E-ITSPEA 9: IT juhtimine ja riskihaldus
IT juhtimine
Alguseks
Irvhambad on öelnud: "Kes oskab, see teeb - kes ei oska, see juhib (ja kes seda ka ei oska, õpetab teisi...)". Nali naljaks, ent IT-maailmas on vastuolu häkkeritüüpide ja "lollide ülemuste" vahel juba päris vana nähtus (vt näiteks http://www.catb.org/jargon/html/S/suit.html). Aeg-ajalt ilmub lõbusaid lepituskatseid nagu Hacker FAQ ja Manager FAQ, ent dilbertlik Pointy-Haired Boss on sageli ikkagi reaalse ülemuse varjukujuks.
Teisalt on tänapäeval IT jõudnud igasse muusse valdkonda, IT-juht on olemas kaugeltki mitte ainult tehnoloogiaettevõtetes ning reeglina kuulub ta tippjuhtkonda - järelikult on üha enam vaja inimesi, kes oleks omamoodi vahelüliks “karvaste” ja “pintsaklipslaste” vahel ehk tunneksid hästi nii IT- kui ärimaailma.
IT juhtimine eri aegadel
Erinevad allikad jagavad IT juhtimise arenguloo etappideks veidi erinevalt, kuid mitmed autorid mainivad järgmisi:
1. Andmetöötlus (data processing), 1960-ndad/70-ndad - "suurte masinate ajastu", mil IT oli elitaarne, arvutid suured ja kallid ning neile pääsesid ligi vaid kõrge kvalifikatsiooniga töötajad (kusjuures see käib nii juhtide, arendajate, haldurite kui ka lihtsamate ametite kohta nagu andmesisestajad). Peamiste aspektidena võibki mainida elitaarsust ja efektiivsust:
- elitaarne tehnika, haldajateks spetsialistid
- arendus toimus kindlate spetsifikatsioonide järgi kindlatele tarbijatele
- andmeid sisestasid kutselised operaatorid
Juhtimismudelid olid pigem sarnased suurte riigiasutuste kui äriettevõtete omadega, töörežiim aga oli pakktöötlusest tulenevalt kohati hüplev (nii TTÜ kui TÜ informaatikute ajalooraamatud mainivad seda, et omaaegsed "itimehed" said palju vaba aega, kui arvuti oli ametis ettesöödetud ülesandepaki "läbinärimisega").
2. Juhtimisinfosüsteemide ajastu, 1980-ndad/90-ndad - arvutid muutusid väiksemaks ja odavamaks, eri astmete juhid hakkasid terminalidest otse infole ligi pääsema. Keskse käsitsi andmesisestuse asemele tuli elektrooniline sisestus, andmed kanti süsteemi kohapeal igasugu muude asjapulkade poolt (operaator kadus). Eri ülesandeid lahendati eri tööriistadega:
- suured üldised ülesanded (N: raamatupidamine) – suurarvutid
- keskmise suurusega ülesanded (N: osakonna tööajaarvestus) – osakonna kesksed arvutid (miniarvuti või suur PC)
- kontoritöö (N: tekstitöötlus) – personaalarvutid
3. infoteenuste ajastu, alates ca 2000
Võrk (traadiga ja traadita), mobiilseadmed, turvateema esiletõus, info kui strateegiline ressurss, juhtkonda lisandub CIO, suur hulk teenuseid sisseostetud
4. olevik/lähitulevik – lausandmetöötlus (ubicomp)
Nutiseadmed, keskkonna juhtimine ja "targad lahendused", asjade Internet, Suur Vend ja privaatsuse kadumine...
Infosüsteem?
Infosüsteem on üks neist mõistetest, mida defineeritakse väga erinevalt ja väga erinevate vaatenurkade alt. Enamik allikaid aga on ühel nõul selles, et tehnoloogia moodustab vaid ühe (ehkki olulise) komponendi tervikust. Näiteks Kenyo jt sõnastavad selle nii:
Ettevõtte (või äri-) infosüsteem: kindla eesmärgi saavutamiseks loodud süsteem, mille moodustavad
- inimesed
- IT
- (äri)protsessid
Levinud on ka nende sõnastamine kolmnurga kolme tipuna (või ka matemaatilise korrutisena), kus mistahes komponendi nõrkus võib süsteemi uppi lüüa:
- inimesed – hästivarustatud loll või pahatahtlik insaider
- IT – Murphy, Murphy, Murphy...
