuele servers geïnstalleerd. Er kunnen in principe ook virtuele netwerken gemaakt worden aan de hand van virtuele netwerkswitches en virtuele machines. Echter is deze optie niet volwassen genoeg voor productieomgevingen. De virtuele netwerkswitches zijn niet geavanceerd zoals fysieke switches. Verder zijn virtuele machines op verschillende fysieke machines moeilijk door middel van virtuele switches aan elkaar te verbinden. Dit betekent dat deze virtuele netwerken alleen op één fysieke server kunnen bestaan waardoor hier een single point of failure onvermijdelijk is. Vanwege het feit dat virtuele machines met bijbehorende applicaties als bestanden worden opgeslagen, zijn virtuele machines portabel. Hierdoor is het, in tegenstelling tot een grote fysieke server, in theorie makkelijker om ongeautoriseerd complete servers met bijbehorende applicatie en data te kopiëren en deze voor kwaadwillende doeleinden te gebruiken. Inmiddels zijn ook hackers actief bezig met virtualisatietechnieken. Onlangs is bekend geworden dat het kwaadaardige computerprogramma “Blue Pill” [36] gebruik maakt van de virtualisatieprincipes en zichzelf on-the-fly en ongemerkt als “host operating system” kan installeren op een fysieke server. Het oorspronkelijke host besturingssysteem wordt dan een guest besturingssysteem in een virtuele machine dat op het nieuwe host besturingssysteem draait. Hiermee heeft de hacker via zijn nieuwe host besturingssysteem controle over het guest besturingssysteem en dus de applicaties die daarop draaien. De aanwezigheid van de kwaadaardige code is erg moeilijk te detecteren. In figuur 3 is het effect van Blue Pill geïllustreerd. Het oorspronkelijke besturingssysteem is in het groen afgebeeld. De code van de aanvaller die uiteindelijk het host besturingssysteem wordt, is met blauw aangegeven.
20
Figuur 3. Werking van de kwaadaardige code Blue Pill geïllustreerd. In dit hoofdstuk is het begrip virtualisatie in diverse vormen uitgewerkt. Ook de mogelijke toepassingen en voor- en nadelen zijn genoemd. In het volgende hoofdstuk zal aandacht worden besteed aan ITmanagement en IT-audit aspecten.
21
3 IT-Management en IT-auditing 3.1 Inleiding In dit hoofdstuk zal worden ingegaan op principes van IT-management en IT-auditing. Vanuit ITgovernance perspectief zal de stap worden gemaakt naar IT-management betreffende virtualisatie. Vervolgens wordt de positie van virtualisatie binnen de IT-organisatie nader toegelicht. In het afsluitend deel van het hoofdstuk zal worden stilgestaan bij de meest van toepassing zijnde IT-auditaspecten. 3.2 IT-governance en IT-management IT-governance IT is niet langer een bijzaak binnen organisaties maar vormt een integraal onderdeel van de strategie van elke zichzelf respecterende organisatie van enige omvang. In dit kader dienen eisen te worden gesteld aan de beheersing van de IT-processen en het afleggen van verantwoording door het IT-management. Deze hele cyclus wordt IT-beheersing oftewel IT-governance genoemd. IT-governance gaat over het besturen, beheersen en uitvoeren van, het afleggen van verantwoording over en het toezicht op de informatievoorziening binnen een organisatie [24]. In [25] wordt IT-governance concreter gedefinieerd als het besturen van, de verantwoording over en de toetsing van IT investeringen in organisaties. De volgende doelstellingen van IT-governance kunnen onderkend worden: -
het optimaliseren van de toegevoegde waarde van IT-investeringen/ondersteuning van de bedrijfsprocessen;
-
het beheersen van de kosten van IT;
-
het beheersen van de risico’s die het gebruik van IT met zich meebrengt.
IT-governance gaat niet over het nemen van beslissingen omtrent IT-investeringen. Waar IT-governance wel betrekking op heeft zijn de spelregels, het vaststellen van het kader waarbinnen medewerkers van een organisatie opereren en beleid en aansturing.
22
IT-governance binnen de Rijksoverheid IT neemt tegenwoordig binnen de overheid een vooraanstaande positie in [28]. De toepassing van IT is onmisbaar en vormt een integraal onderdeel van de primaire processen binnen de overheid. Net als met overige middelen dient ook de overheid effectief en efficiënt om te gaan met de beschikbare IT middelen. Omdat het strategische belang van IT voor de beleidsuitvoering onderkend wordt, wordt IT-governance ook onmisbaar binnen de overheid. Naar aanleiding hiervan heeft de Algemene Rekenkamer onlangs een onderzoek gedaan hoe IT-governance zich ontwikkelt binnen het Rijk. De Algemene Rekenkamer hanteert de volgende definitie van IT-governance (zie bijlage A1 en A2). IT-governance is de gezamenlijke verantwoordelijkheid van de top van de organisatie en de toezichthouder(s) voor: -
De interne sturing van de IT-voorziening van de organisatie;
-
De interne beheersing van de IT-voorziening van de organisatie;
-
De externe verantwoording over IT-voorziening van de organisatie;
-
Het externe toezicht op de IT-voorziening van de organisatie;
-
En (bij ministeries, indien van toepassing) de aansturing van en het toezicht op de IT-voorziening van de rechtspersonen met een wettelijke taak (oftewel ZBO’s5) door het ministerie.
Het eerste component oftewel interne sturing kan samengevat worden als het uitzetten van een koers voor de IT-voorziening. Interne beheersing kan aangeduid worden als het op koers houden van een ITvoorziening. Externe verantwoording heeft betrekking op het vermelden in een verantwoordingsverslag of een bepaald ministerie in control is. Bij extern toezicht gaat het om het toezien op de uitvoering van het IT-beleid en de daaruit voortvloeiende resultaten. Het laatste punt spreekt voor zich. Met het toegelichte IT-governance model als uitgangspunt heeft de Algemene Rekenkamer een onderzoek gedaan naar de praktijk bij twee ministeries. Hier volgen de voor deze scriptie meest relevante bevindingen. Wat betreft interne sturing zijn er veel ontwikkelingen vastgesteld bij de twee ministeries. Beide ministeries hebben een project opgestart om de IT-functie opnieuw in te richten waarbij de ITorganisatie
en
de
besturings-
en
besluitvormingsstructuur
met
bijbehorende
taken
en
verantwoordelijkheden worden herzien. Verder wordt er aandacht besteed aan de verbinding tussen bedrijfsprocessen en IT en ook aan transparantie en het inzichtelijk maken van IT-kosten. Daarnaast wordt onderkend dat samenwerking tussen de verschillende diensten binnen een ministerie en meer standaardisatie in IT-architectuur ook voordelen zullen opleveren. Het hoofddoel hierbij is om de IT-functie
5
ZBO staat voor Zelfstandige Bestuursorganen. Het betreft hier niet de intern verzelfstandigde agentschappen.
23
efficiënter en effectiever in te richten zodat er een betere aansluiting ontstaat tussen vraag en aanbod van IT. Uit het onderzoek blijkt dat interne beheersing minder aandacht krijgt. De IT-strategie wordt niet periodiek geëvalueerd en geactualiseerd. Wel besteden beide departementen aandacht aan de tevredenheid van de gebruikers van IT-voorzieningen. Een ander positief punt is dat alle ministeries gezamenlijk een project hebben uitgevoerd om de IT-kosten per werkplek in kaart te brengen en de resultaten van de afzonderlijke ministeries met elkaar te vergelijken. Een relevant detail hierbij was dat bij slechts vier ministeries de ITkosten goed te traceren waren. Een opvallende en positieve rijksbrede ontwikkeling is de functie van CIO (chief information officer). De CIO is verantwoordelijk voor IT-governance binnen de ministeries en vormt de verbinding tussen bedrijfsprocessen en de IT-voorziening. Deze functie is bij de meeste ministeries ondergebracht bij de plaatsvervangend secretaris-generaal (pSG). In deze hoedanigheid zijn de pSG’s bezig gezamenlijk hun IT-deskundigheid uit te breiden teneinde hun CIO functie beter in te vullen. Naar aanleiding van het onderzoek heeft de Algemene Rekenkamer ook een aantal aandachtspunten genoemd ten behoeve van IT-governance. Hier volgt een selectie: -
Ministeries dienen bij het maken van keuzes over de informatievoorziening rekening te houden dat ze ook deels afhankelijk zijn van partnerministeries;
-
De consequenties van de samenwerking tussen verschillende ministeries dienen in beschouwing te worden genomen bij de interne afstemming van organisatiedoelen en IT-strategie;
-
Het bijhouden van een ministeriebrede IT-portfolio ten behoeve van IT-investeringen;
-
Het ontwerpen van een toekomstvaste ministeriebrede gestandardiseerde IT-architectuur die aansluit op de behoeften van de organisatie en van haar ketenpartners;
-
Om te voorkomen dat de IT-dienstverlening alleen vanuit de techniek of door commerciële overwegingen wordt gestuurd, is een optimale afstemming tussen vraag vanuit de organisatie en aanbod van ICT noodzakelijk;
-
Verdere professionalisering van de CIO’s is onontbeerlijk om het IT-governance groeitraject te kunnen leiden.
De Algemene Rekenkamer concludeert dat beide onderzochte ministeries bezig zijn om IT-governance vorm te geven. Er zijn veel overeenkomsten in de wijze waarop de twee ministeries dit doen. Vooral op het gebied van interne sturing zijn ze in een gevorderd stadium. Een belangrijke ontwikkeling hierbij is het streven naar een centrale regie op de organisatie van de informatievoorziening en inrichting van ITvoorziening door de CIO. Wel hebben ze nog een lange weg te gaan om IT-governance volledig in te
24
richten binnen de departementen. IT-management Een belangrijk onderdeel van IT-governance is IT-management. IT-management heeft betrekking op de uitvoering, besluitvorming en verantwoording van IT-activiteiten binnen de gestelde kaders van ITgovernance. Concreter geformuleerd, IT-management is gericht op de effectieve en efficiënte levering van IT-diensten en –producten in de interne organisatie en op het beheer van huidige IT-operaties. ITgovernance is veel ruimer en concentreert zich meer op het functioneren en transformeren van IT, om te beantwoorden aan zowel de huidige als toekomstige behoeften van de organisatie (intern) en haar klanten (extern) [26]. In [27] wordt door middel van een managementcyclus een bedrijfsmatige aanpak behandeld ten behoeve van IT-management. De managementcyclus is afgebeeld in figuur 4.
