Standard COBIT, czyli dobre zarządzanie procesami IT w firmie

Informacja należy obecnie do kluczowych zasobów każdej organizacji, a jej wartość – również dla hakerów – wciąż rośnie. Firmy opierają dużą część swego funkcjonowania na technologiach informatycznych, a to rodzi pewne ryzyko związane z przesyłaniem i przechowywaniem informacji, a także optymalizacją procesów IT. Dlatego przedsiębiorstwo, które chce zadbać o dobre zarządzanie procesami IT, powinno pomyśleć o uzyskaniu zgodności ze standardem COBIT. Jeśli chcesz się dowiedzieć, na czym ten standard polega i jak go wdrożyć w firmie, zapraszamy do lektury.

Czym jest standard COBIT?

Standard COBIT (Control Objectives for Information and related Technology; w tłumaczeniu: cele kontrolne dla informatyki i technologii powiązanych) stanowi obszerny zbiór wskazówek i dobrych praktyk dotyczących zarządzania procesami IT w organizacji. Ułatwia kadrze zarządzającej, managerom i audytorom firmy osiągnięcie idealnego balansu między infrastrukturą techniczną, wymogami kontrolnymi a zagrożeniami w kwestii bezpieczeństwa.

Standard COBIT opisuje 37 procesów obejmujących ponad 200 celów kontrolnych, które można pogrupować w następujące obszary:

• dopasowanie, planowanie i organizacja;
• budowanie, nabywanie i wdrażanie;
• dostarczanie, obsługa i wsparcie;
• monitorowanie i ocena.

Każdy oceniany proces uzyskuje ocenę w skali od 0 do 5, gdzie 0 oznacza, że proces jest niekompletny, a jego cel nie został osiągnięty. Z kolei 5 wskazuje na wysoki poziom i stałe doskonalenie procesu. Co ciekawe, już poziom 1 to dobra wiadomość dla organizacji, gdyż oznacza wdrożenie celu danego procesu (co prawda potem firmę czeka długa droga w pokonywaniu kolejnych poziomów).

COBIT został rekomendowany przez Komisję Nadzoru Finansowego jako międzynarodowy standard, który warto wprowadzić w instytucjach finansowych, żeby prawidłowo zarządzać ryzykiem w systemach telekomunikacyjnych i informatycznych. Jednak podążanie za zasadami COBIT przydaje się nie tylko w branży finansowej. Ten standard pomoże każdej firmie lepiej nadzorować informację i procesy IT.

Dlaczego warto wprowadzić standard COBIT w firmie?

COBIT pozwala na przeprowadzenie obiektywnej oceny dojrzałości procesów IT w organizacji, niezależnie od jej branży czy wielkości. Pod lupę są brane następujące czynniki: zasady, polityki i ustalenia umożliwiające stworzenie wytycznych ułatwiających zarządzanie; zbiory praktyk służących realizacji celów IT; struktury organizacyjne, czyli osoby decyzyjne w przedsiębiorstwie; etyka, zachowanie i kultura organizacyjna; informacje jako zasób gromadzony, tworzony i przetwarzany przez firmę; infrastruktura i usługi IT. Dzięki temu można szybko i skutecznie sprawdzić, w których obszarach firmowych procesy IT działają prawidłowo i można je uznać za wystarczająco dojrzałe, a w których są niekompletne i wymagają natychmiastowej poprawy.

Taka ocena umożliwia sensowne i efektywne zaplanowanie dalszych kroków zmierzających do zwiększenia dojrzałości procesów IT w firmie, w tym optymalizacji kosztów usług czy poprawy stanu operacyjnego. To przełoży się na szereg korzyści biznesowych – w dodatku nie tylko finansowych, ale również wizerunkowych. Przedsiębiorstwo, które może się pochwalić zgodnością ze standardem COBIT, startuje z dobrej pozycji negocjacyjnej podczas przetargów i rozmów z klientami czy partnerami biznesowymi.

Co więcej, podążanie za wskazówkami COBIT ułatwia kadrze zarządzającej podejmowanie odpowiednich decyzji dotyczących środowiska IT, w tym przygotowanie wartościowej strategii działania, skupiającej się na konkretnych celach IT. Umożliwia takie zarządzanie zasobami, które pozwala osiągnąć korzyści przy jednoczesnym zachowaniu optymalnego poziomu ryzyka. Poza tym stanowi świetne narzędzie kontroli i sprawnego wychwytywania problemów.

Standard COBIT poświęca dużo uwagi kwestiom zarządzania ryzykiem IT. Dba o to, by poziom ryzyka firmy związanego ze wszystkimi aspektami wykorzystania rozwiązań informatycznych znajdował się na akceptowalnym poziomie, w dodatku przy zachowaniu zgodności z normami prawnymi, przepisami, regulacjami i istotnymi zobowiązaniami.

Jak uzyskać w firmie zgodność ze standardem COBIT?

Jeżeli firma chce dobrze zarządzać ryzykiem IT, a także podążać za przepisami i regulacjami, uzyskanie zgodności z COBIT jest bardzo ważne. Jaka rozpocząć pracę nad dostosowaniem się do zawartych w nim wskazówek i dobrych praktyk? Polecamy rozwiązanie w postaci bezpłatnego narzędzia Telescope, czyli kompleksowego audytu bezpieczeństwa IT. Taki audyt nie zajmuje wiele czasu i nie wymaga wsparcia specjalisty. Zajmuje tylko kilka minut i działa na bazie ankiety, która powinna być wypełniona przez zarząd firmy.

Audyt sprawdza, jaką zgodność ze standardem COBIT ma obecnie przedsiębiorstwo, a więc jak wygląda w nim kwestia zarządzania procesami informatycznymi. Zaraz po zaznaczeniu wszystkich odpowiedzi generuje obszerny, łatwy do zrozumienia raport. Co więcej, poza aktualnym stanem wskazuje też obszary wymagające natychmiastowej poprawy. Daje również szereg przystępnych wskazówek i rekomendacji na temat tego, od czego zacząć, żeby podnieść poziom bezpieczeństwa informacji.

Twórcą audytu Telescope jest Bartosz Kozłowski, nasz specjalista ds. cyberbezpieczeństwa. Ma bogate doświadczenie w dziedzinie bezpieczeństwa informacji. W latach 2016-2019 odpowiadał za stworzenie i prowadzenie działu cyberbezpieczeństwa w Polskich Liniach Lotniczych LOT. Zajmował się też wieloma innymi projektami z zakresu zarządzania bezpieczeństwem IT, między innymi dla banków i towarzystw ubezpieczeniowych. Obecnie działa jako Chief Security Officer w Sagenso i konsultant ds. bezpieczeństwa systemów IT w biznesie.

Jak jeszcze zapewnić bezpieczeństwo informacji w firmie? Odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso