it governance для управления рисками и соответствиямис 1978 г....

Виктор Голубев Директор по ИТ-косалтингу «ТБС Консалтинг»,

Директор COBIT| IT Governance ISACA Moscow chapter,

CGEIT , CISA,TOGAF certified 6 июня 2013г.

05.06.2013 TBS Consulting 2

Содержание

• Почему опять про «Облака»?

• Вспомним основы

– про IT Governance

– про «Облака»

• Декларируемые «облачные» преимущества…

• …и реалии действительности

• 6 принципов для осмысленного выбора

облачных вычислений

• Состоянии зрелости облачных вычислений

в мире на конец 2012 года

• Резюме


Почему опять про «Облака» ?

Из высказываний «облачных» экспертов и маркетологов 2 года назад:

• «Облака» – это чисто технологическая альтернатива , находящаяся исключительно в зоне ответственности ИТ»

• «Принятие решения о переходе «в Облако» никак не отразится на ИТ-стратегии…

• …и уж совсем точно не затронет Бизнес-стратегию»

• «Облачные вычисления – это революция в ИТ, которая позволит быстро, просто и дешево решить все ИТ-проблемы, практически, для любой компании»


Чудеса, да и только…

«Чудо — это событие, описанное людьми, услышавшими о нем от тех, кто его не видел.» Элберт Хаббард


Взгляд на чудеса с устойчивой платформы

IT Governance

Cloud Computing


Напомним про IT Governance

«IT Governance (Руководство ИТ) –зона ответственности

Высшего Руководства Компании.

IT Governance является неотъемлемой составной частью

системы управления Компанией и состоит в обеспечении

руководящей роли, создании организационных структур

и процессов, обеспечивающих со стороны ИТ поддержку

и реализацию Стратегии и целей Компании»

Источник: IT Governance Institute, «Board Briefing on IT Governance, 2nd Edition»

«ИТ – слишком важная область, чтобы

доверять ее исключительно айтишникам!»


"Куб COBIT”

• Требования к информации • Результативность (Effectiveness) =

ориентация на бизнес результат, гибкость

• Эффективность (Efficiency)= цена результата, КПД

• Конфиденциальность (Confidentiality)

• Целостность (Integrity)

• Доступность (Availability )

• Обеспечение Соответствия (Compliance)

• Надежность (Reliability)

• Ресурсы • Приложения

• Информация

• Инфраструктура

• Люди+Компетенции

• ИТ процессы • Процессы (управления ИТ)

• Контроли


На какие вопросы отвечает правильная ИТ-стратегия

• Как ИТ понимает цели и задачи бизнеса , бизнес-стратегию ?

• Какие задачи стоят в связи с этим перед ИТ?

• Какие ресурсы нужны для реализации этих задач?

– Информация

– Приложения

– Инфраструктура

– Люди+компетеции

• Какие риски и ограничения видятся

на этом пути и как будем их

преодолевать?

• Как будем отслеживать

достижение целей и оценивать

полученные результаты?

Resource Management

IT IT Governance Governance Domains Domains

Resource Management

IT Governance Focus Areas


Кто за что отвечает?

• Systems development – Разработка приложений

• Change management – Управление изменениями

• Security – Управление логическим и

физическим доступом

• Computer operations – Автоматизированные

задания – Резервное копирование и

восстановление данных – Управление инцидентами и

проблемами

• Completeness – Контроль полноты данных

• Accuracy – Контроль точности данных

• Validity – Контроль достоверности

данных

• Authorisation – Авторизация доступа к

информации

• Segregation of duties – Разделение прав и полномочий

доступа к приложениям и данным

Бизнес (Applications Controls)

ИТ (IT General Controls)

Владельцем данных и бизнес-приложения является Бизнес !