Figuur 4. Managementcyclus ten behoeve van IT-management. De eerste fase in de managementcyclus is beleid- en planvorming. In deze fase vindt de vertaling plaats van bedrijfsstrategie naar informatiebeleid welke ook het IT-beleid bevat. Het IT-beleid bevat de langetermijnvisie voor systeemontwikkelingsorganisatie, voor de verwerkingsorganisatie en voor de technische infrastructuur. Dit IT-beleid is meer kadervormend en richtinggevend. Uit het IT-beleid vloeien de informatieplannen voort. Hierin zijn de uit te voeren IT activiteiten gedefinieerd zoals, de architectuur van informatiesystemen en de technische infrastructuur, de koppeling tussen de organisatiedoelstellingen en de IT en de op te starten IT-activiteiten met prioriteitstelling en onderbouwing hiervan. In de tweede fase vindt daadwerkelijke realisatie plaats van informatieplannen. Deze informatieplannen
25
worden omgezet in concrete projectplannen. In deze fase is de aard van de projecten bepalend voor de wijze van sturing en beheersing. In tabel 3 is een overzicht te zien waarin per soort project de eigenschappen en stuurinformatie zijn genoemd. Het virtualisatietraject past bij de kolom van efficiëntieverbetering. IT als hulpmiddel Doelstelling Efficiëntieverbetering
IT als beheerinstrument
IT als verbeterinstrument
IT als strategisch wapen
Verbetering van de informatievoorziening
Verbetering van de bedrijfsprocessen en informatievoorziening Groot 2 à 3 jaar Groot Groot
Structurele verbetering van de bedrijfsvoering (Zeer) groot 3 à 7 jaar (Zeer) groot (Zeer) groot
Schaalgrootte Doorlooptijd Complexiteit IT Organisatorische en sociale complexiteit Faalkans Faalkosten Rol gebruiker
Klein Maximaal 1 jaar Gering Gering
Middelgroot 1 à 3 jaar Redelijk Beperkt
Klein Beperkt Gering
Groot Hoog Actieve participatie
(Zeer) groot Extreem hoog Analist en ontwerper
Belangrijkste stuurvariabelen
Geld en tijd
Matig Redelijk Op verzoek bij ontwerp en acceptatie Aanpak
Organisatie
Grootste valkuil
Onderschatting
Bemoeienis management
Minimaal
Schuivende doelstelling Tight control op risicofactoren
Weerstand tegen verandering Tight control op succesfactoren
Integraal aansturen op organisatie en aanpak Verlies van overzicht Maximaal
Tabel 3. Overzicht van eigenschappen en stuurfactoren onderscheiden per soort project. Na het opstellen van projectplannen en het realiseren van deze plannen wordt het systeem in beheer genomen. In deze fase van exploitatie en beheer is de waarborg voor een effectieve, efficiënte en betrouwbare ondersteuning van de bedrijfsprocessen van belang. In de praktijk wordt vaak ITIL gebruikt voor het beheren van IT-voorzieningen. Het kunnen voldoen aan de wensen van de afnemers van de ITdiensten -op een concurrerende en kosteneffectieve wijze- staat hierbij centraal. Het sluitstuk van de managementcyclus wordt gevormd door evaluatie en bijsturing. Hierbij worden periodiek de IT-organisatie en de opgeleverde producten en diensten getoetst. Waar nodig zal er bijsturing/optimalisatie plaatsvinden. Positie virtualisatie binnen de IT-organisatie Als de managementcyclus van de vorige paragraaf in beschouwing wordt genomen, kan vastgesteld worden dat na de doelstelling en keuze van een IT-project, de beheer- en exploitatiefase de belangrijkste
26
pijler is. Recapitulerend: hier wordt invulling gegeven aan efficiëntie en effectiviteit. In deze paragraaf zal ingezoomd worden op beheer en exploitatie [25]. De IT-organisatie kan gesplitst worden in een IT aanbod- en IT vraagzijde. Vanuit de business – lees: primaire bedrijfsprocessen – ontstaat de behoefte aan ondersteuning vanuit IT. De IT vraagzijde vertaalt de wensen en eisen van de business naar IT-behoeften. Deze IT-behoeften zijn in feite de gewenste ITdiensten. De aanbodzijde is over het algemeen een ondersteunende dienst en is verantwoordelijk voor de ontwikkeling en levering van diensten. Het totstandkomen van IT-diensten is naast de ontwikkelafdeling ook afhankelijk van input van de vraagzijde en externe leveranciers. De IT aanbodzijde wordt ook IT Service organisatie genoemd. Virtualisatie wordt binnen de IT service organisatie toegepast en is in principe transparant voor de vraagzijde. In figuur 5 is de wisselwerking tussen de verschillende partijen te zien. IT alignment
Enabling Beleid en architectuur IT Service organisatie
Externe leverancier Diensten leveranciers
Middelen leveranciers
Business Contract en SLA
Diensten
Middelen
Diensten Ontwikkelafdeling
Service level management organisatie
Gebruikers
Applicaties & infrastructuur Aanbod
Vraag
Figuur 5. Referentiemodel met de interactie tussen de verschillende partijen afgebeeld. De punten die met rood zijn gemarkeerd zijn relevant wanneer virtualisatie in een organisatie wordt geïmplementeerd. Deze figuur laat als het ware zien hoe de diensten die de IT-organisatie levert samenhangen met leveranciers, de vraagzijde en het beleid. De relatie met de ITIL processen is in dit model nog niet zichtbaar. In figuur 6 is door middel van het model van Maes duidelijk gemaakt wat de positie is van de ITIL processen binnen de IT service organisatie.
27
Business
Bedrijfsbeleid
Tactisch management Operationeel management
Vraagzijde
Aanbodzijde
Informatiemanagement
Inrichting en afstemming van de organisatie, business alignment, IT architectuur
Service Level Management organisatie
De tactische ITIL processen
Applicatie beheer Bedrijfsprocessen
Functioneel beheer Technisch beheer
Figuur 6. De ITIL processen verduidelijkt in het model van Maes. Het model van Maes verdeelt een organisatie in drie lagen: strategisch, tactisch en operationeel. In figuur 6 is te zien dat op strategisch gebied de ITIL processen nog geen rol spelen in de IT service organisatie. Daar draait het voornamelijk om business alignment oftewel aansluiting op de primaire bedrijfsprocessen. Op tactisch en operationeel niveau zijn de ITIL processen wel van belang. Vanwege de te leveren diensten is er een nauw verband met de Service Level Management organisatie. Door gebruik te maken van de informatie uit hoofdstuk 2 is de relatie gelegd tussen virtualisatie en de tactische – en operationele ITIL processen. In tabel 4 is een overzicht opgenomen van de positieve werking van virtualisatie binnen de IT service organisatie.
28
Tactische ITIL processen Financial Management: Geen verschil tussen oude situatie met alleen fysieke servers en nieuwe situatie met logische servers.
IT Service Continuity Management: De toepassing van virtualisatie in combinatie met een SAN resulteert in een effectieve IT Service Continuity Management. Bij calamiteiten kunnen systemen tegen geringe kosten in weinig tijd met weinig inspanning worden opgebouwd. Hierdoor wordt een hogere continuïteit aan de afnemers aangeboden en leidt een organisatie minder verlies.
Capacity Management: Geen verschil tussen oude situatie met alleen fysieke servers en nieuwe situatie met logische servers. Availability Management: In de traditionele wereld van alleen fysieke servers dient extra geïnvesteerd te worden in extra hardware die in feite continu standby staan en niet echt benut worden. Ook moet bij een aantal fail-over oplossingen met fysieke servers de servers die standby staan gereset worden of moeten de gebruikers hun pc’s resetten alvorens verder te kunnen werken. Door toepassing van virtualisatie kan worden volstaan met minder fysieke servers. De servers die standby staan zijn in dit geval virtuele servers. Virtualisatie is in dit geval alleen aantrekkelijk als er marge is in de CPU belastsing op de standby node wanneer deze actief wordt. Bij een fail-over gebeurt dit on-the-fly en is het proces transparant voor de gebruikers waardoor er niets gereset hoeft te worden. Met virtualisatie kan ten behoeve van het proces Availability management tegen geringe kosten een effectieve high-availability gerealiseerd worden. Hierdoor neemt het aantal momenten van niet-beschikbaarheid en de duur van nietbeschikbaarheid af. Een gevolg hiervan is dat de nadruk verschuift van foutherstel naar serviceverbetering, wat betekent betere SLA’s. Klanten zullen ook meer tevreden zijn.
6
Operationele ITIL processen 6 Servicedesk : Door gebruik te maken van virtuele machines kan de Servicedesk beschikken over meerdere applicaties en besturingssystemen waardoor op een meer efficiente manier kan worden gewerkt om vragen te beantwoorden. Er behoeven geen verschillende fysieke machines te worden ingericht met elk een eigen versie van besturingssysteem of applicatie. Ook kan snel een kopie worden gemaakt van de oorspronkelijke fysieke of virtuele server en kan een virtueel netwerk gebruikt worden ten behoeve van troubleshooting. Incident Management: De processen Incident -, Problem - en Change Management zijn nauw met elkaar verbonden. Het gaat in principe om het oplossen van verstoringen, het testen van de oplossing en het vervolgens transporteren van de verbeterde applicatie naar productieomgeving. De winst ten gunste van deze processen is divers: vermindering van storingstijd en downtime, vermindering in kosten van testomgevingen en verbetering van de reactietijd op meldingen. Doordat er minder tijd nodig is om systemen op te bouwen en te testen kunnen de medewerkers meer in weinig tijd doen. Problem Management: Zie Incident Management. Change Management: Zie Incident Management.
Service Desk is in feite een afdeling en geen proces. Overige processen zoals Incident - en Problem Management
starten met een melding bij de Service Desk. De Service Desk is vaak een soort front-office voor eindgebruikers die in contact staat met de back-office van de aanbodkant.
29
Tactische ITIL processen Service Level Management: Door lagere aanschaf-, beheer- en onderhoudkosten en de kortere doorlooptijden van projecten kunnen diensten tegen een aantrekkelijke prijs aangeboden worden. IT-projecten kunnen bij de toepassing van virtualisatie in bepaalde fases minder tijd in beslag nemen, omdat van de meeste omgevingen actuele herbruikbare virtuele machines beschikbaar zijn. Ook de kwaliteit van de dienstverlening –vertaald naar efficiëntie en effectiviteit- gaat omhoog vanwege de genoemde voordelen bij desktop-, incident-, problem-, change-, capacity- en availability management. Het resultaat is een verbeterde Service Level Management. Security Management: In de traditionele wereld van server consolidatie zonder virtualisatie zijn de verschillende applicaties op een enkele server niet onafhankelijk van elkaar. Deze onafhankelijkheid betreft het kwaliteitsaspect beschikbaarheid. Fouten in de ene applicatie kan gevolgen hebben voor overige applicaties op dezelfde server. Door gebruik te maken van virtuele servers per applicatie op een fysieke server, worden de verschillende applicaties volledig onafhankelijk van elkaar. Zelfs bij uitbraak van een computervirus blijft dit beperkt tot desbetreffende virtuele machine. De rest is afgeschermd en draait zonder problemen door.
Operationele ITIL processen Configuration Management: Door de toepassing van virtualisatie wordt het belang van hardware minder en worden virtuele machines als software geregistreerd en beheerd. Hierdoor kunnen virtuele servers en bijbehorende applicatie als één CI –oftewel applianceworden geregistreerd waardoor het proces minder complex wordt.
Tabel 4. Positieve werking van virtualisatie op de ITIL processen. Na deze introductie over IT-governance en IT-management zullen de aandachtspunten van IT-auditing in de volgende paragrafen worden belicht. Deze zijn de specifieke aandachtspunten die van toepassing zijn bij virtualisatie. 3.3 IT-audit In deze paragraaf wordt de relatie tussen IT-management en IT-auditing verduidelijkt. Dit wordt gedaan door een beschouwing van de huidige stand van zaken betreffende virtualisatie binnen het IT-audit vakgebied gevolgd door het belangrijke onderwerp objectafbakening. Mogelijke IT-management aandachtspunten komen ook aan bod, waarna met het raamwerk Cobit wordt afgesloten. IT-auditing en virtualisatie: de huidige stand van zaken binnen het vakgebied Tot op heden zijn nauwelijks vaktechnische artikelen gepubliceerd over het onderwerp “Auditing van Virtualisatie”. In het vakblad “De EDP-Auditor” [29] is wel aandacht besteed aan de rol van de IT-auditor bij audits waar gebruik wordt gemaakt van virtualisatie. Onderstaand volgen de belangrijkste auditaspecten uit dat artikel. Belangrijk bij audits van omgevingen waar servervirtualisatie is geïmplementeerd zijn de specifieke
30
toepassing en het aangeschafte virtualisatie product. Vooral onderling tussen de producten bestaan vele verschillen. Conform de voorschriften van de NOREA wordt geconcludeerd dat de IT-auditor over voldoende kennis en ervaring dient te beschikken met betrekking tot een bepaald onderzoeksobject om de opdracht te mogen aanvaarden en uitvoeren. Mocht dat niet het geval zijn dan dient de IT-auditor altijd een deskundige in te huren. De IT-auditor dient in het voortraject van de opdracht na te gaan of gebruik wordt gemaakt van virtualisatie in de IT-omgeving. De aandachtspunten die genoemd zijn hebben alle betrekking op het technisch operationeel gebied. Tevens zijn ze niet product- of toepassingsafhankelijk. De volgende punten zijn genoemd: -
Beheer van de virtualisatiesoftware;
-
Logische toegangsbeveiliging beheerconsole;
-
Beveiliging van configuratiebestanden van virtuele machines;
-
Scheiding van bestanden tussen virtuele machines;
-
Aanwezigheid van back-ups van de configuratie van de virtuele omgeving.
