Martin Knotek blog

Chci uspět v IT

Chci uspět v IT je názvem knihy, kterou jsem právě dopsal. Jak název napovídá, jedná se o soubor doporučení pro kariéru v klasické IT společnosti. A co mě k tomu vedlo?

Každý rok se stále opakovaně setkávám s absencí základních znalostí IT pojmů a principů jeho fungování. Pořád dokola vysvětluji, jak funguje projekt, co znamenají pojmy jako BC, UC, jak psát analýzu, co je to design atd. Minulý rok jsem si řekl, že to zkusím změnit.

Nejprve jsem se zaměřil na důvod, proč tomu tak je. Vzpomněl jsem si na svá studentská léta a začal psát důvody:

• V první řadě je to špatná výuka na vysokých školách, která je zaměřena na teorii, kterou mnohdy vůbec nevyužijete
• Neexistují školní předměty, které by vysvětlily, jak funguje projekt, na co si dát pozor, jak vypadají struktury v organizaci (dal jsem si tu práci a prošel programy nejznámějších českých škol)
• Aktivita komunit se v současné době blíží nule (až na pár výjimek PMI, WUG, .. ) viz tento blog (myšleno vývojář), který je v klinické smrti. Dříve články četly tisíce lidí, dnes když je to přes 500 jedná se o úspěch. Mezi námi i sám autor tohoto webu bloguje jinde ..
• Dnešním začátečníkům se prostě nechce učit, protože nemají motivaci. Mají notebook za pár korun, stejně jako smartphone a lákají je spíš medializované startupy, než „kariéra v IT“, která není vůbec popularizována
• A nakonec neexistuje souhrnná kniha, manuál, návod, která by fungování IT vysvětlila

Po tomto zběžném seznamu bodů, jsem vytvořit seznam kapitol a začal psát. Vytyčil jsem si cíl jednoduchou formou všechny tyto informace seskupit a poskytnou návod začátečníkům a těm co se chtějí někam posunout.

Původní cíl mít vše hotovo za 14 dní, se ukázal velmi nereálný. Po půl ročním draftu jsem zjistil, že by obsah byl na 500 stránek. Tak jsem začal škrtat, diskutovat s kamarády. Následně jsem knihu několikrát protočil přes kolegy, kterých si vážím a vím, že jsou dobří ve svém oboru. Připomínek bylo hodně, co si budeme povídat. Asi na tři měsíce diskuzí .. výsledek snad po téměř roce stojí za to.

Pro knihu jsem vytvořil jednoduchý web Chci uspět v IT, na který v průběhu roku proběhne několik kampaní.

Aby nezůstalo jen u knihy, mám v plánu provést osvětu na vysokých školách. Provést menší zaškolení, z čehož pokud se to osvědčí, udělám dvouleté pravidlo. Měřítkem myslím založení Facebook stránky pro knihu, na které se by se měly objevovat dotazy. Pokud se nebudou objevovat, vyvěsím bílou vlajku.

Nuže, držte mi palce, zároveň se tímto článkem loučím s vývojářem a snad se uvidíme na Facebooku.

ME4 Poskytnutí IT řízení

Článek ze série COBIT

ME4.1 Vytvoření IT Řídícího Frameworku

Pracuj se správní radou na definici a vytvoření IT Frameworku pro řízení (včetně vedení) procesů, rolí a odpovědnosti, požadavků na informace a organizačních struktur tak, aby bylo zajištěno, že podnikové IT investiční programy jsou s nimi v souladu a jsou dodány s firemní strategií a s cíli. Framework by měl poskytnout jasné propojení mezi podnikovou strategii, portfoliem IT investičních programů, které provádějí strategii jednotlivých investičních programů, obchodních a IT projektů, které tvoří programy. Framework by měl zajistit jednoznačnou zodpovědnost a postupy pro to, aby se zabránilo zhroucení v oblasti vnitřní kontroly. Framework by měl být v souladu s celkovým prostředím podnikového řízení a obecně uznávanými zásadami kontroly, a měl by být založen na IT procesech a řídícím Frameworku.

ME4.2 Strategická pozice

Pomož představenstvu a výkonné radě pochopit strategické IT problémy, jako je role IT, technologické analýzy a schopnosti. Ujisti se, že existuje sdílené porozumění mezi business a IT potenciálními přínosy IT do podnikové strategie. Ujisti se, že je jasné to, že hodnoty od IT je dosaženo pouze tehdy, pokud jsou investice spravovány jako portfolio programů, které zahrnují široké spektrum možných změn, které business musí udělat, aby se optimalizovali hodnoty z výpočetní techniky při doručování strategie. Pracuj se správní radou pro definování a provádění strategického směru pro management napojený na IT tak, aby ses ujistil, že strategie a cíle jsou kaskádovitě seřazeny dolů do obchodních jednotek a IT funkcí, a že je vytvořena důvěra mezi businessem a IT. Zahaj přiblížení IT k businessu k strategii a provozu pro podporu společné odpovědnosti business a IT pro strategické rozhodování a získávání výhody z IT investic.

ME4.3 Doručení hodnoty

Spravuj IT investiční programy a další IT aktiva a služby pro ujištění, že poskytují největší možnou hodnotu v podobě podpory podnikové strategie a cílů. Ujisti se, že jsou známy očekávané obchodní výsledky z IT investic a úsilí nezbytné k dosažení těchto výsledků, že jsou vytvořeny komplexní a konzistentní business případy. Tyto případy musí být schváleny zúčastněnými stranami. Ujisti se, že jsou řízeny investice i majetek po celou dobu jejich ekonomické životnosti, a že je zde aktivní management realizace výhod, jako je příspěvek na nové služby, zvýšení efektivity a zlepšení schopnosti reagovat na požadavky zákazníků. Prosazuj disciplinovaný přístup k portfoliu, programu a projektovému řízení, trvej na tom, aby si business vzal na starost vlastnictví všech IT investic a zajisti optimalizaci nákladů na dodání výpočetní techniky a služeb. Ujisti se, že investice do technologií jsou standardizovány v nejvyšší možné míře tak, aby se zabránilo zvýšení nákladů a komplikacím spojeným s šířením technických řešení.

ME4.4 Správa zdrojů

Optimalizuj investice, využití a alokaci IT prostředků prostřednictvím pravidelného hodnocení, ujisti se, že IT má dostatečné a kompetentní a schopné zdroje plnit současné i budoucí strategické cíle a držet krok s obchodními požadavky. Management by měl dát jasné, konzistentní politiky lidských zdrojů a politiku zadávání veřejných zakázek s cílem zajistit, aby požadavky na zdroje byly splněny účinně a v souladu s architekturou zásadami a standardy. IT infrastruktura by měla být posuzována v pravidelných intervalech, aby bylo zajištěno, že je standardizována maximálním způsobem a pokud je to nutné existuje interoperabilita.

ME4.5 Risk Management

Pracuj se správní radou pro definování podnikové nálady pro řešení rizik. Komunikuj do podniku potřebu IT řešit rizika a dohodni se na IT plánu řízení rizik. Zaveď odpovědnosti pro řízení rizik v organizaci a zajisti, aby podnik a IT pravidelně vyhodnocovalo a vykazovalo IT rizika a jejich dopad na podnikání. Ujisti se, že řízení následuje odhalená rizika, s zvláštním důrazem na kontrolu IT selhání a nedostatků ve vnitřní kontrole a dohledu, a jejich aktuálním a potenciálním business dopadem. Podnikové IT pozice rizik by měly být transparentní pro všechny zúčastněné strany.

ME4.6 Měření výkonu

Reportuj včas a přesným způsobem vedení a výkonné radě příslušné portfolio, program a výkon. Zprávy by měly být poskytovány pro revizi vyššími vedoucími pozicemi pro přezkoumání podniku a jeho pokroku směrem k vytyčeným cílům. Zprávy by měly obsahovat stav, jakého rozsahu plánovaných cílů bylo dosaženo, získané výsledky, splnění výkonnostních cílů a zmírnění rizika. Integruj reporting s podobným výstupem z jiných podnikových funkcí. Výkonnostní měření by měla být schválena klíčovými zúčastněnými stranami. Představenstvo a výkonné vedení by měl kontrolovat tyto reporty o účinnosti a IT management by měl vysvětlit odchylky a problémy s výkonem. Po přezkumu by měla být zavedena a kontrolována vhodná opatření pro řízení odchylek.

ME4.7 Nezávislé ověření

Ujistěte se, že organizace vytváří a udržuje funkce, které jsou kompetentní a dostatečně personálně zjištěná, nebo že hledá externí zajišťování služeb pro vedení. Druhá možnost bývá pravděpodobnější přes výbor nebo audit, s včasným nezávislým ujištěním o souladu IT s jeho politikami, normami a postupy, stejně jako s obecně uznávanými zvyklostmi.

Článek ze série COBIT

ME3 Zajištění shody s předpisy

Článek ze série COBIT

ME3.1 Identifikace práva a regulací mívají potencionální dopad na IT

Vymez a implementuj postup k zajištění včasné identifikaci místního a mezinárodního práva, smluv, politik a regulačních požadavků týkajících se informací, dodání informačních služeb, včetně služeb třetích stran a IT organizace, procesů a infrastruktury. Zvaž zákony a předpisy pro elektronický obchod, datový tok, soukromí, vnitřní kontroly, finanční výkaznictví, oborově specifické předpisy, duševního vlastnictví a autorských práv a ochrany zdraví a bezpečnosti.

ME3.2 Optimalizuj odpovědi pro právní požadavky

Přezkoumej a optimalizuj IT politiky, standardy a postupy, které zajistí, že právní a regulatorní požadavky budou efektivně pokryty.

ME3.3 Hodnocení souladu s právními požadavky

Efektivně posuď soulad s IT politikami, normami a postupy, včetně právních a regulačních požadavků na základě dozoru vedoucího business a IT managementu správy a provedení vnitřních kontrol.

ME3.4 Pozitivní ujištění o shodě

Definuj a zaveď postupy pro získání a reportování pozitivního zajištění souladu, a tam kde je nutné zajisti, aby byla přijata nápravná opatření ze strany příslušného vlastníka procesu a aby byly včas řešeny potřebné nesoulady. Integruj IT reporting o postupech souladu a stavu s ostatními podobnými podnikovými funkcemi.

ME3.5 Integrovaný reporting

Integruj IT reporting regulačních požadavků s podobnými výstupy od ostatních podnikových funkcí.

Článek ze série COBIT

ME2 Monitoring a vyhodnocení interního řízení

Článek ze série COBIT

ME2.1 Monitoring interního řídícího Frameworku

Průběžně sleduj IT řídící prostředí a řídící Framework. Prozkoumej používané průmyslově osvědčené praktiky a poměřuj jejich výkon, tento postup by měl být použitý na zlepšení IT řízení a řídícího Frameworku.

ME2.2 Dozorčí přezkoumání

Monitoruj a reportuj efektivitu interních kontrol IT prostřednictvím dohledu, včetně souladu s politikami a standardy, informační bezpečností, změnami řízení a stanoveného řízení podle dohody o úrovni služeb.

ME2.3 Výjimky řízení

Zaznamenej informace o všech řídících výjimkách a zajistí, že povedou k analýze hlavních příčin a nápravným opatřením. Management by měl rozhodnout, které výjimky by měly být sděleny jednotlivci odpovědnému za funkci a které výjimky by měly být eskalovány. Management je také zodpovědný za informování dotčených stran.

ME2.4 Řízení sebe-hodnocení

Vyhodnoť úplnost a účinnost vnitřních kontrol vedení společnosti přes IT procesy, politiky a smlouvy prostřednictvím pokračujícího programu sebe-hodnocení.

ME2.5 Zajištění interní kontroly

Získej, podle potřeby, další ujištění o úplnosti a účinnosti interních kontrol prostřednictvím revize třetích stran. Takové hodnocení může být řízeno korporátním přístupem, nebo na žádost vedení, interním auditem nebo pověřením externího auditora a konzultanta nebo certifikovaným zdrojem. Kvalifikace osob provádějících audit musí být zajištěna, např. certifikátem: Certified Information Systems AuditorTM ( CISA ® ).

ME2.6 Interní řízení třetích stran

Posuď stav každého externího poskytovatele služeb vnitřních kontrol. Ujisti se, že externí poskytovatelé služeb dodržují právní a regulační požadavky a smluvní závazky. Ty mohou být poskytovány auditem třetích stran nebo mohou být získány z vyhodnocení auditu vnitřního vedení.

ME2.7 Nápravná opatření

Identifikuj a iniciuj nápravná opatření založena na řízeném posouzení a reportingu. Což zahrnuje sledování všech hodnocení a hlášení s:

• Přezkumem, vyjednáváním a vytvořením manažerských odpovědí

• Přidělení odpovědnosti za finance (může zahrnovat rizika na schválení)

• Sledování výsledků potvrzených akcí

Článek ze série COBIT

ME1 Monitoring a vyhodnocení IT výkonu

Článek ze série COBIT

ME1.1 Přístup k monitoringu

Ujisti se, že management definuje obecný Framework monitoringu a postupy, které definují rozsah, metodologii a procesy, pro monitorování IT příspěvků do výsledků správy podnikového portfolia a procesů programového managementu. Tyto procesy jsou specifické pro dodávku IT kapacit a služeb. Framework by měl být integrován s podnikovým systémem řízení výkonnosti.

ME1.2 Definice a sběř dat pro monitoring

Ujisti se, že IT management pracující s business, vytvoří definici vyváženého souboru výkonnostních cílů, opatření, měření a měřítek. Tento soubor musí být podepsán businessem nebo jinou relevantní zúčastněnou stranou. Výkonové ukazatele by měly zahrnovat:

• Business příspěvek do financí

• Výkon proti strategickému businessu a IT plánu

• Řízení rizik a shody s předpisy

• Vnitřní a vnější spokojenosti uživatelů

• Klíčové IT procesy, včetně vývoje a poskytování služeb

• Další činnosti zaměřené například na nově vznikající technologie, infrastrukturu, business a znalosti IT personálu

Pro reporting aktuálního stavu vůči cílům by měly být definovány procesy pro sběr aktuálních a přesných údajů.

ME1.3 Metody monitorování

Ujistěte se, že proces sledování využívá metodu (např. Balanced Scorecard), která obsahuje stručný pohled na IT výkon a zapadá do systému podnikového monitoringu.

ME1.4 Hodnocené výkonu

Pravidelně přezkoumávej výkon vůči cílům, prováděj analýzu příčin a inicializuj nápravná opatření k řešení těchto základních příčin.

ME1.5 Řídící a výkonný reporting

Pro kontrolu pokroku společnosti vrcholovým vedením poskytni manažerské reporty. Reporty by měly být směřovat k definovaným cílům, zejména ve vztahu k výkonu podnikového portfolia IT investičních programů, úrovni služeb jednotlivých programů a přínosů IT k tomuto výkonu. Reporty stavu by měly obsahovat úroveň dosažení rozsahu plánovaných cílů, získané výsledky, které výkonnostní cíle byly splněny a která rizika byla zmírněna. Po přezkumu by měli být identifikovány veškeré odchylky od očekávaných výsledků a měly by byt zahájeny a reportovány odpovídající opatření pro management.

ME1.6 Nápravná opatření

Identifikuj a iniciuj nápravná opatření na základě monitorování výkonnosti, vyhodnocení a reportingu . Což zahrnuje navazující kontrolu všech monitorování, vykazování a hodnocení s:

• Přezkum, vyjednávání a vytvoření odpovědí managementu

• Přidělení odpovědnosti za opravy

• Sledování výsledků spáchaných akcí

Článek ze série COBIT

DS13 Správa provozu

Článek ze série COBIT

DS13.1 Provozní postupy a instrukce

Definuj, implementuj a udržuj standardní postupy pro provoz IT a ujisti se, že je personál obeznámen se všemi úkoly, které se jich týkají. Provozní postupy by měly zahrnovat změnu předání (formální předání činnosti, aktualizace stavů, provozní problémy, eskalační postupy a zprávy o stávajících povinnostech) s cílem zajistit nepřetržitý provoz.

DS13.2 Plánování práce

Organizuj plánování práce, procesů a úkolů v co nejefektivnějším pořadí, maximalizuj propustnost a utilizaci pro splnění business požadavků. Původní plány, jakož i změny těchto plánů by mělo být autorizovány. Měly by být zavedeny postupy pro identifikaci, přezkum a schválení odchylek od standardních pracovních rozvrhů.

DS13.3 Monitoring IT Infrastruktury

Definuj a implementuj postupy pro sledování IT infrastruktury a související událostí. Zajisti uložení dostatečných chronologických informací v provozním logu, tak aby byla možná rekonstrukce, revize a testy časových sekvencí operací a dalších činnosti okolních nebo podpůrných operací.

DS13.4 Citlivé dokumenty a výstupní zařízení

Zaveď odpovídající fyzické záruky, účetní postupy a řízení zásob nad citlivými IT prostředky, jako jsou speciální formuláře, cenné papíry, speciální tiskárny nebo zabezpečovací řetězce.

DS13.5 Preventivní správa Hardware

Definuj a zaved postupy s cílem zajistit včasnou údržbu infrastruktury ke snížení frekvence poruch, dopadů poruch a snižování výkonu.

Článek ze série COBIT

DS12 Správa fyzického prostředí

Článek ze série COBIT

DS12.1 Výběr a uspořádání

Definuj a vyber fyzická místa pro IT vybavení podporující technologické strategie spojené s business strategií. Výběr a návrh rozložení míst by měl brát v úvahu riziko spojené s přírodními a člověkem způsobenými katastrofami. Také by mělo brát ohled na příslušné zákony a předpisy, jako je zdraví a bezpečnostní předpisy.

DS12.2 Měření fyzické bezpečnosti

Definuj a realizuj měření fyzických bezpečnostních opatření, v souladu s obchodními požadavky. Opatření by měla zahrnovat, ale neměla být omezena, uspořádáním perimetru bezpečnosti, bezpečnostními zónami, umístěním kritických zařízení, a dopravní a přijímací oblasti. Zejména by měla držet nízký profil přítomnosti kritických IT operací. Je třeba stanovit odpovědnost fyzické bezpečnosti za sledování a postupy pro hlášení a řešení bezpečnostních incidentů.

DS12.3 Fyzický přístup

Definuj a zaveď postupy pro udělení, omezení a zrušení přístupů do prostor, budov a ploch podle potřeb zákazníka, včetně mimořádných událostí. Přístup do prostor, budov a areálů by měl být zdůvodněn, autorizován, logován a monitorován. To platí pro všechny osoby vstupující do prostor, včetně zaměstnanců, dočasných zaměstnanců, klientů, dodavatelů, ostatních osob nebo na jakoukoliv jinou třetí stranu.

DS12.4 Ochrana vůči faktorům prostředí

Navrhni a realizuj opatření pro ochranu před vlivy prostředí. Nainstaluj specializované zařízení pro sledování a řízení prostředí.

DS12.5 Správa fyzického vybavení

Spravuj zařízení, včetně napájení a komunikačních vybavení, v souladu se zákony a předpisy, technickými a business požadavky, specifikací dodavatelů a zdravotních a bezpečnostních pokynů.

Článek ze série COBIT

DS11 Správa dat

Článek ze série COBIT

DS11.1 Business požadavky pro data management

Nastav opatření pro zajištění doručení dokumentů očekávaných businessem. Zajistěte, aby všechny údaje získané z businessu byly zpracovávány, všechny výstupy vyžadované business byly připraveny a dodány, a že je podporováno znovuspuštění a přepracování.

DS11.2 Ujednání skladování a uchování

Definuj a zaveď postupy pro ukládání dat a jejich archivaci, tak aby data zůstávala přístupná a použitelné. Postupy by měly zvážit požadavky na načtení, efektivnost nákladů a pokračující bezúhonnost a bezpečnostní požadavky. Zřiď dohody skladování a uchovávání ke splnění právních, regulačních a obchodních požadavků na dokumenty, data, archivy, programy, reporty a zprávy (příchozí i odchozí), jakožto i pro data (klíče, certifikáty) používaná pro jejich šifrování a ověřování.

DS11.3 Knihovna médií Management Systém

Definuj a zaveď postupy pro správu inventáře médií a zajisti jejich použitelnost a integritu. Postupy by měly zajistit včasné přezkoumání a následná opatření na případné upozornění na nesrovnalosti.

DS11.4 Likvidace

Definuj a zaveď postupy pro zamezení přístupu k citlivým datům a softwaru u vybavení nebo médií, když jsou zlikvidovány nebo převedena na jiné využití. Tyto postupy by měly zajistit, aby údaje, označené jako smazané nebo likvidovat nebylo možné obnovit.

DS11.5 Záloha a obnova

Definuj a zaveď postupy pro zálohování a obnovu systémů, dat a dokumentace v souladu s obchodními požadavky a plánem kontinuity. Ověř soulad s postupy zálohování a ověř schopnosti a čas potřebný pro úspěšnou a kompletní rekonstrukci. Otestujte zálohovací média a procesy obnovení.

DS11.6 Požadavky na bezpečnost pro data management

Zaveď opatření pro identifikaci citlivých zpráv a uplatni bezpečnostní požadavky týkajících se přijetí, zpracování, fyzického úložiště a výstupu dat citlivých zpráv. Sem patří fyzické záznamy, datové přenosy a veškerá data uložená mimo firmu.

Článek ze série COBIT

DS10 Správa problémů

Článek ze série COBIT

DS10.1 Identifikace a klasifikace problémů

Implementuj procesy pro reportování a klasifikaci problémů, které byly identifikovány jako součást správy chyb. Tyto kroky klasifikace problému jsou podobné jako kroky v klasifikaci mimořádných událostí, jsou určeny kategorií, dopadem, naléhavostí a prioritou. Problémy by měli být rozděleny podle potřeby do skupin nebo domén (např. hardware, software, podpora softwaru). Tyto skupiny mohou odpovídat organizačním povinnostem, nebo mohou být založeny na uživatelské a zákaznické bázi a mají být základem pro přidělení problémů podporujícím zaměstnancům.

DS10.2 Sledování problémů a jejich řešení

Systém pro správu problému by měl poskytnout vhodné prostředí pro sledování, analýzu a určení hlavní příčiny všech reportovaných problémů s využitím:

• Všech související konfiguračních položek

• Nevyřešených problémů a incidentů

• Známých a očekávaných chyb

Identifikuj a iniciuj udržitelné řešení, které se bude zabývat příčinou vyvolání požadavků na změny prostřednictvím zavedeného procesu řízení změn. V celém procesu řešení by měl problém management získávat pravidelné reporty z oblasti řízení změn pro řešení problémů a chyb. Správa problémů by měla sledovat pokračující dopad problémů a známých chyb na uživatele služeb. V případě, že tento dopad bude vážný, by měl problém management eskalovat problém, případně referovat na příslušná místa s cílem zvýšení priority žádosti o změnu (RFC) nebo implementaci naléhavé změny podle potřeby. Průběh řešení problémů by měly být sledovány proti SLA.

DS10.3 Uzavření problému

Zaveď postup k uzavření problémových záznamů, buď po potvrzení úspěšného odstranění známé chyby, nebo po dohodě s businessem na alternativním řešení problému.

DS10.4 Identifikace změny, konfigurace a správa problémů

K zajištění účinného řízení problémů a incidentů, integrujte související procesy změn, konfigurace a problém management. Sledujte, jak velké úsilí je aplikováno na řešitele, spíše než na zavedení zlepšení pro business, je-li to nezbytné, zlepšete tyto postupy k minimalizaci problémů.

Článek ze série COBIT

DS9 Správa konfigurace

Článek ze série COBIT

DS9.1 Úložiště konfigurace a výchozí bod

Vytvoř centrální úložiště pro všechny relevantní informace o konfiguračních položkách. Tento repozitář musí obsahovat hardware, aplikační software, middleware, parametry, dokumentaci, postupy a nástroje pro ovládání, přístup a používání systémů a služeb. Relevantní informace musí obsahovat jméno, čísla verze a detaily licence. Pro každý systém a sužbu by měla být stanovena výchozí jako záchytný bod, ke kterému je možné se vrátit po změnách.

DS9.2 Identifikace a správa konfiguračních položek

Zaveď postupy pro:

• Identifikaci konfiguračních položek a jejich atributy

• Zaznamenávej nové, upravené a smazané položky konfigurace

• Identifikuj a udržuj vztahy mezi konfiguračními položkami v konfiguračním úložišti

• Aktualizuj existující konfigurační položky do repositáře konfigurace

• Zabraňte zařazení neoprávněného softwaru

Tyto postupy by měly zajistit řádné povolení a logování všech akcí v konfiguračním úložišti a musí být řádně propojeny s řízením změn a postupy správy problémů.

DS9.3 Kontrola integrity konfigurace

Zkontroluj a pravidelně ověřuj, za pomocí vhodných nástrojů, stav konfiguračních položek, tak abyste potvrdili integritu současných a historických konfiguračních dat a pro porovnání vůči aktuální situaci. Pravidelně přezkoumejte existenci osobního softwaru, nebo softwaru bez licence či jiných softwarových instancí mimo současných licenčních smlouvy (vůči politice použití softwaru). Chyby a odchylky by měly být nahlášeny a opraveny.

Článek ze série COBIT

DS8 Správa Service Desk a incidentů

Článek ze série COBIT

DS8.1 Service Desk

Zřiď funkční service desk, který bude vykonávat uživatelské rozhraní k IT, k registraci, komunikaci, odesílání a analýze všech hovorů, ohlášených mimořádných událostí, požadavky na provoz a informační požadavky. Měl by být zaveden monitoring, eskalační postupy založené na dohodnutých úrovní služeb ve vztahu k příslušnému SLA, které umožní klasifikaci a prioritizaci každého ohlášeného problému jako incidentu, žádost o službu nebo vyžádání informace. Měř spokojenosti koncových uživatelů s kvalitou servisu a službami informačních technologií.

DS8.2 Registrace dotazů zákazníků

Zřiď funkci a systém, který umožní logování a sledování hovorů, incidentů, servisních požadavků a informačních potřeb. Měl by úzce spolupracovat s takovými procesy, jako Incident Management, Problem Management, řízení změn, řízení kapacity a dostupnosti řízení. Incidenty by měly být klasifikovány podle obchodní a servisní priority a měly by být přesměrovány do příslušného týmu. Zákazníci by měli být informováni o stavu svých dotazů.

DS8.3 Eskalace incidentů

Zaveď postupy servis desku, tak aby případy, které nelze vyřešit okamžitě, byly přiměřeně eskalovány podle limitů stanovených v SLA, a pokud je to nutné, aby bylo poskytnuto dočasné řešení. Ujisti se, že vlastnictví incidentů a monitoring životního cyklu zlstává v service desku pro uživatelsky založené problémy, bez ohledu na to, zda IT skupina pracuje na vyřešení.

DS8.4 Uzavření problému

Stanov postupy pro průběžné monitorování vyřízení zákaznických dotazů. Po vyřešení incidentu by měl service desk zaznamenat příčinu (pokud je známa) a potvrdit, že bylo zákazníkem akceptováno přijaté opatření.

DS8.5 Analýza trendů

Pravidelně vytvoř zprávy o činnosti service desku, které umožní managementu měřit výkon služby a dobu odezvy služeb a identifikovat trendy nebo opakující se problémy, tak aby mohla být služba neustále zlepšována.

Článek ze série COBIT

DS7 Vzdělávání a školení uživatelů

Článek ze série COBIT

DS7.1 Identifikuj potřeby na vzdělání a školení

Stanov a pravidelně aktualizuj osnovy pro jednotlivé cílové skupiny zaměstnanců, které budou posuzovat:

• Současné a budoucí obchodní potřeby a strategie

• Firemní hodnoty (etické hodnoty, kontrolní a bezpečnostní kultura, atd.)

• Implementace nových IT infrastruktur a softwaru (balíky a aplikace)

• Aktuální dovednosti, kompetence, certifikace a akreditace

• Způsoby školení (např. učebna, on-line), velikost cílové skupiny, dostupnost a načasování

DS7.2 Dodání školení a vzdělávání

Na základě zjištěných potřeb pro vzdělávání a odbornou přípravu, identifikuj cílovou skupin a její členy, účinné mechanismy, učitele, lektory a instruktory. Jmenuj školitele a uspořádej pravidelné školení. Zaznamenej registraci (včetně předpokladů), účast a výslední hodnocení.

DS7.3 Vyhodnocení obdrženého školení

Po ukončení dodávky vyhodnoť obsah vzdělávání, odbornou přípravu, kvalitu, účelnost, snímání a uchovávání znalostí, náklady a hodnoty. Výsledky tohoto hodnocení by měly sloužit jako podklad pro budoucí definici a osnovy školení.

Článek ze série COBIT

DS6 Identifikace a alokace nákladů

Článek ze série COBIT

DS6.1 Definice služeb

Identifikuj všechny IT náklady a namapuj je na IT služby tak, abys vytvořil přehledný model nákladů. IT služby by měli být namapovány na business procesy tak, aby business mohl identifikovat služby a jejich účetní stupně.

DS6.2 IT účetnictví

Zachyť a alokuj skutečné náklady podle definovaného modelu nákladů. Rozdíly mezi očekávanými a skutečnými náklady by měly být analyzovány a vykazovány v souladu s podnikovým finančním měřicím systémem.

DS6.3 Modelování nákladů a účtování

Na základě definice služby, definuj nákladový model, který bude zahrnovat přímé, nepřímé a režijní náklady na služby a bude podporovat výpočet sazeb a vrácení peněz za služby. Náklady v modelu by měl být v souladu s podnikovými postupy účtování nákladů. IT model nákladů by měl zajistit to, aby zpoplatňování služeb bylo identifikovatelné, měřitelné a předvídatelné uživateli pro podporu správného používání zdrojů. Správa uživatelů by měl být schopna ověřit skutečnou spotřebu a zpoplatnění služeb.

DS6.4 Údržba modelu nákladů

Pravidelně přezkoumávej a porovnávej náklady/ poplatky modelu pro udržení jeho relevantnosti a vhodnosti pro rozvíjející se business a technologickou inovaci.

Článek ze série COBIT

DS5 Zabezpečení systémové bezpečnosti

Článek ze série COBIT

DS5.1 Management IT bezpečnosti

Spravuj IT zabezpečení na nejvyšší odpovídající organizační úrovni, tak aby řízení bezpečnostních opatření bylo v souladu s obchodními požadavky.

DS5.2 IT Plán bezpečnosti

Využij požadavky business informací, IT konfiguraci, akční plány rizikových informací a kulturu bezpečnosti informací pro celkový IT bezpečnostní plán. Plán bude implementován z bezpečnostních politik a postupů spolu s příslušnými investicemi do služeb, personálu, software a hardware. Bezpečnostní politiky a postupy musí být sděleny zúčastněným stranám a uživatelům.

DS5.3 Správa totožností

Všichni uživatelé (interní, externí a dočasné) a jejich činnosti v IT systémech (obchodní aplikace, provoz systému, vývoj a údržba) by měly být jednoznačně identifikovatelné. Přístupová práva uživatelů do systémů a dat by měly být v souladu s definovanými a dokumentovanými obchodními potřebami a pracovními požadavky. Přístupová práva uživatelů musí být nastavována na žádost správy uživatelů, po schválení vlastníkem systému a musí být nastavena odpovědnou bezpečnostní osobou. Uživatelské identity a přístupová práva musí být vedeny v centrální evidenci. Musí být nasazeny nákladově efektivní technická a procesní opatření. Tyto opatření musí být udržována aktuální z důvodu identifikaci uživatele, implementace ověřování a dodržování přístupových práv.

DS5.4 Správa uživatelských účtů

Ujisti se, že vytvoření, nastavení, opravy, pozastavení, změna a ukončení uživatelských účtů a souvisejících uživatelských oprávnění jsou řešeny správou uživatelských účtů. Je zohledněna linie schvalovacího řízení datových nebo systémových vlastníků poskytujících přístupová práva. Tyto postupy by měly platit pro všechny uživatele, včetně správců (privilegovaných uživatelů), interní a externí uživatele, pro normální a nouzové případy. Ujisti se, že práva a povinnosti související s přístupem k informacím a podnikovým systémům jsou smluvně uspořádána pro všechny typy uživatelů. Provádějte pravidelné přezkoumání všech účtů a souvisejících privilegií.

DS5.5 Testování bezpečnosti, dohled a monitoring

Ujisti se, že je aktivně sledována a testována implementace bezpečnosti IT. IT bezpečnost by měla být pravidelně re-akreditována, tak aby byla zajištěná správná schválená úroveň zabezpečení. Logování a sledování funkcí umožňuje včasné odhalení neobvyklých nebo abnormálních činností, které může být potřebné řešit. Přístup k logování informací musí být v souladu s business požadavky z hlediska přístupových práv a požadavků na uchovávání.

DS5.6 Definice bezpečnostních totožností

Ujisti se, že vlastnosti potenciálních bezpečnostních incidentů jsou jasně vymezeny a sděleny tak, že bezpečnostní incidenty mohou být řádně vyřešeny podle události nebo procesem správy problémů. Charakteristika musí obsahovat popis toho, co je považováno za bezpečnostní incident a jeho stupeň dopadu. Omezený počet úrovní dopadů musí být definován pro každý nutný konkrétní krok a lidé, kteří musí být informování, musí být správně identifikováni.

DS5.7 Ochrana bezpečnostní technologie

Ujisti se, že důležité bezpečnostní technologie jsou odolné proti neoprávněnému zásahu a bezpečnostní dokumentace není zbytečně zveřejněna, tj. udržuje nízký profil. Nicméně nevytvářej závislost zabezpečení systémů na tajemstvích v bezpečnostních specifikacích.

DS5.8 Správa šifrovacích klíčů

Zajisti, aby byly k dispozici zásady a postupy pro generování, změny, zrušení, zničení, distribuci, certifikace, skladování, uvedení, používání a archivaci kryptografických klíčů. Tak aby byla zajištěna ochrana klíče před neoprávněným zveřejněním a modifikacemi.

DS5.9 Prevence, detekce a korekce škodlivého software

Zajisti, aby byly k dispozici preventivní, detektivní a nápravná opatření (zejména aktuální bezpečnostní záplaty a antivirus) v rámci organizace pro ochranu informačních systémů a technologií před malwarem (viry, červy, spyware, spam, interně vyvinuté podvodné software atd.).

DS5.10 Bezpečnost sítě

Ujisti se, že jsou používány bezpečnostní techniky a související postupy pro řízení (např. firewally , bezpečnostní zařízení, segmentaci sítě a detekce narušení) a pro autorizaci přístupu a toky řídicích informací z/do sítě.

DS5.11 Výměna citlivých dat

Ujisti se, že citlivé transakční data jsou distribuována jen přes důvěryhodné cesty nebo média s kontrolami tak, abyste poskytli pravost obsahu, doklad o vydání, doklad o převzetí a nepopiratelnost původu.

Článek ze série COBIT

DS4 Zajištění kontinuity služeb

Článek ze série COBIT

DS4.1 IT Continuity Framework

Vytvoř Framework pro IT kontinuitu podpory firemního nepřetržitého provozu konzistentním procesem. Cílem Frameworku je pomáhat určovat požadované odolnosti infrastruktury a řídit vývoj zotavení po havárii a IT pohotovostní plány. Framework by měl řešit organizační strukturu pro řízení kontinuity, pro pokrytí rolí, úkolů a povinností interních a externích poskytovatelů služeb, jejich řízení a jejich zákazníky, zdokumentované pravidla a struktury, testování a spouštění obnovení po zhroucení a IT pohotovostní plány. Plán by měl také řešit položky, jako je identifikace kritických zdrojů, monitorování a podávání zpráv o dostupnosti kritických zdrojů, alternativních postupů, a zásady zálohování a obnovení.

DS4.2 IT Continuity Plans

Rozvíjej IT plány kontinuity na základě Frameworku určeného ke snížení dopadů závažného narušení klíčových podnikových funkcí a procesů. Tyto plány by měly zohlednit požadavky na odolnost, alternativní zpracování a využití schopností všech kritických IT služeb. Měly by také zahrnovat pokyny pro používání rolí a povinností, postupy, komunikační procesy a přístup k testům.

DS4.3 Kritické IT zdroje

Zaměř pozornost na položky uvedené jako nejkritičtější v IT kontinuity plánu pro vybudování odolnosti a stanovení priorit pro záchranné situace. Vyhni se rozptylujícím méně důležitým položkám a zajistěte reakci a obnovu v souladu s prioritní potřeby podniku, a zároveň zajistěte, aby náklady byly na přijatelné úrovni a byly v souladu s regulačními a smluvními požadavky. Zvaž požadavky na odolnost, reakce, obnovu na různých úrovních, např. jednou až čtyři hodiny, čtyři až 24 hodin, více než 24 hodin a kritické business provozní období.

DS4.4 Správa IT kontinuitního plánu

Přesvědč IT management, aby definoval a realizovat postupy pro kontrolu změn, aby byl plán IT kontinuity aktualizován a stále reflektoval aktuální obchodní požadavky. Je nezbytné, aby změny v postupech a povinností být sděleny jasně a včas.

DS4.5 Testování plánu IT kontinuity

Testuj pravidelně IT plán kontinuity s cílem zajistit to, aby mohl být IT systém navrácen, nedostatky byly adresovány a aby byl plán i nadále relevantní. Toto vyžaduje pečlivou přípravu, dokumentaci, reportování výsledku testů a samozřejmě úpravu akčního plánu podle výsledků. Zvaž, do jaké míru je nutné testování obnovy jednotlivých aplikací pro E2E integrované testovací scénáře a integrované dodavatelské testování.

DS4.6 Školení IT plánu kontinuity

Zajisti, aby všechny zúčastněné strany dostávaly pravidelné školení týkající se postupů a jejich role a odpovědnosti byly jasně stanoveny pro případy nehody nebo katastrofy. Ověř, a posil odbornou přípravu v souladu s výsledkem pohotovostních zkoušek.

DS4.7 Distribuce IT plánu kontinuity

Stanov a definuj řízení distribuční strategie proto, aby zajistily správnou a bezpečnou distribuci plánů a aby byly vždy a všude k dispozici pro patřičné oprávněné zúčastněné strany. Pozornost věnuj tomu, aby plány byly přístupné v rámci všech scénářů katastrof.

DS4.8 IT obnovení a pokračování služeb

Naplánuj akce, které mají být provedeny v období, kdy se zotavuje a obnovuje služba. To může zahrnovat aktivaci záložních míst, zahájení alternativního zpracování, zákazníky, komunikaci na zainteresované strany, obnovení řízení, apod. Zajisti, aby firma chápala doby obnovení a nezbytné investice do technologií pro podporu oživení business a všechny potřeby pro obnovení.

DS4.9 Vnější záložní úložiště

Uchovej mimo vaši lokalitu všechny kritické zálohovací média, dokumentace a další IT zdroje potřebné k plánu obnovy a obchodní kontinuity. Obsah ukládání záloh musí být určen, ve spolupráci vlastníků podnikových procesů a IT personálu. Vedení offsite skladu by měla reagovat na klasifikaci politik dat a praxi práce s podnikovými paměťovými médii. IT management musí zajistit, aby opatření mimo pracoviště byly pravidelně přehodnoceny (nejméně jednou ročně), dále jejich obsah, ochranu prostředí a bezpečnosti. Zajisti kompatibilní hardware a software pro obnovení archivovaných dat a pravidelně testuj a aktualizuj archivovaná data.

DS4.10 Revize po obnovení

Po úspěšném obnovení IT zjisti, zda vedení zavedlo postupy pro posouzení způsobilosti plánu a aktualizujte patřičně plán.

Článek ze série COBIT