Факторы дизайна (проектирования) - это факторы, влияющие на дизайн системы руководства и управления ИТ предприятия и способствующие ее успешному использованию. Они включают любую комбинацию следующих аспектов:
Предприятия могут иметь разные варианты стратегии в виде одного (первичного) или нескольких типов:
| Тип стратегии | Описание |
|---|---|
| Рост/Приобретение | Предприятие ориентировано на рост выручки |
| Инновации | Предприятие нацелено на предложение различных и/или инновационных продуктов и услуг для своих клиентов |
| Сокращение затрат | Предприятие ориентировано на краткосрочную минимизацию затрат |
| Обслуживание клиентов | Предприятие ориентировано на предоставление стабильных и ориентированных на клиента услуг |
Стратегия предприятия реализуется путем достижения целей предприятия, сгруппированных по перспективам системы сбалансированных показателей (BSC):
| Код | Перспектива | Цели предприятия |
|---|---|---|
| ЦП01 | Финансы | Увеличение портфеля конкурентоспособных товаров и услуг |
| ЦР02 | Управление бизнес-рисками | |
| ЦП03 | Соответствие внешним законам и регулирующим нормам | |
| ЦП04 | Качество финансовой информации | |
| ЦП05 |
Клиенты/ |
Ориентация на клиентов |
| ЦП06 | Непрерывность и доступность бизнес-услуг | |
| ЦП07 | Качество управленческой информации | |
| ЦП08 | Внутренние | Оптимизация функциональности бизнес-процессов |
| ЦП09 | Оптимизация затрат бизнес-процессов | |
| ЦП10 | Навыки, мотивация и производительность персонала | |
| ЦП11 | Соблюдение внутренних политик | |
| ЦП12 | Развитие | Управляемые программы цифровой трансформации |
| ЦП13 | Продуктовые и бизнес инновации |
Профиль рисков предприятия определяет виды ИТ-рисков, которым подвержено предприятие, и указывает, какие области рисков превышают склонность предприятия к риску. В качестве примера в таблице ниже приведены 19 категорий ИТ-рисков и примеры их сценариев:
| № | Категория риска | Примеры сценариев риска |
|---|---|---|
| 1 | Принятие решений об инвестициях в ИТ | а. Программы, выбранные для реализации, не соответствуют корпоративной стратегии и приоритетам. б. Неспособность инвестиций в ИТ поддержать цифровую стратегию предприятия. в. Выбор неверного программного обеспечения (с точки зрения стоимости, производительности, функций, совместимости, избыточности и т.д.) для приобретения и внедрения. г. Выбор неверной ИТ-инфраструктуры (с точки зрения стоимости, производительности, возможностей, совместимости и т.д.). д. Дублирование или наложения различных инвестиционных инициатив. е. Несовместимость между новыми инвестиционными программами и архитектурой предприятия. ё. Неверное распределение, неэффективное управление и/или конкуренция за ресурсы без согласования с приоритетами бизнеса. |
| 2 | Управление жизненным циклом программ и проектов | а. Неспособность высшего руководства завершить неудачные проекты (из-за резкого роста затрат, чрезмерных задержек, изменения объема работ и приоритетов бизнеса). б. Перерасход бюджета ИТ-проектов. в. Низкое качество ИТ-проектов. г. Несвоевременная сдача ИТ-проектов. д. Неспособность сторонних поставщиков выполнять проекты в соответствии с договорными соглашениями (превышение бюджета, проблемы с качеством, отсутствующая функциональность, поздняя поставка). |
| 3 | Контроль затрат на ИТ | а. Высокая зависимость от создаваемых и поддерживаемых пользователями приложений и специальных решений. б. Избыточная стоимость и/или неэффективность закупок, связанных с ИТ. в. Неадекватные требования, ведущие к неэффективным соглашениям об уровне обслуживания (SLA). г. Недостаток средств для инвестиций, связанных с ИТ. |
| 4 | Опыт, компетенции и поведение ИТ | а. Отсутствие или несоответствие ИТ-навыков (например, из-за новых технологий или методов работы). б. Недостаточное понимание бизнеса со стороны ИТ-персонала, что влияет на качество ИТ-услуг. в. Невозможность нанять и удержать ИТ-персонал. г. Найм неподходящих сотрудников из-за отсутствия должной экспертизы в процессе набора. д. Отсутствие/недостаточность обучения в области ИТ. е. Чрезмерная зависимость ИТ-услуг от ключевого персонала. |
| 5 | Архитектура предприятия/ИТ | а. Сложная и негибкая архитектура предприятия (АП), препятствующая дальнейшему развитию и расширению, ведущая к упущенным возможностям для бизнеса. б. Невозможность своевременного внедрения в эксплуатацию новой инфраструктуры ИТ или отказа от устаревшей. в. Невозможность своевременного внедрения в эксплуатацию нового программного обеспечения (функциональности, оптимизации и т.п.) или отказа от устаревшего. г. Недокументированная АП, ведущая к неэффективности и дублированию компонентов ИТ. д. Чрезмерное количество исключений из стандартов АП. |
| 6 | Инциденты инфраструктуры ИТ | а. Случайное повреждение ИТ-оборудования. б. Ошибки ИТ-персонала (при резервном копировании, при обновлении систем, при обслуживании систем и т.п.). в. Неправильный ввод информации ИТ-персоналом или пользователями систем. г. Разрушение дата-центра персоналом (саботаж и т.п.). д. Кража устройства с конфиденциальными данными. е. Кража ключевого компонента инфраструктуры. ё. Ошибочная конфигурация аппаратных компонентов. ж. Преднамеренное вмешательство в оборудование (устройства безопасности и т.п.). з. Нарушение прав доступа из предыдущих ролей для доступа к ИТ-инфраструктуре. и. Потеря носителя резервных копий или резервные копии не проверены на восстановление. к. Потеря данных облачным провайдером. л. Прерывание работы служб облачными провайдерами. |
| 7 | Несанкционированные действия | а. Взлом программного обеспечения (ПО). б. Преднамеренная модификация ПО или манипуляции с ним, приводящие к получению неверных данных. в. Преднамеренное изменение ПО или манипулирование им, ведущее к мошенническим действиям. г. Непреднамеренная модификация ПО, приводящая к неточным результатам. д. Непреднамеренные ошибки конфигурации и управления изменениями. |
| 8 | Проблемы с внедрением/использованием ПО | а. Непринятие нового ПО пользователями. б. Неэффективное использование нового ПО пользователями. |
| 9 | Сбои оборудования | а. Нестабильность системы после установки новой инфраструктуры, ведущая к операционным инцидентам. б. Неспособность систем обрабатывать увеличение объемов операций. в. Неспособность систем справляться с нагрузкой при развертывании новых приложений. г. Неисправность коммунальных услуг (связь, электричество). д. Отказ оборудования из-за перегрева и/или других условий окружающей среды, например, влажности. е. Повреждение компонентов оборудования, ведущее к уничтожению данных. ё. Утеря портативных носителей, содержащих конфиденциальные данные (CD, USB-накопители, портативные диски и т.п.). ж. Увеличенное время исправления или задержка служб поддержки в случае аппаратных сбоев. |
| 10 | Сбои ПО | а. Неспособность использовать ПО для достижения желаемых результатов (например, неспособность создать требуемую бизнес-модель или организационные изменения). б. Внедрение недоработанного ПО (ранние сборки, ошибки и т.п.). в. Сбои в работе при запуске нового ПО. г. Регулярные сбои в работе критичного ПО. д. Устаревшее, плохо документированное, дорогое в обслуживании, трудно расширяемое, не интегрированное в текущую архитектуру и т.п.. е. Невозможность вернуться к предыдущим версиям в случае возникновения проблем с новой версией ПО. ё. Программно-поврежденные базы данных, приводящие к недоступности данных. |
| 11 | Атаки (взлом, вредоносные программы и т.п.) | а. Неавторизованные (внутренние) пользователи пытаются взломать системы. б. Прерывание обслуживания из-за атаки типа "отказ в обслуживании" (DoS). в. Повреждение веб-сайта. г. Атака вредоносного ПО. д. Промышленный шпионаж. е. Хактивизм. ё. Недовольный сотрудник использует "бомбу замедленного действия", которая приводит к потере данных. ж. Данные компании, украденные в результате несанкционированного доступа в результате "фишинг"-атаки. з. Атаки иностранных правительств на критические системы. |
| 12 | Инциденты, связанные с третьей стороной/поставщиком | а. Неадекватная работа поставщика в крупномасштабном, долгосрочном аутсорсинге (например, из-за отсутствия должной осмотрительности поставщика в отношении финансовой жизнеспособности, возможностей доставки и устойчивости его услуг). б. Принятие необоснованных условий ведения бизнеса от поставщиков ИТ. в. Неадекватная поддержка и услуги, предоставляемые поставщиками, не соответствующие SLA. г. Несоблюдение лицензионных соглашений на ПО (использование и/или распространение нелицензионного ПО). д. Невозможность перехода к альтернативным поставщикам из-за чрезмерной зависимости от текущего поставщика. е. Приобретение ИТ-услуг (особенно облачных) бизнесом без консультации/участия служб ИТ, что приводит к невозможности интеграции услуг с уже используемыми. ё. Неадекватное выполненное SLA для получения согласованных услуг и штрафов в случае их несоблюдения. |
| 13 | Несоблюдение требований | а. Несоблюдение национальных или международных норм (например, конфиденциальности, бухгалтерского учета, производства, охраны окружающей среды и т.п.). б. Незнание потенциальных нормативных изменений, которые могут повлиять на бизнес. в. Операционные препятствия, вызванные регуляторными правилами. г. Несоблюдение внутренних процедур. |
| 14 | Геополитические проблемы | а. Отсутствие доступа из-за инцидента в других помещениях. б. Государственное вмешательство и национальная политика, влияющая на бизнес. в. Целенаправленные действия спонсируемых государством групп или агентств. |
| 15 | Забастовка | а. Объекты и здание недоступны из-за забастовки профсоюзов. б. Сторонние поставщики не могут предоставлять услуги из-за забастовки. в. Ключевые сотрудники недоступны из-за забастовки (например, забастовки на транспорте или в коммунальном хозяйстве). |
| 16 | Стихийные бедствия | а. Землетрясение разрушает или повреждает важную ИТ-инфраструктуру. б. Цунами, разрушившее критические помещения. в. Сильные штормы, тропический циклон или торнадо наносят ущерб критически важной инфраструктуре. г. Крупный лесной пожар. д. Наводнение. е. Повышение уровня грунтовых вод делает непригодным для использования критическое место. ё. Повышение температуры делает работу в критических местах невозможной. |
| 17 | Технологические инновации | а. Неспособность определить новые и важные технологические тенденции. б. Неспособность оценить ценность и потенциал новых технологий. в. Несвоевременное внедрение и использование новых технологий (функциональность, оптимизация процессов и т.п.). г. Неспособность обеспечить технологическую поддержку новых бизнес-моделей. |
| 18 | Экологическая | Экологически опасное оборудование (например, энергопотребление, упаковка и т.п.). |
| 19 | Управление данными и информацией | а. Обнаружение конфиденциальной информации неуполномоченными лицами из-за неэффективного хранения/архивирования/удаления информации. б. Умышленное незаконное или злонамеренное изменение данных. в. Несанкционированное раскрытие конфиденциальной информации по электронной почте или в социальных сетях. г. Утеря интеллектуальной собственности и/или утечка конкурентной информации. |
Проблемы ИТ - это реализованные ИТ-риски, т.е. те, которые уже "материализовались". Примеры таких проблем приведены в таблице ниже:
| Код | Описание |
|---|---|
| А | Разочарование ИТ-подразделения из-за ощущения низкого вклада в ценность для бизнеса. |
| Б | Разочарование между бизнес-подразделениями и ИТ-отделом из-за неудачных инициатив или ощущения низкого вклада в ценность для бизнеса. |
| В | Значительные инциденты, связанные с ИТ, такие как потеря данных, нарушения безопасности, сбой проекта и ошибки приложений, связанные с ИТ. |
| Г | Проблемы с предоставлением ИТ-услуг поставщиками. |
| Д | Несоблюдение нормативных или договорных требований, связанных с ИТ. |
| Е | Результаты регулярного аудита или другие отчеты о низкой оценке работы ИТ или сообщаемых проблемах с качеством или обслуживанием ИТ. |
| Ё | Существенные скрытые и мошеннические расходы на ИТ, то есть расходы на ИТ со стороны пользовательских отделов, которые не контролируются обычными механизмами принятия решений об инвестициях в ИТ и утвержденными бюджетами. |
| Ж | Дублирование или наложение между различными инициативами или другими формами неэффективного использования ресурсов. |
| З | Недостаточно ИТ-ресурсов либо персонала с необходимыми навыками, выгорание/неудовлетворенность персонала. |