In het vervolg van deze scriptie zullen ook andere auditaspecten aan bod komen. Een volwaardige audit van een virtualisatie omgeving vereist meer diepgang en is ook sterk afhankelijk van wat de opdrachtgever wil laten onderzoeken. Hierbij spelen behalve het object van onderzoek ook de kwaliteitsaspecten een rol. Afbakening auditobject Eén van de belangrijkste onderwerpen die in elke opdrachtbevestiging duidelijk omschreven dient te zijn is de afbakening van het auditobject. In haar boek pleit Margaret van Biene [30] voor een objectgeoriënteerde audit aanpak. In deze aanpak wordt IT-management als uitgangspunt genomen. Deze filosofie is verder uitgewerkt in Norea geschrift nr. 1 [31]. Met betrekking tot virtualisatie zijn de domeinen Informatiestrategie, IM/IT-management, technische systemen en operationele ondersteuning interessant. Het domein Informatiestrategie spreekt voor zich en omvat objecten zoals het informatiebeleid, informatieplanning en informatiearchitectuur. Hieronder zal worden ingegaan op de overige domeinen. Over het algemeen kan een aantal IM/IT-objecten onderscheiden worden in relatie tot virtualisatie. Deze objecten zijn plannen en organiseren, budgetteren, beslissen en innoveren. Een verdere verbijzondering leidt tot meer concrete auditobjecten. Hierbij valt te denken aan het definiëren van de doelstelling ten aanzien van technische systemen, het maken van business cases ten behoeve van prioriteitsstelling van
31
projecten en het bepalen van prioriteiten voor de introductie van nieuwe technologieën. De operationele automatiseringsondersteuning van een organisatie betreft de installatie, het beheer en het onderhoud van de automatiseringsmiddelen die ter beschikking staan van een organisatieonderdeel. Tot
dit
domein
behoren
de
beheerorganisatie,
beveiliging,
autorisatie,
risicomanagement,
resourcemanagement, capaciteitsmanagement en versiebeheer. Bij de opdrachtaanvaarding met betrekking tot virtualisatie zal de IT-auditor ondermeer rekening moeten houden met de genoemde domeinen en objecten. Dit vloeit voort uit de informatie in hoofdstuk 2 en uit de eerder behandelde managementcyclus. In hoofdstuk 6 zal gebruik gemaakt worden van deze domeinen en objecten om tot een generiek virtualisatie raamwerk te komen. Aandachtspunten IT-management IT-managers dienen de ontwikkelingen in de IT branche nauwlettend te volgen teneinde de primaire bedrijfsprocessen te optimaliseren en indien nodig het IT beleid van de organisatie aan te passen. Om de doelstellingen van het uitgezette beleid te realiseren worden personele en financiële middelen ingezet. De financiële middelen betreffen ondermeer de IT investeringen. Bij het hele proces van IT-management worden de managers geconfronteerd met de volgende aandachtspunten [19] : 1. Investering in IT systemen: Hoe kunnen organisaties maximaal rendement halen uit hun investeringen? 2. Bedrijfsstrategie: Wordt IT effectief gebruikt? En zo niet, welke complementaire bedrijfsmiddelen zijn er nodig om dit te realiseren? 3. Globalisering: Wordt er gebruik gemaakt van IT middelen (bij voorkeur gestandaardiseerd) die mondiaal ondersteund worden zodat de organisatie de aansluiting internationaal niet mist? 4. IT infrastructuur: Is de IT infrastructuur flexibel en schaalbaar ingericht om de snelle innovatieve IT ontwikkelen te kunnen volgen? 5. Complexiteit en beveiliging: Hoe kunnen organisaties hun IT systemen beveiligen zonder dat het gebruik en beheer niet te complex worden? Een analyse van de 5 genoemde punten vanuit het oogpunt van een IT-auditor resulteert in een aantal interessante bevindingen. De vijf aandachtspunten zijn onder te verdelen in diverse kwaliteitsaspecten. Bij 1 komt het woord “rendement” voor. Dit heeft een relatie met het kwaliteitsaspect efficiëntie. Bij het tweede punt is het
32
kwaliteitsaspect effectiviteit genoemd. Punt 3 bevat het sleutelwoord standaardisatie. Standaardisatie echter is geen kwaliteitsaspect, al kan de aanwezigheid van standaarden wel bijdragen tot optimalisatie van andere kwaliteitsaspecten. Een voorbeeld is de onderlinge compatibiliteit tussen producten van verschillende fabrikanten wat de beschikbaarheid ten goede komt. Bij punt 4 worden de kwaliteitsaspecten
flexibiliteit
en
schaalbaarheid
behandeld
en
in
het
laatste
punt
kunnen
beheersbaarheid, vertrouwelijkheid, integriteit en beschikbaarheid onderscheiden worden. In de praktijk blijken de kwaliteitsaspecten efficiëntie en effectiviteit geen reguliere, frequent voorkomende, onderzoeksaspecten te zijn voor de IT-auditor. Deze twee aspecten spelen echter een centrale rol in het virtualisatie concept. Zuiver beschouwd zijn deze twee kwaliteitsaspecten bedrijfseconomisch van aard. Bij de beoordeling van en advisering over de kwaliteit van het orgaan IT-management zijn de relevante kwaliteitsaspecten in bijna alle gevallen efficiëntie en effectiviteit. Verwijzend naar [31] wordt aangegeven dat bij een audit naar met name Informatiestrategie en IM/IT-management de efficiëntie en effectiviteit centraal staan. Uit [32] is bekend dat het optimaliseren van een bepaald kwaliteitsaspect invloed kan hebben op andere kwaliteitsaspecten. Daarom zullen altijd ook de overige kwaliteitsaspecten in beschouwing moeten worden genomen om tot een evenwichtig stelsel van te treffen maatregelen te komen. Vertrouwelijkheid, integriteit en beschikbaarheid blijven dus ook belangrijk. Dit geldt ook voor de implementatie van virtualisatie binnen een organisatie. Zowel bedrijfseconomische als technische aspecten zijn van belang. De manager dient -al dan niet ondersteund door de IT-auditor- een keuze te maken aangaande de risico’s die aanvaard worden en over de vraag welke beheersingsmaatregelen getroffen zullen worden. In de volgende paragraaf zullen raamwerken die de IT-auditor ter beschikking heeft worden behandeld. Deze raamwerken zijn gemaakt om IT-management te optimaliseren. Raamwerken ten behoeve van IT-governance en IT-management Eén van de meest gebruikte frameworks is Cobit 4.0 [33]. Omdat Cobit alle IT-processen raakt, is gekozen om in deze scriptie gebruik te maken van Cobit. Bij het opstellen van Cobit 4.0 is gebruik gemaakt van andere bekende referentiemodellen. Deze zijn o.a. COSO, ITIL, CMM en ISO/IEC 17799:2005. Cobit staat voor Control Objectives for Information and related Technology en is ontwikkeld ter ondersteuning van de directie, IT-managers en IT-auditors. Dit raamwerk kan vanuit meerdere invalshoeken worden gebruikt. In deze scriptie staan de IT-processen centraal.
33
De bedrijfseisen zijn in Cobit gedefinieerd als kwaliteitsaspecten. De volgende kwaliteitsaspecten zijn benoemd:
effectiviteit,
efficiëntie,
vertrouwelijkheid,
integriteit,
beschikbaarheid,
naleving
en
betrouwbaarheid. De IT-middelen betreffen gegevens, applicaties, technologie en mensen. De ITprocessen zijn ingedeeld per hoofddomein. Binnen Cobit kunnen vier hoofddomeinen worden onderscheiden. -
Planning en organisatie;
-
Aanschaf en implementatie;
-
Levering en ondersteuning;
-
Bewaking en evaluatie.
In totaal zijn 34 generieke IT-processen gedefinieerd die vallen onder de vier genoemde domeinen. In Appendix I van Cobit 4.0 zijn de “business goals” gekoppeld aan IT-doelen. Vervolgens is een matrix opgenomen van deze IT-doelen en de bijbehorende IT-processen. Ook de relevante kwaliteitsaspecten zijn aangegeven. In de volgende exercitie wordt, uitgaande van de informatie die tot nu toe aan de orde is gekomen, een selectie gemaakt uit Cobit van de voor virtualisatie relevante IT-processen. Hierbij wordt Appendix I uit Cobit 4.0 gebruikt. Eerst worden de bedrijfsdoelstellingen geselecteerd die van toepassing zijn bij virtualisatie. Aan de geselecteerde bedrijfsdoelstellingen zijn de IT-doelen en relevante kwaliteitsaspecten gekoppeld. Het resultaat staat in bijlage B1. De geselecteerde IT-doelen worden daarna gekoppeld aan de van toepassing zijnde Cobit processen. Dit is geïllustreerd in bijlage B2. In deze tabel staan alleen de nummers van de Cobit processen vermeld. Een overzicht van de Cobit processen staat in bijlage B3. Een nadere analyse van het resultaat wijst uit dat er nog steeds veel processen zijn, hoewel sommige ervan minder of niet relevant zijn bij de implementatie van virtualisatie. Hoewel de wijze waarop deze selectie tot stand is gekomen ruimte biedt voor verfijning, kan niettemin worden geconcludeerd dat deze subset van processen gebruikt kan worden als kapstok voor een virtualisatie raamwerk. In de volgende hoofdstukken zal een verfijning van deze subset van processen plaatsvinden. Indien noodzakelijk zal er gebruik worden gemaakt van overige raamwerken zoals ITIL en de Code voor Informatiebeveiliging.
34
4 Praktijkcasus 4.1 Inleiding In dit hoofdstuk wordt een virtualisatie praktijkcasus beschreven. Deze casus heeft betrekking een ZBO binnen het Rijk. Eerst wordt de achtergrondinformatie gegeven over de organisatie gevolgd door de aanleiding. Daarna wordt aangegeven hoe tot het besluit is gekomen om gebruik te maken van virtualisatie. Vervolgens worden zowel de voor- en nadelen genoemd van de gekozen oplossing. Als laatste wordt aangegeven welke aandachtspunten de IT-organisatie zelf heeft onderkend en welke maatregelen getroffen zijn. 4.2 Organisatie achtergrond Visie en ambitie Het ZBO heeft de ambitie om de komende jaren als excellente dienstverlener te ‘innoveren met minder middelen’. Daarbij ligt het accent in de planperiode niet op reorganisaties en herstructureringen, maar op verbreding/vernieuwing van haar dienstverlening voor haar individuele en institutionele klanten. Innovatie op het terrein van producten/diensten, bedrijfsvoering en concernsturing en ondersteuning zal moeten leiden tot een geringer middelenbeslag. De missie, visie en ambitie worden vertaald in meerjarenplannen met betrekking tot productportfolio, strategie bedrijfsprocessen en besturing. Binnen het ZBO zijn verschillende directies gedefinieerd, waaronder de directie ICT. De directie ICT zorgt voor de ontwikkeling en het beheer van ICT-diensten en -producten die het primaire proces van het ZBO ondersteunen. Die ICT-functie is mede bepalend voor de wijze waarop het ZBO haar dienstverlening vormgeeft en voor de mate waarin zij door de klant wordt gewaardeerd. Binnen de Rijksoverheid worden steeds verdergaande eisen gesteld aan behoorlijk bestuur. Het ZBO volgt deze ontwikkelingen nauwlettend en conformeert zich hieraan. Als gevolg hiervan nopen diverse ontwikkelingen (zoals integriteit, informatiebeveiliging, risicomanagement, Wet Bescherming Persoonsgegevens) tot integratie en samenhang en dienen zij onderdeel van de bedrijfsvoering te worden alsmede in de jaarplancyclus te worden geïntegreerd. Het ZBO moet haar kosten voor de komende jaren als gevolg van de taakstelling aanzienlijk verminderen. De inzet van flexibele externe capaciteit wordt zoveel mogelijk voorkomen door eigen medewerkers
35
breder inzetbaar te maken en daarvoor op te leiden. Opleidingen worden ook ingezet om eigen medewerkers geschikt te maken voor werk dat nu nog door externen wordt uitgevoerd. Het ZBO heeft een tiental doelstellingen gesteld. De drie meest relevante voor het onderwerp virtualisatie zijn: 1. Het ZBO werkt aantoonbaar effectief en efficiënt in vergelijking met andere (uitvoerings) organisaties en heeft zich extern laten toetsen voor een kwaliteitsonderscheiding in 2006; 2. De productiemiddelen (geld, leveranciers, communicatiemiddelen, huisvesting) worden effectief, efficiënt, klant- en ketengericht ingezet om de beoogde resultaten te bereiken binnen de vastgestelde budgetten; 3. De (primaire, ondersteunende en sturende) bedrijfsprocessen zijn optimaal, klant- en ketengericht ingericht om de beoogde resultaten te bereiken. Strategie bedrijfsprocessen De inrichting van de bedrijfsprocessen zal de komende jaren moeten bijdragen aan de innovatie van de dienstverlening aan de verschillende klantdoelgroepen. Innovatie zal zich de komende jaren in elk geval richten op items als: de doorontwikkeling van elektronische dienstverlening, de koppeling met ketenpartners en de inrichting en ontsluiting van basisregistraties. Deze vernieuwing kan pas goed worden uitgevoerd als de technische infrastructuur hierop wordt voorbereid. 4.3 Het IT-beleid van het ZBO Vanwege de gevoeligheid van de informatie is niet het hele IT-beleid van het ZBO in deze scriptie uitgewerkt. De voor de casus meest relevante punten van het IT-beleid zijn hier opgesomd. -
Zo eenvoudig mogelijk;
-
Platformonafhankelijk, leverancieronafhankelijk;
-
Wereldstandaard en bewezen technologie;
-
Marktconform;
-
Up-to-date, maar niet voorop;
-
Open, gelaagd, modulair;
-
Herbruikbaar;
-
Kosteneffectief;
-
Betrouwbaar, schaalbaar, beheerbaar;
-
Beveiligbaar.
