IT Governance для управления рисками и соответствиямис 1978 г....
Transcript of IT Governance для управления рисками и соответствиямис 1978 г....
Виктор Голубев Директор по ИТ-косалтингу «ТБС Консалтинг»,
Директор COBIT| IT Governance ISACA Moscow chapter,
CGEIT , CISA,TOGAF certified 6 июня 2013г.
05.06.2013 TBS Consulting 2
Содержание
• Почему опять про «Облака»?
• Вспомним основы
– про IT Governance
– про «Облака»
• Декларируемые «облачные» преимущества…
• …и реалии действительности
• 6 принципов для осмысленного выбора
облачных вычислений
• Состоянии зрелости облачных вычислений
в мире на конец 2012 года
• Резюме
05.06.2013 TBS Consulting 3
Почему опять про «Облака» ?
Из высказываний «облачных» экспертов и маркетологов 2 года назад:
• «Облака» – это чисто технологическая альтернатива , находящаяся исключительно в зоне ответственности ИТ»
• «Принятие решения о переходе «в Облако» никак не отразится на ИТ-стратегии…
• …и уж совсем точно не затронет Бизнес-стратегию»
• «Облачные вычисления – это революция в ИТ, которая позволит быстро, просто и дешево решить все ИТ-проблемы, практически, для любой компании»
05.06.2013 TBS Consulting 4
Чудеса, да и только…
«Чудо — это событие, описанное людьми, услышавшими о нем от тех, кто его не видел.» Элберт Хаббард
05.06.2013 TBS Consulting 5
Взгляд на чудеса с устойчивой платформы
IT Governance
Cloud Computing
05.06.2013 TBS Consulting 6
Напомним про IT Governance
«IT Governance (Руководство ИТ) –зона ответственности
Высшего Руководства Компании.
IT Governance является неотъемлемой составной частью
системы управления Компанией и состоит в обеспечении
руководящей роли, создании организационных структур
и процессов, обеспечивающих со стороны ИТ поддержку
и реализацию Стратегии и целей Компании»
Источник: IT Governance Institute, «Board Briefing on IT Governance, 2nd Edition»
«ИТ – слишком важная область, чтобы
доверять ее исключительно айтишникам!»
05.06.2013 TBS Consulting 7
"Куб COBIT”
• Требования к информации • Результативность (Effectiveness) =
ориентация на бизнес результат, гибкость
• Эффективность (Efficiency)= цена результата, КПД
• Конфиденциальность (Confidentiality)
• Целостность (Integrity)
• Доступность (Availability )
• Обеспечение Соответствия (Compliance)
• Надежность (Reliability)
• Ресурсы • Приложения
• Информация
• Инфраструктура
• Люди+Компетенции
• ИТ процессы • Процессы (управления ИТ)
• Контроли
05.06.2013 TBS Consulting 8
На какие вопросы отвечает правильная ИТ-стратегия
• Как ИТ понимает цели и задачи бизнеса , бизнес-стратегию ?
• Какие задачи стоят в связи с этим перед ИТ?
• Какие ресурсы нужны для реализации этих задач?
– Информация
– Приложения
– Инфраструктура
– Люди+компетеции
• Какие риски и ограничения видятся
на этом пути и как будем их
преодолевать?
• Как будем отслеживать
достижение целей и оценивать
полученные результаты?
Resource Management
IT IT Governance Governance Domains Domains
Resource Management
IT Governance Focus Areas
05.06.2013 TBS Consulting 9
Кто за что отвечает?
• Systems development – Разработка приложений
• Change management – Управление изменениями
• Security – Управление логическим и
физическим доступом
• Computer operations – Автоматизированные
задания – Резервное копирование и
восстановление данных – Управление инцидентами и
проблемами
• Completeness – Контроль полноты данных
• Accuracy – Контроль точности данных
• Validity – Контроль достоверности
данных
• Authorisation – Авторизация доступа к
информации
• Segregation of duties – Разделение прав и полномочий
доступа к приложениям и данным
Бизнес (Applications Controls)
ИТ (IT General Controls)
Владельцем данных и бизнес-приложения является Бизнес !
