COBIT לשליטה ובקרה 

תגיות: pCon, פרטיות, שליטה, בקרה, COBIT, SOX

המסר העיקרי הוא - ככל שארגונים מתחילים לשמים דגש על IT Governance ותקנות כמו SOX, כך גובר גם הצורך במציאת שיטות טובות לעמוד בתקנות הללו. ה-COBIT הוא אחת מהשיטות המומלצות והפופולאריות. מה מציע ה-COBIT? למי זה מתאים? בהמשך...

ה-COBIT (ר"ת: Control Objectives for Information and Related Technology) היא מסגרת תהליכית - Framework - שפותחה על ידי שני ארגוני בקרה בינלאומיים, ISACA (אוInformation Systems Audit and Control Association) ו-ITGI (או IT Governance Institute), כבר בשנות ה-90. מטרת ה-COBIT היא הפעלה אפקטיבית ויעילה של מערך ה-IT, תוך שימת דגש על נושאי בקרה. המסגרת מספקת אוסף בקרות, תהליכים וקווים מנחים, במטרה למקסם תועלות מהשימוש בטכנולוגיות המידע בארגון, ועל מנת לפתח מנגנוני Governance לתהליכים ארגוניים הקשורים ל-IT.

מתודולוגיות ותפקיד המנמ"ר

כחלק מה-IT Governance - אותה תפישה כוללת של הגברת הניהוליות והשליטה של המנמ"ר במערך המחשוב, נוצרו כמה וכמה גישות ושיטות, ש-COBIT הוא אחד מהם: ITIL (שבולט במיוחד בנושאי התפעול והתמיכה), תקני ISO שונים, Val-IT ו-VAL, שמסייעים לבחון השקעות במחשוב.

במקביל, תפקיד המנמ"ר משתנה, והוא הופך עסקי יותר במהותו, מה שדורש ממנו להוכיח את תשומות ה-IT ולהצדיק את ההשקעות. הרגולציות הרבות, ובעיקר תקנת SOX (אשר אחת ממטרות ה-COBIT היא להבטיח עמידה בה), משפיעות אף הן על העניין הגובר מצד ארגונים בארץ כלפי COBIT. גם אנשי תחום הביקורת, נוטים להעדיף במקרים רבים להשתמש בשיטת COBIT, עודדו ארגונים ליישם COBIT, על מנת להבטיח עמידה בביקורות.

האוריינטציה והסיבה לבחירה בה, היא שהיא באה יותר מעולם המבקרים ומעל הכל, עולם ה-SOX. מנקודת המבט הטכנולוגית נטו, עדיף ITIL, אך בסיכומו של דבר, כשאתה מיישם COBIT, אתה במילא מייעל גם את מערך המחשוב.

כך בנוי ה-COBIT

? Executive Summery - חלק זה מספק הסברים לגבי המושגים הבסיסיים ב-COBIT והוא כולל תקציר של המסגרת.

? Framework - המסגרת כוללת 34 יעדי בקרה (אוControl Objectives) בארבעה תחומים (ראה פירוט שלהם בהמשך). המסגרת מגדירה איזה משבעה קריטריונים (יעילות, אפקטיביות, סודיות, שלמות, זמינות, ציות ואמינות), ואילו משאבים (אנשים, יישומים, מידע ותשתיות) חשובים לתהליכים, בדרך להשגת היעדים העסקיים.

? Control Objectives - יעדי הבקרה מספקים תובנות הנחוצות על מנת ליצור מדיניות מתאימה לבקרות. לכל בקרה ניתן להגדיר שם תהליך מבוקר; תמצית הדרישה העסקית למענה מתקיימת הבקרה; פירוט ומיקוד הדרישה העסקית למענה מתקיימת הבקרה; אופן השגת המטרה; אופן מדידת הצלחת הבקרה; שמות ותיאור של מטרות הבקרה בתהליך.

? IT Assurance Guide - חלק זה מפרט הנחיות ופעילויות ספציפיות שיש לבצע, במטרה להבטיח ניהול יעיל ו/או להציע שיפורים.

? Implementation Tool Set - חלק זה כולל ניתוח בקרות, FAQ's, מדריך יישום ו-Case Studies מארגונים שכבר מיישמים COBIT.

? Management Guidelines - חלק זה כולל קווים מנחים, בהם מודלי בשלות, אשר נועדו לעזור לקבוע את השלבים והציפיות, ולהשוות אותם לנורמות הקיימות בארגונים אחרים בתעשייה.

על המדף

? CA - מציעים את CA Clarity 8, הכוללת מדדים פיננסיים, התאמה ליעדים עסקיים, סיכונים תפעוליים ואמצעי בקרה.

? Dynasec - מציעים את Dynasec Enterprise ITRG, המאפשר לארגונים להבטיח תאימות למגוון תקנים ומתודולוגיות, כולל COBIT. מציעים גם את Easy2Comply.com, תוכנת SaaS לארגונים בכל הגדלים למטרת תאימות לתקנות. וכן הדרכות בנושא COBIT.

? Oracle - שבצו את COBIT במסגרתOracle Internal Controls Manager לניהול תאימות רגולטורית.

? Symantec - ה-BindView Policy Manager מאפשר לארגונים לעמוד בהתחייבויות חוקיות, להפחית עלויות ציות ולקבוע מדיניות. תומכת גם ב-COBIT.

אלה רק חלק מהמוצרים והשירותים המוצעים בתחום. ניתן למצוא רשימה ארוכה יותר בתחקיר שערכנו.

לסיכום

למבקשים לשלוט במערך ה-IT הארגוני, שמבצעים בארגון יישום רוחבי של SOX או בעלי אוריינטציה של עמידה בביקורות, מומלץ לשקול יישום COBIT.

הערה חשובה - הערה חשובה - הסיפור על COBIT לשליטה ובקרה לקוח מתוך תחקיר pCon והוא רק חלק מהסיפור הענק על מה שארגונים צריכים לדעת היום לגבי COBIT. איך נחשפים לסיפור כולו וגם מרוויחים יותר זמן פנוי?:
http://www.pcon.co.il/v5/DebriefSignup23.asp

למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944