E-ITSPEA 9: IT juhtimine ja riskihaldus: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Created page with "Tagasi kursuse esilehele __NOTOC__ == IT juhtimine == === Alguseks === Irvhambad on öelnud: "Kes oskab, see teeb - kes ei oska, see juhib (ja kes seda ka ei..."
 
 
(11 intermediate revisions by the same user not shown)
Line 127: Line 127:
=== Mõned mõisted ===
=== Mõned mõisted ===


(Järgnev info pärineb põhiosas RIA 2014. aasta infoturbe teadlikkuse tõstmise koolitusmaterjalidest, mille sõnastust on veidi kohendatud.)
(Järgnev info pärineb põhiosas [https://www.ria.ee/sites/default/files/content-editors/kuberturve/infoturbe-halduse-koolitusmaterjal.pdf RIA infoturbe halduse koolitusmaterjalidest], mille sõnastust on veidi kohendatud.)


IT-riskide puhul kasutatakse järgmisi põhimõisteid:
IT-riskide puhul kasutatakse järgmisi põhimõisteid:
Line 136: Line 136:
* Risk (''risk'') – ohu (nõrkusest tuleneva) realiseerumise  ja reaalse kahju tekke tõenäosus (N: arvuti nakatub pahavaraga)
* Risk (''risk'') – ohu (nõrkusest tuleneva) realiseerumise  ja reaalse kahju tekke tõenäosus (N: arvuti nakatub pahavaraga)
* Turvameede (''safeguard'') – riski vähendamise abinõu (seade, tarkvara, eeskiri, protseduur vmm; N: arvutisse paigaldatakse uuem viirusetõrjetarkvara või kindlam operatsioonisüsteem)
* Turvameede (''safeguard'') – riski vähendamise abinõu (seade, tarkvara, eeskiri, protseduur vmm; N: arvutisse paigaldatakse uuem viirusetõrjetarkvara või kindlam operatsioonisüsteem)
Vt ka https://www.ria.ee/public/Programm/Infoturbe_materjalid_2014/Sissejuhatus_infoturbesse_141114.pdf


Märkus: turbeteema jätkub edaspidi.
Märkus: turbeteema jätkub edaspidi.
Line 163: Line 161:
== Viiteid ==
== Viiteid ==


* BARANOFF, Etti et al. Risk Management for Enterprises and Individuals. Saylor Foundation 2008. https://open.umn.edu/opentextbooks/BookDetail.aspx?bookId=37
* BARANOFF, Etti et al. Risk Management for Enterprises and Individuals. Saylor Foundation 2008. https://open.umn.edu/opentextbooks/textbooks/37
* BOURGEOIS, David. Information Systems for Business and Beyond. Saylor Foundation 2014. http://open.umn.edu/opentextbooks/BookDetail.aspx?bookId=189
* BOURGEOIS, David. Information Systems for Business and Beyond. Saylor Foundation 2014. https://open.umn.edu/opentextbooks/textbooks/189
* GALLAUGHER, John. Information Systems: A Manager's Guide to Harnessing Technology. University of Minnesota 2015.  http://open.lib.umn.edu/informationsystems/
* GALLAUGHER, John. Information Systems: A Manager's Guide to Harnessing Technology. University of Minnesota 2015.  https://open.lib.umn.edu/informationsystems/
* KENYO, Lauren et al. Business Information Systems: Design an App for That. Saylor Foundation 2011.  http://open.umn.edu/opentextbooks/BookDetail.aspx?bookId=46
* KENYO, Lauren et al. Business Information Systems: Design an App for That. Saylor Foundation 2011.  https://open.umn.edu/opentextbooks/textbooks/46
* LEEGO, Erkki. Digiajastu trendid ja IT juhtimisest. 2016. http://www.leegohansson.com/digiajastu-trendid-ja-it-juhtimisest/
* LEEGO, Erkki. Digiajastu trendid ja IT juhtimisest. 2015. https://dokumen.tips/business/digiajastu-trendid-ja-it-juhtimisest.html
* MOISEICHIK, Merry (ed). Management of Park and Recreation Agencies 3rd Edition. Sagamore 2010. https://www.sagamorepub.com/files/lookinside/304/9302-li.pdf (14. ptk IT juhtimisest)
* REINU, Rünno. Infoturbe halduse koolitus ISKE baasil. RIA.ee (saadaval [https://web.archive.org/web/20220422150749/https://www.ria.ee/sites/default/files/content-editors/kuberturve/infoturbe-halduse-koolitusmaterjal.pdf Interneti Arhiivist])
* REINU, Rünno. Infoturbe teadlikkuse tõstmine 2014: koolitusmaterjalid. Riigi Infosüsteemide Amet 2014.  https://www.ria.ee/public/Programm/Infoturbe_materjalid_2014/Sissejuhatus_infoturbesse_141114.pdf
* The Risks Digest. http://catless.ncl.ac.uk/Risks/
* The Risks Digest. http://catless.ncl.ac.uk/Risks/


== Uuri & kirjuta ==
== Uuri & kirjuta ==


* Kirjelda ajaveebiartiklis kaht tuntud IT-juhti (võivad olla nii Eestist kui mujalt), kes esindavad kaht erinevat juhitüüpi ülaltoodud jaotuses (juht, suhtleja, treener...).
* Kirjelda ajaveebiartiklis kaht tuntud IT-juhti (võivad olla nii Eestist kui mujalt), kes esindavad kaht erinevat juhitüüpi ülaltoodud jaotuses (juht, suhtleja, treener...).
[[e-ITSPEA|Tagasi kursuse esilehele]]
[[Category:ITSPEA]]
[[Category:ITSPEA]]
[[e-ITSPEA|Tagasi kursuse esilehele]]


----
----
Käesoleva materjali kasutamine ja levitamine on sätestatud [https://creativecommons.org Creative Commonsi] [https://creativecommons.org/licenses/by-sa/3.0/deed.et Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi] (inglise keeles [https://creativecommons.org/licenses/by-sa/3.0/deed.en CC Attribution-ShareAlike] ehk BY-SA) või selle uuema versiooniga.
Käesoleva materjali kasutamine ja levitamine on sätestatud [https://creativecommons.org Creative Commonsi] [https://creativecommons.org/licenses/by-sa/3.0/deed.et Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi] (inglise keeles [https://creativecommons.org/licenses/by-sa/3.0/deed.en CC Attribution-ShareAlike] ehk BY-SA) või selle uuema versiooniga.

Latest revision as of 14:27, 3 February 2023

Tagasi kursuse esilehele



IT juhtimine

Alguseks

Irvhambad on öelnud: "Kes oskab, see teeb - kes ei oska, see juhib (ja kes seda ka ei oska, õpetab teisi...)". Nali naljaks, ent IT-maailmas on vastuolu häkkeritüüpide ja "lollide ülemuste" vahel juba päris vana nähtus (vt näiteks http://www.catb.org/jargon/html/S/suit.html). Aeg-ajalt ilmub lõbusaid lepituskatseid nagu Hacker FAQ ja Manager FAQ, ent dilbertlik Pointy-Haired Boss on sageli ikkagi reaalse ülemuse varjukujuks.

Teisalt on tänapäeval IT jõudnud igasse muusse valdkonda, IT-juht on olemas kaugeltki mitte ainult tehnoloogiaettevõtetes ning reeglina kuulub ta tippjuhtkonda - järelikult on üha enam vaja inimesi, kes oleks omamoodi vahelüliks “karvaste” ja “pintsaklipslaste” vahel ehk tunneksid hästi nii IT- kui ärimaailma.


IT juhtimine eri aegadel

Erinevad allikad jagavad IT juhtimise arenguloo etappideks veidi erinevalt, kuid mitmed autorid mainivad järgmisi:

1. Andmetöötlus (data processing), 1960-ndad/70-ndad - "suurte masinate ajastu", mil IT oli elitaarne, arvutid suured ja kallid ning neile pääsesid ligi vaid kõrge kvalifikatsiooniga töötajad (kusjuures see käib nii juhtide, arendajate, haldurite kui ka lihtsamate ametite kohta nagu andmesisestajad). Peamiste aspektidena võibki mainida elitaarsust ja efektiivsust:

  • elitaarne tehnika, haldajateks spetsialistid
  • arendus toimus kindlate spetsifikatsioonide järgi kindlatele tarbijatele
  • andmeid sisestasid kutselised operaatorid

Juhtimismudelid olid pigem sarnased suurte riigiasutuste kui äriettevõtete omadega, töörežiim aga oli pakktöötlusest tulenevalt kohati hüplev (nii TTÜ kui TÜ informaatikute ajalooraamatud mainivad seda, et omaaegsed "itimehed" said palju vaba aega, kui arvuti oli ametis ettesöödetud ülesandepaki "läbinärimisega").

2. Juhtimisinfosüsteemide ajastu, 1980-ndad/90-ndad - arvutid muutusid väiksemaks ja odavamaks, eri astmete juhid hakkasid terminalidest otse infole ligi pääsema. Keskse käsitsi andmesisestuse asemele tuli elektrooniline sisestus, andmed kanti süsteemi kohapeal igasugu muude asjapulkade poolt (operaator kadus). Eri ülesandeid lahendati eri tööriistadega:

  • suured üldised ülesanded (N: raamatupidamine) – suurarvutid
  • keskmise suurusega ülesanded (N: osakonna tööajaarvestus) – osakonna kesksed arvutid (miniarvuti või suur PC)
  • kontoritöö (N: tekstitöötlus) – personaalarvutid

3. infoteenuste ajastu, alates ca 2000

Võrk (traadiga ja traadita), mobiilseadmed, turvateema esiletõus, info kui strateegiline ressurss, juhtkonda lisandub CIO, suur hulk teenuseid sisseostetud

4. olevik/lähitulevik – lausandmetöötlus (ubicomp)

Nutiseadmed, keskkonna juhtimine ja "targad lahendused", asjade Internet, Suur Vend ja privaatsuse kadumine...

Infosüsteem?

Infosüsteem on üks neist mõistetest, mida defineeritakse väga erinevalt ja väga erinevate vaatenurkade alt. Enamik allikaid aga on ühel nõul selles, et tehnoloogia moodustab vaid ühe (ehkki olulise) komponendi tervikust. Näiteks Kenyo jt sõnastavad selle nii:

Ettevõtte (või äri-) infosüsteem: kindla eesmärgi saavutamiseks loodud süsteem, mille moodustavad

  • inimesed
  • IT
  • (äri)protsessid

Levinud on ka nende sõnastamine kolmnurga kolme tipuna (või ka matemaatilise korrutisena), kus mistahes komponendi nõrkus võib süsteemi uppi lüüa:

  • inimesed – hästivarustatud loll või pahatahtlik insaider
  • IT – Murphy, Murphy, Murphy...
  • protsessid – mismoodi Pärnu poistepunt Bedwetters 2007. aastal Euroopa popimaks noortebändiks sai (aga võib ka Mitnickist rääkida).


Infosüsteemi arendustsükkel:

  • analüüs
  • nõuded / tulevikuvisioon
  • kavandamine (disain)
  • arendus
  • juurutamine
  • tagasi algusse

Ettevõtte IS arhitektuuri põhiosad:

  • ettevõttesüsteemid: ERP (ressursihaldus), CRM (kliendihaldus), SCM (tarneahel/logistika)...
  • teadmushaldus ja koostöö: välisveeb, ekstranet, intranet, VPN, sisewikid...
  • äriluure (BI): andmekaeve, suurandmesüsteemid...

Kõik kolm komponenti suhtlevad reeglina ühise andmelao (DW) kaudu => oluliseks muutub andmete ühtlustamine (ETL: extract, transform and load).

NB! Sellest valdkonnast räägivad teile edaspidi märksa targemad inimesed (Paul Leis, Priit Raspel, Alar Krist jmt).


Info organisatsioonis

Info liigid organisatsioonis:

  • isikuandmed (personal information) – e-post, dokumendid, erinevad isiklikud failid (pildid jne)
  • tegevuse andmed (operational information) – töö käigus tekkiv info (dokumendid, arved jne)
  • haldusandmed (administrative information) – raamatupidamis- ja personaliinfo, palgalehed jne

Lisaks:

  • üldandmed (departmental information) – kõigi eelmiste kategooriate info, millele on vaja ligipääsu kogu osakonnas või organisatsioonis (küsitlused)


Info väärtuse määrajad (Valerie Bryan; vt Moseichik)

Õigsus Ligipääs Õigeaegsus
Vastavus: kogutud info on selline kui eeldati Turvalisus: ligi saavad need, kes peavad Pöördusaeg: saab kätte mõistliku ajaga
Täpsus: sisestatud info vastab kogutule Võrgust ligipääsetav Ajakohasus: info on värske
Veakindlus: väljundinfo tuleneb sisendinfost Otseligipääs ilma teise isiku abita Töövoog sisestamisest väljundini on asjakohane
Kasulikkus: sisestatud infost on reaalselt kasu Varustus: riistvara on info väljastamiseks piisav Töökindlus: ligi saab siis, kui vaja

IT-juht eri rollides

Järgnevad rollid on sõnastatud üldtasemel, kuid kehtivad ka IT juhtimise juures:

  • juht (leader) – juhil peab olema selge pilt sellest, kuhu ta tahab jõuda, ning ta peab suutma „vedada” sinna kogu meeskonna.
  • teavitaja/suhtleja (communicator) – juht kogub, süstematiseerib ja levitab infot vastavalt saajate rollidele; halba ei tee ka võime infot tõlgendada ja eri osapooltele arusaadavaks teha, samuti tuleb aeg-ajalt otsustada, kellele seda jagada (allpoolkirjeldatud häireolukord on heaks näiteks).
  • treener/juhendaja (coach) – juht peaks suutma valida õiged inimesed ning stimuleerida nende edasist arengut, samuti on sarnaselt meeskonnamängude treeneritele kesksel kohal koostööoskuste edendamine meeskonnas.
  • mentor/õpetaja (mentor) – ideaalis tuleneb juhi autoriteet mitte tema ametikohast, vaid teadmistest ja isiksuseomadustest; eriti oluliseks muutub see olukordades, kus on vaja pikemaajalist lähedast koostööd väheste inimestega. Siin leiab huvitavaid näiteid vaba tarkvara maailmast.
  • arengumootor (change agent) – juhi ülesandeks on tagada ajaga kaasaskäik ning innovaatilise õhkkonna loomine; selle rolli headeks näideteks on olnud Apple'i juhid.
  • ülemus (power broker) – vahel peab juht ka võimu kasutama, ent selle oskusest sõltub tihti, kuidas olukord laheneb ning kas sellega võivad tekkida uued riskitegurid (näiteks töötaja vallandamisel).


Riskihaldus ja IT

Tehnoloogia areng on viimastel sajanditel olnud väga kiire - tänased tippsaavutused kuuluvad juba mõne aja pärast muuseumiriiulile. Samas väidetakse aga, et mida enam on ühiskond tehnoloogiliselt arenenud, seda enam on ta haavatavam häirete ja õnnetuste suhtes. Ja mis kõige hullem - ega inimeseloom ise oluliselt targemaks saanud ei ole... Tänase sportautoga vastu puud sõites tekib aga veel hullemgi seis kui mõne 20. sajandi alguse masina kasutamisel (eriti hea näide on esimeseks autoavariiks peetav juhtum prantslase Nicolas-Joseph Cugnot' aurumobiiliga, mis vastu kiviaeda sõites täiesti terveks jäi, aed oli aga katki...). Lisaks võime veel tuletada meelde, mis juhtus tulnukas Zogiga Kurt Vonneguti raamatus "Tšempionide eine":

"Lendava taldrikuga saabus Maale olend Zog, et selgitada, kuidas sõdasid ära hoida ja vähktõvest võitu saada. Need teated tõi ta planeet Margolt, kus elanikud vahetavad mõtteid peeretuste ja stepptantsu abil. Zog maandus öösel Connecticutis. Vaevalt oli ta õhulaev maad puutunud, kui ta nägi, et lähedal põleb maja. Ta tormas majja, püüdes peeretuste ja stepptantsuga inimesi hoiatada kohutava ohu eest, mis neid ähvardab. Perekonnapea lõi Zogil golfikepiga pea lõhki. (Kurt Vonnegut)"

Nullriski pole olemas - ka kõige täiuslikum tehnoloogia ei hoia ära õnnetusi (nagu nähtud ka USA tippsüsteemide võimetusest hoida ära mõne suure objekti vastu maju lendamist). Seetõttu ongi hakatud rohkem tähelepanu pöörama riskidele ja nende vähendamisele. On loodud palju erinevaid käsitlusi erinevate ühiskonnaelu aspektide jaoks - enamasti on riskiõpetus (sh. koolides õpetatavad kursused - nagu ka ITSPEA eelkäija, 2000. aastal loetud riski- ja ohutusõpetuse kursus) keskendunud keskkonna ergonoomikale ja ohutustehnikale, IT-le on pööratud märksa vähem tähelepanu. Ehkki IT-riskid sisaldavad palju ühiseid komponente nn. "materiaalsemate" valdkondadega (lennuki mahasadamine on kahtlemata materiaalsemalt tunnetatav kui Windowsi "pang" - samas võivad tagajärjed osutuda pea sama hulludeks!), kuid siin on ka spetsiifilisemaid momente.

Üldiselt võib IT-riske vaadelda eespoolmainitud infosüsteemide kontekstis samadele komponentidele (inimesed, IT, protsessid) suunatutena. Tuleks arvesse võtta, et mitmed riskid (näiteks terviseriskid) on "viitsütikuga" - nende tegelik ulatus ja mõju võivad ilmneda märgatavalt hiljem.


Mõned mõisted

(Järgnev info pärineb põhiosas RIA infoturbe halduse koolitusmaterjalidest, mille sõnastust on veidi kohendatud.)

IT-riskide puhul kasutatakse järgmisi põhimõisteid:

  • Vara (asset) – väärtusega objektid, mis vajavad kaitset (N: andmed, ruumid, serverid, inimesed… aga ka mittemateriaalsed nähtused nagu tavad või maine)
  • Oht (threat) – võimalik soovimatu sündmus, mis võib varale negatiivselt mõjuda (N: pahavaraga nakatumine)
  • Nõrkus (vulnerability) – vara (sh protsessi või süsteemi) nõrk koht, sageli turvameetme puudumise või ebapiisavuse tõttu (N: arvutis puudub viirusetõrjetarkvara või on see aegunud)
  • Kaitsetus (exposure) – vara avatus mingile ohule, mis on tingitud mingist nõrkusest (N: arvuti on puuduliku kaitse tõttu pahavarale avatud)
  • Risk (risk) – ohu (nõrkusest tuleneva) realiseerumise ja reaalse kahju tekke tõenäosus (N: arvuti nakatub pahavaraga)
  • Turvameede (safeguard) – riski vähendamise abinõu (seade, tarkvara, eeskiri, protseduur vmm; N: arvutisse paigaldatakse uuem viirusetõrjetarkvara või kindlam operatsioonisüsteem)

Märkus: turbeteema jätkub edaspidi.

Häireeee!!

Kui riski all mõeldakse eelkõige potentsiaalset ohutegurit, siis kindlasti tuleks vaadelda ka stsenaariume, kus oht on saanud reaalsuseks. Olgu siis tegu pundi segaste habemikega lennukis või kõvaketta üleformaatinud viirusega - igal juhul on käivitunud mingi negatiivne stsenaarium, kuid oskuslik reaktsioon võib kahjusid vähendada suurusjärgu võrra.

Negatiivse stsenaariumi käivitumisest teavitav signaal on väga oluliseks teguriks järgneva tegutsemise määramisel. Selge, konkreetne, objektiivseid fakte teatav, kuid samas paanikat vältida püüdev teade on ilmselt parim variant.

N: Variant 1. "Häire!!! Teie arvutis on VIIRUS!!! Sulgege koheselt arvuti, sest vastasel juhul hävineb KOGU teie kõvaketta sisu! "

Variant 2. "NB! Teie arvutis on avastatud CIH-4092 viirus, mis võib rünnata failisüsteemi ja muuta osa kettast loetamatuks. Proovige käivitada F-Prot või NAV. Kui see ei aita, helistage telefonil 555-2424."

Nii visuaalne kui ka heliline veateade või häiresignaal peaks selgesti taustast erinema - heli puhul olgu tegemist iseloomuliku kõrguse ja muutlikkusega signaaliga, visuaalne signaal peaks selgelt taustast erinema ja edastama oma sõnumi eespoolkirjeldatud viisil. Eriti olulise info (sh. häiresignaali) edastamine on soovitav korraldada "mitmel kanalil", s.t. vastuvõetavana erinevate meelte (tüüpilisellt nägemine + kuulmine) kaudu.

Veel üks nüanss - häiresignaal tuleb sageli edastada vaid asjaosalistele isikutele. Lennuki kaaperdamise, laevahuku või pangaröövi puhul on vastavatel instantsidel olemas kokkulepitud teated, mis aga asjasse mittepühendatutele häirena ei mõju ja seega väldivad üldise paanika teket. Niisamuti peaks ka IT-sfääris edastama häiresignaali (veateade, süsteemi tungimise tuvastamine jne) edastama vaid neile, kel on piisavalt kompetentsi ja oskusi olukorda mõjutada.

Lõpetuseks

Nagu nägime, eeldab IT juhtimine üsna laia profiili kahe maailma vahel – ja inimesed on seejuures enamasti tähtsaim komponent. Riskihaldus on oluline osa IT juhtimisest (hea riskihaldus võtab turvajatel tööd vähemaks).

Mõningaid teisi IT juhtimise komponente (HCI, turvalisus jmm) vaatleme veel mõnes järgmises teemas, ent mitu neist jätkuvad ka eraldi kursuste vormis.

Viiteid

Uuri & kirjuta

  • Kirjelda ajaveebiartiklis kaht tuntud IT-juhti (võivad olla nii Eestist kui mujalt), kes esindavad kaht erinevat juhitüüpi ülaltoodud jaotuses (juht, suhtleja, treener...).


Tagasi kursuse esilehele


Käesoleva materjali kasutamine ja levitamine on sätestatud Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi (inglise keeles CC Attribution-ShareAlike ehk BY-SA) või selle uuema versiooniga.