Методология управления информационными технологиями – COBIT 5. (Control OBjectives for Information and reated Technology)
ISACA (ранее полностью – Information Systems Audit and Control Association) (www.isaca.org) является международной ассоциацией профессионалов в области управления ИТ. Деятельность ассоциации фокусируется на аудите, безопасности и корпоративном управлении ИТ.
История COBIT началась в 1996 году, в это время ISACA, выпустила первую версию методологии оценки ИТ. Дальнейшее развитие было в 1998 году – версия 2, в 2000-м – версия 3, в 2005-м году вышла версия 4. В 2007 году версия 4 была доработана и в 2007 году стала нести индекс 4.1. На сегодняшний момент аудиторы параллельно используют две версии 4.1 и 5, которая вышла в 2012 году, и только набирает обороты в профессиональной среде.
COBIT 5 является новым поколением рекомендаций ISACA по руководству предприятием и менеджменту ИТ.
COBIT 5 основан на более чем 15-тилетнем опыте практического использования и применения COBIT многими предприятиями и сообществами специалистов в области бизнеса, ИТ, управления рисками и безопасностью, а также контроля качества.
Основной принцип методологии COBIT 5 – Информация является критически важным ресурсом для всех предприятий. На всех этапах своего жизненного цикла информация критичным образом зависит от специализированных технологий. Информация и динамично развивающиеся информационные технологии являются жизненно важными для современных предприятий: как общественных, так и государственных и коммерческих.
Поэтому сегодня, больше, чем когда-либо, предприятия и их руководители обязаны:
- Поддерживать высокое качество информации для принятия управленческих решений.
- Создавать ценность для бизнеса, реализуя инвестиции, связанные с ИТ, то есть достигать стратегических целей и получать выгоду путем эффективного и инновационного использования ИТ.
- Совершенствовать операционную модель, надежно и рационально применяя технологии.
- Обеспечивать приемлемый уровень ИТ-рисков.
- Оптимизировать затраты на ИТ-услуги и технологии.
- Повышать степень соблюдения законов, норм, договорных обязательств и политик, связанных с применением ИТ.
Предприятия, которые достигли успеха, смогли признать, что совет директоров и исполнительные директора обязаны относиться к ИТ, как к любой другой значимой части бизнеса. Совет директоров и управленцы – как в бизнесе, так и в ИТ – должны совместно работать над тем, чтобы ИТ были частью общего подхода к руководству и управлению предприятием. В дополнение к этому, необходимость эффективного руководства диктуется еще и современными законодательными и другими регулирующими требованиями.
COBIT 5 предлагает целостную методологию, которая призвана помочь в решении задачи руководства и управления ИТ на предприятии. Проще говоря, COBIT 5 помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов. COBIT 5 дает возможность руководить и управлять ИТ в масштабах всего предприятия, как в областях функциональной ответственности ИТ, так и бизнеса, а также позволяет учитывать потребности в ИТ внутренних и внешних заинтересованных сторон. Методология COBIT 5 универсальна и будет полезна предприятиям любого масштаба и сферы деятельности: коммерческим, общественным и государственным.
COBIT 5 основан на пяти принципах руководства и управления ИТ на предприятии, изображенных на рисунке 1.
Рисунок 1. Принципы руководства и управления ИТ на предприятии
Принцип 1: Соответствие потребностям заинтересованных сторон. Предприятия существуют для того, чтобы создавать ценность для заинтересованных сторон, путем поддержания баланса между получением выгоды и оптимизацией рисков и ресурсов. COBIT 5 описывает все необходимые процессы и другие факторы влияния, которые поддерживают создание бизнес-ценности при помощи ИТ. Поскольку задачи, стоящие перед каждым предприятием, могут быть различными, можно модифицировать модель COBIT 5 так, чтобы эти рекомендации подходили к конкретному контексту данной организации. Сделать это можно с помощью каскадирования высокоуровневых целей предприятия до уровня управляемых и конкретных ИТ-целей и связанных с ними процессов и практик.
Принцип 2: Комплексный взгляд на предприятие. COBIT 5 встраивает руководство ИТ в руководство предприятием в целом, то есть:
– Рассматривает все функции и процессы предприятия. COBIT 5 нацелен не только на реализацию «ИТ-функции», но рассматривает информацию и связанные с ней технологии как активы предприятия, которыми следует управлять, как и любыми другими активами.
– Исходит из того, что факторы влияния руководства и управления, связанные с ИТ, работают на всем предприятии и по всей цепочки создания ценности, и включают в себя все внутренние и внешние аспекты и роли, которые имеют отношение к руководству и управлению ИТ.
Принцип 3: Применение единой интегрированной методологии. Существует множество связанных с ИТ сводов знаний и стандартов, посвященных отдельным аспектам ИТ-деятельности. В COBIT 5 реализовано соответствие этим внешним сводам и стандартам. Таким образом, методология COBIT 5 обеспечивает интеграционный подход для организации руководства и управления ИТ на предприятии.
Принцип 4: Обеспечение целостности подхода. Эффективное и рациональное руководство и управление ИТ на предприятии требует целостного подхода, с учетом многих взаимосвязанных компонентов.
