Nejčastější chyby IT governance v praxi. Petr Hujňák Per Partes Consul2ng

Podobné dokumenty
Nadpis presentace KRITICKÉ FAKTORY ÚSPĚCHU BUDOVÁNÍ SYSTÉMU ŘÍZENÍ PODNIKOVÉ INFORMATIKY NA ZÁKLADĚ COBITU

Co je to COBIT? metodika

Cobit 5: Struktura dokumentů

Vazba na Cobit 5

Management informační bezpečnosti

4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

OCTAVE ÚVOD DO METODIKY OCTAVE

Vnitřní kontrolní systém a jeho audit

Státní pokladna. Centrum sdílených služeb

ADOit. IT architektura a řízení IT služeb. Luděk Kryšpín, Lukáš Dvořák, PADCOM, s.r.o.

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

ČESKÁ TECHNICKÁ NORMA

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Procesní řízení IT. Ing. Hana Neničková, MBA

Prezentace na téma projektového řízení Projektový manažer pro dnešek i zítřek

Zkušenosti se zaváděním a řízením EA ve veřejné správě Slovenska. září 2015

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Tento materiál byl vytvořen v rámci projektu Operačního programu Vzdělávání pro konkurenceschopnost.

Národní architektonický plán a ostatní metody řízení veřejné správy ČR

V Brně dne a

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

Hynek Cihlář Podnikový architekt Od Indoše ke Cloudu

METODIKA PROVÁDĚNÍ AUDITU COBIT

4/9/18. Řízení IS/IT služeb. Martin Vitouš. IT služba z pohledu zákazníka. IT služba z pohledu poskytovatele

PREZENTACE ŘEŠENÍ CSX

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

Nástroje IT manažera

Cíle a architektura modelu MBI

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

organizací IT Vladimír r Kufner

Nástroje IT manažera

Metadata. RNDr. Ondřej Zýka

Stav řešení EA na MPO aneb zajištění optimalizace IT architektury

Vývoj informačních systémů. Architektura, návrh Vzory: Doménová logika

27/11/2017. Business analýza a sběr požadavků. Dotazy na event #G865

Standardy projektového řízení

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Budování architektury pomocí IAA

Výhody a rizika outsourcingu formou cloud computingu

Metodické postupy tvorby architektury

Petr Hujňák. IT Governance

Řízení projektu a rizik vývoje softwaru

Jan Hřídel Regional Sales Manager - Public Administration

Strategické řízení IS v podmínkách VS přínosy a problémy

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into

/ 1. I nadále budeme vyhledávat možnosti uplatnění na zahraničních aktivitách, kde jsme v předešlých letech načerpali dostatek zkušeností

INTEGRACE AIS SE ZÁKLADNÍMI REGISTRY

Vývoj informačních systémů. Architektura, návrh Vzory: Doménová logika

Vytváření důvěry manažerů byznysu a IT

Problémové domény a jejich charakteristiky

Systém řízení informační bezpečnosti (ISMS)

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

GDPR Projekt GDPR Compliance

Ekonomika IT PRE od A do Z

ČESKÁ TECHNICKÁ NORMA

Social Media a firemní komunikace

Přístup k řízení GIS jako součásti Enterprise Architecture

CobiT 4.1 a jeho vztah k ITIL

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Faktory ovlivňující řízení podnikové informatiky

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Jan Váša TGB Sales Representative, Oracle Czech 10. června 2011 MRI Kladno

3.přednáška. Informační bezpečnost: Řízení IS/IT

CMMI-DEV v.1.3 PA Integrated Project Management

Příloha Vyhlášky č.9/2011

Katalog služeb a podmínky poskytování provozu

Víte co Vás čeká?

Řízené služby v praxi

Využití IT nástrojů pro měření a řízení výkonnosti. Michal Kroutil

Gymnázium, Brno, Slovanské nám. 7 WORKBOOK. Mathematics. Teacher: Student:

OUTSOURCING POHLEDEM CIO PODNIKU STŘEDNÍ VELIKOSTI

Vývoj informačních systémů. Obecně o IS

Jak importovat profily do Cura (Windows a

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Řízení ICT služeb na bázi katalogu služeb

2. Entity, Architecture, Process

Custom Code Management. Přechod na S/4HANA

VYSOKÁ ŠKOLA HOTELOVÁ V PRAZE 8, SPOL.S R. O.