36
4.4 Aanleiding tot de implementatie van virtualisatie In de oude situatie waren er geen uitwijkmogelijkheden. De remmende factor hierbij waren de operationele, maar gedateerde, Windows NT systemen (oftewel legacy systemen). De wens van het ZBO was om een kostenefficiënte uitwijk te implementeren waarbij ook de NT legacy systemen gemigreerd konden worden. De OTAP-straat bij het ZBO was ook aan vernieuwing toe. Er was sprake van een situatie waarbij op enkele fysieke servers een mix van OTAP-omgevingen draaide. Ook het opzetten van “teststraten” was een tijdrovend proces. Het ZBO wilde de OTAP-straat professionaliseren om een meer beheersbare situatie te creëren. Verder werd voor elke toepassing een nieuwe server gekocht. Echter, 90% van deze servers was 98% van de tijd inactief. Dit werd niet erg gevonden omdat altijd toch “maar een goedkope” server werd aangeschaft. Feitelijk was een nieuwe fysieke server echter nooit echt goedkoop. 4.5 Besluitvorming Om een nieuwe uitwijklocatie te realiseren en ook de OTAP-straat te professionaliseren waren er twee scenario’s. Scenario 1 Door de implementatie van een SAN7 in combinatie met fysieke servers zou de uitwijk gerealiseerd kunnen worden. Ten opzichte van de oude situatie zou dit meer continuïteit in de bedrijfsvoering betekenen als zich een calamiteit voordoet. De OTAP-omgevingen zouden volledig van elkaar worden gescheiden door gebruik te maken van meerdere fysieke servers. De kans op ongeautoriseerd of per ongeluk overzetten van onjuiste programmatuur naar de productieomgeving wordt hierdoor verlaagd. Het gevolg is dat de beschikbaarheid, integriteit en vertrouwelijkheid van de systemen niet aangetast worden. Windows NT zou vervangen worden door Windows 2003 Server. Windows NT is een oud besturingssysteem dat op korte termijn niet meer ondersteund zal worden. Daarnaast zijn moderne applicaties niet compatibel met Windows NT. Het invoeren van Windows 2003 Server leidt tot een betere compatibiliteit met huidige applicaties en minder kans op inbraken omdat er sprake is van ondersteuning, onder andere in de vorm van patches en updates. Hierdoor worden de beschikbaarheid van de systemen en de vertrouwelijkheid en integriteit van data gewaarborgd, indien het beheer effectief verloopt. De twee
7
Een vereenvoudigde niet-technische beschrijving van een SAN is: gedeelde of gemeenschappelijke opslagfaciliteit.
37
voornaamste nadelen voor de IT-manager hier zijn de hoge hardware- en licentiekosten en de wildgroei van fysieke servers, hetgeen de beheersbaarheid onoverzichtelijk maakt. Onoverzichtelijk beheer kan tot menselijke fouten leiden waardoor het systeem open komt te staan voor hackers die ongeautoriseerd toegang krijgen tot de data of die de beschikbaarheid van het systeem beïnvloeden. Scenario 2 De uitwijklocatie zou gerealiseerd kunnen worden door middel van virtuele servers in combinatie met een SAN. Verder zouden virtuele machines in de OTAP-straat gebruikt kunnen worden in plaats van fysieke servers. Op de virtuele machines zou Windows 2003 server geïnstalleerd worden. Enkele NT systemen die nog niet uitgefaseerd zijn kunnen naar de nieuwe omgeving gemigreerd worden. Vergeleken met scenario 1 zijn er meerdere voordelen. Het gebruik van virtuele machines voor uitwijk betekent minder downtime en met minder fysieke machines en dus meer continuïteit in de bedrijfsvoering in het geval van een calamiteit. In de OTAP-omgeving wordt een grote efficiëntieslag behaald met virtuele servers. Virtuele servers kunnen snel en eenvoudig gekopieerd worden, de verschillende omgevingen zijn identiek en de IT-medewerkers krijgen tijd voor andere werkzaamheden. Voor de IT-manager betekent dit meer productiviteit met minder hardwarekosten en mankracht. Daarnaast zijn de verschillende omgevingen volledig van elkaar afgeschermd terwijl ze op dezelfde fysiek machine draaien. Ook legacy systemen worden hardwareonafhankelijk en kunnen probleemloos op moderne hardware gedraaid worden. Op het moment waarop een keuze moest worden gemaakt was het verschijnsel server virtualisatie erg nieuw. Er was nauwelijks professionele kennis en ervaring op dit gebied binnen de IT-organisatie. Wel had men ervaring met het concept van LPAR van IBM. Verder beschikten enkele beheerders over kennis van het product Virtual PC, echter vanuit eigen hobby. Wel was er voldoende SAN kennis in huis. Om tot een weloverwogen beslissing te komen werden externe deskundigen en interne adviseurs ingeschakeld. Deze hebben verder gebruik gemaakt van op dat moment verkrijgbare relevante literatuur om zich te verdiepen in de materie van virtualisatie. Ook de twee leveranciers VMware en IBM hebben een bijdrage geleverd door toelichting te geven over de mogelijkheden van virtualisatie. Uiteindelijk werd de keuze gemaakt voor virtualisatie. De IT-manager heeft deze keuze gemaakt, puur op basis van de lage kosten. Hij realiseerde zich dat de keuze tegen het eigen beleid van het ZBO inging. Het beleid zegt dat het ZBO up-to-date moet zijn wat betreft IT-oplossingen maar niet voorop mag lopen. Dit om te voorkomen dat een instabiele “non-proven technology” tot verstoringen leidt in de bedrijfsvoering. Ook de externe deskundigen hebben het gebruik van virtualisatie afgeraden, conform het beleid.
38
Om virtualisatie te implementeren had men in die tijd de keuze uit twee oplossingen. Deze waren i/series machines die meerdere logische partities (LPAR)8 bevatten of x86 servers die gebruik maken van VMware. Overige producten zoals Microsoft Virtual PC en Xen van Linux waren toen geen optie. Xen bestond nog niet en Microsoft Virtual PC werd niet geschikt bevonden voor professioneel gebruik. Aangezien i/series servers duurder zijn dan x86 servers en VMware veel functionaliteiten bood en in die tijd al stabiel en volwassen genoeg werd bevonden, is de keuze voor VMware gemaakt. 4.5.1 Argumentatie De beoogde resultaten van de gekozen oplossing waren: -
Terugdringen complexiteit en afhankelijkheden van systemen;
-
Terugdringen beheersinspanning;
-
Hoge beschikbaarheid en continuïteit;
-
Onderdelen snel migreerbaar en aanpasbaar;
-
Kostenefficiënte ICT-infrastructuur.
Om dit te bewerkstelligen heeft de het ZBO de volgende oplossingen geïmplementeerd d.m.v. virtualisatie: -
Consolidatie i/series servers en MS Windows servers;
-
Inrichten SAN+uitwijk oftewel;
-
Volledige scheiding van de ontwikkel-, test-, acceptatie- en productieomgeving;
-
Gebruik van robuuste servers waardoor verstoringen verminderd worden.
De onderkende relaties met de primaire bedrijfsvoering zijn: -
Hoge beschikbaarheid van de primaire processen;
-
Het gebruik van robuuste servers garandeert een lage downtime en levert impliciet besparingen in de beheersfeer op;
-
Server consolidatie maakt efficiënt gebruik van resources met als gevolg kostenbesparing op het gebied van investeringen en beheer.
39
4.5.2 Kostencalculatie Kostenbesparing is het belangrijkste argument geweest dat geleid heeft tot implementatie van virtualisatie. Een nauwkeurige kostencalculatie ontbreekt vanwege de gevoeligheid van de informatie. Desondanks wordt in deze paragraaf een ruwe schatting gegeven van kosten met en zonder virtualisatie. De onderstaande schatting is gebaseerd op een totaal aantal van 30 virtuele servers op een enkele fysieke server in geval virtualisatie wordt toegepast. Case Virtuele servers 1 fysieke server + VMware licentie + overige niet Microsoft licenties TCO door flexibel beheer als gevolg van virtualisatie
Kosten € 75000,-
Case Fysieke servers 30 fysieke servers + overige niet Microsoft licenties
Kosten €150000,-
Laag
TCO door beheer fysieke server
Hoog
elke
Tabel 5. Kostenindicatie virtualisatie. De kosten van het SAN zijn bewust niet meegenomen in deze indicatie. Het SAN was al gepland bij het ZBO en zou ook zonder virtualisatie zijn aangeschaft. Dat het in beheer hebben van een SAN grote voordelen biedt in combinatie met het gebruik van VMware om uitwijk te realiseren was een mooie bijkomstigheid. 4.6 Voor- en nadelen In het inrichtingsplan heeft het ZBO ook rekening gehouden met de voor- en nadelen van de gekozen oplossingen. Door het gebruik van virtualisatie worden processor- en geheugencapaciteit zeer efficiënt benut en is het mogelijk om zowel horizontaal (meer servers per applicatie) als verticaal (meer capaciteit per server) te kunnen schalen. Dit leidt tot een hoge mate van flexibiliteit. Vooral omdat in de meeste gevallen er geen last wordt ondervonden van het uitzetten van machines. Door horizontale en verticale schaling middels virtualisatie zijn de systemen langere tijd actief en zijn de productiviteit en beschikbaarheid hoger. Verder worden door consolidatie het ruimtegebruik en het stroomverbruik beperkt. Het voordeel hiervan is dat de IT-manager minder geld hoeft uit te geven aan facilitaire aspecten. Dit werkt positief door in zijn TCO waardoor deze lager uitkomt.
40
Elke virtuele machine kan worden opgeslagen als één file, hierdoor wordt de beheersbaarheid sterk vergroot9: -
Back-ups van servers kunnen op dezelfde wijze als conventionele bestanden back-ups plaatsvinden en indien nodig teruggezet.
-
Zonder aanschaf van extra hardware en zonder een machine te configureren kan snel een server (bijvoorbeeld voor een nieuw project) operationeel worden gemaakt.
-
Het kopen, inrichten, duurtesten van de hardware en tunen van een nieuwe server kost dan geen dagen, maar hooguit enkele uren.
-
Er kan alvast een standaardserver worden klaargezet die getest is op functioneren, beveiliging, etc. Op basis van deze serverbaseline is dus snel een nieuwe server te installeren. Standaardisatie van serverconfiguraties is op deze manier eenvoudiger te realiseren.
-
Doordat een reeds geïnstalleerde server als file wordt gekopieerd op andere hardware, is op die manier heel eenvoudig van bijvoorbeeld een productieserver een kopie te maken voor andere omgevingen.
-
Er kan gewerkt worden met een virtuele server repository, hetgeen niets anders betekent dan dat alle servers als file zijn opgeslagen en overal in het netwerk geplaatst kunnen worden, zonder dat dit fysiek ingrijpen behoeft.
-
Omdat veel onderhoudswerk kan plaatsvinden zonder dat de machine uitgezet hoeft te worden wordt de downtime fors teruggebracht.
Op het moment waarop het project in gang was, heeft Gartner gewaarschuwd voor een aantal nadelen. Deze betroffen toen mogelijke server verstoringen als gevolg van “memory leaks”. Een ander aspect was dat niet alle applicaties geschikt waren om op virtuele machines te draaien. Voor de bedrijfsvoering betekende dit minder beschikbaarheid van die systemen en dus minder productiviteit voor de organisatie. Na implementatie van virtualisatie heeft ZBO kunnen vaststellen wat de echt gerealiseerde winst was. Een beknopte omschrijving van de behaalde winst is, samen met de vastgestelde voordelen, in onderstaande tabel opgenomen:
9
Zie ook de voordelen genoemd in hoofdstuk 2.
41
Behaalde winst Een flexibele, betrouwbare en beheersbare hardware oplossing. Op één fysiek machine á €4000,- tot ongeveer 50 virtuele servers actief. 1 VMware licentie per 8 CPU multiprocessor machine (verder geen verschil voor Microsoft licenties). Technisch veel volwaardigere servers. Technische afschrijving 4 à 5 jaar. Virtuele servers kunnen ook ingezet worden voor zwaarbelaste servers zoals database servers en webapplicatie servers. Machinepark overzichtelijk, bijvoorbeeld i.h.k.v. vervanging. Machines zijn eenvoudiger en sneller te kopiëren. Niet elk half jaar een nieuw type server. 7x24 beschikbaarheid. Up-to-date technologie m.b.t. virtualisatie.
Van toepassing zijnde kwaliteitsaspecten Verbetering schaalbaarheid, effectiviteit en beschikbaarheid van de hardware. Verbetering efficiëntie. Verbetering efficiëntie en effectiviteit. Verbetering effectiviteit en beschikbaarheid. Verbetering efficiëntie en effectiviteit. Verbetering efficiëntie en effectiviteit. Verbetering effectiviteit en beheersbaarheid. Verbetering flexibiliteit, efficiëntie, portabiliteit en effectiviteit. Verbetering efficiëntie en effectiviteit. Verbetering beschikbaarheid en effectiviteit. Verbetering effectiviteit en schaalbaarheid.
Tabel 6. Relatie tussen de behaalde winst en de kwaliteitsaspecten. Ook de knelpunten en nadelen zijn na de implementatie gesignaleerd. Gesignaleerde knelpunten SAN is mooi en duur, maar de virtuele schijven zijn (nog) niet flexibel genoeg. MS Windows clustering nog niet compatibel met VMware. SAP draait alleen op fysieke servers. VMware ondersteunt niet alle hardware. Geheugen is uit technisch oogpunt nog steeds de beperkende factor.
Invloed op kwaliteitsaspecten Minder flexibiliteit en effectiviteit. Minder flexibiliteit en effectiviteit. Minder effectiviteit en efficiëntie. Minder flexibiliteit, efficiëntie en effectiviteit. Minder effectiviteit en efficiëntie.
Tabel 7. Relatie tussen de knelpunten en de kwaliteitsaspecten. 4.7 Beheerorganisatie De IT manager van het ZBO gaf aan dat er gedurende het project weinig aandacht was besteed aan de impact van virtualisatie op de IT-organisatie. Dit ten onrechte, omdat er zeker aanleiding was om de organisatorische aspecten mee te nemen, gezien het volgende voorbeeld. Door de impact van virtualisatie is er een nieuwe cluster ontstaan. Beheerders van de virtualisatie software hebben in principe toegang tot alle virtuele machines. Het beheren van de virtualisatie software VMware samen met het beheer van de virtuele machines heeft functievermenging tot gevolg. Deze ongewenste situatie is opgelost door -met behoud van hetzelfde aantal medewerkers- een aparte beheercluster op te richten die zich alleen bezighoudt met VMware.
42
4.8 Informatiebeveiliging Op het SAN worden onder andere virtuele machines oftewel server configuratiebestanden opgeslagen. Het SAN is in feite het hart van nagenoeg alle virtuele oplossingen. Toegangsbeveiliging met betrekking tot het SAN en de daarop opgeslagen bestanden is daarom van essentieel belang. Dit risico is ook door het ZBO onderkend. Door getroffen technische maatregelen zijn het SAN en de opgeslagen bestanden gesegmenteerd en dus niet voor iedereen benaderbaar. Ook het aftappen is moeilijk omdat het SAN gebruik maakt van glasvezel. Verder is het beheernetwerk gescheiden van het datanetwerk. De virtualisatie software VMware ESX server was voor de meeste beheerders onbekend. Hierdoor was er een verhoogd risico op een niet-effectief en –efficiënt beheer. Dit betekende dat er een risico bestond dat beheerders te veel tijd nodig hadden om bepaalde taken op de ESX server uit te voeren. Maar ook de kans op fouten was hoog. Fouten kunnen leiden tot verstoringen maar ook tot ontsluiting van informatie door onbevoegden. Bij het ZBO gaat het om vertrouwelijke persoonsgegevens en maar ook om financiële informatie. Ook de aandacht van hackers voor virtualisatie was een reële bedreiging. Om een effectief en efficiënt beheer te voeren en op de hoogte te zijn van kwetsbaarheden en bekende aanvallen, heeft het ZBO veel aandacht besteed aan het opleiden van de medewerkers. VMware ESX biedt verder de mogelijkheid om door middel van virtuele netwerkcomponenten complexe virtuele netwerken op te zetten. Het ZBO is op dit gebied terughoudend geweest vanwege de onbeheersbaarheid die kan ontstaan. De grootste zorg was wie verantwoordelijk zou moeten worden voor alle virtuele netwerkcomponenten in de diverse virtuele netwerken. Het ZBO maakt op dit moment bewust geen gebruik van deze functionaliteit in VMware ESX server. In het volgende hoofdstuk zal deze casus getoetst worden aan Cobit.
43
5 Toepassing van Cobit op de praktijkcasus 5.1 Inleiding Van de behandelde raamwerken is Cobit m.i. het meest volledige. De bedoeling in dit hoofdstuk is om vast te stellen in hoeverre de praktijkcasus aan Cobit voldoet. Vanaf dit punt zal ik vervolgens Cobit 4.0 als uitgangspunt nemen om tot een virtualisatie raamwerk te komen. In de volgende paragraaf wordt de gehanteerde werkwijze toegelicht. Vervolgens zal de praktijkcasus uitgewerkt worden. 5.2 Werkwijze Om de hele casus aan alle Cobit processen te gaan toetsen kost enerzijds veel inspanning en tijd, terwijl anderzijds niet alle processen even relevant zijn voor het onderwerp van deze scriptie. Daarom wordt eerst een selectie gemaakt van een aantal relevante Cobit processen. Er zullen processen uit alle domeinen geselecteerd worden zodat de hele casus in beschouwing wordt genomen. De meer technisch georiënteerde IT-processen worden bewust niet in beschouwing genomen. Elk Cobit hoofdproces bestaat uit meer gedetailleerde subprocessen. De toets zal alleen gericht zijn op de opzet. Er zal gebruik worden gemaakt van 5 Cobit hoofdprocessen. Het vaststellen van het bestaan en beoordelen van de werking vallen buiten de scope van deze scriptie. Het doel van deze exercitie is om na te gaan of wij “blinde vlekken” in de praktijkcasus kunnen identificeren c.q. om aan de hand van Cobit vast te stellen in hoeverre aandacht is besteed aan relevante IT-processen tijdens het implementatietraject van virtualisatie bij het ZBO10. In het volgende hoofdstuk zal vervolgens systematisch worden toegewerkt naar een (aanzet tot een) algemeen toepasbare raamwerk dat de hele virtualisatiemanagementcyclus afdekt.
10
Het resultaat van deze oefening zegt niets over de kwaliteit van bedrijfsvoering binnen het ZBO of de IT-afdeling.
Het ZBO heeft volledig meegewerkt om de in deze scriptie gebruikte informatie te leveren. Het doel van de toetsing is dus niet om een oordeel te vormen over de bedrijfsvoering bij het ZBO, maar dient slechts als een tussenweg naar een generiek virtualisatie raamwerk. Het resultaat van de oefening dient puur vanuit educatief oogpunt te worden bezien.
44
5.3 Beoordeling van de opzet De volgende vijf geselecteerde Cobit IT-processen zijn uitgewerkt volgens het S(ituatie) P(robleem) R(isico) O(orzaak) A(anbeveling) principe. PO3 Determine technological direction that satisfies the business requirement for IT of having stable and cost-effective integrated and standard application systems, resources and capabilities that meet current and future business requirements by focusing on defining and implementing a technology infrastructure plan, architecture and standards that recognise and leverage technology opportunities. Situatie: Het ZBO heeft een Technologieplan opgesteld voor de technische infrastructuur. In dit plan wordt de technologische richting toegelicht. De verschillende technische keuzes voor de periode van 2004 tot 2008 en migratiestrategieën zijn uitgewerkt. Probleem: Geen Risico: Geen – Het risico dat IT investeringen op ad-hoc basis worden genomen is minimaal. Oorzaak: Geen Aanbeveling: Geen PO5 Manage IT investment that satisfies the business requirement for IT of continuously and demonstrably improving IT’s cost-efficiency and its contribution to business profitability with integrated and standardised services that satsify end-user expectations by focusing on effective and efficient IT investment and portfolio decisions, and by setting and tracking IT budgets in line with IT strategy and investment decisions. Situatie: Er is geen informatie ontvangen omtrent een besluitvormingproces, prioritering van IT-projecten en IT budgetteringsproces. De IT afdeling heeft wel inzicht in de huidige IT kosten. Volgens mededeling is ook de winst door virtualisatie zichtbaar en meetbaar. Probleem: Het is niet duidelijk hoe investeringen tot stand komen en of de beschikbare budgetten optimaal benut worden. Risico: De kans bestaat dat “niet winstgevende” investeringen gedaan worden of dat begrote budgetten overschreden worden waardoor de organisatie waardeverlies lijdt. Oorzaak: Er wordt geen gebruik gemaakt van een Financial Management raamwerk ten behoeve van ITinvesteringen. Aanbeveling: Stel een Financial Management model op waarin lopende en toekomstige projecten zijn opgenomen met bijbehorende kosten en begrotingen. Op deze manier is de uitputting van het budget meer inzichtelijk en kan er betere sturing plaatsvinden ten gunste van een efficiënte bedrijfsvoering. AI3 Acquire en maintain technological infrastructure that satisfies the business requirement for IT of acquiring and maintaining an integrated and standardised IT infrastructure by focusing on providing appropriate platforms for the business applications in line with the defined IT architecture and technology standards. Situatie: Er is geen informatie ontvangen omtrent acquisitieplannen. Verder is wel aandacht besteed aan de beschikbaarheid van configuratiebestanden van virtuele machines en de afscherming van deze bestanden op het SAN. Virtualisatie wordt gebruikt in de OTAP-straat om juist een goede scheiding te verkrijgen tussen de verschillende omgevingen. Volgens mededeling geschiedt het proces Change Management van virtuele machines volgens het algemene Change Management proces. Probleem: Er zijn geen richtlijnen voor de aanschaf van apparatuur en programmatuur die aansluiten op de bestaande systemen. Risico: Het ontbreken van acquisitieplannen kan leiden tot onderlinge incompatibiliteit tussen systemen en maakt het beheer complexer, wat de kans op verstoringen verhoogt. Oorzaak: Omdat technologie dynamisch is, wil het ZBO qua aanschaf van soft- en hardware flexibel zijn om de toekomstige technologische ontwikkelingen te kunnen volgen. Hierdoor is de aanschaf van gestandaardiseerde producten niet geformaliseerd. Aanbeveling: Overweeg om op hoofdlijnen toch een acquisitieplan op te stellen waarin o.a. aandacht wordt besteed aan virtualisatie en compatibiliteit met andere producten.
45
DS6 Identify and allocate costs that satisfies the business requirement for IT of transparency and understanding of IT costs and improving cost-efficiency through well-informed use of IT services by focusing on complete and accurate capture of IT costs, a fair system of allocation agreed-upon by business users, and a system for timely reporting of IT use and costs allocated. Situatie: Er is geen informatie ontvangen omtrent de koppeling van IT kosten aan bedrijfskosten en aan een kostenmodel. Probleem: Het is onduidelijk hoe de IT-middelen verdeeld zijn over de diverse diensten en hoe ze benut worden door de diverse afnemers. Risico: Het risico bestaat dat onjuiste tarieven in rekening worden gebracht aan de overige bedrijfsonderdelen. Dit kan van invloed zijn op het budget van de IT-organisatie of kan ertoe leiden dat afnemers de kosten als te hoog ervaren. Oorzaak: De IT-organisatie van het ZBO heeft alleen te maken met interne afnemers. Verleende diensten worden niet rechtstreeks verrekend met andere bedrijfsonderdelen. Aanbeveling: Voor een grotere efficiëntie en effectiviteit van de processen binnen de het ZBO is het verstandig om de kosten in kaart te brengen die gemoeid zijn met aangeboden diensten aan de afnemers. DS7 Educate and train users that satisfies the business requirement for IT of effective and efficient use of applications and technology solutions and user compliance with policies and procedures by focusing on a clear understanding of IT user training needs, execution of an effective training strategy and measurement of the results. Situatie: Het ZBO onderkent de noodzaak van trainingen en cursussen. In het geval van virtualisatie heeft het ZBO de beheerders en specialisten naar een VMware training gestuurd. Probleem: Geen Risico: Geen – Door het volgen van cursussen en trainingen hebben de beheerders de benodigde kennis vergaard om de hun werk effectief te kunnen uitvoeren. Oorzaak: Geen Aanbeveling: Geen
Tabel 8. Toepassing van een selectie van Cobit IT-processen op de praktijkcasus. 5.4 Conclusie Geconcludeerd kan worden dat tijdens het virtualisatietraject niet voldoende aandacht is besteed aan relevante Cobit IT-processen. Uit de casus blijkt dat er weinig aandacht is besteed aan financieel management, prioritering van IT-projecten en het IT budgetteringsproces. Het risico bestaat dat geïnvesteerd wordt in virtualisatie op basis van argumenten die niet in lijn zijn met de bedrijfsstrategie. Dit kan betekenen dat de investering niet dienstig is aan het behalen van de organisatiedoelstellingen en dat de organisatie helemaal geen of alleen beperkte winst haalt uit de investering. Wat betreft de aanschaf van het virtualisatie product en hardware zijn er geen acquisitieplannen aangetroffen. Het risico bestaat dat er teveel wordt betaald of dat de producten niet op een bepaalde standaard zijn gebaseerd en dus niet compatibel zijn met producten van andere fabrikanten in de huidige infrastructuur. Het gevolg hiervan is verstoringen en een lagere beschikbaarheid dan beoogd, hetgeen kan leiden tot correctieve maatregelen die weer extra uitgaven vereisen. Een andere geconstateerde tekortkoming is het ontbreken van een kostenmodel om de IT kosten te
46
koppelen aan de bedrijfskosten. Het risico bestaat dat de afnemers een te laag of te hoog tarief betalen voor de geleverde diensten. In beide gevallen is dit niet gunstig voor de aanbieder. Verder is er geen betrouwbare informatie beschikbaar waarmee sturing kan worden gegeven aan de geboden diensten en tarieven. Ook vermeldenswaardig is het feit dat virtualisatie transparant is voor de eindgebruikers. Bij een audit naar virtualisatie zal de aandacht dus met name gericht zijn op de IT aanbodkant. In het volgende hoofdstuk zal een virtualisatiemodel geïntroduceerd worden.
47
6 Virtualisatiemanagementcyclus: model en uitwerking 6.1 Inleiding In
dit
hoofdstuk
zal
op
basis
van
de
informatie
uit
de
vorige
hoofdstukken
een
virtualisatiemanagementcyclus worden ontwikkeld. Per fase in deze cyclus zullen de aandachtspunten worden aangegeven. Deze aandachtspunten worden aan de hand van Cobit, ITIL en Norea geconcretiseerd naar een algemeen toepasbare virtualisatie raamwerk. Ook zullen de relevante kwaliteitsaspecten worden aangegeven. 6.2 Uitgangspunten De volgende uitgangspunten [36] zullen worden gehanteerd bij het opstellen en uitwerken van de virtualisatiemanagementcyclus. -
De voornaamste redenen om in virtualisatie te investeren zijn betere benutting van hardware, vermindering van hardware en onderhoudskosten van minimaal 30% en vermindering van softwarelicentiekosten;
-
Virtualisatie biedt de mogelijkheid om servers te migreren zonder dat er onderbreking plaatsvindt. De beschikbaarheid wordt verhoogd vanwege een vermindering van geplande downtime voor onderhoud. Hierdoor neemt ook de productiviteit van de IT-afdelingen toe;
-
Door gebruik te maken van een gemeenschappelijke opslagfaciliteit (SAN) wordt de flexibiliteit geschapen om op een willekeurig fysieke server een virtuele machine op te starten. Hierdoor verloopt ook het op- en afbouwen van verschillende omgevingen snel, waardoor de productiviteit omhoog gaat en de kosten voor ontwikkeling, test en disaster recovery afnemen. Om ongeplande downtime op te vangen kan virtualisatie een oplossing bieden in de vorm van high-availability waarbij met behulp van minder hardware automatische recovery plaatsvindt;
-
Virtualisatie maakt het disaster recovery proces minder complex en arbeidsintensief. Vooral bij veel gebruikte besturingsystemen zoals Windows en Linux is dit een pluspunt.
6.3 Virtualisatiemanagementcyclus De virtualisatiecyclus is tot stand gekomen als synthese van de kernpunten uit de vorige hoofdstukken. Analoog aan de managementcyclus in hoofdstuk 3 kan specifiek voor het virtualisatietraject ook een cyclus worden opgesteld. De belangrijkste fasen die expliciet genoemd worden in de virtualisatiecyclus
48
komen voornamelijk voort uit de praktijkcasus in hoofdstuk 4. Hierbij is ook rekening gehouden met de mogelijke toepassingen van virtualisatie en aandachtspunten vermeld in hoofdstuk 2 en 3. De aanleiding tot virtualisatie vloeit voort uit de business-IT alignment eisen en bedrijfsdoelstellingen. In dit specifieke geval gaat het erom dat IT op een efficiënte en effectieve wijze de business ondersteunt. De aandachtspunten hierbij zijn de bedrijf- en IT-strategie en het IT-beleid. Nadat de IT-manager onderkend heeft dat er geïnvesteerd dient te worden in IT om de efficiëntie en effectiviteit van IT - en dus van de business - te verbeteren, vindt er een vooronderzoek plaats. Dit vooronderzoek kan in principe breed zijn. De huidige TCO, prestaties van afdelingen en benutting van serverprocessorcapaciteit en bijbehorende knelpunten dienen eerst in kaart te worden gebracht. Ook de principes, voor- en nadelen van de verschillende virtualisatie producten worden in deze fase geanalyseerd.
6. Evaluatie & monitoring
1. Business behoefte
5. Beheer & exploitatie
4. Acquisitie & implementatie
2. Vooronderzoek
3. Besluitvorming
Figuur 7. De virtualisatiemanagementcyclus met onderkende relevante fasen.
49
Voorafgaande aan een beslissing wordt een business case opgesteld. Deze bevat onder meer een kostenanalyse, impactanalyse op de bestaande systemen en organisatie, gemoeide risico’s, verwachte ROI en verwachte niet-financiële baten. De totstandkoming van de definitieve besluitvorming is ook een punt van aandacht. Hierbij spelen de bevoegdheden en prioritering van investeringen een rol. De business case dient als input voor de aanschaf van soft- en hardware. Er worden offertes aangevraagd en vergeleken waarna er keuzes worden gemaakt voor producten en leveranciers. Na aanschaf worden zowel soft- als hardware geconfigureerd en geïnstalleerd. Doorlooptijd en budget zijn essentieel in deze fase. Niet minder belangrijk is om de gebruikers op te leiden in de bediening en het gebruik van de nieuwe systemen. Op het gebied van beheer zijn wijzigingsbeheer, versiebeheer, licentiebeheer, capaciteitsbeheer, autorisatiebeheer en back-up & recovery van belang. Ook de bestede uren aan opdrachten, gemaakte kosten en de kwaliteit van de dienstverlening zijn relevante aspecten. Een bijkomend punt van aandacht is de informatiebeveiliging van de configuratiebestanden van de virtuele machines. Verder is het van belang dat de nodige functiescheiding is aangebracht binnen de beheerorganisatie. Beheerders van de virtualisatielaag en de virtuele machines dienen gescheiden te zijn van beheerders van het besturingssysteem en applicatie. In de monitoring- en evaluatiefase wordt geanalyseerd of de beoogde baten door middel van virtualisatie zijn gehaald. Hierbij gaat het om zowel financiële als niet-financiële zaken. In het geval van virtualisatie gaat het hier voornamelijk om de kwaliteitsaspecten efficiëntie, effectiviteit, vertrouwelijkheid, integriteit en beschikbaarheid. Verder wordt ook gekeken in hoeverre aan de service levels wordt voldaan. Elke fase is verder uitgewerkt door gebruik te maken van Cobit [33], ITIL [35], Norea geschrift no.1 [31] en de onderkende nadelen/knelpunten in de vorige hoofdstukken. Alleen de virtualisatiespecifieke aandachtspunten zijn genoemd.
50
Business behoefte ITstrategie IT-beleid
Vooronderzoek
Besluitvorming
Kennis vergaren
Business case
Marktanalyse
Projectprioritering Bevoegdheden Risicoanalyse
Inzicht TCO Identificeren knelpunten
Acquisitie en implementatie Aanschaf middelen
Beheer en exploitatie Organisatie
Training en opleiding
Wijzigingsbeheer
Evaluatie en monitoring Kostenbaten analyse Prestatieanalyse
Standaardisatie Migratie
Kostenbeheer Versiebeheer
Audits SLA
Impactanalyse Kosten/batenanalyse
Capaciteitsbeheer Autorisatiebeheer Licentiebeheer Back-up & restore Patch - en release beheer Informatiebeveiliging
Tabel 9. Fasen van de virtualisatiecyclus met onderliggende aandachtsgebieden. Het is aan de IT-auditor om zijn/haar deskundigheid te gebruiken om de link te leggen met andere ITprocessen. In tabel 9 staat een overzicht van alle fasen uit de virtualisatiemanagementcyclus en de onderliggende risicovelden. 6.4 Uitwerking virtualisatiemanagementcyclus De opzet van het virtualisatie raamwerk is als volgt. In de eerste kolom wordt het aandachtspunt vermeld waarna in de tweede kolom mogelijke risico’s worden uitgestippeld. In de derde kolom worden richtlijnen gegeven gerelateerd aan het aandachtspunt en bijbehorende risico’s. In de laatste kolom staan de kwaliteitsaspecten die van toepassing zijn.
51
Fase virtualisatiecyclus Business behoefte IT-strategie en –beleid.
Vooronderzoek Kennisvergaring
Marktanalyse
Inzicht TCO
Identificeren knelpunten
Risico
Richtlijnen
Kwaliteitsaspecten
Indien er geen duidelijk en actueel IT-beleid en ITstrategie zijn, of deze zijn niet bekend binnen de ITorganisatie bestaat enerzijds de kans dat verkeerde ITinvesteringen worden gestart die geen toegevoegde waarde hebben voor de organisatie. Anderzijds kunnen ITmanagers kansen voorbij laten gaan omdat ze niet op de hoogte zijn van de business behoefte.
IT managers dienen op de hoogte te zijn van de technologische ontwikkelingen. Zij dienen kansen te identificeren die in lijn zijn met de ITstrategie en IT-beleid om de bedrijfsdoelstellingen te realiseren. De IT-strategie en IT-beleid dienen actueel en bekend te zijn bij de ITmanager. De doelstellingen die aanleiding zijn tot het initiëren van een IT-project dienen aan te sluiten op de IT-strategie en IT-beleid en dienen duidelijk te zijn geformuleerd.
Effectiviteit, efficiëntie.
Bij initiëren van een project zonder enige kennis of vooronderzoek van de mogelijkheden van virtualisatie bestaat de kans dat op basis van onjuiste uitgangspunten een bepaalde investering wordt gedaan die op termijn geen winst oplevert voor de organisatie. Door het ontbreken van kennis omtrent beschikbare virtualisatieproducten op de markt bestaat de kans dat niet voor de meest bruikbare of een gestandaardiseerde oplossing wordt gekozen. Het risico bestaat dat het product niet compatibel is met bestaande en overige systemen of dat het product niet voorzien is van alle gewenste functionaliteiten. Dit kan leiden tot verstoringen en extra investeringen vanwege van correctieve maatregelen. Zonder kennis van de huidige TCO is het moeilijk om te sturen op efficiëntie. Een mogelijke investering in virtualisatie zou niet de gewenste efficiëntie opleveren door dit gebrek aan inzicht. Indien de IT-manager geen inzicht heeft in de technische, organisatorische of financiële knelpunten bestaat het risico dat het project tussentijds wordt gestaakt waardoor de organisatie toch enig verlies lijdt.
De IT-manager dient zich te verdiepen in de techniek van virtualisatie of kan zich laten informeren door specialisten wat virtualisatie inhoudt en wat de mogelijke toepassingen zijn.
Effectiviteit.
De IT-manager dient zorg te dragen dat informatie wordt ingewonnen bij meerdere leveranciers zodat de mogelijkheden en tekortkomingen van alle relevante producten in kaart worden gebracht.
Effectiviteit.
De IT-manager dient inzicht te hebben in de huidige TCO. Hij dient op de hoogte te zijn van de verschillende kosten die deel uitmaken van de TCO. Hierbij hoort ook de huidige benutting van de processorkracht van alle servers.
Effectiviteit, efficiëntie.
De IT-manager dient tijdig eventuele knelpunten die de implementatie van virtualisatie met zich meebrengt te onderkennen. Ook dient hij te onderzoeken hoe deze knelpunten opgelost kunnen worden.
Effectiviteit.
52
Fase virtualisatiecyclus Besluitvorming Risicoanalyse
Impactanalyse
Kosten/batenanalyse
Business case
Bevoegdheden
Risico
Richtlijnen
Kwaliteitsaspecten
De implementatie van virtualisatie brengt risico’s met zich mee die de andere kwaliteitsaspecten zoals vertrouwelijkheid, integriteit en beschikbaarheid kunnen aantasten. De implementatie van virtualisatie kan impact hebben op de bestaande systemen of op de organisatie. Dit kan leiden tot verstoringen of onduidelijkheid in werkprocedures en de taakverdeling. Zonder een degelijke kostenanalyse is het onduidelijk of de investering in virtualisatie besparing zal opleveren en ook hoeveel deze besparing bedraagt. Het risico bestaat dat het project niet wordt goedgekeurd omdat het geen draagvlak heeft of dat na de investering geen besparing wordt behaald. Door het ontbreken van een business case is het moeilijk te beoordelen of een project een toegevoegde waarde heeft voor de organisatie. Het risico bestaat dat IT-projecten die van betekenis zijn worden afgekeurd vanwege de business case of dat anderzijds business cases onterecht worden goedgekeurd die achteraf geziengeen toegevoegde waarde hebben. Zonder duidelijke verdeling van bevoegdheden kunnen verkeerde beslissingen worden genomen inzake ITinvesteringen binnen een organisatie. Dit kan ertoe leiden dat verlies wordt geleden.
De IT-manager dient een risicoanalyse te laten uitvoeren om alle risico’s in kaart te brengen en om de nodige maatregelen te treffen.
Beschikbaarheid, vertrouwelijkheid, integriteit, controleerbaarheid, effectiviteit en efficiëntie.