В COBIT 5 описан набор факторов влияния, которые обеспечивают внедрение системы руководства и управления ИТ на предприятии. Факторы влияния – это сущности, которые способствуют решению задач предприятия. Методология COBIT 5 описывает семь видов факторов влияния:
– Принципы, политики и подходы;
– Процессы;
– Организационная структура;
– Культура, этика и поведение;
– Информация;
– Услуги, инфраструктура и приложения;
– Персонал, навыки и компетенции.
Принцип 5: Разделение руководства и управления. Методология COBIT 5 проводит четкую границу между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям. В понимании COBIT 5, разница между руководством и управлением заключается в следующем:
- Руководство
Руководство обеспечивает уверенность в достижении целей предприятия, путём: сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; установления направления развития через приоритизацию и принятие решений; постоянного мониторинга соответствия фактической производительности и степени выполнения требований, установленным направлению и целям предприятия.
В большинстве случаев обязанности по руководству на предприятии выполняет совет директоров, возглавляемый председателем совета директоров. Некоторые обязанности могут быть делегированы специальным организационным единицам соответствующего уровня – особенно, в крупных организациях.
- Управление
Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия.
В большинстве случаев, обязанности по управлению на предприятии выполняют исполнительные директора, возглавляемые генеральным директором (CEO).
Вместе эти принципы помогают построить эффективную методологию руководства и управления, оптимизирующую инвестиции в информационные технологии для получения выгоды заинтересованными сторонами.
Например, COBIT 5 определяет 17 универсальных целей, представленных в таблице.
Структура таблицы такова:
• Измерение сбалансированной системы показателей, к которому относится цель предприятия.
• Цель предприятия.
• Связь с тремя главными задачами руководства – получением выгод, оптимизацией рисков и оптимизацией ресурсов (‘P’ означает прямую связь, а ‘S’ косвенную, то есть менее сильную).
Цели предприятия связываются с ИТ-целями
Достижение целей предприятия требует получения ряда ИТ-результатов, которые описываются ИТ-целями.
Под ИТ понимаются информационные и связанные с информацией технологии, а ИТ-цели структурируются по измерениям сбалансированной карты показателей ИТ. COBIT 5 определяет 17 ИТ-целей, представленных на рисунке. Матрица соответствия ИТ-целей целям предприятия представлена в приложении B. В этой матрице показано, каким образом каждая цель предприятия поддерживается ИТ-целями.
BYOD
Использование собственных устройств сотрудников в корпоративных целях стремительно набирает темпы. Согласно прогнозам Gartner, к 2016 году 38% компаний во всем мире прекратят приобретать вычислительные устройства для своих работников.
BYOD (Bring Your Own Device) – идея использовать в работе свои мобильные устройства (планшеты, телефоны и т.п.). Имеется в виду не только доступ к корпоративной почте из дома, но и также доступ к бизнес-приложениям.
Лучшим описанием концепции BYOD является ее девиз: "Сотрудник имеет возможность работать с корпоративными ресурсами вне зависимости от места, времени или устройства, с которого он решил работать". Это может быть как личный смартфон или планшет, так и ноутбук.
Согласно исследованиям, проведенным IDC, около 95% сотрудников компаний уже используют по крайней мере одно личное устройство для рабочих целей. По оценкам Gartner, около 90% компаний планируют поддерживать бизнес-приложения на устройствах, принадлежащих конечным пользователям, поскольку это позволит сократить расходы на оборудование на 40%. Кроме того, широкое распространение мобильных устройств поможет «выйти на связь» с сотрудником даже после окончания рабочего дня. Например, служащие смогут просматривать электронную почту или работать над презентацией в свое свободное время.
http://www.tadviser.ru/images/6/6c/Infografika_byod_3_mal_cnews.jpg
Сотрудники хотят работать так, как им удобно. Они приносят на работу собственные устройства для эффективного выполнения своих служебных обязанностей и обеспечения удобства работы.
- 40% респондентов назвали "свободу выбора устройства" (т.е. возможность использовать избранное устройство в любом месте) своим главным приоритетом в том, что касается BYOD .
- Следующий по значимости приоритет для сотрудников – гибкость в выполнении своих служебных обязанностей, т.е. возможность работать в любом удобном месте в любое удобное время.
Проблемы
Среди основных проблем концепции BYOD, на которые нужно обратить внимание, выделяются следующие.
1. Пользователь использует устройство в сетях открытого доступа. Помимо прямой атаки, это чревато тем, что злоумышленники будут отслеживать весь трафик (или даже видоизменять передающийся поток от пользователя, реализуя одну из наиболее опасных угроз –Man in the Middle).
2. Устройство может быть потеряно или украдено со всей конфиденциальной информацией.
3. Конечный пользователь, являющийся администратором своего устройства, может установить и удалить любое ПО.
4. Концепция BYOD подразумевает наличие целого "парка" устройств под управлением: MAC OS, Windows Vista/7/8, Apple IOS, Android OS, Windows phone и т.д., что значительно усложняет процесс централизованного управления.
При этом уровень предоставляемого доступа к ресурсам зависит от большого числа входящих условий: статуса присутствия сотрудника на работе, места, времени и типа устройства, с которого осуществляется доступ.