حاکمیت فناوری اطلاعات یک چارچوب رسمی است که ساختاری را برای سازمان ها فراهم میکند تا اطمینان حاصل شود که سرمایه گذاری های فناوری اطلاعات از اهداف تجاری پشتیبانی میکند. نیاز به شیوههای رسمی حاکمیت شرکتی و فناوری اطلاعات در سراسر سازمانهای ایالات متحده با تصویب قوانین و مقررات، از جمله قانون GLBA و قانون SOX، در سالهای 1990 و اوایل دهه 2000 تقویت شد.
در این مقاله من با پاول کالاتویوند، مدیر ارشد فناوری در ارائهدهنده مدیریت امنیتی فایرمون، تماس گرفتم تا نظرات او در مورد حاکمیت فناوری اطلاعات و آنچه برای اجرای موفقیتآمیز مورد نیاز است، باشد. کالاتویوند برنامه توسعه شرکت فایرمون را رهبری میکند و رهبری فکری را در مورد استراتژی محصول، مدیریت محصول و تحقیق و توسعه ارائه می دهد. او همچنین یک مدرس موسسه اس.آ.اس.اس است و در هیئت های مشاوره چندین شرکت مرتبط با امنیت حضور دارد.
1.حاکمیت فناوری اطلاعات چیست؟
اساساً، حاکمیت فناوری اطلاعات ساختاری را برای همسویی استراتژی فناوری اطلاعات با استراتژی کسب و کار فراهم میکند. با پیروی از یک چارچوب رسمی، سازمان ها می توانند نتایج قابل اندازهگیری در جهت دستیابی به استراتژی ها و اهداف خود تولید کنند. یک برنامه رسمی منافع ذینفعان و همچنین نیازهای کارکنان و فرآیندهایی را که آنها دنبال میکنند در نظر می گیرد. در تصویر کلی، حاکمیت فناوری اطلاعات بخشی جدایی ناپذیر از حاکمیت کلی سازمانی است.
2.چه رابطه ای بین حاکمیت فناوری اطلاعات و GRC[1] (حاکمیت، ریسک و انطباق) وجود دارد؟
به گفته کالاتایود، حاکمیت فناوری اطلاعات و GRC عملاً موارد مشابهی هستند. "در حالی که GRC برنامه اصلی است، آنچه تعیین میکند که از کدام چارچوب استفاده می شود، اغلب قرار دادن CISO[2] و محدوده برنامه امنیتی است. به عنوان مثال، زمانی که یک CISO به CIO گزارش می دهد، دامنه GRC اغلب بر فناوری اطلاعات متمرکز است. هنگامی که گزارش های امنیتی خارج از فناوری اطلاعات ارائه می شود، GRC میتواند خطرات تجاری بیشتری را فراتر از فناوری اطلاعات پوشش دهد.."
3.چرا سازمان ها زیرساخت های حاکمیت فناوری اطلاعات را پیاده سازی میکنند؟
امروزه سازمانها مشمول مقررات بسیاری هستند که حفاظت از اطلاعات محرمانه، مسئولیتپذیری مالی، نگهداری دادهها و بازیابی بلایا و غیره را کنترل میکنند. آنها همچنین تحت فشار سهامداران، سهامداران و مشتریان هستند.
برای اطمینان از برآورده شدن الزامات داخلی و خارجی، بسیاری از سازمان ها یک برنامه رسمی حاکمیت فناوری اطلاعات را اجرا میکنند که چارچوبی از بهترین شیوه ها و کنترل ها را ارائه می دهد.
4.چه نوع سازمانی از حاکمیت فناوری اطلاعات استفاده میکند؟
هر دو سازمان بخش دولتی و خصوصی به راهی نیاز دارند تا اطمینان حاصل شود که عملکردهای فناوری اطلاعات آنها از استراتژی ها و اهداف تجاری پشتیبانی میکند. و یک برنامه رسمی حاکمیت فناوری اطلاعات باید در رادار هر سازمانی در هر صنعتی که نیاز به رعایت مقررات مربوط به مسئولیتپذیری مالی و فناوری دارد موجود باشد. با این حال، اجرای یک برنامه جامع حاکمیت فناوری اطلاعات نیازمند زمان و تلاش زیادی است. در جایی که نهادهای بسیار کوچک ممکن است تنها روشهای حاکمیت فناوری اطلاعات ضروری را اعمال کنند، هدف سازمانهای بزرگتر باید یک برنامه حاکمیت فناوری اطلاعات کامل باشد.
5.چگونه برنامه حاکمیت فناوری اطلاعات را اجرا می کنید؟
ساده ترین راه این است که با چارچوبی شروع کنید که توسط کارشناسان صنعت ایجاد شده و هزاران سازمان از آن استفاده میکنند. بسیاری از چارچوبها شامل راهنماهای پیادهسازی برای کمک به سازمانها در مرحله اجرای برنامه مدیریت فناوری اطلاعات با سرعت کمتر هستند.
متداول ترین چارچوب های مورد استفاده عبارتند از:
چارچوب COBIT[3]: منتشر شده توسط ISACA[4]، COBIT یک چارچوب جامع از "عملکردهای پذیرفته شده جهانی، ابزارها و مدل های تحلیلی" است که برای حاکمیت و مدیریت فناوری اطلاعات سازمانی طراحی شده است. ISACA با ریشه در حسابرسی فناوری اطلاعات، دامنه COBIT را در طول سالها گسترش داد تا به طور کامل از حاکمیت فناوری اطلاعات پشتیبانی کند.
چارچوب ITIL : مخفف کتابخانه زیرساخت فناوری اطلاعات است، ITIL بر مدیریت خدمات فناوری اطلاعات تمرکز دارد. هدف آن اطمینان از پشتیبانی خدمات فناوری اطلاعات از فرآیندهای اصلی کسب و کار است. این چارچوب شامل پنج مجموعه از بهترین شیوه های مدیریت برای استراتژی خدمات، طراحی، انتقال (مانند مدیریت تغییر)، عملیات و بهبود مستمر خدمات است.
چارچوب COSO[5]: این مدل برای ارزیابی کنترل های داخلی از کمیته سازمان های حامی کمیسیون Tradeway است. تمرکز COSO نسبت به سایر چارچوبها کمتر به فناوری اطلاعات اختصاص دارد و بیشتر بر جنبههای تجاری مانند مدیریت ریسک سازمانی (ERM) و بازدارندگی از تقلب تمرکز دارد.
چارچوب CMMI[6]: روش یکپارچه سازی مدل بلوغ قابلیت، که توسط موسسه مهندسی نرم افزار توسعه یافته است، رویکردی برای بهبود عملکرد است. CMMIاز مقیاس 1 تا 5 برای سنجش عملکرد، کیفیت و سطح بلوغ سودآوری سازمان استفاده میکند. به گفته کالاتایود، اجازه دادن به اندازهگیریهای ترکیبی و عینی در اندازهگیری ریسکهایی که ماهیت کیفی دارند حیاتی است.
چارچوب FAIR[7]: تحلیل عاملی ریسک اطلاعات ، یک مدل نسبتاً جدید است که به سازمان ها در تعیین کمیت ریسک کمک میکند. تمرکز بر امنیت سایبری و ریسک عملیاتی، با هدف اتخاذ تصمیمات آگاهانه تر است. اگرچه این فریمورک جدیدتر از سایر چارچوب های ذکر شده در اینجا است، کالاتایود خاطرنشان میکند که قبلاً با شرکت های فورتون 500 طرفداران زیادی پیدا کرده است.
6.چگونه باید دانست که از کدام فریم ورک استفاده کنیم؟
اکثر چارچوبهای حاکمیت فناوری اطلاعات به منظور کمک به شما در تعیین نحوه عملکرد کلی بخش فناوری اطلاعات، به معیارهای کلیدی مدیریت و اینکه IT چه بازدهی از سرمایهگذاریهایش را به کسب وکار میدهد، نیاز دارد.
در جایی که COBIT و COSO عمدتاً برای ریسک استفاده می شوند، ITIL به ساده کردن خدمات و عملیات کمک میکند. اگرچه CMMI در ابتدا برای مهندسی نرم افزار در نظر گرفته شده بود، اما اکنون شامل فرآیندهایی در توسعه سخت افزار، ارائه خدمات و خرید می شود. همانطور که قبلا ذکر شد، FAIR دقیقاً برای ارزیابی خطرات امنیتی عملیاتی و سایبری است.
هنگام بررسی چارچوب ها، فرهنگ سازمانی خود را در نظر بگیرید. آیا یک چارچوب یا مدل خاص برای سازمان شما مناسب به نظر می رسد؟ آیا با ذینفعان شما همخوانی دارد؟ این چارچوب احتمالا بهترین انتخاب است.
اما لازم نیست فقط یک فریمورک را انتخاب کنید. به عنوان مثالCOBIT و ITIL یکدیگر را تکمیل میکنند، زیرا COBIT اغلب توضیح می دهد که چرا کاری انجام می شود یا مورد نیاز است، جایی که ITIL "چگونه" را ارائه میدهد. برخی از سازمان ها از COBIT و COSO به همراه استاندارد ISO 27001 (برای مدیریت امنیت اطلاعات) استفاده کرده اند.
7.چگونه از اجرای روان و نتایج مثبت اطمینان حاصل می کنید؟
یکی از مهم ترین راه های موفقیت، خرید اجرایی است. کاتالایود تشکیل یک کمیته مدیریت ریسک با حمایت های مالی سطح بالا و نمایندگی تجاری را توصیه میکند. "برای اطمینان از اینکه این یک برنامه موثر است، باید توسط مجموعه گسترده ای از رهبران کسب و کار حمایت شود." او همچنین به اشتراک گذاری نتایج با هیئت مدیره یا کمیته حسابرسی را توصیه میکند تا "وقتی موارد شروع به نادیده گرفتن می شوند، توجه واقعی ایجاد شود.
مانند هر پروژه مهم، شما باید همیشه خطوط ارتباطی بین طرف های مختلف را باز نگه دارید، پیشرفت پیاده سازی را اندازه گیری و نظارت کنید و در صورت نیاز از خارج از سازمان کمک بگیرید.
[1] Governance, Risk management and Compliance
[2] Chief Information Security Officer
[3] Control Objectives for Information and Related Technologies
[4] Information Systems Audit and Control Association
[5] Committee of Sponsoring Organizations
[6] Capability Maturity Model Integration
[7] Factor Analysis of Information Risk