Przy okazji jednego z projektów usłyszałem pytanie jakie
powinny być 5 czynności, którymi powinien się zająć w pierwszej kolejności nowy
dyrektor IT.
Koncentrując się na kwestiach bliskich wymaganiom bezpieczeństwa, jest
to bowiem najlepsza chwila by odpowiednio ustawić priorytety na pierwsze
miesiące pracy. Zapewnić, że biznes będzie zadowolony, a infrastruktura bezpieczna.
Nie da się zarządzać czymś czego się nie zna, więc
identyfikacja aplikacji i stającego za nimi sprzętu, poznanie kluczowych
pracowników oraz poznanie specyfiki dotychczas realizowanych usług powinno stać
się priorytetem. Na tej podstawie dyrektor powinien być w stanie zapewnić, że dotychczas
realizowane czynności eksploatacyjne nie zostaną przerwane. Tego typu rozmowa
pozwoli mu również łatwiej prowadzić późniejsze dyskusje z właścicielami
biznesowymi odnośnie ich potrzeb i oczekiwań.
Identyfikacja wymagań
właścicieli biznesowych
Aplikacje stanowią podstawę funkcjonowania każdej z
organizacji, ułatwiając, lub niekoniecznie, wykonywanie codziennych zadań przez
działy biznesowe. By zapewnić, że aplikacje spełniają pokładane w nich nadzieje
należy wpierw dowiedzieć się KTO jest właściwą osobą by generować wymagania dla
danego systemu. Taka osoba powinna mieć wówczas prawo wypowiadać się na temat
niedociągnięć i kierunków zmian. No i zapewniać finansowanie dla swoich
pomysłów.
Identyfikacja
oczekiwań wobec prac rozwojowych
Ochrona posiadanej wartości jest istotnym zagadnieniem. o
którym nie wolno zapominać. Ważniejsze jest jednak zapewnienie by nowa wartość
nieustannie była w organizacji tworzona. Dlatego typowe priorytety rozwoju
biznesu powinny być dyskutowane, gdy tylko uda się zidentyfikować właściwych
właścicieli biznesowych. Na podstawie zebranych informacji projekty być może
uda się pogrupować w programy, a część luk, o których zaraz się zacznie
dowiadywać CIO, okaże się mieć niższy priorytet.
Identyfikacja ryzyka
Analiza dotychczasowych incydentów i wykorzystanie informacji
płynących z działów biznesowych do zidentyfikowania ryzyka powinny stanowić następny
obszar zainteresowania CIO. Gdy nowy dyrektor wie już co ma z swojej
"piaskownicy", gdy zna wymagania właścicieli oraz ma już wizję tego,
jakie zmiany są potrzebne, czas na spokojne spojrzenie na to co może zakłócić
jego spokój. Identyfikacja ryzyk, szczególnie w zakresie utraty poufności,
integralności i dostępności kluczowych systemów informatycznych, jak również
ewentualnego braku zgodności z wymaganiami zewnętrznymi, w zdecydowany sposób
pomoże w planowaniu dalszych działań.
Identyfikacja luk w
zabezpieczeniach
Następnym kluczowym obszarem, który polecam jest identyfikacja
luk. Biorąc pod uwagę któryś z uznanych standardów (np. ISO 27001) należy
zobaczyć, w których obszarach obecnie stosowane mechanizmy kontrolne są dalekie
od tego, co proponują najlepsze praktyki. Zderzając to z informacją o
zidentyfikowanym ryzyku CIO powinien otrzymać już komplet informacji, niezbędnych
mu do opracowania planu prac na najbliższe miesiące.
Pominiecie któregoś z tych etapów może nieść za sobą daleko
idące skutki. Brak informacji może przełożyć się na niewłaściwe decyzje.
Dlatego też w ramach powyższych prac należy skoncentrować się na kompletności
podejścia. Znając luki po prostu ustala się priorytety na podstawie ryzyka. W
innym przypadku błądzi się, przeskakując od pożaru do pożaru.
Na zakończenie… Gdybym mógł wskazać jeszcze jedną priorytetową
czynność, byłoby nią ustalenie krótkich, cyklicznych spotkań z głównymi właścicielami
biznesowymi, w towarzystwie specjalisty ds. bezpieczeństwa. Podczas takiego,
oczywiście dobrze moderowanego forum, można skupić się na rozwiązaniu głównych
bolączek, które pojawiają się na styku IT, biznesu i bezpieczeństwa jak również
ustalić priorytety "wrzut", które burzą ład i porządek, ale są
nieodzownym elementem codzienności biznesowej. A krótka, treściwa i
merytoryczna rozmowa (plus zwinne podejście do projektów IT) potrafi zdziałać
cuda.
Brak komentarzy:
Prześlij komentarz
Dzień dobry. Komentarze na tym forum są moderowane