De IT-manager dient te laten onderzoeken wat voor impact virtualisatie heeft op de bestaande systemen en organisatie.
Allemaal.
Er dient een kosten/batenanalyse plaats te vinden. Tenminste de financiële baten dienen meegenomen te worden in deze analyse. Er dient gebruik te worden gemaakt van een kapitaalbudgetteringsmethode. Een veel gebruikte methode is de ROI.
Effectiviteit, efficiëntie.
Er dient een degelijke business case aanwezig te zijn. In de business case dienen alle voor- en nadelen te zijn vermeld en ook wat de beoogde winst zal zijn. Ook zaken zoals doorlooptijd, impactanalyse, risicoanalyse en de gemoeide projectkosten maken onderdeel uit van de business case.
Effectiviteit.
Alleen deskundige functionarissen dienen bevoegdheid te hebben om beslissingen te neme inzake ITinvesteringen. Zij dienen op de hoogte te zijn van het IT-beleid en van de mogelijkheden van virtualisatie.
Effectiviteit, efficiëntie
53
Fase virtualisatiecyclus Prioritering projecten
Acquisitie & implementatie Aanschaf van middelen
Standaardisatie
Migratie
Training en opleiding
Beheer & exploitatie Organisatie
Risico Door het ontbreken van een prioriteringsmechanisme voor IT-investeringen kunnen de verkeerde projecten prioriteit krijgen waardoor er kansen gemist worden en de organisatie de aansluiting mist met de ontwikkelingen. Ook bestaat het risico dat te dure IT-investeringen worden gedaan waar virtualisatie ook had gekund.
Richtlijnen Het virtualisatie investeringsproject dient onderdeel te zijn van een ITportfolio. De IT-strategie en IT-beleid zijn leidend voor de IT portfolio, in die zin dat projecten juist worden geïdentificeerd en de correcte prioritering krijgen. Bij de goedkeuring en prioritering van projecten dient rekening te worden gehouden met het beschikbare budget, de ROI, niet-financiële baten en aanvaarde risico’s. Inzicht in de huidige beheer- en exploitatiekosten en de IT- portfolio dient hier als input.
Kwaliteitsaspecten Effectiviteit, efficiëntie.
Zonder duidelijke procedures omtrent de aanschaf van middelen bestaat het risico dat teveel geld wordt uitgegeven aan virtualisatie gerelateerde investeringen. Indien gebruik wordt gemaakt van niet-gestandaardiseerde producten bestaat het risico dat systemen niet compatibel zijn met elkaar. Dit kan leiden tot verstoringen en extra investeringen. Een mix van fysieke en virtuele servers zonder enige logische structuur kan leiden tot onoverzichtelijkheid en onnodige complexiteit. Hierdoor kunnen door menselijke vergissingen de verschillende kwaliteitsaspecten worden aangetast. Het niet kunnen bedienen van de nieuwe soft- en hardware leidt tot fouten welke invloed kunnen hebben op de verschillende kwaliteitsaspecten.
Acquisitie van virtualisatie software en bijbehorende hardware dient te geschieden d.m.v. een offerteprocedure.
Efficiëntie.
Zowel voor soft- als hardware geldt dat er gebruik gemaakt dient te worden van gestandaardiseerde producten of “proven technology”. De organisatie dient te bewaken dat leverancieronafhankelijkheid gewaarborgd blijft. Er dient een migratiestrategie beschreven te zijn. Deze migratiestrategie dient bekend te zijn binnen de organisatie en dient ook nageleefd te worden.
Effectiviteit, efficiëntie, beschikbaarheid.
Medewerkers die belast zijn met het beheer van de virtualisatiesoftware, de SAN en de servers dienen trainingen te gaan volgen.
Effectiviteit, integriteit, vertrouwelijkheid, beschikbaarheid.
Indien in de beheerketen beheerders meerdere taken uitvoeren waarbij ook nog alle bevoegdheden binnen één functie ligt, kan dit leiden tot functievermenging. Het gevolg is dat misbruik kan worden gemaakt van de systemen zonder dat dit te achterhalen is. Er is geen “tegengesteld belang” in de keten aanwezig om een adequaat AO/IC te waarborgen.
Er dient functiescheiding te zijn tussen het beheer van de virtuele machines en het beheer van het guest besturingssysteem en bijbehorende applicatie op de virtuele servers.
Integriteit, beschikbaarheid, vertrouwelijkheid.
Effectiviteit, integriteit, vertrouwelijkheid, beschikbaarheid.
54
Fase virtualisatiecyclus Wijzigingsbeheer
Kostenbeheer
Versiebeheer
Capaciteitsbeheer
Autorisatiebeheer
Licentiebeheer
Risico Het onbeheerst aanmaken van virtuele machines leidt tot onoverzichtelijkheid wat het beheer niet ten goede komt. Hierdoor kunnen fouten worden gemaakt waardoor de BIV kwaliteitsaspecten worden beïnvloed. Door de portabiliteit van virtele machines kan met weinig inspanning complete servers worden verplaatst. Dit is ook een risico bij onbeheerst transport van virtuele servers naar de productieomgeving. Geen inzicht hebben in de aanschaf en beheerkosten na implementatie van virtualisatie maakt het onmogelijk om te bepalen of virtualisatie het gewenste effect heeft gehad en maakt sturing ook onmogelijk. Hierdoor wordt een gekleurd beeld geschapen van de investering. Het niet inzichtelijk hebben van de verschillende versies van virtuele machines kan leiden tot wildgroei van virtuele machines. Het gevolg hiervan is dat verkeerde versies gebruikt worden waardoor de BIV aspecten aangetast worden. Als er niet voldoende aandacht wordt besteed aan beschikbare en benutte capaciteit bestaat het risico dat kritieke servers tekortkomen aan capaciteit, hetgeen de beschikbaarheid aantast. Beheerders die toegang hebben tot server of data van anderen kunnen de BIV aspecten aantasten. Het gebruik van software zonder zich aan de licentievoorwaarden te houden kan leiden tot boetes.
Richtlijnen Er dienen duidelijke procedures te zijn beschreven betreffende de aanvraag, aanmaak, transport en beheer van virtuele servers. Logging en controle op naleving zijn essentieel in dit geval om het wijzigingsbeheer proces te ondersteunen.
Kwaliteitsaspecten Integriteit, beschikbaarheid, vertrouwelijkheid.
Stel een financieel model op om de gemaakte kosten die gemoeid zijn met de invoering van virtualisatie en het beheer bij te houden.
Effectiviteit, efficiëntie.
Speciale aandacht dient te worden besteed aan versiebeheer van de configuratiebestanden van de virtuele machines. Er dienen beschreven procedures te zijn om te waarborgen dat de juiste versies gebruikt worden en dat oude versies buiten gebruik gesteld worden.
Integriteit, beschikbaarheid, vertrouwelijkheid.
De processorcapaciteit van fysieke – en virtuele servers dient voortdurend gemonitord te worden. Voor kritische servers is automatische dynamisch toewijzing van meer capaciteit zelfs aan te raden.
Beschikbaarheid.
Er dient gebruik te worden gemaakt van autorisaties om toegang tot de verschillende virtuele machines te beheersen. Hierbij hoort ook de scheiding van de diverse omgevingen. Er dient aandacht te worden besteed aan licenties van besturingsystemen en applicaties. Hierbij speelt het principe van één licentie per fysieke CPU een belangrijke rol.
Integriteit, beschikbaarheid, vertrouwelijkheid. Efficiëntie.
55
Fase virtualisatiecyclus Back-up & restore
Patch- en releasebeheer
Informatiebeveiliging
Evaluatie & monitoring Kosten/batenanalyse
Prestatieanalyse
SLA
Audits
Risico Door het ontbreken van actuele back-up data en virtuele machines is het restoren of recovery onmogelijk waardoor de continuïteit van bedrijfsvoering wordt verstoord. Het niet up-to-date houden van de virtualisatiesoftware kan lekken in deze softwarelaag in stand houden welke door onbevoegden misbruikt kunnen worden. Virtuele machines zijn in feite “platte” bestanden en worden ook als bestanden opgeslagen. Het kopieren van een complete server kan met weinig inspanning wordne gedaan. Ongeautoriseerd toegang tot deze bestanden kan dus van invloed zijn op de verschillende kwaliteitsaspecten.
Richtlijnen Net als andere digitale gegevens dienen ook van virtuele machines regelmatig back-ups gemaakt te worden.
Kwaliteitsaspecten Beschikbaarheid.
Besteed aandacht aan patch- en releasebeheer. Volg de richtlijnen van de leverancier om eventuele kwetsbaarheden tijdig te elimineren.
Integriteit, beschikbaarheid, vertrouwelijkheid.
Bestanden die betrekking hebben op virtuele machines – in feite de virtuele machines zelf - dienen veilig opgeslagen te worden. Alleen geautoriseerde medewerkers mogen toegang krijgen tot deze bestanden. Autorisatiebeheer en wijzigingsbeheer dienen het proces van informatiebeveiliging te ondersteunen.
Integriteit, vertrouwelijkheid, beschikbaarheid.
Het niet monitoren van financiële baten maakt sturing en meting van de effectiviteit van virtualisatie onmogelijk. Het gevolg is dat er op basis hiervan foute beslissingen verder worden genomen omtrent (vervolg) ITinvesteringen. Het ontbreken van inzicht in de niet-financiële baten kan leiden tot een onjuiste beoordeling van de investering in virtualisatie, hetgeen tot verkeerde beslissingen kan leiden. Het bieden van diensten tegen te lage of te hoge kosten kan nadelig zijn voor de organisatie. De IT-organisatie lijdt verlies of de afnemers stappen over naar een goedkopere aanbieder. Ook het niet kunnen nakomen van afspraken in SLA kan tot boetes leiden. Het niet toetsen van de ITorganisatie kan tot gevolg hebben dat onvolkomenheden ongemerkt blijven en dat de kwaliteitsaspecten aangetast worden.
Regelmatig dient een analyse te worden gemaakt van de beoogde besparingen en de werkelijke besparingen.
Efficiëntie.
Duidelijke performance indicatoren dienen gedefinieerd te zijn om na te gaan of de beoogde doelstellingen zijn behaald.
Effectiviteit.
Periodiek dienen de SLA’s geanalyseerd en indien noodzakelijk geactualiseerd te worden.
Effectiviteit, efficiëntie.
Voer regelmatig audits uit om na te gaan of het IT- management effectief is geweest en of virtualisatie het beoogde resultaat heeft opgeleverd.
Allemaal.
Tabel 10. Uitwerking virtualisatiemanagementcyclus.
56
6.5 Afsluiting In dit hoofdstuk is een model geïntroduceerd aan de hand van de informatie uit de voorgaande hoofdstukken. Deze virtualisatiemanagementcyclus is vervolgens verder in detail uitgewerkt. Het model kan als hulpmiddel gebruikt worden bij een onderzoek naar virtualisatie. In het volgende hoofdstuk zal deze scriptie worden afgesloten met beantwoording van de deelvragen en de probleemstelling uit hoofdstuk 1.
57
7 Conclusie en reflectie Conclusies deelvragen Server virtualisatie is een veelbelovend concept waarvan de toepassing alleen maar zal toenemen in de komende tijd. Deze techniek maakt het mogelijk om meerdere softwarematige “virtuele” servers op één fysieke server te draaien en op deze manier de resources optimaal te benutten. De voornaamste reden om virtualisatie te implementeren is om een lage total cost of ownership te behalen. Virtualisatie is niet gebonden aan specifieke toepassingen. De techniek heeft betrekking op de technische infrastructuur met als gevolg dat procedures en processen rondom de technische infrastructuur positief beïnvloed worden. Dit betekent dat er in de IT-organisatie efficiënter en effectiever gewerkt kan worden dankzij virtualisatie. Om het virtualisatietraject beheerst te laten verlopen kan gebruik worden gemaakt van de IT-governance principes. Een belangrijk onderdeel van IT-governance, dat meer gericht is op tactisch en operationeel gebied, is IT-management. Een geschikte manier om IT-management te beheersen is door de toepassing van een managementcyclus. Een bestaand raamwerk dat in principe bruikbaar zou moeten zijn voor het virtualisatietraject is Cobit 4.0. Binnen de overheid wordt onder andere bij een ZBO virtualisatie toegepast. Deze organisatie onderkent dat virtualisatie efficiëntievoordelen oplevert. Desondanks dient het hele traject zorgvuldig te geschieden en niet worden onderschat. Een eventuele stap terug van een “virtualisatie omgeving” naar een traditionele situatie met alleen fysieke servers bijvoorbeeld, zal veel kosten met zich brengen. Een toetsing van de praktijkcasus van het ZBO aan een subset van Cobit processen, levert als resultaat op dat de beschreven casus niet aan Cobit voldoet. Beantwoording probleemstelling Omdat Cobit te generiek is, heb ik een virtualisatiemanagementcyclus ontwikkeld. De verschillende fasen in de cyclus geven antwoord op de probleemstelling die luidt:
Welke aandachtspunten zijn bij de toepassing van virtualisatie vanuit IT-auditperspectief relevant voor het IT-management?