Vydávání stanovisek k ICT projektům dle usnesení vlády č. 889 z

Systém interních kontrol v podnikové architektuře

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Information and Data Management. RNDr. Ondřej Zýka

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

SLA Service Level Agreement základ řízení podnikové informatiky

Identifikace změny Definice změny a jejího rozsahu a dopadu Schválení změny Prioritizace změn Úprava plánu projektu

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

Představení normy ČSN ISO/IEC Management služeb

Kdo jsme Čím se zabýváme Nabídka služeb pro veřejnou správu Ověřeno v praxi u tisíce uživatelů v podnikatelské a bankovní sféře Plně využitelné u

Association for the advancement of Cost Engineering International (AACE) Australian Institute of Project Management (AIPM) English Association of

Transkript:

Nejčastější chyby IT governance v praxi Petr Hujňák Per Partes Consul2ng

Agenda CHAOS ŘÍZENÍ: Co je to IT governance a na co se při governance soustředit? CHAOS AKTIV: Jak zajis2t integritu ak2v a vyhnout se izolovanému řízení ak2v vzniklému z různých zájmových pohledů na systém? CHAOS HODNOT: O jaké hodnoty se usiluje a jak je konkre2zovat až na ak2va? CHAOS STANDARDŮ: Které standardy aplikovat? 20. února 2013

CHAOS ŘÍZENÍ: Na co se vlastně zaměřit při IT Gov? IT Governance = vrcholové směrování IT (doslova panování v IT oblasti) Podle ISACA, která pojem prosadila, do IT governance zahrnuje 3 oblasti: Ve skutečnosti jde při IT Governance o balancování ve známém trojimperativu risk benefit resource fast high quality cheap Účelem a přínosem správného vrcholového řízení (IT Governance) je vytváření jasných a udržitelných podmínek pro výkonný management (IT Management). Jde o známou vazbu dělat správné věci a dělat věci správně.

CHAOS ŘÍZENÍ: Kdo odpovídá za IT Governance? EDM PBRM ISACA v COBITu 5 (2012) začala striktně odlišovat pravomoc, odpovědnost a procesy pro IT Governance od pravomoci, odpovědnosti a procesů pro IT Management. Praxe totiž - proti předpokladům v COBITu 4 - ukázala, že koncepce vše v jednom nepřináší výsledky.

CHAOS ŘÍZENÍ: Jak na IT Governance? CHAOS VRCHOLOVÉHO ŘÍZENÍ V PRAXI KDO NEVÍ, KAM MÍŘÍ, TĚŽKO SE STREFÍ Doporučené standardy COBIT 5: The GOVERNANCE domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined. 01 Ensure governance framework setting and maintenance. 02 Ensure benefits delivery. 03 Ensure risk optimisation. 04 Ensure resource optimisation. 05 Ensure stakeholder transparency. Je-li v organizaci prováděno vrcholové řízení, tak je také známo, kdo za něj nese odpovědnost, jakou má pravomoc a co (jaké procesy a činnosti) vykonává. Pro zájemce doporučuji prezentaci Nové metodické myšlení, ke stažení je na www.perpartes.cz (volně v sekci publikace/prezentace a články)

CHAOS AKTIV: Integrita akiv v architektuře systému Architekturou rozumíme fundamentální organizaci systému ztělesněnou prvky systému, jejich vzájemnými vazbami vč. vazeb na okolí a principy vedoucími k návrhu a postupnému rozvoji systému. [ISO/IEC 42010] [TOGAF] vedoucími INTEGRITU návrhu a postupného rozvoje systému. [Hujňák] Integritou rozumíme konzistenci (nerozpornost) a kompatibilitu (schopnost fungovat dohromady) očekávání, hodnot, zásad, principů, měřítek, metod, procesů / činností, technologií, produktů, řešení a aktiv. Architekturou rozumíme množinu vytčených zásad a principů užívaných k dosažení integrity dílčích návrhů / řešení přes více vzájemně souvisejících oblastí zájmu vyjádřených v architektonických pohledech cíli a požadavky na aktiva. Architektura ovlivňuje individuální řešení vyžadováním společných zásad a principů, poukazováním na vazby k jiným systémům a požadováním zavedení těchto principů a vazeb. [Hujňák] Hlavním motivem architektonického managementu je uřízení integrity komplexního systému a architektura systému má tak integritní účinek na řešení všech začleněných oblastí zájmu.