05.06.2013 TBS Consulting 10
Определение «Облака» по NIST
• «А model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction» National Institute of Standards and Technology (NIST)
• «Модель обеспечивающая повсеместный и удобный сетевой доступ по требованию к настраиваемому пулу компьютерных ресурсов, которая позволяет быстро получить и отменить доступ, с минимальными управленческими усилиями по взаимодействию с провайдером услуг»
05.06.2013 TBS Consulting 11
«Облачная» модель NIST
05.06.2013 TBS Consulting 12
Декларируемые преимущества - 1
• Снижение стоимости владения ИТ
– Передача части сервисов провайдеру
– Оплата по мере использования
– Концентрация своего ИТ-персонала на более приоритетных задачах
• Гибкость, быстрота реакции на изменения
– Не надо больших единовременных затрат (IaaS, SaaS)
– Быстрота развертывания (SaaS)
– Быстрота разработки и тестирования (PaaS)
– Быстрый вывод на рынок новых продуктов и услуг
• Масштабируемость производительности
– Концентрация у провайдера мощностей
05.06.2013 TBS Consulting 13
Декларируемые преимущества - 2
• Использование интеллектуального потенциала
– Концентрация у провайдера еще и «мозгов»
– Надежда попутно получить экспертизу
• Надежность
– Мощность
– Централизованная информационная защита
– Среда и окружение
– Виртуализация и распределенность ресурсов
• Разделение рисков с провайдером
– Перенесение ответственности за надежность сервисов, сохранность данных…
05.06.2013 TBS Consulting 14
«Бесплатный сыр бывает только в мышеловке!»
Народная мышиная мудрость
05.06.2013 TBS Consulting 15
Облачные реалии - 1
• Стоимость владения ИТ – Изменение баланса CapEx/OpEx – А всегда ли ЭТО хорошо?
– Увеличение операционных расходов:
• Телекоммуникации – основные и резервные каналы
• Оплата услуг провайдера
– Новые статьи расходов добавляется, а старые не уходят: надо поддерживать как старые, так и новые технологии;
– Потенциальное увеличение стоимости из-за частичных или временных решений;
– Потребность в новых компетенциях – управление услугами провайдера: переориентация/переобучение ИТ-персонала или набор дополнительного…
05.06.2013 TBS Consulting 16
Облачные реалии - 2
• Готовность и способность организации к изменениям – Знание и понимание того, что собираетесь передать;
– Согласование со всеми заинтересованными сторонами;
– Неизбежное влияние на бизнес-культуру, бизнес-процессы, людские ресурсы и, потенциально, – на бизнес-стратегию: выход на новые рынки или сектора;
– Для грамотного выбора сервиса и модели развертывания необходима классификация данных, закрепление зон ответственности за данные/приложения за бизнес-владельцами;
– Готовность бизнес-владельцев поместить свои данные в «Облако»;
– Потребуется интеграция с существующей ИТ-организацией, изменение/совершенствование процессов управления ИТ;
– Регламентация деятельности в новых условиях – политики, процедуры…
05.06.2013 TBS Consulting 17
Облачные реалии - 3
• Проблемы безопасности – Зависимость бизнеса компании от провайдера;
– Непрозрачность контроля физического доступа к ресурсам;
– Риск компрометации критичной информации из-за разделения ресурсов;
– Идентификация пользователей и управление доступом;
– Способность провайдера противостоять кибер-угрозам…
– Способность и скорость восстановление после сбоев и аварий
– Уязвимости интeрнет-браузеров
– Уязвимости мобильных устройств (BYO Disaster!)…
• Выполнение требований (Compliance) – Корпоративные требования и требования законодательства;
– Ограничения на географическое расположение данных;
– Доступность данных для аудита и расследований
05.06.2013 TBS Consulting 18
Облачные реалии - 4
• Уровень доверия к провайдеру – Тщательный выбор на основе анализа финансового
состояния, положения на рынке, подтвержденной способности обеспечения сервиса…;
– Предварительное тестирование сервиса и отработки критичных ситуаций;
– Независимый аудит и Сертификация провайдера (SAS 70/SSAE16/SOC - Service Organization Control 1-2);
– Контрактные отношения, SLA, ;
– Документальное закрепление зон ответственности сторон;
– Собственный постоянный мониторинг уровня сервиса и параметров безопасности, периодический пересмотр уровней сервиса и стоимости;
– …
05.06.2013 TBS Consulting 19
6 принципов выбора «облака»
«Руководящие принципы выбора и использования Облачных вычислений»
• The Enablement Principle: Принцип стратегического фактора – Выбор «облака» следует рассматривать на уровне Руководства компании
как стратегический фактор влияния, (а не как технологическая платформа или форма аутсорсинга).
• The Cost/Benefit Principle: Принцип анализа стоимости и выгод – Оценка преимуществ «облака» на основе полного понимания стоимости
данного решения по сравнению с другими технологическими подходами и решениями.
• The Enterprise Risk Principle: Принцип управления рисками – Решение о выборе и использовании «облака» принимается в
соответствии с принципами корпоративного управления рисками (ERM). • The Capability Principle: Принцип полноты возможностей
– Максимально полное интегрирование возможностей облачного провайдера с внутренними ресурсами для обеспечения наиболее эффективного решение и его технической поддержки.
• The Accountability Principle: Принцип ответственности – Четкое определение и закрепление обязанностей между провайдером и
внутренними ресурсами. • The Trust Principle: Принцип доверия
– Доверие должно быть ключевым элементом облачных решений, для всех бизнес-процессов, которые зависят от облачных вычислений.
05.06.2013 TBS Consulting 20
Исследование по оценки зрелости -1
• По состоянию на 4квартал 2012 г
• Отчет 37 страниц, 252 респондента
• Консалтинг, провайдеры, банки, технологические компании, телеком, правительственные организации…
05.06.2013 TBS Consulting 21
Текущая картина «облачной» зрелости
Младенчество Рост Зрелость Упадок
ХАРАКТЕРИСТИКА уровня «Младенчество»
• Рынок мал, потенциал роста и инноваций существует, но не реализован.
• Понятие «Облака», связанных ролей и зон ответственности не до конца ясны участникам.
• ROI неопределенно.
• Пользователи и провайдеры могут рассматриваться как первичные последователи
05.06.2013 TBS Consulting 22
Позитивные и негативные факторы влияния
05.06.2013 TBS Consulting 23
Резюме - 1
• Использование «облака» затрагивает все ИТ-ресурсы и процессы управления ими, и, значит, это не может не отразиться в ИТ-стратегии.
• Принятие решения о переходе в «облако» невозможно без согласия всех заинтересованных сторон и, в первую очередь, – бизнес-владельцев данных и приложений.
• Возможности предоставляемые «облаком» могут существенным образом повлиять на бизнес-стратегию организации...
• …поэтому, решение о выборе и применении «облачных вычислений» – стратегическое решение в зоне ответственности Высшего Руководства организации.
05.06.2013 TBS Consulting 24
Резюме - 2
• Увы, "облачные вычисления» - не универсальная панацея для всех задач, компаний и типов бизнеса, …
• хотя, несомненно, «Облака» могут дать Бизнесу уникальные возможности,
• при условии осмысленного выбора данной альтернативы на основе принципов Руководства ИТ (IT Governance),
• …а в случае их игнорирования, наоборот, – могут привести к неуправляемым рискам и существенным потерям.
05.06.2013 TBS Consulting 25
«Чудеса иногда случаются, но над этим приходится очень много работать.» Хаим Вейцман
05.06.2013 TBS Consulting 27
• ISACA (http://www.isaca.org)
– Information Systems Audit and Control Association, основана в 1969
– объединяет более 100 000 профессионалов во всем мире
• Сертификации ISACA признаны во всем мире и имеют аккредитацию ANSI
– CISA- Certified Information Systems Auditor , с 1978 г. более 90 000 в мире, 215 в России.
– CISM - Certified Information Security Manager, с 2002г, более 18 000 в мире, 22 в России
– CGEIT - Certified in the Governance of Enterprise IT, с 2007 г, более 4 800 в мире, 15 в России
– CRISС- Certified in Risk and Information Systems Control, с 2010 г, более 16 000 в мире, 38 в России
05.06.2013 TBS Consulting 28
Использованные документы
• «Board Briefing on IT Governance, 2nd Edition», IT Governance Institute, 2003
• «COBIT® 4.1», IT Governance Institute, 2007
• «Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives», ISACA,2009
• «IT Control Objectives for Cloud Computing: Controls and
• Assurance in the Cloud ISACA», ISACA, 2011
• «Calculating Cloud ROI: From the Customer Perspective», ISACA, 2012
• «Guiding Principles for Cloud Computing Adoption and Use» , ISACA, 2012
• «2012 Cloud Computing Market Maturity Study Results», CSA, ISACA, 2012
• «Cloud Governance: Questions Boards of Directors Need to Ask», ISACA, 2013
• «SOC 2 User Guide», AICPA, ISACA, 2012