IT Governance - řízení a bezpečnost Zdeněk Svěžen Vysoká škola ekonomická Nám.W.Churchilla 4 130 67 Praha 3
[email protected]
Abstrakt: Jak IT prorůstá hlouběji do procesů ve společnosti, stále více se vynořuje na povrch nutnost změny v tradičním pojetí řízení IT. Je očividné, že funkční nebo pseudo-procesní řízení IT jako oddělení je nedostačující a nezaručuje dostatečnou návratnost investic do IT. IT Governance, jako komplexní řízení otázek dotýkajících se IT, nabízí v moderním pojetí přenést zodpovědnosti a pravomoci do rukou těch, kteří mají zároveň rozhodující vliv při řízení businessu, tj. vlastníků procesů. Operativní řízení IT pak zastřešuje a koordinuje IT manažer, separátně by pak bezpečnost IT měl zajišťovat IT bezpečnostní manažer, kdy by obě tyto role měly mít takové postavení ve společnosti, aby efektivně mohly plnit své úkoly. Klíčová slova: IT Governance, IT manažer, CIO, Bezpečnostní manažer, IT Bezpečnostní manažer, bezpečnost, IT procesy, organizační struktura IT, IT a business strategie
Úvod Cílem této práce je: popsat stav a úroveň řízení informatiky a bezpečnosti převážně ve velkých firmách působících na území ČR zhodnotit závislost stavu řízení na různých aspektech typu – postavení IT managera ve společnosti a organizační začlenění bezpečnostního manažera navrhnout různé modely organizační struktury v řízení IT a vyhodnotit výhody a nevýhody v kontextu řízení IT popsat nutnost či zbytečnost standardizace v IT (tj. standardizace versus flexibilita procesů) V této práci bude velký důraz kladen zejména na organizační strukturu ve společnosti v souvislosti s řízením IT ve vztahu k řízení IT bezpečnosti. Tento aspekt je dle mého názoru a na základě prostudované literatury nedostatečně řešen. V praxi pak nesprávným vytyčením kompetencím a odpovědnostem jsou zavedené mechanismy neúčinné nebo protichůdné. To se potvrdilo i na poslední workshopu „Certifikovaný manažer bezpečnosti“ v dubnu roku 2007 pořádaném Institute for International Research (IIR), jehož jsem byl účastníkem. Experti a odborníci z praxe potvrzovali, že pozice řízení bezpečnosti je často hodně omezena „utopením“ této funkce v organizační struktuře. Poslední příspěvek této akce se věnoval organizačním strukturám, přičemž bylo řečeno, že prozatím neexistuje standardizovaný model.
SYSTÉMOVÁ INTEGRACE 3/2007
93
Zdeněk Svěžen
Center for Information Systems Research CISR (Center for Information Systems Research) byla založena v roce 1974 a má za sebou řadu prakticky zaměřených studií a výzkumů v rámci tematiky management of information technology. V současné době prohlašuje CISR, že jejím hlavním úkolem je provádět empirické výzkumy orientované převážně na problematiku generování hodnot pro business z IT. Portfolio své působnosti zahrnuje následující oblasti (ponecháno bez překladu): - Effective IT Oversight - The Future of the IT Organization -
An IT Manifesto for Business Agility Business Models and IT Investments & Capabilities IT-Enabling Business Inovation Effective Governance Outsourcing IT Engagement Models and Business Performance Effective IT Governance
- Enterprise Architecture as Strategy - IT Portfolio Investments Benchmarks & Links to Firm Performance - IT-Related Risks - IT-Enabled Business Change Mezi partnery výzkumů CISR patří: - The Boston Consulting Group, Inc. - BT Group - DiamondCluster International, Inc. - Gartner - Hewlett-Packard Company - IBM corp. - Microsoft Corporation Toto seskupení a její statě budou představovat pro mou další práci základní světovou autoritu pro můj vlastní výzkum v oblasti IT Governance. Východisko pro mou práci, které se mi empiricky potvrzuje, představuje například studie od autorů Peter Weill a Jeane W. Ross: „IT Governance on One Page“. Podniky se snaží generovat hodnoty z informačních technologií a manažeři si začínají uvědomovat, že rozhodnutí dotýkající se IT prostředí musí být v souladu s s cíli organizace. Problém je, že příliš mnoho jednotlivců napříč organizací dělá svá rozhodnutí na denní bázi a ovlivňuje tím hodnotu vytěženou z IT. IT Governance je proces, kterým firmy spojují činnosti v IT s výkonnostními cíli a napojují zodpovědnost za tyto činnosti s výstupy. K tomu, aby byla IT Governance efektivní, musí být aktivně utvářena. Nesmí zůstat na úrovni izolovaných řídících mechanismů (např. řídící komise, projektová kancelář, smlouvy SLA apod.), které jsou navíc implementovány v různých obdobích jako odpověď na různé problémy a výzvy. Na základě zkušeností z 300 společností z 23 zemí, daná studie nabízí metodický rámec pro firmy, jak vytvořit a komunikovat IT Governance. 94
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Autoři vyvinuli následující postup jako zhodnotit úroveň IT Governance ve společnosti. Průměr výzkumu vycházel okolo 69 bodů ze sta.
