Основные области рисков, связанные с инсайдерскими угрозами, по мнению авторов COBIT5 for Risk, включают нарушение работы процессов со стороны сотрудников, модификацию клиентской информации, проведение фиктивных транзакций в финансовых системах, несанкционированные изменения и содействие утечкам конфиденциальной информации через сговор с внешними злоумышленниками. Основной причиной реализации этих рисков названы ошибки в разграничении доступа. Для минимизации таких рисков рекомендуется внедрение важных контролов: разделение полномочий, практики управления доступом и работа с персоналом.

В методологии ITIL приоритет инцидента определяется на основе двух факторов: уровня влияния (impact) и уровня срочности (urgency). Уровень влияния измеряет, насколько сильно проблема влияет на работу бизнеса или конечных пользователей. Уровень срочности учитывает, насколько быстро необходимо решить проблему, исходя из времени, в течение которого может сохраняться негативное влияние. Результатом комбинации этих двух величин становится приоритет, который помогает правильно расставить последовательность действий при устранении инцидента.

В ITIL мало примеров дополняющих услуг, поскольку эта концепция недостаточно детализирована в прикладных рекомендациях. Дополняющие услуги быстро эволюционируют: изначально выступая как «вау-факторы», они со временем становятся стандартными ожиданиями клиентов (вспомогательными услугами) или даже частью основных услуг. Например, бесплатный Wi-Fi, который раньше был преимуществом отеля, теперь воспринимается как обязательная функция. Это требует от поставщиков услуг постоянного поиска новых возможностей для инноваций и обновления инфраструктуры.

Существует два основных типа сроков: регламентный и плановый. Регламентный срок используется как ориентир по максимальному допустимому времени решения инцидента и не должен изменяться ни при каких условиях, за исключением изменения параметров, от которых он зависит, таких как уровень влияния или тип ИТ-услуги. Его цель — определить факт нарушения обещаний, данных бизнесу согласно SLA. Плановый срок, в свою очередь, представляет собой ориентировочное время восстановления предоставления ИТ-услуг и может корректироваться в процессе обработки инцидента. Изменение планового срока позволяет информировать заинтересованные стороны об ожидаемом времени решения проблемы.

Локус контроля - это психологический термин, обозначающий тенденцию человека приписывать результаты своей деятельности либо внутренним факторам (своим качествам, навыкам, усилиям), либо внешним обстоятельствам (окружающей среде, другим людям, случайным факторам). Это свойство личности характеризует, как человек объясняет успехи и неудачи, ассоциируя их с контролируемыми или неконтролируемыми им факторами. Понятие было введено социальным психологом Джулианом Роттером в 1954 году.

При сравнении приоритетов между техническими и бизнес-задачами важно создать структурированный процесс, учитывающий мнения всех заинтересованных сторон. Владелец продукта, инженеры, менеджеры и другие члены команды должны участвовать в обсуждении ценности каждой задачи. Следует использовать количественные и качественные методы оценки: оценить влияние технических задач на скорость и качество будущей разработки, влияние бизнес-задач на KPI и выручку. Можно применять техники, такие как Weighted Shortest Job First (WSJF), которые учитывают факторы воздействия, сроки и риски. Важно установить критерии оценки приоритетов, согласованные со стратегией компании. Регулярные совместные планировочные встречи и прозрачное обсуждение компромиссов помогут найти баланс. Решение о финальных приоритетах обычно принимает владелец продукта в тесной координации с техническим руководителем, основываясь на комплексной оценке всех факторов.

Главный риск при улучшении рабочих процессов в ИТ-команде без учета взаимодействия с бизнесом состоит в том, что команда не сможет создать реальную ценность для заказчика. Процесс создания ценности является двусторонним и требует налаживания эффективных коммуникаций между разработчиками и бизнесом. Без четкого понимания ожиданий бизнеса команда может сосредоточиться на внутренних процессах, потеряв связь с реальными потребностями и целями компании, что приведет к потере фокуса и отсутствию измеримых бизнес-результатов.

При использовании микросервисной архитектуры, виртуальных машин, контейнеров и систем контроля версий, которые характерны для Agile-методологий, роль процесса управления конфигурациями трансформируется. В таких средах не существует статичной базовой версии - хранится только рабочая версия приложения-услуги ('код всегда работает'). Информация об инфраструктуре и настройках хранится в системе контроля версий и изменяется по требованию. Процесс управления конфигурациями сохраняет свою роль в управлении информацией о сервисных активах, обеспечении целостности данных, а также предоставлении информации для участников процессов, адаптируясь к новым условиям и используя современные инструменты, такие как системы контроля версий.

Формализация маршрутизации обращений через ИТ-системы обеспечивает повышение точности распределения задач за счет использования структурированных правил классификации. Это снижает зависимость от индивидуальных знаний сотрудников, упрощает обучение новых членов команды и обеспечивает стабильность процесса при изменениях в персонале. Также автоматизация маршрутизации позволяет быстрее вносить изменения в правила распределения при модернизации ИТ-инфраструктуры и поддерживать актуальное состояние знаний о компетенциях различных групп поддержки.

Система бонусов, ориентированная на локальные показатели, создает стимулы для действий, выгодных отдельным подразделениям, но вредных для компании в целом. Например, если руководителю ИТ выплачивается премия за снижение OPEX его блока, он заинтересован в сокращении проектов, даже если они способствуют снижению издержек других подразделений. Чтобы избежать подобных конфликтов, система вознаграждений должна учитывать вклад в общие бизнес-показатели, такие как прибыль компании, рост доли рынка или снижение совокупной стоимости владения.