Standard COBIT (Control Objectives for Information and related Technology – cele kontrolne dla informatyki i technologii powiązanych) to standard opracowany przez organizację ISACA oraz IT Governance Institute. Zawiera zestaw wskazówek i przewodników projektowych, które ułatwiają menedżerom oraz audytorom IT minimalizację rozbieżności występujących między wymogami kontrolnymi, infrastrukturą techniczną a zagrożeniami bezpieczeństwa.

Standard COBIT został m.in. wymieniony w Rekomendacji D wydanej przez Komisję Nadzoru Finansowego, jako jeden z uznanych standardów międzynarodowych dotyczących badania i oceny bezpieczeństwa informacji w systemach IT. Rekomendacja D mówi o zasadach zarządzania ryzykiem w systemach informatycznych i telekomunikacyjnych wykorzystywanych przez instytucje finansowe.

Zobacz również:

• Transformacja kultury IT prowadzi do sukcesu biznesowego

COBIT może wspomagać kierownictwo organizacji w planowaniu wykorzystania usług firm zewnętrznych i przygotowywaniu kontraktów. Jeśli chodzi o audytorów, standard zawiera wytyczne, jak badać poszczególne obszary IT w organizacji, przygotowywać prawidłową dokumentację i raportować wyniki audytu.

COBIT ma względnie wysoki poziom ogólności. Jego celem nie jest zastąpienie standardów szczegółowych mających wąski zakres zastosowań, jak COSO, ITIL, ISO/IEC itd., a także związanych z nimi zbiorów dobrych praktyk. Zgodnie z koncepcją, COBIT pełni rolę standardu integrującego, który sumuje główne cele w ramach jednego zbioru ogólnych wytycznych odwołujących się do poszczególnych standardów szczegółowych. W efekcie COBIT może pomóc we wskazaniu jakie mechanizmy powinny być wdrożone, ale najczęściej nie jest ostatecznym i jedynym rozwiązaniem wspomagającym zarządzanie.

Historia standardu sięga 1996 roku. Od tego czasu ISACA systematycznie rozwija i regularnie publikuje kolejne wersje dokumentów dopasowane do zmieniających się technologii i rynku IT, a także ułatwiające wykorzystanie COBIT w praktyce.

Składowe standardu

Standard składa się z kilku elementów. Jednym z nich jest opis ram organizacyjnych mówiący o tym, jak określić cele związane z nadzorem systemów informacyjnych, zastosować dobre praktyki w obszarach IT i procesów oraz połączyć je z wymaganiami biznesowymi.

Opis procesów zawiera ich referencyjny model wykorzystujący wspólny język dla wszystkich jednostek w firmie lub organizacji. Jest mapą procesów dla obszarów odpowiedzialności w zakresie planowania, budowy, uruchomienia i monitorowania systemu IT.

COBIT zawiera też zdefiniowany zestaw celów kontroli systemu: kompletny wykaz wymagań wysokopoziomowych, które kierownictwo firmy powinno uwzględnić by zapewnić skuteczną kontrolę procesów IT.

Menedżerowie znajdą tu też wytyczne związane z zarządzaniem systemem IT. Wskazówki dotyczą zasad powierzenia odpowiedzialności, uzgadniania celów, oceny wydajności i prezentacji wzajemnych powiązań między różnymi procesami.

Wreszcie, modele dojrzałości pozwalają na ocenę dojrzałości i możliwości każdego procesu oraz pomagają w usunięciu występujących problemów lub braków.

Uzupełnieniem COBIT są narzędzia do mapowania danych np. metryk efektywności procesu zmian ITIL do modelu dojrzałości COBIT, co pozwala na sprawdzenie czy osiągnięto jej oczekiwany poziom i czy zrealizowano określone wcześniej cele biznesowe. A także dodatkowe publikacje np. do mapowania między COBIT i innymi standardami, mini-COBIT dla małych firm lub COBIT dla audytorów.

Po co aktualizacja

Z kilku istotnych przyczyn standard COBIT wymagał aktualizacji. Chodzi nie tylko o rozwój technologii, ale przede wszystkim o pojawienie się nowych regulacji prawnych, koncepcji zarządzania informacjami, nowych praktyk lub zmiany mentalności ludzi.

„Liczba przepisów i regulacji, którym podlegają firmy, a które wpływają na konieczność zarządzania informacjami i ich bezpieczeństwem, jest tak duża, że trudno jest je ustrukturyzować” – mówi Krzysztof Bączkiewicz z ISACA Warsaw Chapter, współautor COBIT 2019. Są to zarówno przepisy ustawowe, jak i związane np. z zawieranymi kontraktami biznesowymi. COBIT 2019 jest elastyczny i można go dopasowywać do zmieniającej się sytuacji, gdy pojawiają się nowe wymogi prawne.

O jakich przepisach mowa? Na przykład: rozporządzenie RODO, ustawa o Krajowym Systemie Cyberbezpieczeństwa i Krajowe Ramy Interoperacyjności. Najlepsze praktyki zarządzania wyrażone systemami zarządzania ISO (np. ISO/IEC 27001, ISO 22301) również wprowadzają wymóg projektowania przetwarzania informacji w firmach i instytucjach zobowiązując jednocześnie ich kierownictwo do rozliczenia się z adekwatnych i skutecznych działań.

Co nowego w wersji 2019

Schemat koncepcyjny nowej wersji COBIT nie uległ zmianie – zapewnia Bączkiewicz. Nacisk położono na zwiększenie praktycznej użyteczności standardu, bo okazało się, że niektóre jego elementy są rzadko wykorzystywane. Na przykład wycofano się z modelu czynników umożliwiających, bo język tam wykorzystywany był trochę sztuczny, a model był zbyt teoretyczny i uogólniony. Na to zwracali uwagę użytkownicy COBIT 5 sugerując, że lepiej jest trzymać się konkretów niż budować ogólne modele. Dla zwiększenia praktycznej użyteczności do nowej wersji wprowadzono tzw. przewodnik projektowania oraz czynniki projektowania.

Zmieniony został też model dojrzałości w kierunku zapewnienia zgodności ze standardem CMMI. Nazwę zmieniły też cele IT na cele zarządzania. Bo nie były to cele dla IT, a wspólne dla IT i biznesu. Pojawiły się też trzy nowe cele zarządzania: projektami, danymi i zapewnieniem zgodności oraz nowa, uproszczona macierz odpowiedzialności. W COBIT 2019 rozróżniono też IT, czyli technologie informacyjne, od I&T – informacji i technologii, czyli tego co się dzieje w zasobach informacji każdej firmy, nawet najmniejszej.

W porównaniu do poprzednich wersji COBIT, jedną z ważnych zmian jest to, że można nie tylko kupić COBIT 2019 Design Guide, ale też skorzystać ze zmodyfikowanej wersji online umożliwiającej publikowanie komentarzy, sugestii poprawek lub zgłaszanie nowych pomysłów i idei.

Wszystkie zmiany były podporządkowane jednemu celowi – wypracowaniu bardziej zrozumiałych i jasnych zasad tworzenia systemu zarządzania zgodnego z potrzebami biznesowymi. COBIT powinien być lepiej dopasowany do innych globalnych standardów oraz zbiorów dobrych praktyk. Dzięki zastosowaniu modelu open-source i umożliwieniu globalnej społeczności osób zajmujących się zarządzaniem systemami IT i biznesem bieżącego zgłaszania uwag i propozycji przyszłe aktualizacje i nowe elementy mają szansę pojawiać się w standardzie COBIT szybciej.

Menedżerowie i audytorzy skorzystają także na większej liczbie poradników i narzędzi wspierających zarządzanie informacjami oraz nowych funkcji umożliwiających współpracę online.

ISACA zapowiedziała, że szkolenia dotyczące COBIT 5 i przyznawanie związanych z nimi certyfikatów będzie kontynuowane równolegle z nowymi szkoleniami w zakresie COBIT 2019.