Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Новые экзамены
по ITSM
Реестр ESM- и ITSM-систем в России 2024

Управление рисками

Как управлять значительными инцидентами и нарушениями безопасности

Своими мыслями на этот счёт поделился Стюарт Рэнс, эксперт в области управления ИТ-услугами. Большинство инцидентов, с которыми имеет дело ИТ, относительно незначительны. Они могут быть важны для пользователей, которых затронули, но в большинстве случаев не представляют реальной угрозы для бизнеса. Команды технической поддержки, с которыми мне доводилось работать, в основном достаточно эффективно устраняют такие инциденты. Они в состоянии довольно быстро определить, что необходимо сделать, и отлично взаимодействуют с затронутыми пользователями. А поскольку таких инцидентов происходит довольно много, они учатся на собственном опыте. Они понимают, что инциденты являются источником информации для планирования мер по совершенствованию, и ведут проактивную работу по выявлению, приоритезации и…

, 23 августа 2018, последний комментарий 29 августа 2018

Моделирование угроз для данных как средство митигации рисков

Буквально на днях международная ассоциация ISACA® опубликовала исследование, посвященное моделированию угроз для данных как средству митигации рисков “Continuous Assurance Using Data Threat Modeling”. Специалисты бизнес- и ИТ-подразделений едины во мнении, что данные являются ценным товаром. Новые угрозы данным могут возникать как внезапно, так и формироваться в течении большого промежутка времени. Поэтому необходимо иметь адекватный механизм для структурированного и систематического учёта угроз. Это исследование предлагает посмотреть на ваши данные глазами злоумышленника, опираясь на общепринятые практики моделирования угроз. Рассматривая данным подобным образом, вы сможете создать модель угроз и получить исходные условия для дальнейшего мониторинга риска и удержания на приемлемом уровне. Полный текст исследования доступен по…

Управление преобразованиями и изменениями – советы бывалого

Уже давно стало понятным, что IT департамент организации является источником изменений – внедрение новых систем и/или процессов, замена старых информационных систем на новые, etc. Тема изменений не нова, горячо обсуждаема и актуальна. Всегда. И всегда есть чему поучиться у самих же себя после проведения каждого изменения, ибо каждое – уникально. Scott Harberd (Interim senior project and programme manager) делится в блоге на портале Axelos своим опытом (lessons learned – термин, принятый в методологиях по управлению проектной деятельностью) внедрения информационной системы по управлению портфелем проектов в крупной британской компании. Несмотря на то, что компания входит в FTSE 100 (Financial Times Stock…

, 5 марта 2018, последний комментарий 8 марта 2018

Зачем доступность услуг считать в процентах?

Последнее время я все больше укрепляюсь в давно блуждающей в моей голове и довольно еретической мысли: классический показатель доступности малопригоден для измерения и оценки доступности ИТ-услуг в реальном мире. И в ряде случаев от него можно легко отказаться. Эти случаи касаются в первую очередь измерения доступности услуг типа «ИТ-обеспечение бизнес-процессов» (фактически речь идет об ИТ-доступности бизнес-процессов). Попробую обосновать и буду рад услышать возражения. Полагаю, всем читателям портала знакома формула: Availability = (AST – DT)/AST, где AST – согласованное время предоставления услуги, DT – сумма простоев за период. А также, вероятно, знакомы сложности ее применения: Первая сложность связана с обсуждением показателя. Доступность…

, 27 февраля 2017, последний комментарий 3 марта 2017

Залог успешного проектирования услуг

Большинство компаний представляют проектирование услуг (service design) как средство улучшения потребительских свойств ИТ-услуг, но мало кто говорит о том, за счет чего это происходит. Существует ложное представление о том, что если использовать определенные рамки и стандарты при проектировании, то сразу же можно увидеть глобальные изменения, и ваши ИТ-услуги станут идеально соответствовать потребностям ваших клиентов. На самом деле, всё будет происходить несколько иначе. С одной стороны, вы заметите определенный прогресс, который подтолкнет вас к продолжению. Но с другой стороны, фундаментальные негативные факторы, мешающие продвижению услуги, не исчезнут.  Факторы, которые мы упускаем. Основной показатель успешного проектирования услуг – это эффективность ваших соглашений…

Ключевые практики управления доступностью и непрерывностью

Последнее время меня занимает вопрос оценки процесса управления доступностью и непрерывностью ИТ-услуг. И если с измерением результативности процесса, на мой взгляд, все более или менее понятно – она определяется степенью достижения согласованных показателей доступности и непрерывности услуг[1], то с измерением ключевых практик не все однозначно. Собственно, вопросы есть уже к списку ключевых практик, которые необходимы для реализации назначения процесса. Здесь необходимо сделать оговорку, что я рассматриваю вариант ISO/IEC 20000, согласно которому управление доступностью и непрерывностью совмещены. Однако суть упражнения не поменяется и при разделении процессов. С оглядкой на ITIL и COBIT5 Enabling Processes получается следующий список ключевых практик: Планирование доступности и непрерывности…

, 8 августа 2016, последний комментарий 12 августа 2016

Критерий доступности

Уровень доступности является одним из важнейших параметров качества услуги, требования к которому должны быть зафиксированы в SLA. За определение измеримых обязательств по предоставлению ИТ-услуг отвечает процесс управления уровнем услуг, однако решающее значение в том, насколько адекватно отчетность будет отражать реальную ситуацию, а, следовательно, и удовлетворенность заказчиков доступностью услуг, имеет то, насколько четко определены границы доступности и недоступности. Вне зависимости от услуги и способа измерения, расчет уровня доступности основан на учете периодов недоступности. Чтобы избежать споров как внутри ИТ-организации, так и с заказчиком, о том, считать тот или иной сбой инцидентом недоступности или нет, требуется документировать критерий доступности. Для этого, как…

, 20 июля 2016, последний комментарий 26 июля 2016

Организация внутреннего контроля с использованием COBIT 5

ISACA выпустила публикацию Internal Control Using COBIT 5, посвященную организации системы внутреннего контроля с использованием COBIT 5. Любопытно, что использование понятия «контроль» авторы публикации не ограничивают такими областями, как управление рисками, управление информационной безопасностью и аудит, но также говорят об управлении качеством. А само понятие контроля определено как «политики, процедуры, практики и организационные структуры, созданные для обеспечения разумной степени уверенности, что бизнес-цели будут достигнуты, а нежелательные события – предотвращены или же обнаружены и скорректированы». «Часто контроль позиционируется исключительно как понятие, связанное с управлением рисками, но оно гораздо шире. Контроли могут быть использованы не только для снижения рисков, но и гарантии…

, 19 апреля 2016, последний комментарий 6 июня 2017

Высокая цена низкого качества

Когда по роду деятельности много думаешь о том, как можно хорошо организовать работу по предоставлению услуг, то и в обычной жизни невольно наблюдаешь за тем, как это делают разные поставщики. Замечаешь какие-то слабые места, отмечаешь недовольство потребителей, строишь прогнозы, к каким рискам поставщика это все приведет, продумываешь способы cделать лучше. На днях со мной cлучилась история – мой самолет улетел без меня. Сначала меня задержали на регистрации в связи с заменой воздушного судна (и я про себя отметила, что уважаемая мной авиакомпания теперь уж точно позаботится о том, чтобы потерянное время не сказалось негативно на моем полете), потом мне пришлось постоять в огромной очереди…

, 18 марта 2016, последний комментарий 3 апреля 2016

It’s a people thing!

В портфеле GamingWorks есть игра Oceans99™, посвященная управлению информационной безопасностью. Согласно сценарию, владелец токийского банка организует выставку в токийском музее, выставляя три очень известных и дорогих экспоната, которые привлекают внимание криминальной группы Oceans99. Задача команды заключается в успешной доставке объектов в токийский музей так, чтобы не допустить кражу. Пол Вилкинсон поделился на своей странице в LinkedIn весьма любопытными наблюдениями от недавно проведенной симуляции и уроками, которые усвоила команда, которые по большей части, конечно, одинаково применимы к любой области управления ИТ. "Сначала команда выполняла упражнение по идентификации угроз, уязвимостей и рисков. При этом никто даже не заглянул в политику безопасности, чтобы ограничить…

COBIT 5 for Risk: основные области ИТ-рисков

Мы уже писали о публикации Risk Scenarios using COBIT5 for Risk. Кроме того, ей был посвящен недавно прошедший вебинар CleverTALK. В этой заметке хочу подвести краткие итоги того, какие области рисков в ИТ, по мнению авторов, являются наиболее критичными и нуждаются в пристальном внимании. Несмотря на то, что публикация содержит лишь примеры, так называемых, сценариев и не является исчерпывающим перечнем ИТ-рисков, выводы о том, где висят грозовые тучи, сделать можно и, на мой взгляд, весьма любопытные. Большое внимание авторы COBIT5 for Risk уделяют инсайдерской угрозе. Собственные сотрудники могут нарушать работу процессов, модифицировать клиентскую информацию, проводить фиктивные транзакции в финансовых системах, проводить несанкционированные изменения или, например, вступая в…

, 15 ноября 2015, последний комментарий 20 ноября 2015
 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику конфиденциальности и Согласие на обработку персональных данных.
;