Определение «Облака» по NIST

• «А model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction» National Institute of Standards and Technology (NIST)

• «Модель обеспечивающая повсеместный и удобный сетевой доступ по требованию к настраиваемому пулу компьютерных ресурсов, которая позволяет быстро получить и отменить доступ, с минимальными управленческими усилиями по взаимодействию с провайдером услуг»


«Облачная» модель NIST


Декларируемые преимущества - 1

• Снижение стоимости владения ИТ

– Передача части сервисов провайдеру

– Оплата по мере использования

– Концентрация своего ИТ-персонала на более приоритетных задачах

• Гибкость, быстрота реакции на изменения

– Не надо больших единовременных затрат (IaaS, SaaS)

– Быстрота развертывания (SaaS)

– Быстрота разработки и тестирования (PaaS)

– Быстрый вывод на рынок новых продуктов и услуг

• Масштабируемость производительности

– Концентрация у провайдера мощностей


Декларируемые преимущества - 2

• Использование интеллектуального потенциала

– Концентрация у провайдера еще и «мозгов»

– Надежда попутно получить экспертизу

• Надежность

– Мощность

– Централизованная информационная защита

– Среда и окружение

– Виртуализация и распределенность ресурсов

• Разделение рисков с провайдером

– Перенесение ответственности за надежность сервисов, сохранность данных…


«Бесплатный сыр бывает только в мышеловке!»

Народная мышиная мудрость


Облачные реалии - 1

• Стоимость владения ИТ – Изменение баланса CapEx/OpEx – А всегда ли ЭТО хорошо?

– Увеличение операционных расходов:

• Телекоммуникации – основные и резервные каналы

• Оплата услуг провайдера

– Новые статьи расходов добавляется, а старые не уходят: надо поддерживать как старые, так и новые технологии;

– Потенциальное увеличение стоимости из-за частичных или временных решений;

– Потребность в новых компетенциях – управление услугами провайдера: переориентация/переобучение ИТ-персонала или набор дополнительного…



• Готовность и способность организации к изменениям – Знание и понимание того, что собираетесь передать;

– Согласование со всеми заинтересованными сторонами;

– Неизбежное влияние на бизнес-культуру, бизнес-процессы, людские ресурсы и, потенциально, – на бизнес-стратегию: выход на новые рынки или сектора;

– Для грамотного выбора сервиса и модели развертывания необходима классификация данных, закрепление зон ответственности за данные/приложения за бизнес-владельцами;

– Готовность бизнес-владельцев поместить свои данные в «Облако»;

– Потребуется интеграция с существующей ИТ-организацией, изменение/совершенствование процессов управления ИТ;

– Регламентация деятельности в новых условиях – политики, процедуры…



• Проблемы безопасности – Зависимость бизнеса компании от провайдера;

– Непрозрачность контроля физического доступа к ресурсам;

– Риск компрометации критичной информации из-за разделения ресурсов;

– Идентификация пользователей и управление доступом;

– Способность провайдера противостоять кибер-угрозам…

– Способность и скорость восстановление после сбоев и аварий

– Уязвимости интeрнет-браузеров

– Уязвимости мобильных устройств (BYO Disaster!)…

• Выполнение требований (Compliance) – Корпоративные требования и требования законодательства;

– Ограничения на географическое расположение данных;

– Доступность данных для аудита и расследований



• Уровень доверия к провайдеру – Тщательный выбор на основе анализа финансового

состояния, положения на рынке, подтвержденной способности обеспечения сервиса…;

– Предварительное тестирование сервиса и отработки критичных ситуаций;

– Независимый аудит и Сертификация провайдера (SAS 70/SSAE16/SOC - Service Organization Control 1-2);

– Контрактные отношения, SLA, ;

– Документальное закрепление зон ответственности сторон;

– Собственный постоянный мониторинг уровня сервиса и параметров безопасности, периодический пересмотр уровней сервиса и стоимости;

– …


6 принципов выбора «облака»

«Руководящие принципы выбора и использования Облачных вычислений»

• The Enablement Principle: Принцип стратегического фактора – Выбор «облака» следует рассматривать на уровне Руководства компании

как стратегический фактор влияния, (а не как технологическая платформа или форма аутсорсинга).

• The Cost/Benefit Principle: Принцип анализа стоимости и выгод – Оценка преимуществ «облака» на основе полного понимания стоимости

данного решения по сравнению с другими технологическими подходами и решениями.

