Der Wert von IT General Controls in einer Organisation

Der Wert von IT General Controls in einer Organisation

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 12 Minuten

Das Konzept von IT General Controls (ITGC) wird in Unternehmen und Organisationen zusehends wichtiger. Die stets zunehmenden Regulationen in der IT und der Bedarf an einer effektiven sowie effizienten IT Governance zeigt an, dass Organisationen sehr an einer solchen interessiert sind und die vollständige Kontrolle über die Kontrollen über ihre gesamte Organisation haben wollen.

Mit Hilfe von gut etablierten IGCs kann eine Organisation viele komplexe Themen unter einen Hut bringen, darunter Informations- und IT-Sicherheit, interne und externe Audits, IT-Compliance, Risikomanagement und IT-Governance Management.

ITGCs bestehen aus Prozeduren und Policies, die folgendes bieten:

Dieser Artikel wird versuchen, einen kurzen Überblick über die wichtigsten Punkte in der Handhabung von ITGCs zu geben. Darin enthalten sind die organisatorischen Aspekte wie auch deren Struktur und deren Handling.

Einleitung und Definition

Ein umfassendes IT General Control Manual (ITGCM) als eine Art Policy sollte die Standards für die Implementation effektiver und effizienter Kontrollsysteme in der ganzen Organisation definieren.

Die ITGCM bietet einen Referenzrahmen für eine Organisation, die Control Procedures und Policies in ihrem Verantwortungsbereich implementiert:

Die Tragweite des ITGCM beinhaltet eine Vielzahl organisationaler Aktivitäten, die mit dem Management von IT-Systemen und anderen Information Assets, darunter auch Non-IT-Assets, zusammenhängen:

Daher sollte die Implementation eines ITGCM über die gesamte Organisation hinweg Pflicht sein.

Abweichungen vom ITGCM sollten nur als Ausnahme und nur nach einer eingehenden Untersuchung eines entsprechenden Requests stattfinden. Dies auch nur dann, wenn vorher ein Standardprozess für Ausnahmen definiert worden ist.

Das ITGCM besteht aus:

Das bedeutet, dass das ITGCM die Standards für ein effektives und effizientes IT Governance Management Control System bildet.

Natürlich ist das Management verantwortlich dafür sicherzustellen, dass die ITGCs implementiert, dokumentiert, getestet und für das generelle ITGCM mit Beweisen belegt sind.

ITGC Matrix

Die ITGC Matrix ist das Schlüsselelement, das alle anwendbaren Controls definiert und weitere Informationen enthält, die für die Implementation, das Testing und das Assessment der Controls genutzt werden können.

Ihr Zweck:

Eine ITGC Matrix sollte dreierlei Informationen in sich integrieren:

Die ITGCs können unterschiedlich strukturiert werden. Die folgende Tabelle zeigt ein typisches individuelles Set von Activity Domains und das Set, das vom Institute of Internal Auditors empfohlen wird:

Typisches Set Global Technology Audit Guide *
IT Business Continuity GTAG 1: Information Technology Controls
Backup Management GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
Change Management GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
Configuration Management GTAG 4: Management of IT Auditing
Information Management Organization and Processes GTAG 5: Managing and Auditing Privacy Risks
Incident / Problem Management GTAG 6: Managing and Auditing IT Vulnerabilities
IT Organization GTAG 7: Information Technology Outsourcing
IT Operations GTAG 8: Auditing Application Controls
Project Management GTAG 9: Identity and Access Management
Physical Security GTAG 10: Business Continuity Management
Risk Management GTAG 11: Developing the IT Audit Plan
Service Provider Management GTAG 12: Auditing IT Projects
System and Information Security GTAG 13: Fraud Prevention and Detection in the Automated World
GTAG 14: Auditing User-developed Applications
GTAG 15: Information Security Governance
GTAG 16: Data Analysis Technologies
GTAG 17: Auditing IT Governance

* Der Global Technology Audit Guide (GTAG) wird vom Institute of Internal Auditors herausgegeben.

Ein IT Governance Team sollte dafür verantwortlich sein, die Controls mittels Zielen und Anforderungen für jede einzelne Control zu definieren. Diese werden dann für Reviews vom Internen Audit-Team als Teil der Audit-Kriterien genutzt.

Die Implementation der ITGC Matrix ist Pflicht für die gesamte Organisation.

Diese Prozeduren und Policies sollten dazu designt sein, ein gesundes Mass an Sicherheit zu geben wenn es um das Erreichen der Control Ziele geht. Diese sind:

Updates der Matrix sollten nur als Folge eines strikt geregelten Prozesses gemacht werden. Change Management und Abweichungen sollen nur durch die Einhaltung der bereits bestimmten Standards geschehen

Die folgenden Parameter der ITGC Matrix, mit möglichen Werten, oder ähnliche können dazu genutzt werden, die Information Assets zu klassifizieren und zu kategorisieren und die Liste der darauf passenden Controls für diese Assets zu identifizieren.

Information Asset Kategorien Information Asset Klassen
Information Asset Kategorien IT Unit
Information/Archiv
IT Application
Platform/Service
Server/Database/Speicher
Network/Communication Service
End-User Geräte
Datencenter
Service Provider
Information Asset Klassen Keine Klassifikation
Group Policies
SOX, PCI-DSS oder NFCM sowie jede andere Regulierung
Vertraulichkeit
Integrität
Verfügbarkeit
Verantwortung
Nicht-Zurückweisung
Data Privacy
Records Management
Other classification

Jede ITGC kann auf eine oder mehrere dieser vordefinierten Asset-Kategorien und -Klassifikationen mit einem Indikator – Applicable oder Not Applicable – gemappt werden.