SYSTÉMOVÁ INTEGRACE 3/2007
95
Zdeněk Svěžen
Na základě toho, jakým způsobem se organizace rozhodují, definovali autoři několik rozhodovacích archetypů, dle úrovně centralizace.
Autoři uzavírají studii kontováním, že centralizovaná ani decentralizovaná struktura není ideální a že odpovědí je struktura hybridní, která bude odpovídat povaze společnosti. Neméně důležitý, logický avšak opomíjený fakt je, že odpovídající rozhodovací mechanismy se nevytvoří autonomně a je třeba jim věnovat adekvátní pozornost. 96
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Peter Weill, který je ředitelem CISR, v samostatné studii „Don’t just lead, Govern!“ zpodrobňuje rozhodovací archetypy:
Na základě rozsáhlé studie pak uvádí výsledky:
Opět je závěrem fakt, že způsob IT Governance je ovlivněn mnoha faktory. Peter Weill jich v tomto kontextu uvádí 5: SYSTÉMOVÁ INTEGRACE 3/2007
97
Zdeněk Svěžen
-
Strategic and performance goals Organizational structure
-
Governance experience Size and diversity
- Industry and regional differences Se závěry studií Peter Weilla souhlasím a v praxi se tyto závěry potvrzují. Autorů, kteří se zabývají IT Governance je jistě mnoho, nicméně jsem neobjevil ucelenou studii, která by zohledňovala jak management IT, tak management IT bezpečnosti. Proto bych se v této své práci bych chtěl věnovat zejména druhému faktoru, který Weill zmiňuje, a tím je organizační struktura v prostředí středních a větších podniků.
Řízení IT ve společnosti Řízení IT ve společnosti dle mého názoru zahrnuje vedení a koordinaci několika klíčových prvků IT infrastruktury: - Řízení technologií - Řízení lidí - Řízení procesů - Vymezení v rámci organizace - Řízení bezpečnosti, která zaobaluje všechny předcházející prvky.
Organizace
Technologie
Procesy
Lidé
Technologie ovlivňuje způsob práce jednotlivých osob. Technologická základna předurčuje způsob komunikace, v ideálním případě je reakcí na vnitropodnikové potřeby – nikoliv naopak. Organizace upravuje interakci mezi osobami, na úrovni pokynů a příkazů stanovuje meze, v rámci kterých by měly jednotlivé osoby fungovat Procesy stanovují průběh a následnost jednotlivých činností, vstupy a výstupy dílčích fází, časování aktivit, tok informací a kooperace mezi procesy navzájem 98
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Lidé
naplňují svou činností cíle společnosti a svou činnost ideálně vyvíjí v souladu s nastavenými pravidly v oblasti technologie, organizace a procesů Stále ve větší míře se ve společnostech různého zaměření ukazuje, že řízení IT pouze jako oddělení není tou správnou cestou. IT prostupuje takřka všemi procesy ve společnosti, a tudíž se již nedá řídit na úrovni oddělení, ale řízení musí pokrývat celé spektrum působnosti firmy. Jak uvádí ve svém článku Nicholas G. Carr [10]: Technologie přestává být konkurenční výhodou. Stejně jako elektřina je stejná technologie dostupná prakticky komukoliv. Použití nové generace technologií znamená konkurenční výhodu jen na velmi malou a omezenou dobu, tj. do okamžiku než tejnou technologii získají konkurenti. Vzhledem k rychlosti rozvoje techniky je tato doba příliš malá na to, aby se na této strategii dala založit filosofie rozvoje firmy. Také neustále investice do nových technologií by dozajista znamenaly nemalý problém pro financování takového rozvoje a zároveň by se v neustále se měnícím prostředí destabilizovali business procesy. Tento závěr se potvrzuje jak v praxi, tak v akademické sféře např. na VŠE, kde se akcentuje význam procesů a lidí. Technologie je vždy uváděna na posledním místě jako nástroj a prostředek, nikoliv jako cíl nebo samospásný element. Co dnes tedy doopravdy přináší konkurenční výhodu, jsou zbývající 3 složky: - Řízení lidí - Řízení procesů - Vymezení v rámci organizace IT musí přinášet přidanou hodnotu do společnosti, pokud ji nepřináší, je zbytečné. Přidaná hodnota se velmi špatně měří, ale lze alespoň kvalitativně odhadnout hodnotu IT skrze její nedostupnost. V rámci aplikací a celkové infrastruktury lze ohodnotit, jaké důsledky by měl výpadek vliv na chod společnosti a to v různých časových intervalech (hodina, půl dne, 1 den, týden, měsíc, atd.). Z tohoto pohledu lze hodnotit dopad na: - Reputaci firmy - Náklady na zavedení náhradních postupů - Případná rizika pokut a postihů z hlediska souladu se zákonem - Komfort zákazníků a jejich loajalitu - Produktivitu apod. Řízení IT již neznamená pouze řízení administrátorů v dané společnosti, ale zainteresování vlastníků procesů, které jsou pro společnost kritické. Pouze vlastníci procesů, kteří jsou zodpovědní za jejich hladký průběh, mohou adekvátně ohodnotit přínos informatické podpory a definovat požadovanou úroveň služeb. Není tedy divu, že např. standard ITIL doporučuje zavedení SLA smluv mezi IT a zbytkem společnosti. Požadovaná úroveň podpory musí být nutně jasně definovaná a měřitelná. Cílem firemního IT tedy není mít nejlepší technologie, nejlepší administrátory, ale správně nastavit podnikové procesy a určit optimální úroveň IT podpory, tak aby: - Investice do IT nebyly činěny bezúčelně - IT poskytovalo podporu, nikoliv omezovalo v práci SYSTÉMOVÁ INTEGRACE 3/2007
99
Zdeněk Svěžen
-
Umožňovalo flexibilitu interních procesů IT operovalo v rámci odůvodnitelných provozních nákladů Vyhovovalo uživatelům v rámci rutinní práce i vedení v rámci vyhodnocování efektivity Dalším bodem řízení IT je bezpečnost. V praxi se spíše setkáváme se situací, kdy bezpečnost je silně podceňována. Stejně jako všechny procesy ve společnosti i IT podpora jako samostatný proces: - měl by být definován, řízen a monitorován - měly by být stanoveny KPI ukazatele a to ve smyslu efektivity i bezpečnosti. Existují aspekty bezpečnosti, které jsou absolutně nezbytné, dále pak, dle povahy společnosti, existují aspekty, které mohou být již zbytečným luxusem. Cílem tedy není mít nejlepší možnou bezpečnost, ale nastavit takovou kombinaci bezpečnostních opatření, která pokryjí hlavní hrozby a sníží rizika na akceptovatelné minimum. Bezpečnost taktéž prostupuje celou společností a musí být řízena. Dle mého názoru by operativní řízení a řízení bezpečnosti nemělo být v rukou jednoho člověka. Jedná se o rozdílné aktivity, které mohou mnohdy jít proti sobě. Z tohoto důvodu se pokusím vymezit oblast působnosti IT manažera, který by měl řídit IT podporu a IT bezpečnostního manažera, který by měl ochraňovat informační aktiva společnosti.
Komplexní řízení IT Komplexní řízení IT zahrnuje jak řízení operativní stránky IT, tak bezpečnostní otázky, tak i strategii ve smyslu podpory business procesů – pouze v takovém případě lze hovořit o IT Governance. V Článku [7] a [8] je rozebíráno komplexně řízení IT, současná podoba, budoucí trendy a způsob, kterým posouvat nejen IT, ale celý business posunovat směrem k vyspělejším procesům. Důležité je umět měřit hodnotu, kterou IT přináší společnosti. Hodnotu IT běžně chápeme jako přidanou hodnota mínus náklady upravené mírou zbytkového rizika. Abychom přidanou hodnotu mohli spolehlivě měřit musí být dle [6] zajištěno: 1. Řízení celého portfolia investic 2. Pokrytí úplné množiny aktivit 3. Řízení skrze životní cyklus (projektů, produktů, technologií) 4. Rozpoznání jednotlivých kategorií investic 5. Definice a monitoring klíčových metrik 6. Zatažení vedení do řízení IT a předání odpovídající zodpovědnosti 7. Kontinuální monitoring, hodnocení a zlepšování (ISMS)
Spojení Business a IT strategie Měnící se vnější prostředí ukazuje na nutnost soustředění se na správné zapojení IT iniciativ do business potřeb. Toto spojení pak musí kontinuálně vykazovat návratnost vůči vlastníkům businessu. Enterprise Architecture (architektura podniku) je zásadní plánovací a výkonná disciplína, která vynucuje spojení IT a 100
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
businessu a zaručuje hodnoty vzniklé na základě lépe designovaných a hospodárných řešení. Mnoho velkých společností se snaží udržet konkurenční výhodu skrze investice do nejmodernějších technologií, které však primárně jsou určeny pro naplnění cílů Enterprise Architecture.
Mise
Vize
Strategie
Portfolio a programm management
Business a technologická transformace
Enterprise Architekture
Zdroj: Institute for Enterprise Architekture Developments
Co řeší CIO Dle informací od Gartner group se CIO zaobírá především těmito činnostmi: - Realizace projektů podporujících růst společnosti - Propojování strategie a plánů společnosti a IT - Prokazování hodnoty IT pro společnost - Aplikace metrik pro IT služby a organizační struktury - Posílení bezpečnostních opatření - Zlepšování v oblasti havarijního plánování/ business kontinuity
Pozice IT manažera ve společnosti a jeho vliv na podnikovou strategii V mnohých případech bývá IT manažer postaven v organizační struktuře níže než na úrovni vedení společnosti. V takové situaci je zpravidla prostor IT manažera ovlivněn nízkým rozpočtem určeným na striktní orientaci na operativu. IT manažer jen těžko prosazuje strategické záměry IT do strategie společnosti, čehož důsledkem bývá, že informační systémy přestávají efektivně podporovat cíle společnosti a přidaná hodnota informatických procesů rychle klesá. Hardwarové vybavení, jakožto i softwarové portfolio, zastarává a vynucuje investice, které se SYSTÉMOVÁ INTEGRACE 3/2007
101
Zdeněk Svěžen
jen těžko prosazují. Nadřízený IT manažera je obvykle hodnocen dle ekonomických výsledků, jedním z ukazatelů je návratnost investice (ROI). Vzhledem k tomu, že přidaná hodnota a dopad informatiky na ekonomické výsledky společnosti jsou jen velmi těžko měřitelné, je vedení společnosti spíše proti investicím do IT, jelikož jejich návratnost se nedá lehce vyčíslit. Ukazatel ROI v takovém případě klesá. Daný manažer v rámci svého hodnocení pak může vykazovat nízkou úspěšnost e ekonomičnost svého oddělení/divize a proto se bude bránit investicím do IT. Board of directors
Chief Executive Officer
Production Director
Marketing Director
HR Director
…
Chief Information Officer
Vliv IT manažera na firemní strategii je v takovém případě minimální a strategii informační je nutno omezit dle přidělených prostředků. Ideálním případem je, když IT manažer je součástí nejvyššího vedení společnosti. V takovém případě má velkou šanci lépe argumentovat ve prospěch informatických procesů ve smyslu jejich důležitosti a podpory business procesů. Vzhledem k tomu, že je účasten při tvorbě firemní strategie, má možnost prosadit takové investice, které budou pokrývat nejen udržitelný stav IT, ale pomohou nasměrovat IT vůči budoucím potřebám. V takovém případě je zajištěna mnohem stabilnější kontinuity všech firemních procesů závislých na IT a společnost může těžit z IT podpory jako z plnohodnotné služby směrem k uživatelům.
102
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Strategická úroveň
Taktická úroveň
Možné působení IT manažera
Operativní úroveň
Chief Executive
Production Director
Marketing Director
HR Director
Chief Information Offi-
cer Článek [3] zdůrazňuje nutnost sladit IT strategii dle business strategie, kde obě vycházejí z mise a vize samotného businessu. IT pak autor chápe jako prvek prostupující celou organizací, jenž musí být řízeno na celopodnikové úrovni.
Formální způsob zpracovaní modelu řízení informatiky Role směrnic a pracovních postupů Lidský faktor, který se podílí na výkonu procesu, může vytvářet slabinu procesu a tvořit potenciální riziko nejen pro daný proces samotný, ale i pro procesy navazující i předcházející. Selhání jednoho procesu tedy pochopitelně může řetězovou reakcí vyvolat řadu problémů, ohrožení existence společnosti nevyjímaje. Každá společnost provádí procesy dle svého know-how a mnoha dalších faktorů pocházejících z vnějšího a vnitřního prostředí společnosti. Mezi vnější vlivy můžeme řadit např.: SYSTÉMOVÁ INTEGRACE 3/2007
103
Zdeněk Svěžen
-
Legislativu Ekonomickou situace podniku a státu Situaci na trhu práce Dostupnou technologii
- Konkurenci - Zákazníky - Dodavatele apod. - Mezi vnitřní vlivy budou jistě patřit zejména: - Cíle společnosti - Pracovníci a jejich profesní znalosti a zkušenosti - Firemní know-how - Firemní kultura V případě, že procesy jsou nastaveny tak, že jejich propojením vzniká kýžený výstup, práce s designem procesů nekončí. Cílem by samozřejmě mělo být tyto procesy neustále zefektivňovat a zlepšovat, a tedy zvyšovat konkurenceschopnost podniku. V situaci, kdy procesy vyhovují (a nebo alespoň částečně vyhovují) cílům společnosti je třeba je „zafixovat“. Jde především o to, aby proces, tak jak byl nastaven, fungoval i nadále. Především u rutinních procesů je nutné omezit vynalézavost a improvizaci personálu na minimum a zajistit stabilitu a kontinuitu daného procesu. Existují zajisté i procesy, kdy v určitém okamžiku je nezbytně nutné, aby konkrétní kvalifikovaný pracovník rozhodl o dalším postupu. Nicméně i v tomto případě je možné alespoň částečně předvídat varianty, které přicházejí pro různé situace v úvahu a připravit scénáře, rady, vodítka, doporučení, nařízení, omezující podmínky a postupy, které budou pro daného pracovníka závazné. Předchozí věta de facto shrnula, jaký je účel a smysl směrnic a pracovních postupů ve společnosti. Směrnice bývají formulovány obecněji a shrnují podstatné náležitosti procesů. Pracovní postupy (nebo také standardní pracovní procedury) detailně specifikují konkrétní činnosti, které mají být provedeny a dále okolnosti, které musejí být posouzeny v případě, že pracovník musí o dalším postupu procesu rozhodovat na základě vstupních podmínek. Průběh procesu je nezbytné zpracovat ve formě směrnic a pracovních postupů, tj. standardizovat, tak aby: - Byla dodržena konzistence výstupů; - zachován potřebný čas na vytvoření výstupu; - nepřekročeny náklady na proces; - udržena potřebná kvality; - byla dosažena adekvátní bezpečnost podnikových aktivit (včetně dat) Standardizace procesů je důležitou součástí řízení společnosti, zejména v případech, kdy společnost rychle expanduje nebo je již natolik rozsáhlá, že není možné nadále problémy a incidenty řešit ad-hoc a je nutno zavést kromě standardizace, zejména měření kvality procesů a účinný monitoring. Dále se budeme věnovat především procesům, které lze zařadit pod megaproces „IT podpora“. 104
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Úroveň standardizace procesů v IT Ve standardu COBIT [4] je v modelu vyspělosti definováno celkem šest stádií „životního cyklu“ procesů v oblasti IT. Tento model umožňuje rychle a přehledně posoudit stav, ve kterém se společnost nachází v porovnání s obecně uznávanými standardy řízení prostředí IT. Často je také využíván pro srovnávání společností a může být také využit jako pomocný nástroj strategického plánování rozvoje a řízení procesů IT. Jednotlivá stádia modelu vyspělosti jsou definována takto: - Stádium 0 – Neexistuje řízení IT Neexistuje jakýkoliv rozeznatelný proces řízení IT. Organizace nerozpoznala nutnost řešit problematiku řízení IT a proto o ní ani nekomunikuje. - Stádium 1 – Počáteční úroveň řízení IT / Ad Hoc Organizace si je vědoma, že existuje problematika řízení IT, kterou je nutné řešit, nicméně neexistují standardizované procesy. Vše se řeší individuálně, případ od případu. Přístup vedení organizace je spíše nahodilý a komunikace o problémech je ojedinělá a nekonzistentní. Management organizace na této úrovni řízení již dokáže částečně ocenit hodnotu, kterou IT přináší konečnému výstupu podnikových procesů. Neexistuje však žádný standardní hodnotící proces ohledně výkonnosti IT. IT monitoring se provádí pouze jako reakce na událost, která způsobila ztrátu či obtíže organizaci. - Stádium 2 – Opakovatelný ale intuitivní model řízení IT Interní postupy jsou dovedeny do fáze, kdy jsou stejné úkoly řešeny různými pracovníky stejným způsobem. Postupy (tj. průběh procesu) je komunikován spíše ústně a přenáší se „tradicí“ z pracovníka na pracovníka. Neprobíhá žádné formalizované školení ani komunikace standardů řízení a provozu IT a zodpovědnost je ponechána na jednotlivcích, respektive není zodpovědnost často jednoznačně delegována. Existuje vysoká míra závislosti na znalostech jednotlivých pracovníků a chyby jsou proto poměrně časté. Odchod kvalifikovaných pracovníků způsobuje značné obtíže pro další chod IT.
- Stádium 3 – Definované procesy
-
Procedury a postupy jsou formalizovány, dokumentovány a komunikovány prostřednictvím školení příslušných pracovníků. Zodpovědnost za dodržování definovaných pravidel je však ponechána na jednotlivcích a je nepravděpodobné, že případné odchylky budou identifikovány. Procesy a postupy nejsou příliš sofistikované – jsou jen formálním zdokumentováním již dříve existující fungující praxe. Stádium 4 – Řízený a měřitelný model Organizace je schopna monitorovat a měřit míru souladu s definovanými procesy a přijímat nápravná opatření v případech identifikovaných neefektivností, či odchylek. Procesy jsou kontinuálně optimalizovány a zahrnují nejlepší interní postupy. Řízení IT se vyvíjí v plnohodnotný celopodnikový proces. Činnosti spojené s řízením IT se stávají součástí řízení celého podniku.
SYSTÉMOVÁ INTEGRACE 3/2007
105
Zdeněk Svěžen
-
Stádium 5 – Optimalizovaný model řízení IT Procesy jsou plně v souladu s nejlepší praxí pro dané odvětví a jsou podrobeny procesu trvalého zlepšování. Společnost využívá srovnávání („benchmarkingu“) svých procesů vůči ostatním společnostem v odvětví a využívá modelů vyspělosti procesů pro další zlepšování řízení. IT se ve společnosti používá extenzivně, integrovaně a optimalizovaně tak, aby se maximálně automatizovaly pracovní postupy, a poskytuje nástroje pro zlepšení kvality a efektivity fungování celé společnosti.
5
Optimalizovaný model řízení IT
4
Řízený a měřitelný model
3
Definované procesy
2
Opakovatelný ale intuitivní model řízení IT
1
Počáteční úroveň řízení
0
Neexistuje řízení IT
Pozice většiny společností
V praxi se setkáváme (a zejména v českých podmínkách) převážně s úrovněmi okolo stádia 3. Společnosti si uvědomují nutnost standardizace, nicméně, nižší pozornost věnovaná IT ze strany vedení společnosti tomuto často brání. Pracovníci IT jsou natolik vytíženi provozními činnostmi a povinnostmi, že nezbývají kapacity na vytvoření adekvátní řídící dokumentace. Pracovník, který by byl určen speciálně pro tyto činnosti se objevuje pouze v minimu případů. Jiný pohled na problematiku standardizace nabízí Hugh Parkes ve své knize [9]. Úroveň standardizace rozkládá do tří základních bloků, přičemž dosažení výše postaveného bloku je podmíněno plného dosažení standardizace v bloku nižším. Plnohodnotné a efektivní řízení IT je pak podmíněno dosažením všech tří úrovní standardizace. Vyšší úroveň standardizace je pak postaven na roveň s přidanou hodnotou IT pro společnost. Třemi základními bloky jsou: - Standardizace výpočetní techniky - Standardizace infrastruktury - Standardizace služeb
106
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Foundation blocks
High
Services Standardization
Value obtained from standadization
Low
Uniform and linked help desks Break/fix maintenance Security Automated data back-up and recovery Business continuity planning/recovery Training IT and application development IT value, management, and operational performance measurement
Naformátováno: Odrážky a číslování
How much additional increment downstream leverage?
Infrastructure Standardization
Naformátováno: Odrážky a číslování
Servers, routers, firewalls, and other hardware Telecommunications networks and equipment Uniform multilocation connectivity How much increment downstream leve IT infrastructure management rage? tools Operating software Data management and application development tools Software deployment/push capability Remote access/dial-in/VPN capabilities
PC Standardization Class of user categories Preselected vendors/models – matched to class of use and capability needs Consolidated sourcing and procurement Defined replacement cycles Asset identification, acquisition, management, and disposition processes PC configuration, image, drivers PC software suite. Including Internet browser
Foundation
SYSTÉMOVÁ INTEGRACE 3/2007
Naformátováno: Odrážky a číslování How much downstream leverage?
Consolidation
Leverage
107
Zdeněk Svěžen
Cílem každé společnosti, kde je informatika adekvátně doceněna, by měl být růst směrem k vyšším stádiím modelu řízení. Nutno podotknout, že tento růst se bez investic do IT neobejde.
Co řeší IT security manažer Úkolem IT Security manažera je chránit informační aktiva a to zejména před: Ztrátou Zneužitím vlastními zaměstnanci či třetími stranami Podvrhem nebo poškozením Do informačních aktiv řadíme jak dokumenty papírové tak dokumenty v elektronické podobě, tj. všechny informace bez ohledu na formát, obsah a médium. Security manažer naproti tomu má na starost bezpečnost v rámci celého podniku, do které spadá zejména: Ochrana života a zdraví osob Požární ochrana Fyzická ostraha Kontinuita provozu atd.
Bezpečnost Navýšení množství komponent v podnikové IT infrastruktuře znamená geometrický růst komplexity, zatímco množství lidí, kteří se mohou věnovat bezpečnosti a monitoringu roste pouze aritmeticky nebo vůbec. Řešením je vytvořit takovou strukturu, kde identifikace a eskalace bezpečnostních incidentů bude jednoduchá a transparentní. [1] uvádí, že toto lze docílit za použití: Správná konfigurace bezpečnostních parametrů systémů a aplikací, které jsou většinou zabudovány v systému. Preventivní prvky procesního a organizačního charakteru – komplex opatření, které předcházejí rizikům Detekce (alarmy) – specializované IT prostředky nebo prvky manuálního monitoringu, které odhalí bezpečnostní riziko Spouštěče – v mnoha případech dodavatel IT je schopen dopředu upozornit na hrozící nebezpečí a poskytnout řešení. Takovéto zprávy musí být spouštěčem adekvátních interních procesů. Již imImplementuje Zvažuje Nezvažuje plementose se se váno Soulad IT a business strategie Řízení zdrojů Měření přidané hodnoty Řízení rizik Hodnocení výkonnosti IT Hodnocení návratnosti investic do IT
16%
12%
21%
51%
18% 9% 9% 10%
12% 9% 9% 10%
20% 21% 16% 14%
50% 61% 66% 66%
7%
8%
13%
72%
Zdroj: [1] 108
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Předcházející tabulka ukazuje na to, že mnoho společností prozatím nevnímá začlenění IT do svého podniku jako cíl vytvářející hodnotu IT, řada z nich pouze řídí technologie a výkonnost a návratnost nechce nebo neumí měřit. Dosti kontroverzně v tomto kontextu působí článek [2], který si pokládá otázku, zda je bezpečnost hodna naši pozornosti. Přestože název napovídá tomu, že autor řízení bezpečnosti zavrhuje a doporučuje od ní ohlížet, opak je pravdou. Autor doporučuje věnovat bezpečnosti adekvátní pozornost, kde výraz „adekvátní“ je pro jeho chápání řízení bezpečnosti klíčový. Ve svých tezích zdůrazňuje, že není cílem mít nejlepší zabezpečení IT na světě, ale je nutné v rámci cost-benefit analýzy volit vhodná opatření, zejména využívat ta, která jsou k dispozici v aplikacích sama o sobě.
Pozice IT Security manažera Článek [5] se zamýšlí nad postavením bezpečnostního manažera ve společnosti. Zaměřuje se hlavně na informační toky, kdy je institut bezpečnostního manažera v diskutovaných variantách postaven mimo působnost IT manažera. V mé práci jsem vycházel z těchto myšlenek, ale přidal modely, které jsou v praxi celkem běžné, a to, že bezpečnostní funkce jsou přítomny na různé úrovni organizační struktury, tedy i v resortu IT manažera. V této části se budu zabývat nelezením ideálního organizačního uspořádání tak, aby bezpečnost nebránila flexibilitě a flexibilita nebyla důvodem, proč se nevěnovat bezpečnosti. V praxi existuje řada modelů, jak v rámci organizační struktury začlenit bezpečnostní specialisty. Každý model má své výhody i nevýhody, v rámci každého z nich se je pokusím nastínit a vyjádřit názor, zda takový model v praxi použit, či nikoliv. Model 1 Chief Executive Officer Chief Information Officer
Chief Security Officer
IT Security Officer
SYSTÉMOVÁ INTEGRACE 3/2007
nedoporučeno
109
Zdeněk Svěžen
Výhody modelu: -
IT manažer v rámci strategie IT určuje, která informační aktiva mají pro společnost nejvyšší hodnotu a podle toho určuje priority pro zabezpečení Nevýhody modelu: -
-
Bezpečnostní specialisté jsou v případě nedostatku personálu často úkolováni běžnými IT úkoly a nemají dostatek prostoru pro výkon bezpečnostních aktivit. Priority IT manažera mohou být chybné. Nadřazenost Bezpečnostního manažera nad IT bezpečnostního manažera může vyústit v zaměření se převážně na fyzickou bezpečnost (bezpečnost objektu a ochrana papírových dokumentů) a opomenutí některých důležitých aktiv v elektronické formě.
Model 2 Chief Executive Officer Chief Information Officer
IT Security Officer
Výhody modelu: -
Chief Security Officer
n
nedoporučeno nedoporučeno
IT manažer v rámci strategie IT určuje, která informační aktiva mají pro společnost nejvyšší hodnotu a podle toho určuje priority pro zabezpečení IT bezpečnostní manažer nepodléhá přímo Bezpečnostnímu manažerovi a je tak oproštěn od případného přílišného zaměření na fyzickou bezpečnost a určuje si sám priority Nevýhody modelu: -
110
Bezpečnostní funkce jsou od sebe odtrženy a aktivit obou manažerů mohou jít ve výsledků proti sobě. IT bezpečnostní manažer je v případě nedostatku personálu často úkolováni běžnými IT úkoly a nemá dostatek prostoru pro výkon bezpečnostních aktivit.
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
Model 3 Chief Executive Officer Chief Security Officer
Chief Information Officer IT Security Officer
-
akceptovatelné
Výhody modelu: -
Bezpečnostní manažer je nezávislý od řízení informatiky. Bezpečnostní manažer může v rámci podpory Výkonného ředitele nastavovat podmínky pro bezpečné fungování IT. Bezpečnostní funkce jsou sice umístěny v rámci rozdílných řídících linií, avšak Bezpečnostní manažer může provádět koordinaci bezpečnostních aktivit nepřímo skrze rozhodnutí výkonného ředitele. Nevýhody modelu: -
Bezpečnostní funkce jsou od sebe odtrženy a aktivit obou manažerů mohou jít ve výsledků proti sobě
Model 4 Chief Executive Officer
Chief Security Officer IT Security Officer
SYSTÉMOVÁ INTEGRACE 3/2007
Chief Information Officer
vhodné
111
Zdeněk Svěžen
Výhody modelu: -
-
Bezpečnostní manažer i IT bezpečnostní manažer jsou nezávislý od řízení informatiky. Bezpečnostní manažer může v rámci podpory výkonného ředitele nastavovat podmínky pro bezpečné fungování IT. Bezpečnostní funkce jsou umístěny v jedné řídící linii. Při vhodné komunikaci mezi bezpečnostními specialisty je možné nastavit IT manažerovi efektivní bezpečnostní rámec, v rámci kterého musí vykonávat svou funkci. S podporou vedení lze nastavit IT manažerovi výkonnostní ukazatele (KPI), které budou obsahovat zajištění adekvátní bezpečnosti informací, a za které bude také hodnocen.
-
Bezpečnostní specialisté pravidel. Nevýhody modelu: -
mohou
kontrolovat
plnění bezpečnostních
Při nedostatečných zdrojích (lidských, finančních) může být vyvinut tlak na IT manažera, který nelze zvládnout. V případě, že IT manažer není v nejvyšším vedení je velmi pravděpodobné, že nebude mít prostor ani prostředky na realizaci jak operativy, tak bezpečnostních opatření.
Závěr Pozice IT manažera i IT Bezpečnostního manažera si v podmínkách (nejen) České republiky stále hledá své místo v organizační struktuře. IT Governance je nevhodně roztříštěna napříč společností a namísto synergického efektu často působí její jednotlivé složky proti sobě. Řízení IT je primárně vnímáno jako řízení operativních problémů a úkolů. Business vyžaduje adekvátní IT podporu, nicméně často nedokáže adekvátně definovat svoje potřeby nebo nevytváří odpovídající podmínky pro efektivní fungování IT. Jak IT postupně prostupuje celou společností ukazuje se potřeba řídit IT na vyšší úrovni, včetně řízení bezpečnosti a strategie, která by orientovala podnik do budoucnosti. IT již není konkurenční výhodou a jakékoliv přednosti v oblasti IT jsou velmi rychle ze strany konkurentů smazány, respektive dohnány. Rozdílem se stává potenciál, s jakým je IT schopno podporovat business procesy a vlastníky těchto procesů „zatáhnout“ do řízení IT a přidělit jim nejen pravomoci, ale hlavně zodpovědnost za dostatečné zdroje pro takovou podporu.
Summary CIO’s and IT CSO’s roles in the environment (not only) of the Czech Republic are still looking for their adequate position within company organizational structure. IT Governace is used to be inadequately split across the company. Although it should bring definite synergic effects, it is more common that individual elements’ forces go towards each other. IT management is primarily perceived as a pure control of operative tasks and problems. However, even in the situation when business requires appropriate IT support, the business itself is not capable to explicitly define its needs and may be therefore does not create effective conditions for relevant IT processes. Whilst IT penetrates whole company it is much more obvious that IT 112
SYSTÉMOVÁ INTEGRACE 3/2007
IT Governance - řízení a bezpečnost
needs to be managed on the higher level than ever before. This includes managing security and strategy that should orient the company to the future existence and needs. IT is not a competitive advantage anymore. Advantages gained from the latest technology are very quickly caught up with other competitors on the market. The difference between companies is not IT or amount of money invested in it but the potentiality of IT to support the business. This assumes involving process and data owners into IT management and assign them with rights but also obligations regarding adequate sources for such IT support.
Literatura [1] [2] [3] [4] [5] [6] [7] [8] [9]
Ross S. J., CISA, CISSP: Alerts, Alarms and Triggers. Information System Control Journal, volume 2 (2007) Brotby K., CISM: Information Security Governance (Who needs it?). Information System Control Journal, volume 2, (2007) Chatterji S.: Bridging Business and IT strategie With Enterprise Architecture. Information System Control Journal, volume 3, (2007) Kolektiv autorů: CISA review manual 2007. ISACA, Illinois 2007 Rak R., Kaplan Z.: Místo a role bezpečnostního managera. Data Security Management, ročník IX., číslo 2 (2005) Guldentops E.: Value Management principles. Information System Control Journal, volume 1, (2007) Southgate R.: IT Governance – Security Folklore and the Future. Information System Control Journal, volume 1, (2005) Bitterli P. R.: IT Security Governance – A Slow Start to a High Maturity Level. Information System Control Journal, volume 1, (2005) Lutchen M. D.: Managing IT as a business (a survival guide for CEOs), John Wiley & Sons, Inc., New Jersey 2004
[10] Carr N. G.: IT Doesn't Matter. Harvard Business Review, May 2003, (2003)
SYSTÉMOVÁ INTEGRACE 3/2007
113