• The Enterprise Risk Principle: Принцип управления рисками – Решение о выборе и использовании «облака» принимается в

соответствии с принципами корпоративного управления рисками (ERM). • The Capability Principle: Принцип полноты возможностей

– Максимально полное интегрирование возможностей облачного провайдера с внутренними ресурсами для обеспечения наиболее эффективного решение и его технической поддержки.

• The Accountability Principle: Принцип ответственности – Четкое определение и закрепление обязанностей между провайдером и

внутренними ресурсами. • The Trust Principle: Принцип доверия

– Доверие должно быть ключевым элементом облачных решений, для всех бизнес-процессов, которые зависят от облачных вычислений.


Исследование по оценки зрелости -1

• По состоянию на 4квартал 2012 г

• Отчет 37 страниц, 252 респондента

• Консалтинг, провайдеры, банки, технологические компании, телеком, правительственные организации…


Текущая картина «облачной» зрелости

Младенчество Рост Зрелость Упадок

ХАРАКТЕРИСТИКА уровня «Младенчество»

• Рынок мал, потенциал роста и инноваций существует, но не реализован.

• Понятие «Облака», связанных ролей и зон ответственности не до конца ясны участникам.

• ROI неопределенно.

• Пользователи и провайдеры могут рассматриваться как первичные последователи


Позитивные и негативные факторы влияния


Резюме - 1

• Использование «облака» затрагивает все ИТ-ресурсы и процессы управления ими, и, значит, это не может не отразиться в ИТ-стратегии.

• Принятие решения о переходе в «облако» невозможно без согласия всех заинтересованных сторон и, в первую очередь, – бизнес-владельцев данных и приложений.

• Возможности предоставляемые «облаком» могут существенным образом повлиять на бизнес-стратегию организации...

• …поэтому, решение о выборе и применении «облачных вычислений» – стратегическое решение в зоне ответственности Высшего Руководства организации.


Резюме - 2

• Увы, "облачные вычисления» - не универсальная панацея для всех задач, компаний и типов бизнеса, …

• хотя, несомненно, «Облака» могут дать Бизнесу уникальные возможности,

• при условии осмысленного выбора данной альтернативы на основе принципов Руководства ИТ (IT Governance),

• …а в случае их игнорирования, наоборот, – могут привести к неуправляемым рискам и существенным потерям.


«Чудеса иногда случаются, но над этим приходится очень много работать.» Хаим Вейцман

[email protected]

[email protected]


• ISACA (http://www.isaca.org)

– Information Systems Audit and Control Association, основана в 1969

– объединяет более 100 000 профессионалов во всем мире

• Сертификации ISACA признаны во всем мире и имеют аккредитацию ANSI

– CISA- Certified Information Systems Auditor , с 1978 г. более 90 000 в мире, 215 в России.

– CISM - Certified Information Security Manager, с 2002г, более 18 000 в мире, 22 в России

– CGEIT - Certified in the Governance of Enterprise IT, с 2007 г, более 4 800 в мире, 15 в России

– CRISС- Certified in Risk and Information Systems Control, с 2010 г, более 16 000 в мире, 38 в России


Использованные документы

• «Board Briefing on IT Governance, 2nd Edition», IT Governance Institute, 2003

• «COBIT® 4.1», IT Governance Institute, 2007

• «Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives», ISACA,2009

• «IT Control Objectives for Cloud Computing: Controls and

• Assurance in the Cloud ISACA», ISACA, 2011

• «Calculating Cloud ROI: From the Customer Perspective», ISACA, 2012

• «Guiding Principles for Cloud Computing Adoption and Use» , ISACA, 2012

• «2012 Cloud Computing Market Maturity Study Results», CSA, ISACA, 2012

• «Cloud Governance: Questions Boards of Directors Need to Ask», ISACA, 2013

• «SOC 2 User Guide», AICPA, ISACA, 2012

it governance для управления рисками и соответствиямис 1978 г....

Documents