Vznikla před více než čtvrt stoletím ve Velké Británii. Varianta ITIL verze 2 (dokončena 2004) se stala standardem pro poskytování IT služeb v mnoha zemích, na ni v roce 2007 navázala verze 3. ITIL představuje standard – i v oblasti informační bezpečnosti.
ITIL a bezpečnost
Pokud se pro ITIL v3 v oblasti bezpečnosti rozhodnete, musíte mít na paměti několik podstatných skutečností. Především že to není pouhé zavedení, ale jde o proces neustálého vylepšování. Vydáváte se tedy na nekonečnou cestu, nesnažíte se dosáhnout nějakého konkrétního vytyčeného cíle.
Procesy IT bezpečnosti jsou součástí bezpečnostní politiky organizace a zajištění procesů analýzy a řízení rizik ve společnosti. Základem řízení IT bezpečnosti jsou provádění sledování (monitoringu), vyhodnocování dat, přijímání odpovídajících opatření a kontroly (auditingu).
Dosažení vytyčeného cíle ovšem vůbec nemusí být jednoduché. Důvodů je několik, k těm hlavním ale patří určitý „život s klapkami“ na očích, kdy většina organizací žije v modelu „nakoupit – nasadit – opravit – vyladit“. Pokud ale chceme tuto provozní slepotu s pomocí ITIL v3 odbourat, je dobré si dát pozor na tři základní výzvy.
Na co se zaměřit
Jednak se připravte na nutnost překonávat vnitřní námitky. Interní tým může být stejně dobře vaším největším spojencem jako největší překážkou.
Počítejte s tím, že budete muset donekonečna vysvětlovat a odpovídat na různé dotazy – hlavně tuto fázi nepodceňte, odpor proti novotám bývá obvykle velký. Typické námitky jsou: „je to příliš velké“ (doporučujeme začít u nějaké konkrétní aplikace, která nezahrnuje celou organizaci), „je to příliš komplikované“ (ITIL v3 má skutečně široký záběr, ale je to nutné, protože má nastavit procesy zlepšující spolupráci za účelem dosažení obchodních cílů) či „je to příliš drahé“ (záleží na úhlu pohledu – celkové náklady vytržené z kontextu skutečně mohou působit jako neúnosně vysoké, ale proti nim je nutné postavit odpovídající přínosy).
Dejte pozor, ať nepřijdete do konfliktu s vnitroorganizačním chováním (které se někdy vznešeně nazývá „podniková kultura“). Všimněte si, že v mnoha organizacích jsou třeba různé úkoly striktně rozdělené do rozličných skupin, které často nespolupracují, spolupracovat nechtějí nebo nemohou.
Je to pochopitelný tradiční přístup, ale právě ten chceme překonat. Musíme zjistit, kdo je s kým/čím v konfliktu a proč, které nástroje a politiky jsou přínosné a které nikoliv apod. Jen tak si udržíme zdravý odstup a zůstaneme nad věcí.
Držte si nadhled
A také si dávejte pozor na to, abyste se nenechali zmanipulovat dodavatelem někam, kam vůbec nechcete a nepotřebujete. Vaše reálné potřeby se totiž mohou diametrálně lišit od nástrojů, které jsou běžně nabízené na trhu.
Aneb skvělé nástroje ještě nezaručí skvělou politiku. Dávejte si proto pozor na integrovaná řešení, protože hlavně velcí dodavatelé se snaží nabízet řešení, která jsou univerzální, jinde fungují apod.
Nicméně předností ITIL v3 je to, že plně respektuje jedinečnost příslušné organizace(na rozdíl od mnoha masových aplikací). Pokládejte si proto správné otázky týkající se individuální konfigurace produktu, servisu, korelování událostí apod.
Hodnoťte přitom různé produkty, neboť mnoho dodavatelů jen „slepí“ dohromady několik IT nástrojů, které vzájemně nespolupracují, ale následně je vydávají za komplexní řešení. Zkrátka: vybírejte s rozvahou.
Typické chyby
Praxe dále ukazuje, že většina organizací dělá během prvního roku nasazování ITIL nejméně jednu z následujících chyb. Zkuste se jim proto vyhnout – vždyť je za vás (a tím pádem pro vás) už objevili jiní...
Nejčastější chyba vypadá na první pohled banálně: je jí absence vize a cíle. Nikdo si zkrátka není jistý, co se stane, a není jasná odpověď. Řešení je jednoduché a spočívá v tom, mít jasnou představu, čeho má být dosaženo, a otevřeně o ní informujte.
Druhou chybou je spoléhat se pouze na podporu „shora“ s tím, že projekt se už následně protlačí. Podobná krátkozrakost ale už zabila (a denně zabíjí) mnoho nadějných projektů, neb i pasivní odpor uživatelů je odpor.
ITIL neděláme pro sebe, ale pro všechny, kteří se s ním musí ztotožnit. Je zapotřebí mít přesně stanovené náklady a přínosy, jasné směrování, specifikovat kritéria úspěchu a definovat výhody.
Dalším typickým omylem je tvrzení, že „ITIL není strategickým projektem, takže postačí použít existující zdroje pro jeho implementaci“. Není to pravda, nepodceňujte přípravu a vytvořte projektový plán, kde přesně identifikujete všechny zdroje.
Rozdělte kompetence, pravomoci a zodpovědnost. Nastavte společné styčné body pro všechny procesy, které se musí striktně dodržovat. Symbióza nenastane sama, musíte jí připravit podmínky.
Nepočítejte také s tím, že začneme s novým nástrojem a procesy vybudujeme později. Postupy je zapotřebí mít na paměti už při výběru nástroje, protože dodavatel nemusí používat stejnou verzi ITIL jako vy. Naslouchejte argumentaci, ale pak se rozhodněte v souladu se svými procesy.
PŘEDPLATNÉ
ČLÁNKY DO MAILU