Was ist COBIT? Ein praktischer Leitfaden zum IT-Governance-Framework von ISACA

Unternehmen greifen auf COBIT® zurück, wenn Governance-Anforderungen mehrere Domänen umfassen – Datenqualität, Service-Management, Security Operations – und nicht nur in einer einzigen angesiedelt sind. Das COBIT-Framework wird parallel zu spezialisierteren Frameworks eingesetzt. Es wurde speziell für die Integration entwickelt, weshalb Teams es als Enterprise-Governance-Schicht nutzen, während sie sich für die operative Tiefe auf domänenspezifische Modelle verlassen.

COBIT ist das Framework von ISACA für die Governance und das Management von Informationen und Technologie im Unternehmen. Es ist kein datenspezifisches Framework. Sein Zweck ist weiter gefasst – es hilft Unternehmen, die IT an den Unternehmenszielen auszurichten, Risiken zu managen und Ressourcen durch ein strukturiertes Governance-System zu optimieren.

COBIT 2019 ist die aktuelle Version und der Nachfolger von COBIT 5. Auf einer übergeordneten Ebene soll COBIT Unternehmen dabei helfen, Mehrwert aus Informationen und Technologie zu schöpfen, indem es die Realisierung von Nutzen mit der Optimierung von Risiken und Ressourcen in Einklang bringt. Deshalb umfasst es Audit, Architektur, Sicherheit, Compliance und Operations, anstatt nur in Datenteams angesiedelt zu sein.

Ein praktischer Grund, warum COBIT 2019 weiterhin weit verbreitet ist, liegt darin, dass es so konzipiert ist, dass es angepasst werden kann. ISACA hat das Framework so konzipiert, dass ein Unternehmen das Governance-System an seinen eigenen Kontext anpassen kann. Das bedeutet, dass Variablen wie Unternehmensstrategie, Risikoprofil, Sourcing-Modell, Größe und Implementierungsansatz berücksichtigt werden.

Dies ist auch der Grund, warum COBIT in der Regel über spezialisierten Frameworks angesiedelt ist. COBIT bietet den Governance-Schirm, der einem Unternehmen hilft zu entscheiden, wie andere Frameworks gesteuert, überwacht und an den Unternehmenszielen ausgerichtet werden sollen. Zum Beispiel ergänzt COBIT Frameworks wie ITIL und TOGAF. Während TOGAF vorgibt, wie die Unternehmensarchitektur gestaltet wird, und ITIL sich darauf konzentriert, wie Services bereitgestellt und verwaltet werden, stellt COBIT sicher, dass beide auf die Geschäftsziele, das Risikomanagement und die Wertschöpfung ausgerichtet sind.

Der einfachste Weg, COBIT 2019 zu verstehen, besteht darin, sich seine drei zusammenhängenden Schichten anzusehen: die Prinzipien, die das Governance-System leiten, die Komponenten, aus denen dieses System besteht, und die Domänen und Ziele, die die eigentliche Governance- und Managementarbeit organisieren.

Die erste Schicht besteht aus den Prinzipien des Governance-Systems, die als Gestaltungsregeln dafür dienen, wie das Governance-System funktionieren soll. In COBIT 2019 lauten die Prinzipien:

Die zweite Schicht besteht aus sieben Komponenten des Governance-Systems – den Bausteinen, mit denen ein Unternehmen in der Praxis arbeitet:

COBIT organisiert die eigentliche Governance- und Managementarbeit in 40 Governance- und Managementziele über fünf Domänen hinweg. Dies ist der Teil von COBIT, mit dem die meisten Teams arbeiten, wenn sie den Reifegrad bewerten, Verantwortlichkeiten zuweisen oder Governance-Erwartungen mit operativen Praktiken verknüpfen.

COBIT ist nicht austauschbar mit Datenmanagement-Frameworks wie DCAM. COBIT fungiert als Governance-Strategie-Overlay für Unternehmensinformationen und -technologie, während spezialisierte Frameworks wie DAMA-DMBOK und DCAM tiefer darauf eingehen, wie Daten definiert, betreut, gemessen und operativ verwaltet werden.