- protsessid – mismoodi Pärnu poistepunt Bedwetters 2007. aastal Euroopa popimaks noortebändiks sai (aga võib ka Mitnickist rääkida).
Infosüsteemi arendustsükkel:
- analüüs
- nõuded / tulevikuvisioon
- kavandamine (disain)
- arendus
- juurutamine
- tagasi algusse
Ettevõtte IS arhitektuuri põhiosad:
- ettevõttesüsteemid: ERP (ressursihaldus), CRM (kliendihaldus), SCM (tarneahel/logistika)...
- teadmushaldus ja koostöö: välisveeb, ekstranet, intranet, VPN, sisewikid...
- äriluure (BI): andmekaeve, suurandmesüsteemid...
Kõik kolm komponenti suhtlevad reeglina ühise andmelao (DW) kaudu => oluliseks muutub andmete ühtlustamine (ETL: extract, transform and load).
NB! Sellest valdkonnast räägivad teile edaspidi märksa targemad inimesed (Paul Leis, Priit Raspel, Alar Krist jmt).
Info organisatsioonis
Info liigid organisatsioonis:
- isikuandmed (personal information) – e-post, dokumendid, erinevad isiklikud failid (pildid jne)
- tegevuse andmed (operational information) – töö käigus tekkiv info (dokumendid, arved jne)
- haldusandmed (administrative information) – raamatupidamis- ja personaliinfo, palgalehed jne
Lisaks:
- üldandmed (departmental information) – kõigi eelmiste kategooriate info, millele on vaja ligipääsu kogu osakonnas või organisatsioonis (küsitlused)
Info väärtuse määrajad (Valerie Bryan; vt Moseichik)
Õigsus | Ligipääs | Õigeaegsus |
---|---|---|
Vastavus: kogutud info on selline kui eeldati | Turvalisus: ligi saavad need, kes peavad | Pöördusaeg: saab kätte mõistliku ajaga |
Täpsus: sisestatud info vastab kogutule | Võrgust ligipääsetav | Ajakohasus: info on värske |
Veakindlus: väljundinfo tuleneb sisendinfost | Otseligipääs ilma teise isiku abita | Töövoog sisestamisest väljundini on asjakohane |
Kasulikkus: sisestatud infost on reaalselt kasu | Varustus: riistvara on info väljastamiseks piisav | Töökindlus: ligi saab siis, kui vaja |
IT-juht eri rollides
Järgnevad rollid on sõnastatud üldtasemel, kuid kehtivad ka IT juhtimise juures:
- juht (leader) – juhil peab olema selge pilt sellest, kuhu ta tahab jõuda, ning ta peab suutma „vedada” sinna kogu meeskonna.
- teavitaja/suhtleja (communicator) – juht kogub, süstematiseerib ja levitab infot vastavalt saajate rollidele; halba ei tee ka võime infot tõlgendada ja eri osapooltele arusaadavaks teha, samuti tuleb aeg-ajalt otsustada, kellele seda jagada (allpoolkirjeldatud häireolukord on heaks näiteks).
- treener/juhendaja (coach) – juht peaks suutma valida õiged inimesed ning stimuleerida nende edasist arengut, samuti on sarnaselt meeskonnamängude treeneritele kesksel kohal koostööoskuste edendamine meeskonnas.
- mentor/õpetaja (mentor) – ideaalis tuleneb juhi autoriteet mitte tema ametikohast, vaid teadmistest ja isiksuseomadustest; eriti oluliseks muutub see olukordades, kus on vaja pikemaajalist lähedast koostööd väheste inimestega. Siin leiab huvitavaid näiteid vaba tarkvara maailmast.
- arengumootor (change agent) – juhi ülesandeks on tagada ajaga kaasaskäik ning innovaatilise õhkkonna loomine; selle rolli headeks näideteks on olnud Apple'i juhid.
- ülemus (power broker) – vahel peab juht ka võimu kasutama, ent selle oskusest sõltub tihti, kuidas olukord laheneb ning kas sellega võivad tekkida uued riskitegurid (näiteks töötaja vallandamisel).
Riskihaldus ja IT
Tehnoloogia areng on viimastel sajanditel olnud väga kiire - tänased tippsaavutused kuuluvad juba mõne aja pärast muuseumiriiulile. Samas väidetakse aga, et mida enam on ühiskond tehnoloogiliselt arenenud, seda enam on ta haavatavam häirete ja õnnetuste suhtes. Ja mis kõige hullem - ega inimeseloom ise oluliselt targemaks saanud ei ole... Tänase sportautoga vastu puud sõites tekib aga veel hullemgi seis kui mõne 20. sajandi alguse masina kasutamisel (eriti hea näide on esimeseks autoavariiks peetav juhtum prantslase Nicolas-Joseph Cugnot' aurumobiiliga, mis vastu kiviaeda sõites täiesti terveks jäi, aed oli aga katki...). Lisaks võime veel tuletada meelde, mis juhtus tulnukas Zogiga Kurt Vonneguti raamatus "Tšempionide eine":
"Lendava taldrikuga saabus Maale olend Zog, et selgitada, kuidas sõdasid ära hoida ja vähktõvest võitu saada. Need teated tõi ta planeet Margolt, kus elanikud vahetavad mõtteid peeretuste ja stepptantsu abil. Zog maandus öösel Connecticutis. Vaevalt oli ta õhulaev maad puutunud, kui ta nägi, et lähedal põleb maja. Ta tormas majja, püüdes peeretuste ja stepptantsuga inimesi hoiatada kohutava ohu eest, mis neid ähvardab. Perekonnapea lõi Zogil golfikepiga pea lõhki. (Kurt Vonnegut)"
Nullriski pole olemas - ka kõige täiuslikum tehnoloogia ei hoia ära õnnetusi (nagu nähtud ka USA tippsüsteemide võimetusest hoida ära mõne suure objekti vastu maju lendamist). Seetõttu ongi hakatud rohkem tähelepanu pöörama riskidele ja nende vähendamisele. On loodud palju erinevaid käsitlusi erinevate ühiskonnaelu aspektide jaoks - enamasti on riskiõpetus (sh. koolides õpetatavad kursused - nagu ka ITSPEA eelkäija, 2000. aastal loetud riski- ja ohutusõpetuse kursus) keskendunud keskkonna ergonoomikale ja ohutustehnikale, IT-le on pööratud märksa vähem tähelepanu. Ehkki IT-riskid sisaldavad palju ühiseid komponente nn. "materiaalsemate" valdkondadega (lennuki mahasadamine on kahtlemata materiaalsemalt tunnetatav kui Windowsi "pang" - samas võivad tagajärjed osutuda pea sama hulludeks!), kuid siin on ka spetsiifilisemaid momente.
Üldiselt võib IT-riske vaadelda eespoolmainitud infosüsteemide kontekstis samadele komponentidele (inimesed, IT, protsessid) suunatutena. Tuleks arvesse võtta, et mitmed riskid (näiteks terviseriskid) on "viitsütikuga" - nende tegelik ulatus ja mõju võivad ilmneda märgatavalt hiljem.
Mõned mõisted
(Järgnev info pärineb põhiosas RIA infoturbe halduse koolitusmaterjalidest, mille sõnastust on veidi kohendatud.)
IT-riskide puhul kasutatakse järgmisi põhimõisteid:
- Vara (asset) – väärtusega objektid, mis vajavad kaitset (N: andmed, ruumid, serverid, inimesed… aga ka mittemateriaalsed nähtused nagu tavad või maine)
- Oht (threat) – võimalik soovimatu sündmus, mis võib varale negatiivselt mõjuda (N: pahavaraga nakatumine)
- Nõrkus (vulnerability) – vara (sh protsessi või süsteemi) nõrk koht, sageli turvameetme puudumise või ebapiisavuse tõttu (N: arvutis puudub viirusetõrjetarkvara või on see aegunud)
- Kaitsetus (exposure) – vara avatus mingile ohule, mis on tingitud mingist nõrkusest (N: arvuti on puuduliku kaitse tõttu pahavarale avatud)
- Risk (risk) – ohu (nõrkusest tuleneva) realiseerumise ja reaalse kahju tekke tõenäosus (N: arvuti nakatub pahavaraga)
- Turvameede (safeguard) – riski vähendamise abinõu (seade, tarkvara, eeskiri, protseduur vmm; N: arvutisse paigaldatakse uuem viirusetõrjetarkvara või kindlam operatsioonisüsteem)
Märkus: turbeteema jätkub edaspidi.
Häireeee!!
Kui riski all mõeldakse eelkõige potentsiaalset ohutegurit, siis kindlasti tuleks vaadelda ka stsenaariume, kus oht on saanud reaalsuseks. Olgu siis tegu pundi segaste habemikega lennukis või kõvaketta üleformaatinud viirusega - igal juhul on käivitunud mingi negatiivne stsenaarium, kuid oskuslik reaktsioon võib kahjusid vähendada suurusjärgu võrra.
Negatiivse stsenaariumi käivitumisest teavitav signaal on väga oluliseks teguriks järgneva tegutsemise määramisel. Selge, konkreetne, objektiivseid fakte teatav, kuid samas paanikat vältida püüdev teade on ilmselt parim variant.
N: Variant 1. "Häire!!! Teie arvutis on VIIRUS!!! Sulgege koheselt arvuti, sest vastasel juhul hävineb KOGU teie kõvaketta sisu! "
Variant 2. "NB! Teie arvutis on avastatud CIH-4092 viirus, mis võib rünnata failisüsteemi ja muuta osa kettast loetamatuks. Proovige käivitada F-Prot või NAV. Kui see ei aita, helistage telefonil 555-2424."
Nii visuaalne kui ka heliline veateade või häiresignaal peaks selgesti taustast erinema - heli puhul olgu tegemist iseloomuliku kõrguse ja muutlikkusega signaaliga, visuaalne signaal peaks selgelt taustast erinema ja edastama oma sõnumi eespoolkirjeldatud viisil. Eriti olulise info (sh. häiresignaali) edastamine on soovitav korraldada "mitmel kanalil", s.t. vastuvõetavana erinevate meelte (tüüpilisellt nägemine + kuulmine) kaudu.
Veel üks nüanss - häiresignaal tuleb sageli edastada vaid asjaosalistele isikutele. Lennuki kaaperdamise, laevahuku või pangaröövi puhul on vastavatel instantsidel olemas kokkulepitud teated, mis aga asjasse mittepühendatutele häirena ei mõju ja seega väldivad üldise paanika teket. Niisamuti peaks ka IT-sfääris edastama häiresignaali (veateade, süsteemi tungimise tuvastamine jne) edastama vaid neile, kel on piisavalt kompetentsi ja oskusi olukorda mõjutada.
Lõpetuseks
Nagu nägime, eeldab IT juhtimine üsna laia profiili kahe maailma vahel – ja inimesed on seejuures enamasti tähtsaim komponent. Riskihaldus on oluline osa IT juhtimisest (hea riskihaldus võtab turvajatel tööd vähemaks).
Mõningaid teisi IT juhtimise komponente (HCI, turvalisus jmm) vaatleme veel mõnes järgmises teemas, ent mitu neist jätkuvad ka eraldi kursuste vormis.
Viiteid
- BARANOFF, Etti et al. Risk Management for Enterprises and Individuals. Saylor Foundation 2008. https://open.umn.edu/opentextbooks/textbooks/37
- BOURGEOIS, David. Information Systems for Business and Beyond. Saylor Foundation 2014. https://open.umn.edu/opentextbooks/textbooks/189
- GALLAUGHER, John. Information Systems: A Manager's Guide to Harnessing Technology. University of Minnesota 2015. https://open.lib.umn.edu/informationsystems/
- KENYO, Lauren et al. Business Information Systems: Design an App for That. Saylor Foundation 2011. https://open.umn.edu/opentextbooks/textbooks/46
- LEEGO, Erkki. Digiajastu trendid ja IT juhtimisest. 2016. http://www.leegohansson.com/digiajastu-trendid-ja-it-juhtimisest/
- REINU, Rünno. Infoturbe halduse koolitus ISKE baasil. https://www.ria.ee/sites/default/files/content-editors/kuberturve/infoturbe-halduse-koolitusmaterjal.pdf
- The Risks Digest. http://catless.ncl.ac.uk/Risks/
Uuri & kirjuta
- Kirjelda ajaveebiartiklis kaht tuntud IT-juhti (võivad olla nii Eestist kui mujalt), kes esindavad kaht erinevat juhitüüpi ülaltoodud jaotuses (juht, suhtleja, treener...).
Tagasi kursuse esilehele
Käesoleva materjali kasutamine ja levitamine on sätestatud Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi (inglise keeles CC Attribution-ShareAlike ehk BY-SA) või selle uuema versiooniga.