CHAOS AKTIV: AkIva v pohledech (views) na systém Architektonickým pohledem (architectural view) rozumíme reprezentaci systému z perspektivy identifikované množiny architektonických zájmů. Obsah architektonického pohledu je znázorněn v architektonickém modelu. [ISO/IEC 4210] Zainteresované strany určují zájmy pozorovatelů systému dané zpravidla jejich odpovědnostmi. Typické zájmy zahrnují funkcionalitu, integrovanost, modifikovatelnost, výkonnost, bezpečnost a spolehlivost nebo třeba také náklady, termíny či kvalitu systému. TOGAF anticipuje zájmy pozorovatelů systému a doporučuje vycházet ze 4 základních pohledů vytvářejících 4 dílčí architektury systému. Znáte své zainteresované strany a jejich sílu vlivu? Jaké pohledy na systém jsou ve vaší organizaci vytvářeny? Dochází u vás ke konfliktu zájmů zainteresovaných stran? Jsou tyto pohledy provázány přes společná aktiva systému?

Tam, kde by mohlo dojít k nejasnostem či variantám ovlivňujícím celkovou architekturu systému, je potřeba zvětšit podrobnost dekompozice a na detailní úrovni popsat a řídit právě ty komponenty, které mají architektonický význam. CHAOS AKTIV: Integrita akiv v architektuře systému Aktivem nazývá norma ISO 27001 cokoliv, co má pro organizaci nějakou hodnotu. Aktiva mohou mít hmotnou i nehmotnou povahu (schopnost vykonávat službu či znalost) a je potřeba je řídit. Podle COBITu jsou aktiva (asset) předmětem IT governance (doslova v překladu a významu panování ), právě proto, že mají pro organizaci hodnotu. Má-li aktivum pro organizaci hodnotu, je předmětem zájmu zainteresovaných stran a je pro systém zobrazeno v pohledech. Architektonickým aktivem nazvěme ty komponenty architektury systému, které jsou zobrazeny v architektonických pohledech a současně mají význam (jsou relevantní) pro architektonický management. [Hujňák] Ne všechny komponenty pohledů však musí mít architektonický význam a proto nemá cenu komponenty, které nepřispívající a neovlivňují architekturu systému, dále dekomponovat a zkoumat. Proto architektura může obsahovat nevyrovnanou dekompozici z hlediska granularity rozpadu.

CHAOS AKTIV: PrioriIzace akiv Příklad zařazení cca 130 aplikací v dané organizaci do zón podle jejich významnosti B1 vital A1 mission-critical kritičnost business podpory C important B2 vital A2 m-c zdroj Per Partes D minor počet uživatelů Prioritní aplikace jsou v centru pozornosti IT Gov a tvoří jádro apl. architektury.

Pohled na data (informace) jako aktivum zavádí TOGAF jako jeden ze základních principů a je tak ve shodě s filozofií norem ISO řady 27000. CHAOS AKTIV: architektonické principy Data Principle 10: Data is an Asset Statement: Data is an asset that has value to the enterprise and is managed accordingly. Business Principles 9 Data Principles 6 Application Principles 2 Technology Principles 4 21 Rationale: Data is a valuable corporate resource; it has real, measurable value. In simple terms, the purpose of data is to aid decision-making. Accurate, timely data is critical to accurate, timely decisions. Most corporate assets are carefully managed, and data is no exception. Data is the foundation of our decisionmaking, so we must also carefully manage data to ensure that we know where it is, can rely upon its accuracy, and can obtain it when and where we need it. Implications: This is one of three closely-related principles regarding data: data is an asset; data is shared; and data is easily accessible.... Data quality will need to be measured and steps taken to improve data quality it is probable that policy and procedures will need to be developed for this as well. A security policy, governing human and IT actors, will be required that can substantially improve protection of IP....

CHAOS AKTIV: řetězení akiv / superakiva Superaktivum zahrnuje všechny prvky na end-to-end cestě od ICT infrastruktury až k uživateli. [Hujňák] Řetězení aktiv do superaktiv. Cesta od infrastruktury je protažena přes aplikace a data až na aplikační služby a jejich SLA parametry pomocí architektonických superaktiv. SLA parametry služeb nejsou přáním ICT útvaru, ale business potřebou konkrétní skupiny interních a/nebo externích uživatelů.

CHAOS AKTIV: Jak zajisit integritu akiv? CHAOS AKTIV V PRAXI KAŽDÝ PES JINÁ VES Architektonický integrační management je v praxi prováděn ve čtyřech rovinách: a) při dekompozici systému k zajištění integrity částí (vertikální integrace do hloubky systému), b) při pohledech na systém vedených z různých hledisek / zájmů zainteresovaných stran (horizontální integrace architektonických pohledů), Doporučené standardy 42010 27000 c) při identifikaci architektonických aktiv a jejich integraci do superaktiv (integrita aktiv), d) při realizaci přírůstkových segmentů systému na cestě od přechodových stavů k cílovému systému (integrita přírůstků). Základním znakem provádění IT Governance je architektonická integrace aktiv. Pro zájemce doporučuji nezávislou studii Architektura komplexních systémů, architektonická aktiva & integrační management (30 stran), ke stažení je na www.perpartes.cz (heslo ke stažení zdarma sdělím na přednášce)

CHAOS HODNOT: O jaké hodnoty se usiluje? O jaké hodnoty se při IT Gov usiluje? Organizace existují proto, aby vytvářely hodnotu pro zainteresované strany (stakeholders). Každá organizace, bez ohledu na to, zda je komerční či nikoliv, má vytváření hodnoty jako svůj hlavní vrcholový (governance) cíl. [COBIT 5] Interní zainteresované strany představenstvo, generální ředitel (CEO), finanční ředitel (CFO), ředitel pro informafku (CIO), byznys manažeři, vlastníci procesů, rizikoví manažeři, bezpečnostní manažeři, servisní manažeři, manažeři pro lidské zdroje (HR), interní auditoři, ICT uživatelé, ICT manažeři apod. Externí zainteresované strany externí uživatelé, zákazníci, partnerské organizace, dodavatelé, vlastníci, standardizační organizace, externí auditoři, poradci, regulatorní orgány a vláda, úředníci pro ochranu osobních údajů apod. Problémem řízení hodnoty jsou konfliktní zájmy zainteresovaných stran. Při ICT governance je nezbytné vyjednávání a rozhodování s cílem balancování zájmů různých zainteresovaných stran.

CHAOS HODNOT: Konflikt zájmů Zkoumání síly zainteresovaných stran (stakeholders) podle The Open Group Architecture Framework, version 9 / TOGAF vysoká síla vlivu nízká Udržení shody Keep Satisfied Minimum úsilí Minimal Effort Klíčová osoba Key Player Informovaná osoba Keep Informed Konfliktní požadavky nízká úroveň zájmu vysoká TOGAF - The Open Group Architecture Framework, version 9 TOGAF doporučuje klasifikovat zainteresované strany podle pozice a síly, kterou mohou v dané organizaci nařídit, změnit či blokovat směrování architektury a podle toho, zda je v jejich zájmu se do prací v dané oblasti aktivně zapojit či nikoliv. PMBOK Guide Fifth Edition nově zahrnuje oblast Project Stakeholder Management jako klíčovou oblast řízení.

CHAOS HODNOT: Kaskáda cílů The COBIT 5 goals cascade Stakeholder needs have to be transformed into an enterprise s acfonable strategy. The COBIT 5 goals cascade translates stakeholder needs into specific, acfonable and customised goals within the context of the enterprise, IT- related goals and enabler goals. Úkolem IT Governance je za každou cenu udržet v lajně cestu od hodnot ke konkrétním cílům!

CHAOS HODNOT: Přílišná orientace na procesy Přílišná orientace na procesy odsunuje další důležitá aktiva z pozornosti vedení a evokuje paradox dělat věci správně versus dělat správné věci.

CHAOS HODNOT: Jak řídit cíle ve vazbě na hodnoty? CHAOS HODNOT V PRAXI SMETÍ DOVNITŘ, SMETÍ VEN Doporučené standardy Koncepce COBIT 5 enablers dává návod, jak v rámci vrcholového řízení (governance) nastavit kaskádu cílů od potřeb zainteresovaných stran až na cíle pro oblasti řízení, které umožní je prosadit a zrealizovat ( umožňovače ). Aktiva jsou pak logicky architektonickými prvky v oblastech pokrytých umožňovači. Základním znakem řízení hodnot v rámci IT Governance je je řízení cesty od požadavků zainteresovaných stran až ke konkrétním cílům na aktiva. Pro zájemce doporučuji prezentaci Hodnocení přínosů IT pro business, ke stažení jse na www.perpartes.cz (volně v sekci publikace/prezentace a články)

CHAOS STANDARDŮ: Které standardy aplikovat?

CHAOS STANDARDŮ: Jsou standardy kompaibilní? Vezměme si jako příklad oblast řízení rizik. Přijdeme aplikováním různých standardů k různým rizikům nebo budou identifikována rizika stejná? Každý standard vztahuje rizika k jiné základně k hodnotám, cílům, aktivům, procesům, produktům či interakci zainteresovaných stran Každý standard má svůj přístup k identifikaci rizik / scénáře přístupem shora-dolů, při kterém se zahajuje identifikace rizikových scénářů od všeobecných business cílů a provádí se analýza nejdůležitějších a nejpravděpodobnějších událostí přístupem zdola-nahoru, při kterém se zahajuje identifikace rizikových scénářů analýzou seznamu generických scénářů vzniklých ze zkušenosti, které se konkretizují a přizpůsobují na specifické podmínky. Každý standard jinak chápe vztah riziko - příležitost hrozba je nejistá událost s negativním a příležitost s pozitivním efektem na cíle riziko negativně a příležitost pozitivně ovlivní dosažení cílů Každý standard jinak přistupuje k agregace rizik rizika včetně jejich dopadu na aktiva se posuzují ve stejné škále individuálně na základě vzájemné provázanosti rizik (podle společných zranitelností, příčin, aktérů, času dopadu, aktiv, ) se vytváří shluky působící agregovaně v celkovém rizikového profilu Základním znakem provádění IT Governance je správné řízení rizik. RISK IT obsahuje celkem 36 generických rizikových scénářů pro oblast IT

CHAOS STANDARDŮ: Aplikujte jeden metod. rámec C5 Principle: Applying a Single Integrated Framework: COBIT 5 is aligned with other major frameworks and standards in the marketplace, such as ITIL, TOGAF, PMBOK), PRINCE2 and the ISO standards. Vrcholové řízení IT (ITG) musí stanovit rámec, kterým definuje využití dílčích metodických standardů tak, aby se vzájemně nepřekrývaly s různými nekompatibilními přístupy (jako je např. oblast řízení rizik a příležitostí).

CHAOS STANDARDŮ: Jaké standardy aplikovat? CHAOS STANDARDŮ V PRAXI MNOHO PSŮ, ZAJÍCOVA SMRT Doporučené standardy COBIT 5: A single integrated framework will help stakeholders understand how various frameworks, best practices and standards are positioned relative to each other and how they can be used together and could augment each other. Základním znakem provádění IT Governance je výběr a aplikace vhodných metodik a standardů. Pro zájemce o oblast řízení rizik doporučuji nezávislou studii Řízení rizik a příležitostí probírající standardy RISK IT, PMI, ISO 27005/31000/10006 a IPMA. Ke stažení je na www.perpartes.cz (heslo ke stažení zdarma sdělím na přednášce)

The image part with relationship ID rid16 was not found in the file. Děkujeme za pozornost. Petr Hujňák Per Partes Consul2ng petr.hujnak@perpartes.cz? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář