Was ist COBIT: Inhalt, Veränderungen, Auswirkung Cybersecurity
Das COBIT (Control Objectives for Information and Related Technology) Framework liegt aktuell in der Version 2019 vor und ist ein international anerkanntes Referenzmodell, das dem Anwender bei der besseren Verwaltung von Informationen und Technologien hilft. Per definitionem wird mehr Wert darauf gelegt, was umzusetzen ist und nicht wie.
Cobit 2019 setzt auf COBIT 5 auf und vereint inhaltlich verwandte Standards und Referenzmodelle. Somit soll eine Rückwärtskompatibilität gewährleistet werden. Es wurden Modelle aus den Frameworks CMMI, TOGAF, IT4IT, PMBOK, IIA, ITIL und COSO sowie Standards wie ISO/IEC und NIST herangezogen.
Die Version 2019 umfasst mehrere Publikationen, die als Produktfamilie bezeichnet und stetig durch neue Veröffentlichungen ergänzt werden. Zum aktuellen Zeitpunkt liegen folgende Core Publikationen vor:
- Cobit 2019 Framework: Introduction and Methodology
- Cobit 2019 Framework: Governance and Management Objectives
- Cobit 2019 Design Guide: Designing an Information and Technology Governance Solution
- Cobit 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution
Die Publikation „COBIT 2019 Framework: Introduction and Methodology“ führt in das COBIT 2019 Framework ein und ist in der Zielsetzung vergleichbar mit der Publikation „COBIT 5 Rahmenwerk für Governance und Management der Unternehmens-IT“. Sie ist aber weniger umfangreich gestaltet. Zumal die Enabler, die bei COBIT 2019 durch die Komponenten abgelöst wurden nicht mehr detailliert beschrieben werden.
„COBIT 2019 Framework: Governance and Management Objectives“ beschreibt das Kernmodell, wobei die Governance- und Managementziele im Vordergrund stehen. Die Strukturierung und die Darstellung der Governance- und Managementziele erinnern sehr stark an die Prozessdarstellung aus COBIT 5.
Mit der Publikation „COBIT 2019 Design Guide“ wird eine Leitlinie angeboten, mit deren Hilfe Organisationen ihre Governance ausrichten und die zugehörigen Managementziele (früher Prozesse) identifiziert werden können.
Die Publikation „COBIT 2019 Implementation Guide“ beschreibt notwendige Massnahmen zur kontinuierlichen Verbesserung der Governance und der zugrundliegenden Managementkomponenten. Diese Publikation entspricht weitestgehend COBIT 5 Implementation.
Abbildung 2 veranschaulicht die aktuell verfügbaren Publikationen sowie deren wesentliche inhaltliche Elemente.
Abbildung 1: COBIT 2019 Product Family
Nachfolgend soll auf Inhalt und Neuerungen gleichermassen eingegangen werden.
Designfaktoren und Fokusbereiche sind grundsätzliche Neuimplementierungen gegenüber der Vorgängerversion. Designfaktoren können bei der Gestaltung des Governance-Systems herangezogen werden. Sie tragen zum Erfolg der verwendeten Informationen und Technologien bei. Betrachtung finden u.a. Unternehmensziele, das Risikoprofil des Unternehmens oder auch I&T-bezogene Probleme.
Die neue Architektur von COBIT 2019 ermöglicht es, die Fokusbereiche sehr flexibel zu mutieren, ohne Auswirkungen auf den Inhalt des Kernmodells zu erwirken. Die ISACA als Herausgeberin des COBIT Frameworks informiert regelmässig über Weiterentwicklungen und gibt damit den Anwendern und Anwenderinnen die Möglichkeit, an diesen teilzuhaben.
Veränderungen
In früheren Versionen von COBIT wurde verkündet, dass es zu umfangreich ist, um auch für mittelständige Unternehmen adaptiert zu werden. Diesem Vorwurf wurde in dieser Version Rechnung getragen.
