Записи рубрики «Управление рисками»

Моделирование угроз для данных как средство митигации рисков

Буквально на днях международная ассоциация ISACA® опубликовала исследование, посвященное моделированию угроз для данных как средству митигации рисков «Continuous Assurance Using Data Threat Modeling». Специалисты бизнес- и ИТ-подразделений едины во мнении, что данные являются ценным товаром. Новые угрозы данным могут возникать как внезапно, так и формироваться в течении большого промежутка времени. Поэтому необходимо иметь адекватный механизм для структурированного...

Управление преобразованиями и изменениями — советы бывалого

Уже давно стало понятным, что IT департамент организации является источником изменений – внедрение новых систем и/или процессов, замена старых информационных систем на новые, etc. Тема изменений не нова, горячо обсуждаема и актуальна. Всегда. И всегда есть чему поучиться у самих же себя после проведения каждого изменения, ибо каждое – уникально. Scott Harberd (Interim senior project...

Зачем доступность услуг считать в процентах?

Последнее время я все больше укрепляюсь в давно блуждающей в моей голове и довольно еретической мысли: классический показатель доступности малопригоден для измерения и оценки доступности ИТ-услуг в реальном мире. И в ряде случаев от него можно легко отказаться. Эти случаи касаются в первую очередь измерения доступности услуг типа «ИТ-обеспечение бизнес-процессов» (фактически речь идет об ИТ-доступности...

Залог успешного проектирования услуг

Большинство компаний представляют проектирование услуг (service design) как средство улучшения потребительских свойств ИТ-услуг, но мало кто говорит о том, за счет чего это происходит. Существует ложное представление о том, что если использовать определенные рамки и стандарты при проектировании, то сразу же можно увидеть глобальные изменения, и ваши ИТ-услуги станут идеально соответствовать потребностям ваших клиентов. На...

Ключевые практики управления доступностью и непрерывностью

Последнее время меня занимает вопрос оценки процесса управления доступностью и непрерывностью ИТ-услуг. И если с измерением результативности процесса, на мой взгляд, все более или менее понятно – она определяется степенью достижения согласованных показателей доступности и непрерывности услуг[1], то с измерением ключевых практик не все однозначно. Собственно, вопросы есть уже к списку ключевых практик, которые необходимы для реализации...

Критерий доступности

Уровень доступности является одним из важнейших параметров качества услуги, требования к которому должны быть зафиксированы в SLA. За определение измеримых обязательств по предоставлению ИТ-услуг отвечает процесс управления уровнем услуг, однако решающее значение в том, насколько адекватно отчетность будет отражать реальную ситуацию, а, следовательно, и удовлетворенность заказчиков доступностью услуг, имеет то, насколько четко определены границы доступности...

Организация внутреннего контроля с использованием COBIT 5

ISACA выпустила публикацию Internal Control Using COBIT 5, посвященную организации системы внутреннего контроля с использованием COBIT 5. Любопытно, что использование понятия «контроль» авторы публикации не ограничивают такими областями, как управление рисками, управление информационной безопасностью и аудит, но также говорят об управлении качеством. А само понятие контроля определено как «политики, процедуры, практики и организационные структуры, созданные...

Высокая цена низкого качества

Когда по роду деятельности много думаешь о том, как можно хорошо организовать работу по предоставлению услуг, то и в обычной жизни невольно наблюдаешь за тем, как это делают разные поставщики. Замечаешь какие-то слабые места, отмечаешь недовольство потребителей, строишь прогнозы, к каким рискам поставщика это все приведет, продумываешь способы cделать лучше. На днях со мной cлучилась история...

It's a people thing!

В портфеле GamingWorks есть игра Oceans99™, посвященная управлению информационной безопасностью. Согласно сценарию, владелец токийского банка организует выставку в токийском музее, выставляя три очень известных и дорогих экспоната, которые привлекают внимание криминальной группы Oceans99. Задача команды заключается в успешной доставке объектов в токийский музей так, чтобы не допустить кражу. Пол Вилкинсон поделился на своей странице в...

COBIT 5 for Risk: основные области ИТ-рисков

Мы уже писали о публикации Risk Scenarios using COBIT5 for Risk. Кроме того, ей был посвящен недавно прошедший вебинар CleverTALK. В этой заметке хочу подвести краткие итоги того, какие области рисков в ИТ, по мнению авторов, являются наиболее критичными и нуждаются в пристальном внимании. Несмотря на то, что публикация содержит лишь примеры, так называемых, сценариев и не...

Что читать про управление непрерывностью

В продолжение предыдущей заметки публикую список ключевой, на мой взгляд, литературы по теме управления непрерывностью, которая обстоятельно не раскрыта в наших любимых сводах знаний. ISO 22301:2012 Societal security – Business continuity management systems – Requirments Основной, с 2012 года ставший международным, а ранее известный как BS25999, стандарт по управлению непрерывностью бизнеса. Вводит важную терминологию, предъявляет требования к планированию, проектированию,...