COBIT behandelt Daten als etwas, das von Architektur, Sicherheit, Verantwortlichkeit, Betrieb und Assurance beeinflusst wird, und nicht als isolierte Domäne mit einem eigenen, losgelösten Kontrollset. Data Governance in COBIT wird durch APO14 (Managed Data) sowie verwandte Ziele wie APO01 (Manage the IT Management Framework), APO03 (Managed Enterprise Architecture), APO13 (Manage Security) und DSS05 (Manage Security Services) geprägt.

Ein Vorstand, eine Audit-Funktion oder ein Governance-Büro kann COBIT verwenden, um Erwartungen an Aufsicht, Verantwortlichkeit, Berichterstattung und Kontrolle zu definieren. Datenteams nutzen dann spezialisierte Frameworks oder interne Betriebsstandards, um Stewardship, Metadaten, Qualität und Lebenszyklus-Praktiken detaillierter auszuarbeiten. Wenn die Frameworks zusammen verwendet werden, deckt COBIT oft die Governance-Lücke auf, während das Daten-Framework hilft, die darunter liegende Prozessschicht auszufüllen.

Snowflake kann eine Reihe von COBIT-Zielen unterstützen.

Snowflake Horizon Catalog ist eine Governance- und Discovery-Schicht, die bei der Durchsetzung von Zugriffskontrollen hilft, sensible Daten durch Klassifizierung identifiziert, Dynamic Data Masking und Row Access Policies unterstützt und die Lineage visualisiert. Diese Kombination ist nützlich für die Operationalisierung von APO14, da verwaltete Daten davon abhängen, Assets identifizieren, Governance-Kontext hinzufügen und Richtlinien konsistenter über Umgebungen hinweg anwenden zu können. Das Datenqualitäts-Monitoring von Snowflake unterstützt APO14 ebenfalls, indem es Teams hilft, messbare Prüfungen an kontrollierte Daten-Assets anzuhängen.

Rollenbasierte Zugriffskontrolle (RBAC), Netzwerkrichtlinien, Dynamic Data Masking und die Durchsetzung von Richtlinien auf Zeilenebene sind integrierte Möglichkeiten, um den Zugriff zu kontrollieren, den Schutz sensibler Daten zu unterstützen und Kontrollen besser prüfbar zu machen. Diese Funktionen unterstützen die Ziele für Sicherheit und Sicherheitsdienste, indem sie Zugriffs- und Schutzregeln nah an den kontrollierten Daten selbst platzieren.

Die Ansicht ACCESS_HISTORY von Snowflake zeichnet alle Lese- und Schreibaktivitäten auf und ist über die Schemata ACCOUNT_USAGE und ORGANIZATION_USAGE verfügbar. Eine Account-Usage-Ansicht für den Abfrageverlauf der letzten 365 Tage ist ebenfalls verfügbar. Das Schema ACCOUNT_USAGE bietet außerdem historische Nutzungsdaten und Objekt-Metadaten auf Kontoebene. Dies bietet Audit-, Governance- und Compliance-Teams eine praktische Nachweisebene, um zu überwachen, ob Zugriff und Nutzung den Richtlinien entsprechen.

Die gemeinsam genutzten Metadaten, die Lineage, das Berechtigungsmodell und die Nutzungsdaten von Snowflake können die Arbeit der Unternehmensarchitektur unterstützen, insbesondere wenn Teams verstehen müssen, wo sich kontrollierte Daten befinden, wie sie sich bewegen und welche nativen Kontrollmechanismen in der Plattform vorhanden sind. Das ist nützlich, da die Architektur-Governance von genauen Informationen über tatsächliche Plattformen und Kontrollflächen abhängt.

Unternehmen nutzen COBIT als Governance-Sprache, die von der Aufsicht durch den Vorstand bis hin zu operativen Nachweisen reichen kann, während sie Governance von Management unterscheidet. Es ermöglicht Unternehmen, das System an ihren eigenen Kontext anzupassen, und schafft Raum für spezialisiertere Frameworks darunter. Aus diesem Grund taucht es gleichzeitig in Gesprächen über Audit, Sicherheit, Compliance, Architektur und Data Governance auf.

Für Data-Governance-Teams ist es am praktischsten, COBIT als die Ebene zu betrachten, die dem Rest des Unternehmens vorgibt, wie Data Governance gesteuert, überwacht und mit der IT-Governance des Unternehmens verknüpft werden sollte.