COBIT 2019 hat die Governance-Prinzipien der COBIT um zwei Prinzipien erweitert. Diese neuen Prinzipien sind:
- Das Dynamische Governance-System
- Auf die Bedürfnisse von Unternehmen zugeschnittene Handlungsempfehlungen
Diese neuen Prinzipien zeigen den Anspruch an ein Governance- und Management-System, das mit Hilfe des COBIT 2019 besser an die spezifischen Anforderungen einer Organisation adaptiert werden kann.
Im Vergleich zur COBIT 5 fällt auf, dass beispielsweise aus APO09 „Manage Service Agreements“ (COBIT 5) in COBIT 2019 das Managementziel APO09 „Managed Service Agreements“ wurde. Der Begriff „Managed“ – gegenüber „Manage“ – drückt aus, dass das COBIT 2019 Kernmodell nunmehr Governance- und Managementziele beschreibt und nicht mehr nur Prozesse. Die Begriffe in der vorhergehenden Abbildung beschreiben in COBIT 2019 die Governance- und Managementziele.
Diesem jeweiligen Governance- und Managementziel sind nunmehr die Komponenten (früher Enabler) zugeordnet. So finden sich nunmehr zum Managementziel APO09 „Managed Service Agreements“ die Beschreibungen der zu APO09 zugehörigen Komponenten:
- Prozess mit den Management-Praktiken (1-n) für den Prozess (dieser ist grösstenteils die bekannte Prozessbeschreibung aus COBIT 5)
- Organisationstruktur (dieses ist die bekannte Darstellung der Rollen und Verantwortlichkeiten)
- Informationsfluss und Informationseinheiten (hier werden die Inputs und Outputs zu den Governance- und Managementpraktiken beschrieben) Mitarbeitende, Fähigkeiten und Kompetenzen
- Richtlinien und Verfahren
- Kultur, Ethik und Verfahren
- Services, Infrastruktur und Anwendungen
Mit der COBIT 2019 werden gegenüber der COBIT 5 weitere Managementziele (früher Prozesse) definiert:
- APO14 Managed Data
- BAI11 Managed Projects
- MEA04 Management Assurance
Weil mit „BAI11 Managed Projects“ ein eigenständiges Ziel beschrieben wurde, lautet die Bezeichnung für BAI01 nunmehr „Managed Programs“, d.h. das Programm- und Projektmanagement wurde aufgeteilt.
In COBIT 2019 werden keine Metriken mehr auf Prozessebene, sondern auf Ebene der dem Prozess zugeordneten Governance- bzw. Managementpraktik(en) beschrieben – d.h. eine Ebene tiefer gegenüber der COBIT 5.
Eine wesentliche Änderung ist, dass auf der Ebene der Prozesspraktiken nunmehr Stufen der Prozessfähigkeit (Reifegrad) zugeordnet sind. Diese Stufen basieren – wie bis zur COBIT 4.1 – auf dem CMMI-Modell.
Die bekannten RACI-Modelle (Darstellung der Rollen und Verantwortlichkeiten) werden innerhalb der Komponente der Organisationstruktur dargestellt. Dabei werden aber nur noch die Attribute R und A (zuständig und verantwortlich) ausgewiesen (und nicht mehr konsultiert und informiert bzw. C und I). Darüber hinaus wurden weitere Rollen definiert.
Auswirkungen Cybersecurity
In Cobit 2019 wird der Bereich Cybersecurity als ein neuer Fokusbereich eingeführt; speziell für kleine und mittlere Unternehmen. Die Fokusbereiche werden hinsichtlich aktueller Trends, Forschung und Feedback von effektiven Anwendern – je nach Bedarf – zeitnah angepasst bzw. geändert.
Anhang
4.1 Verzeichnisse
4.1.1 Literaturverzeichnis
4.1.2 Abbildungsverzeichnishttps://m.isaca.org/COBIT/Documents/COBIT-2019-laminate_res_eng_1018.pdf
Autor:
Jens Diekers
Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)
Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.
Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.