58
Hoe aantrekkelijk de verhalen over virtualisatie ook klinken, de “trigger” moet direct of indirect vanuit de business komen. Om preciezer te zijn past virtualisatie goed bij organisaties die efficiënter willen werken. Het eerste aandachtspunt is dus de reden, vanuit de business gezien, om virtualisatie te overwegen. Er zijn verschillende virtualisatieproducten op de markt. Deze producten verschillen van elkaar zowel in prestatie als in kosten. Een gedegen vooronderzoek naar de huidige systemen en mogelijkheden van de virtualisatieproducten is onontbeerlijk. Veranderingen brengen nieuwe risico’s met zich mee. Naast een gedetailleerde kosten/batenanalyse van de investering in virtualisatie, dienen ook een risico- en impactanalyse plaats te vinden. Het definitieve besluit tot de implementatie van virtualisatie dient zorgvuldig te gebeuren rekeninghoudend met overige projectvoorstellen, relevantie voor de organisatie, alternatieve oplossingen en het beschikbare budget. Niet minder belangrijk is de aanschaf van hard- en software. Hierbij dient niet alleen aandacht te worden besteed aan de kwaliteit en functionele mogelijkheden van de hard- en software, maar ook aan de kosten. Eenmalige kosten en onderhoudskosten kunnen worden onderscheiden. De beoogde winst in efficiëntie en effectiviteit door middel van virtualisatie wordt op tactisch en operationeel gebied gerealiseerd. De toepassing van virtualisatie helpt de tactische en operationele ITIL processen te optimaliseren. Naast de tactische en operationele ITIL processen, verdient ook beveiliging van de virtuele machines de nodige aandacht. Door de portabiliteit van complete virtuele servers verdienen vooral informatiebeveiliging, autorisatiebeheer en wijzigingsbeheer de meeste aandacht, om te waarborgen dat de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid niet aangetast worden. Meestal wordt gebruik gemaakt van een SAN waarop de virtuele machines opgeslagen worden. Er dient aandacht te worden besteed aan de beveiliging van het SAN. Omdat beheerders van virtuele machines toegang hebben tot alle virtuele machines is het noodzakelijk functiescheiding te brengen tussen beheer virtualisatielaag, beheer besturingssysteem en applicatiebeheer. De virtualisatielaag is een software wat betekent dat het hackergevoelig is. Speciale aandacht dient te worden besteed aan mogelijke kwetsbaarheden van virtualisatieprogrammatuur en de kant-en-klare appliances die gedownload en geïnstalleerd kunnen worden op virtuele machines. Deze appliances kunnen kwaadaardige code bevatten. Om de cyclus rond te maken dienen regelmatig evaluaties en audits plaats te vinden, zodat er bijsturing plaats kan vinden om de beoogde doelen te realiseren. De toepassing van virtualisatie is in principe ter verbetering van de kwaliteitsaspecten efficiëntie en
59
effectiviteit. Doordat de virtualisatietechniek de technische infrastructuur raakt, zijn de overige kwalititeitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit net zo belangrijk. Reflectie auteur De IT-auditor kan in principe breed ingezet worden in een virtualisatietraject. Hij kan adviseren in de initiële fase die bepalend is voor de investering. Onderwerpen die in deze fase van belang zijn betreffen de aanleiding tot virtualisatie, beoogde waardecreatie voor de organisatie, impact van virtualisatie op de huidige omgeving en pakketselectie. Ook bij het implementatietraject kan de IT-auditor toegevoegde waarde hebben. In deze fase is het echter van belang dat hij hands-on ervaring heeft met het inrichten van dergelijke omgevingen. Hier is naast de rol van adviseur ook de rol van consultant een mogelijkheid. In de attestfunctie kan de IT-auditor in alle fasen van de hele virtualisatiemanagementcyclus actief zijn. De praktijk leert echter dat de IT-auditor meestal pas in de laatste fase wordt betrokken, namelijk in de fase van evaluatie en monitoring. Een audit van bijvoorbeeld de totstandkoming van het besluit zou niet misstaan in de rol van de IT-auditor. Doordat er sprake is van een hogere efficiëntie bestaat het gevaar dat alleen naar dat kwaliteitsaspect wordt gekeken bij de besluitvorming. De IT-auditor zou dan beoordelen of voldoende aandacht is besteed aan nieuwe risico’s op het gebied van de “traditionele” kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit. De doorsnee IT-auditor komt in de praktijk de kwaliteitsaspecten efficiëntie en effectiviteit weinig tegen. Om iets te zeggen over kostenefficiëntie dient de IT-auditor over voldoende bedrijfseconomische kennis te beschikken. Verder kan de IT-auditor voorafgaand aan het audittraject een rol spelen door te helpen de performance indicatoren te definiëren om de effectiviteit en de efficiëntie van de virtualisatie investering te toetsen. Wel dient hij hierbij te waken voor een vermenging van de advies- en de auditrol en dient hij verwachtingen dienaangaande op de juiste wijze te communiceren. De totstandkoming van deze scriptie is voor mij leerzaam geweest. Hoewel ik een technische achtergrond heb, diende ik –mede om de leesbaarheid voor mensen met een andere achtergrond- het gebruik van al te technische termen zoveel mogelijk te vermijden. Om deze stap te maken heb ik gebruik gemaakt van Cobit en ITIL. Verder heb ik me verdiept in de onderwerpen IT-governance en IT-management. Wel lastig was het feit dat er tot heden weinig is gepubliceerd over virtualisatie en IT-auditing. Het onderwerp was interessant maar misschien te nieuw en omvangrijk voor zo’n korte periode. Uiteindelijk ben ik zeer tevreden over dit eindproduct en hoop hiermee een bijdrage te hebben geleverd aan het vakgebied.
60
Geraadpleegde bronnen [1] De grote migratie naar virtualisatie, Computable, 20 Oktober 2006. [2] www.gartner.com [3] Vermeulen, P., Computable 100 Special, 2007. [4] Roos Lindgreen, E., Fijneman, R., Veltman, P., Grondslagen IT-auditing, Academic Service, 2005. [5] Otey, M., Virtualization Technologies, Windows IT Pro, Oktober 2006. [6] Murris, I., CDG Europe, Heliview seminar, 22 maart 2006. [7] Wolf, C., Halter, E.M., Virtualization: from the desktop to the enterprise, Apress, 2005. [8] www.dell.com [9] www.microsoft.com [10] www.computable.nl [11] www.hp.com [12] www.novell.com [13] Gordts, F., Dossier Virtualisatie, PC Magazine, December 2006. [14] Marshall, D., Reynolds, W.A., McCrory, D., Advanced Server Virtualization, Auerbach Publications, 2006. [15] Van Veen, E., Symantec, Heliview seminar, 22 maart 2006. [16] Offerman, A., Virtualisatie, Computable, 13 oktober 2006. [17] Oglesby, R., Herold, S., VMware ESX Server, Brian Madden, 2005. [18] www.vmware.com [19] Laudon, K.C., Laudon, J.P., Bedrijfsinformatiesystemen, Prentice Hall, 2006. [20] Whitepaper VMware, Reducing Server Total Cost of Ownership with VMware Virtualization Software. [21] Whitepaper VMware, Making Your Business Disaster Ready with Virtual Infrastructure. [22] Whitepaper VMware, Accelerate Application Development, Testing and Deployment with VMware Software. [23] Auteur, Bull, Heliview seminar, 22 maart 2006. [24] Norea, IT-governance: een verkenning, 2004. [25] Scheffel, ir. P.F.L., Het doel, de weg en de rugzak: een gids voor praktisch ICT service management, Van Haren Publishing, 2004. [26] Van Grimbergen, prof.dr. W., De Haes, S., IT Governance mechanismen, Kluwer, 2004. [27] Oudega, R., Vankan, G.J.W.C., Manage (and Audit) your IT as a Business ?, Compact & ICTauditing, 25 jaar jubileumuitgave. [28] Algemene Rekenkamer, Grip op informatievoorziening, governance bij ministeries, Tweede Kamer, 2005-2006.
61
[29] Rechter, B., Virtualisatie en de IT-auditor, de EDP-Auditor, nummer 3, 2005. [30] Van Biene-Hershey, M.E., IT Auditing: An Object Oriented Approach, Delwel, 1996. [31] Norea, IT-auditing aangeduid, NOREA geschrift nummer 1, juni 1998. [32] Van Praat, J., Suerink, H., Inleiding EDP-auditing, tenHagenStam, 2004. [33] IT Governance Institute, Cobit 4.0, 2005. [34] Gartner Report, G00144S43, December 2006. [35] ITSMF, Foundations of IT Service Management op basis van ITIL, 2006. [36] Rutkowska, Joanna, Virtualization: the other side of the coin, presentatie NLUUG Virtualisatie voorjaarsconferentie, 10 mei 2007.
62
Bijlage A1 De vijf componenten van IT-governance
63
Bijlage A2 Beschrijvingskader IT-governance bij ministeries
64
65
66
IT Goals (zie Business goals Financial
Return
perspective
investment
B2) on
Optimise
24 asset
utilisation Manage
14
Offer
perspective
products
x
x
business
risks
Customer
x
2
14
17 18 19 20 21 22
x
5
24
7
8
10 24
x
7
8
13 15 24
x
7
8
11 13
x
x
5
25
28
x
x
x
x
x
x
competitive and
services
x
x
Cost optimisation of service delivery
Internal
Lower
perspective
costs
process
Improve
and
maintain operational
and
staff productivity
Learning
and Product/business
growth
innovation
perspective Acquire
and
maintain skilled and motivated personnel
9
67
reliability
compliance
availibility
integrity
confidentiality
effectiveness
efficiency
Bijlage B1 Business goals gekoppeld aan IT goals en kwaliteitsaspecten
Bijlage B2 IT Goals gekoppeld aan de Cobit processen IT Goals
Cobit processes
Respond to governance requirements in line with board 2 direction
PO1
PO4
PO10
ME1
5 Create IT agility
PO2
PO4
PO7
AI3
PO3
AI2
AI5
8 infrastructure
AI3
AI5
9 Acquire and maintain IT skills that respond to the IT strategy
PO7
AI5
ME3
Acquire and maintain integrated and standardised application 7 systems Acquire and maintain integrated and standardised IT
10 Ensure mutual satisfaction of third party relationships
DS2
Seamlessly integrate applications and technology solutions 11 into business processes
PO2
AI4
AI7
13 technology solutions
PO6
AI4
AI7
DS7
DS8
14 Account for and protect all IT assets
PO9
DS5
DS9
DS12
ME2
15 Optimise the IT infrastructure, resources and capabilities
PO3
AI3
DS3
DS7
DS9
17 Protect the achievement of IT objectives
PO9
DS10
ME2
PO6
DS5
DS11
PO6
AI7
DS5
21 recover from failures due to error, deliberate attack or disaster PO6
AI7
DS4
DS5
PO6
AI6
DS4
DS12
PO5
AI5
DS6
PO8
PO10
PO5
DS6
Ensure proper use and performance of the applications and
Establish clarity of business impact of risks to IT objectives 18 and resources
PO9
Ensure critical and confidential information is withheld from 19 those who should not have access to it
DS12
Ensure automated business transactions and information 20 exchanges can be trusted Ensure IT services and infrastructure can properly resist and DS12
DS13
Ensure minimum business impact in the event of an IT 22 service disruption or change Improve IT's cost-efficiency and its contribution to business 24 profitability Deliver projects on time and on budget meeting quality 25 standards Ensure that IT demonstrates cost-efficient service quality, 28 continuous improvement and readiness for future change
ME1
ME3
68
ME2
Bijlage B3 De Cobit processen uit bijlage B2 uitgeschreven PO1
Define a strategic IT plan
PO2
Define the information architecture
PO3
Determine technological direction
PO4
Define the IT processes, organisation and relationships
PO5
Manage the IT investment
PO6
Communicate management aims and direction
PO7
Manage IT human resources
PO8
Manage quality
PO9
Assess and manage IT risks
PO10
Manage projects
AI2
Acquire and maintain application software
AI3
Acquire and maintain technology infrastructure
AI4
Enable operation and use
AI5
Procure IT resources
AI6
Manage changes
AI7
Install and accredit solutions and changes
DS3
Manage performance and capacity
DS4
Ensure continous service
DS5
Ensure systems security
DS6
Identify and allocate costs
DS7
Educate and train users
DS8
Manage service desk and incidents
DS9
Manage the configuration
DS10
Manage problems
DS11
Manage data
DS12
Manage the physical environment
DS13
Manage operations
ME1
Monitor and evaluate IT performance
ME2
Monitor and evaluate internal control
ME3
Provide IT governance
69