ITGC Objectives und damit verbundenen Anforderungen für die Implementation der Controls – zum Beispiel die Control Activities, inklusive der möglichen Validationsschritte und den empfohlenen Beweisführungen – sind für jede Control in der Matrix definiert.

Das Assessment der Controls sollte folglich die folgenden Reife-Parameter nutzen:

Diese Standard-Parameter der ITGC Matrix müssen zwingend verwendet werden, um die Resultate des Control Assessment zu dokumentieren, die Resultate deren Tests zu dokumentieren, um den Fortschritt der Control Gap Remediation (im Risk Management Prozess enthalten) festzuhalten.

Rollen und Verantwortung

Wer ist verantwortlich? Was stellen sie sicher?
Governance Besitz des IT Policy Frameworks, inklusive Policies, Direktionen, Standards und Prozesse. Insbesondere aber das ITGCM, das die Standards des internen Informationsmanagements etabliert
Die Erhaltung von Zustimmung seitens Audit-, Governance- und Policyschaffenden Gruppen in der Organisation betreffend der Inhalte und der Nutzung des ITGCM.
Unterstützung der Implementation des ITGCMs
Bereitstellen von ITGCM Trainingsmaterial wenn nötig
Durchführung von Checks der Asset Klassifikationen, Control Assessments, Tests der Controls, Risk Assessments und Mitigationsplänen zur Sicherstellung eines ausgeglichenen Approaches über die Organisation
Review und Approval von Ausnahmen
Konsolidierung und Reporting des Control Status
Internes Audit Assessment des Designs und der Effizienz der Controls
Reporting ans Management
Reporting ans Audit und Compliance Committee der Direktion
Review der Effektivität, Effizienz und Eignung des Information Management Prozesses wie auch der Controls mit Fokus auf
* Verlässlichkeit des Information Management Prozesses
* Festhalten an Group Policies und der Anforderungen
* Schutz der Information Assets

Das ITGCM bietet eine Baseline für das interne Audit Department, um die IT-Aktivitäten zu auditieren. Aber die Tragweite eines internen Audits ist nicht auf diese Baseline limitiert und kann auch Nicht-IT- und Nicht-Governance-Aktivitäten enthalten.

Wer ist verantwortlich? Was stellen sie sicher?
Externes Audit Meinung zu den Controls
Review der Dokumentation des ITGCMs als Unterstützung ihres Assessments der Organisation.
Review der Beweisführung in der Dokumentation der Control Procedures und Policies als Unterstützung der Compliance.
Ratschläge betreffend der Controls und der Schwächen des Systems

Ein Audit und Compliance Committee der Direktion kann die gefundenen Probleme der externen Auditors reviewen.

IT General Control Assessment Prozesse

Der ITGC Assessment Prozess ist in drei Teile aufgeteilt:

  1. Initiales Risk Assessment: Die Information Assets einer Organisation sind identifiziert, kategorisiert, klassifiziert und analysiert, damit die Risiken in Verbindung mit der Nutzung des Assets festgestellt sind. Dieser Schritt ist die Basis für die Identifikation der Information Assets und deren Klassifikation sowie Kategorisierung.
  2. Controls Assessment: Basierend auf den Resultaten des ersten Schritts sind alle Controls für jedes Information Asset der Organisation identifiziert und ihre Implementation ist assessed und getestet. Das aktuelle Control Environment ist mit den Control Objectives verglichen damit die Reife der Control festgestellt werden kann.
  3. Remediation Management: Aktionen für die Remediation sind, wo nötig, definiert und implementiert nachdem das mit ihnen zusammenhängende Risiko evaluiert worden ist. Dieser Prozess ist im Normalfall im Risk Management Prozess integriert.

Der Controls Assessment Prozess wird entweder durch das jährliche Re-Assessment der Controls oder durch Änderungen, welche die Organisation oder Information Assets betreffen, ausgelöst. Diese sind unter anderem:

Der Controls Assessment Prozess wird für einzelne Information Assets ausgeführt. Der Zweck des Prozesses ist:

Der Schlüssel-Output des Assessments beinhaltet:

Reporting und Monitoring sind ständig laufende Prozesse, die während dem ganzen Risikobehandlungsprozess erfolgen sollten.

Teilungen müssen sicherstellen, dass das Risikoreporting etabliert ist, damit der Fortschritt der Remediation Plans nachverfolgt werden kann, wie auch der Grad des Risikos, dem die Organisation gegenübersteht.

Fazit

Indem ein Lebenszyklus mit gut ausgewählten Kontrollen etabliert wird, ist es möglich die Qualität und die Reife von mehreren kritischen Domains der Organisation stetig zu verbessern. Die Kontrollen können ein sehr wichtiges Element in der Sicherstellung der Compliance in einem Umfeld werden, das immer mehr verpflichtende und komplexe Regulationen erfordert. Es ist daher absolut lohnenswert eine Organisationsstruktur und ein Konzept einzuführen, das sich um diese Art der Governance dreht. Zudem können so viele Synergien mit anderen wichtigen Abteilungen – wie zum Beispiel dem Internen Audit Team, der Information Security, dem Risk Management oder der Qualitätssicherung – geschaffen werden.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv