إطار عمل كوبيت

يصف COBIT ، أو أهداف التحكم للمعلومات والتقنيات ذات الصلة ، نفسه بأنه "إطار العمل المقبول عالميًا لتحسين إدارة تكنولوجيا المعلومات في المؤسسة". تم تصميم إطار عمل COBIT لمساعدة المؤسسات على تطوير وتنفيذ ومراقبة وتحسين عمليات إدارة مؤسسات تكنولوجيا المعلومات وأمن المعلومات.

في حين أن أطر الأمن السيبراني الأخرى ، مثل NIST و ISO 27001 ، تركز بشكل أكبر على الإنترنت ، يركز COBIT بشكل أكبر على ضمان توافق مبادرات تكنولوجيا المعلومات (تكنولوجيا المعلومات) مع أهداف أعمال الشركة (الحوكمة).

تُعرِّف لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) الرقابة الداخلية بأنها "عملية تتأثر بمجلس إدارة الكيان والإدارة والموظفين الآخرين ، وهي مصممة لتقديم تأكيد معقول فيما يتعلق بتحقيق الأهداف المتعلقة بالعمليات ، وإعداد التقارير ، والامتثال. "

عند استخدام COBIT لتحسين العمليات التجارية ، تتعلق الرقابة الداخلية بما يلي:

المراقبة
المعلومات والاتصال
تقييم المخاطر
أنشطة المكافحة
التحكم بالبيئة

يوفر إطار عمل حوكمة تكنولوجيا المعلومات COBIT لغة مشتركة حتى يتمكن مدققو الامتثال ومدراء الأعمال ومحترفو تكنولوجيا المعلومات من التواصل مع بعضهم البعض فيما يتعلق بأهداف الأعمال والإدارة.

لماذا تستخدم المنظمات COBIT

تتأثر العديد من الصناعات إلى حد كبير بمبادرات تكنولوجيا المعلومات الخاصة بها ، خاصةً إذا كانت الشركة تتعامل مع كميات كبيرة من البيانات الهامة وتتحكم فيها وتحسبها وتعالجها (البيانات الضخمة والحوسبة السحابية ووسائل التواصل الاجتماعي وما إلى ذلك). على الرغم من أنه من المهم أن يكون لديك تركيز قوي على الأمن السيبراني ، فإن العديد من أطر عمل الأمن السيبراني لا تأخذ في الاعتبار أهداف العمل. ينظر إطار عمل COBIT إلى الأمن السيبراني من منظور كلي وكيف تؤثر أهداف تكنولوجيا المعلومات على اتخاذ القرارات التجارية بشكل عام.

المبادئ الخمسة الرئيسية لـ COBIT هي:

تلبية مطالب أصحاب المصلحة الرئيسيين
تغطية شاملة وشاملة للمؤسسات
تكامل الإطار في إطار واحد موحد
تطبيق مناهج شاملة لإدارة الأعمال
فصل الإدارة عن سياسات الحوكمة

تستخدم المؤسسات بشكل متكرر COBIT لمواجهة تحديات الامتثال التنظيمي ، والأكثر شيوعًا مع SOX (قانون Sarbanes-Oxley) ، ولكن يمكن أيضًا استخدامه جنبًا إلى جنب مع اللوائح الأخرى مثل HIPAA أو GLBA.

المستخدمون الأكثر شيوعًا لإطار عمل COBIT هم CISOs و CIOs ومسؤولي تكنولوجيا المعلومات ومدراء تكنولوجيا المعلومات والمدققون وغيرهم من المتخصصين في تعزيز أنظمة تكنولوجيا المعلومات الخاصة بالمؤسسات. يمكن أن يساعد إطار العمل في تحديد استراتيجية تكنولوجيا المعلومات ، وتحسين كفاءة عمليات تكنولوجيا المعلومات ، والمساعدة في تحديد قرارات العمل عبر المؤسسة.

من الذي أنشأ إطار عمل COBIT؟

تم تطوير COBIT من قبل جمعية تدقيق ومراقبة نظم المعلومات (ISACA). تشتهر ISACA في الصناعة بدعمها لمتخصصي التكنولوجيا عبر طرق مختلفة ، بما في ذلك شهادات تكنولوجيا المعلومات الخاصة بها: CISA و CISM و CRISC و ITCA و CET و CDPSE و CGEIT.

كشركة رائدة في إدارة المعلومات والتدقيق والمخاطر والخصوصية ، فإن هدفها هو المساعدة في تنمية الأعمال التجارية من خلال تسهيل الثقة الرقمية. ولهذه الغاية ، فإنه يوفر لمتخصصي تكنولوجيا المعلومات أصول ثقة رقمية وتدريبًا وموارد.

تساعد ISACA الشركات في التدريب على الأمن السيبراني وكذلك التدريب على مخاطر تكنولوجيا المعلومات وأمن المعلومات والتكنولوجيا الناشئة والحوكمة. يمكن للأفراد تطوير مهاراتهم في مجال تكنولوجيا المعلومات من خلال شهادة CPE بطرق مختلفة ، بما في ذلك حضور المؤتمرات وأسابيع التدريب والندوات عبر الإنترنت والتطوع والأنشطة المعملية.

تاريخ إطار COBIT

تم تنفيذ النسخة الأولى من COBIT في عام 1996 كمعيار تدقيق للمستشارين الماليين. منذ ذلك الحين ، أصدرت ISACA إصدارات إضافية في عام 1998 والعقد الأول من القرن الحادي والعشرين. تم إصدار COBIT 5 في عام 2013 ، وهو ملحوظ بشكل خاص لأنه كان التكرار الأول الذي قدم الموارد والأهداف وأفضل الممارسات التي يمكن أن تستخدمها جميع بيئات تكنولوجيا المعلومات الخاصة بالمؤسسات.

تم تحسين COBIT 5 على COBIT 4.1 من خلال تضمين مكتبة البنية التحتية لتكنولوجيا المعلومات (ITIL) والمعايير الأخرى ذات الصلة من المنظمة الدولية للتوحيد القياسي (ISO). بينما تقوم ISO بتطوير المعايير ، فإنها لا تقدم تقييم المطابقة أو الشهادة. يمكن تحقيق ذلك من خلال هيئات إصدار الشهادات الخارجية. يمكن للمنظمات التحضير للحصول على شهادة COBIT باستخدام إطار عمل حوكمة تكنولوجيا المعلومات COBIT.

COBIT 2019 هو أحدث إصدار من إطار عمل COBIT. الفرق الأساسي بين هذا والرؤى السابقة هو أنه أكثر شمولاً ومرونة. يمكن للشركات استخدام COBIT 2019 لتحقيق أهداف العمل المختلفة من خلال الاستفادة القصوى من التكنولوجيا الحالية.

أحدث إصدار من COBIT:

يتوافق أكثر مع المعايير العالمية وأفضل الممارسات
يمكّن التغذية الراجعة والتعاون لتحسين إطار العمل
يدعم اتخاذ القرار من خلال نظام إدارة تكنولوجيا المعلومات القابل للتخصيص

أساسيات إطار عمل COBIT

يسترشد إطار حوكمة COBIT بالمبادئ الخمسة التالية ، وفقًا لمؤلف ISACA Craciela Braga، CGEIT، CP:

يجب أن تلبي أهداف الحوكمة احتياجات أصحاب المصلحة. يحتاج إلى إنشاء إستراتيجية عملية ونظام حوكمة ، ويجب أن يضيف قيمة مع الموازنة بين الفوائد والمخاطر والموارد.
يجب أن يكون لنظام الحكم هذا نهج شامل.
هناك فرق بين الهياكل وأنشطة الإدارة والحوكمة.
يجب أن يكون نظام الحوكمة مخصصًا لاحتياجات المنظمة. وهذا يستلزم مجموعة من عوامل التصميم لتحديد أولويات مكونات نظام الحوكمة وتخصيصها وتطبيق هذا الإطار المتكامل الوحيد.
يجب أن يغطي النظام جميع وظائف المؤسسة ، بما في ذلك جميع وظائف تكنولوجيا المعلومات وتكنولوجيا ومعلومات المؤسسة.

من خلال مبادئ COBIT ، يمكن للمنظمات تطوير إطار شامل فيما يتعلق بإدارة وإدارة تكنولوجيا المعلومات بناءً على عوامل التمكين التالية المنصوص عليها في COBIT 5:

الثقافة والأخلاق والسلوك
معلومة
الهياكل التنظيمية
الأشخاص والمهارات والكفاءات
المبادئ والسياسات والأطر
أوصاف العملية
الخدمات والبنية التحتية والتطبيقات

تتمثل إحدى مزايا COBIT في أنه قابل للتخصيص ويتكامل جيدًا مع المعايير الدولية الأخرى ، بما في ذلك:

ITIL
TOGAF
ISO 27001
CMMI
COSO

COBIT مقابل مكتبة البنية التحتية لتكنولوجيا المعلومات (ITIL)

قامت COBIT 2019 بدمج عناصر ITIL لجعلها أكثر قوة وقابلة للاستخدام على نطاق واسع في بيئات تكنولوجيا المعلومات ذات الأحجام المختلفة. بالمقارنة ، ITIL وحدها لديها تركيز أضيق ، مع التركيز على إدارة خدمات تكنولوجيا المعلومات (ITSM).

هناك اختلاف ملحوظ آخر بين COBIT و ITIL وهو أن ITIL تتطلب أدوات الطرف الثالث ، مثل Tudor IT Process Assessment (TIPA). من ناحية أخرى ، يجب إجراء تدقيق COBIT بواسطة مدقق نظم معلومات معتمد من ISACA (CISA).

ومع ذلك ، يمكن استخدام ITIL بالاقتران مع COBIT لتحقيق تأثير جيد.
COBIT مقابل إطار عمل المجموعة المفتوحة (TOGAF)

مثل ITIL ، قد تجد المنظمات أن TOGAF يكمل إطار عمل COBIT. تجدر الإشارة إلى أنه في حين أن COBIT هو أحد أطر عمل تكنولوجيا المعلومات الأكثر استخدامًا ، فإن 80٪ من الشركات العالمية 50 و 60٪ من شركات Fortune 500 تستخدم TOGAF. يهدف إلى مساعدة المؤسسات على استخدام معاييرها لتنفيذ البنى لأنظمة البرمجيات واسعة النطاق.

تضم المجموعة المفتوحة أكثر من 600 عضو من رجال الأعمال والحكومة والأوساط الأكاديمية. تتكون وثائق هذا الإطار المعماري من 52 فصلاً تساعد الشركات الكبرى على إجراء تصميم وتنفيذ فعال للنظام.

TOGAF ليس مثاليًا لكل بيئة ، لذلك يمكن للمؤسسات استخدام منهجيات COBIT بدلاً من ذلك أو استخدام مزيج من كلا النظامين معًا. بينما تركز TOGAF أكثر على هندسة تكنولوجيا المعلومات ، فإن COBIT تلخص التخطيط والتنظيم ، وإدارة المخاطر ، وإدارة الأداء ، والحوكمة.

COBIT مقابل ISO 27001

كما هو الحال مع TOGAF و ITIL ، فإن أوجه التشابه الرئيسية بين COBIT و ISO 27001 هي تركيزها على الطريقة التي تتعامل بها الشركات مع أنظمة تكنولوجيا المعلومات الخاصة بها وتديرها. ومع ذلك ، مرة أخرى ، لا توجد معايير لإدارة الأعمال ضمن إطار عمل ISO 27001.

يتمثل الاختلاف الأساسي بين COBIT و ISO 27001 في أن ISO 27001 يركز بشكل صارم على ضوابط الأمان داخل المؤسسة. تصفه ISO بأنه "المعيار الأكثر شهرة في العالم لأنظمة إدارة أمن المعلومات (ISMS) ومتطلباتها."

يركز ISO 27001 على مساعدة الشركات في إنشاء وتنفيذ وصيانة وتحسين أنظمة إدارة أمن المعلومات مع معالجة ثلاثة مبادئ أو أبعاد لأمن المعلومات:

سرية
نزاهة
التوفر

COBIT مقابل COSO

تعد لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) إطارًا شائعًا للرقابة الداخلية. عادةً ما تستخدم الشركات هذا لتحسين بيئة مراقبة البيانات المالية. غالبًا ما يتم استخدامه لمساعدة المؤسسات على تحقيق التوافق مع SOX ويعمل بشكل جيد مع COBIT في هذا الصدد.

يتكون إطار عمل الرقابة COSO من خمس فئات مقسمة إلى 17 مبدأ يمكن تقسيمها بشكل أكبر للمساعدة في إجراء تقييمات المخاطر أو مساعدة المديرين على التركيز على تصميم أو تعيين الضوابط الداخلية. يقدم إرشادات مالية واسعة النطاق ويساعد في تحديد سياق إدارة مخاطر المؤسسة (ERM) لمنع الاحتيال.

نظرًا لأن COBIT يشير إلى COSO بشكل متكرر ، يمكن أن يكون مثاليًا للمديرين الذين يحتاجون إلى الاعتماد على تكنولوجيا المعلومات عندما يفكرون في مخاطر العمل. بينما تم تصميم كلا الإطارين للرقابة الداخلية ، يركز COSO بشكل أكبر على توفير هيكل مفاهيمي للإبلاغ عن المخاطر المالية ، لذلك يمكن أن يكون COBIT مفيدًا في زيادة نطاق COSO ليشمل أهداف مراقبة تكنولوجيا المعلومات.

كيف يمكن للشركات دمج COBIT مع تكامل نموذج نضج القدرات (CMMI)

أنشأ معهد CMMI ، المملوك الآن من قبل ISACA ، نموذج تكامل نموذج نضج القدرات (CMMI) لمساعدة الشركات على تتبع تقدمهم (النضج) في تطوير ممارسات أمنية أفضل ، وسلوكيات إدارة المخاطر ، وتطوير البرامج. على الرغم من أنها تُعرف غالبًا باسم أداة تحسين العملية ، إلا أنها تعمل أيضًا كنموذج سلوكي يمكن للشركات استخدامه لهيكلة الكفاءة ووضع إستراتيجياتها.

منذ أن استحوذت ISACA على معهد CMMI ، شجعت على استخدام كلا الإطارين معًا لضمان التقدم المستمر وتنفيذ COBIT بمرور الوقت. مثل COBIT ، مرت CMMI بالعديد من التكرارات ، من نموذج مرجعي يركز على هندسة البرمجيات إلى أداة أكثر انسيابية وقابلة للتطبيق على نطاق واسع لتحسين إرشادات الإدارة.

سوف يكون المشاركون في عقود تطوير برامج وزارة الدفاع الأمريكية (DoD) على دراية بمتطلبات استخدام منهجية CMMI. ساعدت حكومة الولايات المتحدة ووزارة الدفاع في تطوير CMMI لتعزيز الكفاءة وتقليل مخاطر الأعمال المتعلقة بتطوير البرامج والمنتجات والخدمات.
مستويات نضج CMMI

أحد أكثر الأشياء المفيدة في CMMI هو أنه يساعد الشركات على تصنيف النضج التنظيمي. عند أدنى مستوى من النضج ، لا يوجد لدى الشركة أهداف محددة لتكنولوجيا المعلومات ، ولا تزال عملياتها التجارية بحاجة إلى التكوين الكامل أو تلبية متطلبات العمل. هدف CMMI هو مساعدة الشركات على الوصول إلى مستوى النضج الخامس والحفاظ عليه ، حيث حقق العمل الاستقرار ، ودعم التحسين المستمر والتكيف.

المستوى 1: أولي - يتم تنفيذ العمليات على أساس مخصص في بيئة صغيرة نسبيًا وعديمة الخبرة وغير مستقرة. ليس لدى الشركات في هذه المرحلة عمليات تقنية معلومات محددة وتعتمد غالبًا على فرد أو شخصين لتحقيق أهداف العمل.
المستوى 2: مُدار - بدأت المنظمات في تطوير عمليات موثقة. بدأت مؤسسات المستوى 2 في تحديد أهداف العمل وتحديد المتطلبات والعمليات اللازمة لتحقيق هذه الأهداف.
المستوى 3: محدد - العمليات محددة بوضوح ومفهومة من قبل جميع الأفراد داخل الشركة. الشركة أكثر استباقية من رد الفعل ، وهناك أهداف واضحة للشركة أوسع نطاقًا بكثير من مؤسسات المستوى 2.
المستوى 4: مُدار كميًا - بدأت المنظمة في استخدام البيانات الكمية لتنفيذ عمليات وعمليات فرعية جديدة تلبي الأهداف التنظيمية. يتم الآن تقييم العمليات والعمليات الفرعية من خلال نجاح الأداء وجودته بدلاً من اكتماله.
المستوى 5: التحسين - يتم تحقيق أهداف العمل وتجاوزها باستمرار. ينصب التركيز التنظيمي على التحسين المستمر وتحسين العملية والمراجعة المنتظمة لأهداف العمل.

استخدام CMMI مع COBIT

بالإضافة إلى مستويات النضج ، يتميز CMMI أيضًا بمستويات القدرة من 0 إلى 3.

المستوى 0: غير مكتمل - نهج غير متسق وغير كامل.
المستوى 1: أولي - يبدأ العمل في معالجة مشكلات الأداء.
المستوى 2: مُدار - توجد مجموعة كاملة من ممارسات الأعمال لمعالجة التحسين.
المستوى 3: محدد - توجد معايير واضحة على مستوى المؤسسة لتحقيق أهداف الإدارة المحددة.

CMMI هي منهجية ممتازة لتقييم نضج تنفيذ COBIT. يمكن للمستخدمين دمج مستويات القدرة مع عوامل أخرى لإنشاء مفاهيم ومقاييس وأدوات مخصصة لمساعدة المؤسسة على تحديد مدى نضجها.

باستخدام النموذجين معًا ، يمكن للشركات تطوير نظام يجمع ممارسات الحوكمة والمقاييس والأنشطة ومستويات القدرة.