Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 3. november 2006.
regler En it-organisation kan blive mere effektiv, hvis den følger rådene i ITIL og COBIT.
En it-organisation gennemfører otte gange flere projekter end en anden. Og den autoriserer og gennemfører 15 gange flere ændringer i it-systemer.
Forskellen på de to organisationer er, at den effektive har gennemført en række af anbefalingerne i specifikationerne COBIT (control objectives for information and related technology) og ITIL (information technology infrastructure library).
Det fremgår af rapporten "IT Controls Performance Study", som organisationen Information Technology Process Institute (ITPI) har udgivet. Den bygger på svar fra 98 it-organisationer.
Både ITIL og COBIT handler om at sætte system i tingene: De giver en struktur for, hvad it-funktionen skal levere til forretningen, og hvordan det kan organiseres. I COBIT taler man om såkaldte "kontroller". De angiver, hvordan bestemte kontrolmekanismer er indbygget i it-funktionen.
Rapporten viser, at nogle virksomheder får rigtig meget ud af at indføre reglerne fra ITIL og/eller
COBIT. Men den viser også noget, der overraskede forfatterne: Nog-
le få regler har meget stor betydning.
- Vi opdelte deltagerne i tre grupper ud fra deres ydeevne: De højstydende, mellemlaget og de laveste. Det viste sig, at de højstydende havde indført to kontroller, som ingen af de øvrige anvendte, fortæller Gene Kim. Han er medstifter af IT Process Institute og er en af initiativtagerne til undersøgelsen.
De to afgørende kontroller er:
"Overvåger organisationen, om der sker uautoriserede ændringer?"
"Er der definerede konsekvenser for uautoriserede ændringer, som er indført med vilje?"
En ændring kan for eksempel være, at en udvikler sætter et nyt programmodul i drift, eller at en sikkerhedsansvarlig ændrer på opsætningen af en firewall. En uautoriseret ændring sker uden om de styringsmekanismer for ændringer, der indgår i såkaldt change management i ITIL og COBIT.
- Resultatet viser, at det er vigtigt at kontrollere ændringer i it-miljøet. Men det er ikke nok at overvåge - der skal også være klart definerede konsekvenser for dem, der ikke følger reglerne, siger Gene Kim.
Som eksempel på en konsekvens fortæller han om en it-organisation, der har styr på ændringerne. Når den opdager en ændring, der ikke er gået gennem de officielle kanaler, udsender lederne en mail til alle: "Vi har opdaget en uautoriseret ændring. Den ansvarlige har fire timer til at melde sig og forklare sig, før vi overdrager sagen til den sikkerhedsansvarlige!"
På samme måde som med disse to COBIT-kontroller viser undersøgelsen, at nogle kontroller er mere væsentlige end andre. Inden for change management findes der 13 kontroller, hvor fire af dem viste sig at være afgørende. Gene Kim kalder dem for "foundational controls".
I alt fandt undersøgelsen frem til 21 sådanne kontroller. Hvis man indfører dem, er der ifølge rapporten en god chance for, at ens it-organisation bliver mere effektiv.
OriginalModTime: 02-11-2006 14:20:20