| И | Изменения или проекты с поддержкой ИТ часто не соответствуют потребностям бизнеса и осуществляются с опозданием или превышением бюджета. |
| К | Нежелание членов Совета Директоров, руководителей или высшего руководства взаимодействовать с ИТ-отделом или отсутствие спонсорства для ИТ-отделов. |
| Л | Сложная модель работы ИТ и/или неясные механизмы принятия решений, связанных с ИТ. |
| М | Чрезмерно высокая стоимость ИТ. |
| Н | Трудности или неудачи в реализации новых инициатив или инноваций, вызванные существующей ИТ-архитектурой и системами. |
| О | Разрыв между бизнес- и техническими знаниями, что приводит к тому, что бизнес-пользователи и ИТ-специалисты говорят на разных языках. |
| П | Регулярные проблемы с качеством данных и интеграции данных из разных источников. |
| Р | Высокий уровень автоматизации самими конечными пользователями, создающий, среди прочих проблем, отсутствие надзора и контроля качества за приложениями, которые разрабатываются и вводятся в эксплуатацию. |
| С | Бизнес-подразделения внедряют свои собственные ИТ-решения практически без участия ИТ-отдела предприятия. |
| Т | Незнание и/или несоблюдение правил конфиденциальности. |
| У | Неспособность использовать новые технологии или вводить новшества, используя ИТ. |
| Ландшафт угроз | Описание |
|---|---|
| Нормальный | Предприятие работает на уровне, который считается нормальным уровнем угроз. |
| Высокий | В связи с геополитическим положением, отраслевым сектором или конкретным профилем предприятие работает в условиях высоких угроз. |
| Соответствие требованиям | Описание |
|---|---|
| Низкое | Предприятие подчиняется минимальному набору регулярных требований соответствия, которые ниже среднего. |
| Нормальное | Предприятие подчиняется ряду регулярных требований соответствия, общих для разных отраслей. |
| Высокое | На предприятие распространяются требования соответствия, превышающие средние, чаще всего связанные с отраслевым сектором или геополитическими условиями. |
| Роль ИТ | Описание |
|---|---|
| Поддержка | ИТ не имеет решающего значения для управления и непрерывности бизнес-процессов и услуг, а также для их инноваций. |
| Фабрика | Когда происходит сбой ИТ, это немедленно влияет на работу и непрерывность бизнес-процессов и услуг, тем не менее, ИТ не рассматривается как драйвер для инновационных бизнес-процессов и услуг. |
| Изменение | ИТ рассматривается как драйвер для инновационных бизнес-процессов и услуг, однако, нет критической зависимости от ИТ для текущей работы и непрерывности бизнес-процессов и услуг. |
| Стратегическая | ИТ имеют решающее значение как для запуска, так и для обновления бизнес-процессов и услуг предприятия. |
| Модель аутсорсинга ИТ | Описание |
|---|---|
| Аутсорсинг | Предприятие использует услуги третьих лиц для предоставления ИТ-услуг. |
| Облачная | Предприятие максимально использует "облака" для предоставления ИТ-услуг своим пользователям. |
| Внутренняя | Предприятие использует свой собственный ИТ- персонал и услуги. |
| Гибридная | Применяется смешанная модель, объединяющая три другие модели в различной степени. |
| Метод внедрения ИТ | Описание |
|---|---|
| Agile (быстрый) | Для разработки программного обеспечения (ПО) предприятие использует "быстрые" методы работы Agile. |
| DevOps | Предприятие использует рабочие методы DevOps для создания, развертывания и эксплуатации ПО. |
| Традиционный | Предприятие использует более классический подход к разработке ПО (водопад) и отделяет разработку ПО от эксплуатации. |
| Гибридный | Предприятие использует сочетание традиционной и современной реализации ИТ, часто называемой «бимодальной ИТ». |
| Стратегия внедрения технологий | Описание |
|---|---|
| Первопроходец | Предприятие обычно внедряет новые технологии как можно раньше и пытается получить преимущество первопроходца. |
| Последователь | Предприятие обычно ждет, когда новые технологии станут общепринятыми и проверенными, прежде чем их внедрять. |
| Медленное принятие | Предприятие не спешит с внедрением новых технологий. |
| Размер предприятия | Описание |
|---|---|
| Крупное | Предприятие с более чем 250 сотрудников |
| Малое и среднее | Предприятие с от 50 до 250 сотрудников |