تکتا تجارت جی
تکتا تجارت جی
خواندن ۶ دقیقه·۳ سال پیش

حاکمیت فناوری اطلاعات (IT Governance) چیست؟


حاکمیت فناوری اطلاعات یک چارچوب رسمی است که ساختاری را برای سازمان ها فراهم می‌کند تا اطمینان حاصل شود که سرمایه گذاری های فناوری اطلاعات از اهداف تجاری پشتیبانی می‌کند. نیاز به شیوه‌های رسمی حاکمیت شرکتی و فناوری اطلاعات در سراسر سازمان‌های ایالات متحده با تصویب قوانین و مقررات، از جمله قانون GLBA و قانون SOX، در سال‌های 1990 و اوایل دهه 2000 تقویت شد.

در این مقاله من با پاول کالاتویوند، مدیر ارشد فناوری در ارائه‌دهنده مدیریت امنیتی فایرمون، تماس گرفتم تا نظرات او در مورد حاکمیت فناوری اطلاعات و آنچه برای اجرای موفقیت‌آمیز مورد نیاز است، باشد. کالاتویوند برنامه توسعه شرکت فایرمون را رهبری می‌کند و رهبری فکری را در مورد استراتژی محصول، مدیریت محصول و تحقیق و توسعه ارائه می دهد. او همچنین یک مدرس موسسه اس.آ.اس.اس است و در هیئت های مشاوره چندین شرکت مرتبط با امنیت حضور دارد.

1.حاکمیت فناوری اطلاعات چیست؟

اساساً، حاکمیت فناوری اطلاعات ساختاری را برای همسویی استراتژی فناوری اطلاعات با استراتژی کسب و کار فراهم می‌کند. با پیروی از یک چارچوب رسمی، سازمان ها می توانند نتایج قابل اندازه‌گیری در جهت دستیابی به استراتژی ها و اهداف خود تولید کنند. یک برنامه رسمی منافع ذینفعان و همچنین نیازهای کارکنان و فرآیندهایی را که آنها دنبال می‌کنند در نظر می گیرد. در تصویر کلی، حاکمیت فناوری اطلاعات بخشی جدایی ناپذیر از حاکمیت کلی سازمانی است.

2.چه رابطه ای بین حاکمیت فناوری اطلاعات و GRC[1] (حاکمیت، ریسک و انطباق) وجود دارد؟

به گفته کالاتایود، حاکمیت فناوری اطلاعات و GRC عملاً موارد مشابهی هستند. "در حالی که GRC برنامه اصلی است، آنچه تعیین می‌کند که از کدام چارچوب استفاده می شود، اغلب قرار دادن CISO[2] و محدوده برنامه امنیتی است. به عنوان مثال، زمانی که یک CISO به CIO گزارش می دهد، دامنه GRC اغلب بر فناوری اطلاعات متمرکز است. هنگامی که گزارش های امنیتی خارج از فناوری اطلاعات ارائه می شود، GRC می‌تواند خطرات تجاری بیشتری را فراتر از فناوری اطلاعات پوشش دهد.."

3.چرا سازمان ها زیرساخت های حاکمیت فناوری اطلاعات را پیاده سازی می‌کنند؟

امروزه سازمان‌ها مشمول مقررات بسیاری هستند که حفاظت از اطلاعات محرمانه، مسئولیت‌پذیری مالی، نگهداری داده‌ها و بازیابی بلایا و غیره را کنترل می‌کنند. آنها همچنین تحت فشار سهامداران، سهامداران و مشتریان هستند.

برای اطمینان از برآورده شدن الزامات داخلی و خارجی، بسیاری از سازمان ها یک برنامه رسمی حاکمیت فناوری اطلاعات را اجرا می‌کنند که چارچوبی از بهترین شیوه ها و کنترل ها را ارائه می دهد.

4.چه نوع سازمانی از حاکمیت فناوری اطلاعات استفاده می‌کند؟

هر دو سازمان بخش دولتی و خصوصی به راهی نیاز دارند تا اطمینان حاصل شود که عملکردهای فناوری اطلاعات آنها از استراتژی ها و اهداف تجاری پشتیبانی می‌کند. و یک برنامه رسمی حاکمیت فناوری اطلاعات باید در رادار هر سازمانی در هر صنعتی که نیاز به رعایت مقررات مربوط به مسئولیت‌پذیری مالی و فناوری دارد موجود باشد. با این حال، اجرای یک برنامه جامع حاکمیت فناوری اطلاعات نیازمند زمان و تلاش زیادی است. در جایی که نهادهای بسیار کوچک ممکن است تنها روش‌های حاکمیت فناوری اطلاعات ضروری را اعمال کنند، هدف سازمان‌های بزرگتر باید یک برنامه حاکمیت فناوری اطلاعات کامل باشد.

5.چگونه برنامه حاکمیت فناوری اطلاعات را اجرا می کنید؟

ساده ترین راه این است که با چارچوبی شروع کنید که توسط کارشناسان صنعت ایجاد شده و هزاران سازمان از آن استفاده می‌کنند. بسیاری از چارچوب‌ها شامل راهنماهای پیاده‌سازی برای کمک به سازمان‌ها در مرحله اجرای برنامه مدیریت فناوری اطلاعات با سرعت کم‌تر هستند.

متداول ترین چارچوب های مورد استفاده عبارتند از:

چارچوب COBIT[3]: منتشر شده توسط ISACA[4]، COBIT یک چارچوب جامع از "عملکردهای پذیرفته شده جهانی، ابزارها و مدل های تحلیلی" است که برای حاکمیت و مدیریت فناوری اطلاعات سازمانی طراحی شده است. ISACA با ریشه در حسابرسی فناوری اطلاعات، دامنه COBIT را در طول سالها گسترش داد تا به طور کامل از حاکمیت فناوری اطلاعات پشتیبانی کند.

چارچوب ITIL : مخفف کتابخانه زیرساخت فناوری اطلاعات است، ITIL بر مدیریت خدمات فناوری اطلاعات تمرکز دارد. هدف آن اطمینان از پشتیبانی خدمات فناوری اطلاعات از فرآیندهای اصلی کسب و کار است. این چارچوب شامل پنج مجموعه از بهترین شیوه های مدیریت برای استراتژی خدمات، طراحی، انتقال (مانند مدیریت تغییر)، عملیات و بهبود مستمر خدمات است.

چارچوب COSO[5]: این مدل برای ارزیابی کنترل های داخلی از کمیته سازمان های حامی کمیسیون Tradeway است. تمرکز COSO نسبت به سایر چارچوب‌ها کمتر به فناوری اطلاعات اختصاص دارد و بیشتر بر جنبه‌های تجاری مانند مدیریت ریسک سازمانی (ERM) و بازدارندگی از تقلب تمرکز دارد.

چارچوب CMMI[6]: روش یکپارچه سازی مدل بلوغ قابلیت، که توسط موسسه مهندسی نرم افزار توسعه یافته است، رویکردی برای بهبود عملکرد است. CMMIاز مقیاس 1 تا 5 برای سنجش عملکرد، کیفیت و سطح بلوغ سودآوری سازمان استفاده می‌کند. به گفته کالاتایود، اجازه دادن به اندازه‌گیری‌های ترکیبی و عینی در اندازه‌گیری ریسک‌هایی که ماهیت کیفی دارند حیاتی است.

چارچوب FAIR[7]: تحلیل عاملی ریسک اطلاعات ، یک مدل نسبتاً جدید است که به سازمان ها در تعیین کمیت ریسک کمک می‌کند. تمرکز بر امنیت سایبری و ریسک عملیاتی، با هدف اتخاذ تصمیمات آگاهانه تر است. اگرچه این فریمورک جدیدتر از سایر چارچوب های ذکر شده در اینجا است، کالاتایود خاطرنشان می‌کند که قبلاً با شرکت های فورتون 500 طرفداران زیادی پیدا کرده است.

6.چگونه باید دانست که از کدام فریم ورک استفاده کنیم؟

اکثر چارچوب‌های حاکمیت فناوری اطلاعات به منظور کمک به شما در تعیین نحوه عملکرد کلی بخش فناوری اطلاعات، به معیارهای کلیدی مدیریت و اینکه IT چه بازدهی از سرمایه‌گذاری‌هایش را به کسب ‌وکار می‌دهد، نیاز دارد.

در جایی که COBIT و COSO عمدتاً برای ریسک استفاده می شوند، ITIL به ساده کردن خدمات و عملیات کمک می‌کند. اگرچه CMMI در ابتدا برای مهندسی نرم افزار در نظر گرفته شده بود، اما اکنون شامل فرآیندهایی در توسعه سخت افزار، ارائه خدمات و خرید می شود. همانطور که قبلا ذکر شد، FAIR دقیقاً برای ارزیابی خطرات امنیتی عملیاتی و سایبری است.

هنگام بررسی چارچوب ها، فرهنگ سازمانی خود را در نظر بگیرید. آیا یک چارچوب یا مدل خاص برای سازمان شما مناسب به نظر می رسد؟ آیا با ذینفعان شما همخوانی دارد؟ این چارچوب احتمالا بهترین انتخاب است.

اما لازم نیست فقط یک فریمورک را انتخاب کنید. به عنوان مثالCOBIT و ITIL یکدیگر را تکمیل می‌کنند، زیرا COBIT اغلب توضیح می دهد که چرا کاری انجام می شود یا مورد نیاز است، جایی که ITIL "چگونه" را ارائه می‌دهد. برخی از سازمان ها از COBIT و COSO به همراه استاندارد ISO 27001 (برای مدیریت امنیت اطلاعات) استفاده کرده اند.

7.چگونه از اجرای روان و نتایج مثبت اطمینان حاصل می کنید؟

یکی از مهم ترین راه های موفقیت، خرید اجرایی است. کاتالایود تشکیل یک کمیته مدیریت ریسک با حمایت های مالی سطح بالا و نمایندگی تجاری را توصیه می‌کند. "برای اطمینان از اینکه این یک برنامه موثر است، باید توسط مجموعه گسترده ای از رهبران کسب و کار حمایت شود." او همچنین به اشتراک گذاری نتایج با هیئت مدیره یا کمیته حسابرسی را توصیه می‌کند تا "وقتی موارد شروع به نادیده گرفتن می شوند، توجه واقعی ایجاد شود.

مانند هر پروژه مهم، شما باید همیشه خطوط ارتباطی بین طرف های مختلف را باز نگه دارید، پیشرفت پیاده سازی را اندازه گیری و نظارت کنید و در صورت نیاز از خارج از سازمان کمک بگیرید.

[1] Governance, Risk management and Compliance

[2] Chief Information Security Officer

[3] Control Objectives for Information and Related Technologies

[4] Information Systems Audit and Control Association

[5] Committee of Sponsoring Organizations

[6] Capability Maturity Model Integration

[7] Factor Analysis of Information Risk

it governanceit frameworkحاکمیت فناوری اطلاعاتچارچوبهای حاکمیتیچارچوبهای فناوری اطلاعات
مجری و مشاور استانداردهای ITIL , ISMS / طرح های کلان ICT در حوزه مدیریت داده ها / ارائه راهکارهای هوش مصنوعی
شاید از این پست‌ها خوشتان بیاید