Home / Resources / ISACA Journal / Issues / 2022 / Volume 6 / 使用FLOSS实现用于IT治理的COBIT

用FLOSS实现COBIT for I&T Governance

用FLOSS实现COBIT for I&T Governance
Author: Laura Jaime和jo o Barata
Date Published: 7 December 2022

自由/自由开源软件(FLOSS)可用于在澳门赌场官方下载软件组合中实现更大的自由以及供应商独立性和财务利益. 通常被称为FOSS或F/OSS,1 开源软件是数字化转型计划的关键驱动力.2 99%的财富500强公司已经采用了FLOSS, 超过5900万开发人员正在为开源项目做出贡献.3 FLOSS基础架构组件包括先进的操作系统, web servers, database systems, data science, 机器学习框架, 数据治理和安全性. 最近的研究表明,采用FLOSS每年为欧洲经济增加数十亿欧元.4

但是,FLOSS也可能有部署成本(例如.g., consulting, 开发)和承担与版权问题相关的风险, security, lack of warranty, 以及经济和法律上的损害赔偿, 必须通过有效的信息和技术(I&T) governance.5 FLOSS的发展需要新的“正确选择FLOSS的指南”,以帮助IT经理为组织做出适当的决策, 定义采用FLOSS的策略”6 协助FLOSS审核流程.

有一些可用的FLOSS解决方案可用于使用COBIT实现IT治理® framework.7 提出用于IT的FLOSS治理矩阵(FLOSS4ITGOV)来指导组织开发他们的FLOSS策略. FLOSS4ITGOV描述了FLOSS的选择如何与COBIT活动及其40个治理和管理目标保持一致. IT从业者可以将其作为重新设计其IT治理策略和基础结构的第一步.

FLOSS和治理:建立联系

FLOSS治理一直是一个重要的研究课题8-例如自由/开源项目评估框架(EFFORT)提案.9 此外,几个FLOSS项目(例如.g., Git, Arch Linux, Django, 奥都澳门赌场官方下载协会, OpenStack)都提供了他们的治理文档.10 然而,FLOSS和IT治理之间的关系是双向的.

FLOSS还可以支持组织采用著名的治理框架,如COBIT, 根据它的五个领域结构:

  1. 评估、指导和监督(EDM)
  2. 协调、计划和组织(APO)
  3. 构建、获取和实现(BAI)
  4. 交付、服务及支援(DSS)
  5. 监测、评价和评估(MEA)11

每个领域被划分为若干目标,以指导组织战略, 进一步分为实践并进一步提炼成1个以上,000 activities.

有许多具有支持相关治理领域潜力的FLOSS解决方案. 通过在线门户网站搜索解决方案是一个很好的起点12 按类别组织. 例如,有用于风险管理的FLOSS选项(例如.g.、开源风险引擎[ORE])、安全(e.g.、Mailvelope、Snort)和基础设施监控(例如.g.、Wireshark、Zabbix). 可用的类别数量是巨大的.

有一些专注于IT管理的FLOSS解决方案(例如.g., 开源服务管理), 哪些允许管理事件/请求, creating forms, 定义服务水平协议(sla)并交付增强的客户体验. 还有开放的治理、风险和合规性(GRC)解决方案,如Eramba.

然而,没有单一的解决方案支持所有的COBIT活动. 如果组织的业务需要,那么管理层考虑集成多个FLOSS是很有用的.

用于IT治理的FLOSS示例

In this research, 使用滚雪球方法选择35个FLOSS应用程序,直到所有40个COBIT目标都使用至少一个FLOSS工具表示.

Figure 1 表示每个FLOSS可以支持多少个COBIT活动.g.(协助活动策划、执行或审核). 示例包括文档管理(例如.g.,户外),风险(e.g.,开源风险引擎),基础设施(例如.g.、Proxmox、数据库管理系统)、澳门赌场官方下载架构(例如.g.)和通讯(e.g., Issabel). Most FLOSS solutions address a restricted number of COBIT activities; however, 更全面的软件包支持, 直接或间接, 将近50%的COBIT活动.

Figure 1

COBIT: FLOSS覆盖分析

COBIT允许进行能力评估,并且每个活动都与特定的能力级别相关.13 FLOSS的平均能力水平(使用涵盖的所有COBIT活动作为参考)在 figure 2.

Figure 2

对评估样本的平均能力水平值的分析表明,大约52%的FLOSS应用程序的平均水平低于3.0 (e.g.Apache Open Office, 2点.66,对应于一个平均值,这很适合传统的办公自动化工具). 整个FLOSS解决方案样本的平均能力级别为3 (2).98),只有8%的人支持组织达到4级活动.

样本中最普遍的成熟度结果可能是由于市场的自然趋势,即创建对尽可能多的组织有用的FLOSS解决方案.

样本中最普遍的功能结果(级别3)可能是由于市场的自然趋势,即创建对尽可能多的组织有用的FLOSS解决方案. 因此,支持更高的能力级别(例如.g., level 4, 在这个级别使用很少的FLOSS工具)可能需要其他解决方案或特定的开发项目. 达到更高能力级别的FLOSS应用程序之一是Anaconda, 它针对具有高级数据处理(数据科学)的组织的新兴需求。. 然而,有一个很好的解决方案可以转移较低的COBIT能力级别(例如.g.,从2级提升到3级).

对于免费的IT治理策略来说,FLOSS是一个有价值的解决方案, 特别是对于从低能力水平到中等能力水平的转换.

启用floss的COBIT矩阵

Figure 3 显示了FLOSS4ITGOV矩阵的摘录,以帮助组织制定用于IT治理的FLOSS部署策略. FLOSS4ITGOV矩阵显示了FLOSS覆盖的COBIT活动的百分比, 旨在协助FLOSS选择和审计的决策. 它的创建是一个迭代的过程. First, 研究人员对COBIT中包含的40个治理和管理目标适合的FLOSS进行了在线搜索. 其次,为更详细的COBIT活动审查了FLOSS支持. 这个过程一直持续到所有40个治理和管理目标都至少有一个相关的FLOSS. 最后,计算每一行所涵盖的活动的百分比.

Figure 3

Figure 3 显示每个COBIT治理和管理目标的活动覆盖率百分比. 最上面是FLOSS应用程序(例如.g.(Alfresco, Anaconda),它们构成了分析样本. 每个单元格中呈现的颜色与所覆盖的COBIT活动的百分比相关联, for example:

  • 红色用于表示较低的值.
  • 黄色表示8%到30%之间的值.
  • 浅绿色表示30%到50%之间的值.
  • 绿色表示为特定治理和管理目标所覆盖的活动的50%到100%之间的值.

COBIT中的40个治理和管理目标可以由至少一个FLOSS支持. 然而,只有少数达到非常高的覆盖率百分比,例如DSS02 管理服务请求和事件. Therefore, 组织应该结合不同的FLOSS解决方案,以根据COBIT设计因素建议的目标能力级别来达到他们期望的治理目标.14 结果突出了FLOSS在组织中丰富IT治理实践和审计的潜力.

Conclusion

这项对使用COBIT支持IT治理的FLOSS的开创性研究确定了支持COBIT的FLOSS工具的初始列表,并提出了一个新的矩阵:FLOSS4ITGOV. 对于免费的IT治理策略来说,FLOSS是一个有价值的解决方案, 特别是对于从低能力级别到中等能力级别的转换(级别3). 但是,FLOSS列表是动态的,将来可以添加更多的FLOSS应用程序. 组织可以使用建议的矩阵来确定与他们的COBIT评估一致的定制的FLOSS路线图. 开发人员可以使用FLOSS4ITGOV来确定对COBIT支持的改进以及针对I的新的FLOSS开发机会&T governance. For example, 审核员可以使用FLOSS4ITGOV矩阵来确定可以为被审计组织的业务支持COBIT活动的FLOSS工具, 确定所提供的活动的覆盖率百分比,以确定FLOSS的集成和, finally, 为I提供免费的解决方案&T治理改进.

Editor’s Note

FLOSS4ITGOV矩阵的完整版本可在以下网址获得 http://www.doi.org/10.17632/cffb8r77vh.1.

Endnotes

1 TechTarget Contributor; “Free and Open Source Software (FOSS) or Free/Libre Open Source Software (FLOSS),” June 2008, http://www.techtarget.com/whatis/definition/Free-and-open-source-software-FOSS-or-free-libre-open-source-software-FLOSS
2 Forrester, 通过全面、优化的策略抓住开源机会,美国,2021年4月; http://www.openlogic.com/sites/default/files/pdfs/perforce-forrester-report.pdf
3 Ahlawat, P.; J. Boyne; D. Herz; F. Schmieg; M. Stephan; “Why You Need an Open Source Software Strategy,” Boston Consulting Group, 16 April 2021, http://www.bcg.com/publications/2021/open-source-software-strategy-benefits
4 欧洲委员会, 欧盟委员会发布了关于开源对欧洲经济影响的研究报告,2021年9月6日, http://digital-strategy.ec.europa.eu/en/news/commission-publishes-study-impact-open-source-european-economy
5 Harutyunyan N.; A. Bauer; D. Riehle; “Industry Requirements for FLOSS Governance Tools to Facilitate the Use of Open Source Software in Commercial Products,” 系统与软件杂志, vol. 158、2019年12月; http://www.sciencedirect.com/science/article/pii/S0164121219301578
6 Sánchez V.; P. Ayuso; J. Galindo; D. Benavides; “Open Source Adoption Factors—A Systematic Literature Review,” IEEE Access, vol. 8, 8 May 2020, http://ieeexplore.ieee.org/document/9089866
7 ISACA®, COBIT® 2019框架:治理和管理目标, USA, 2018, http://5wb7.baileherculane.net/resources/cobit
8 Harutyunyan N.; 开源软件治理:提炼和应用行业最佳实践, 2020年Ernst Denert软件工程奖,施普林格,瑞士,2022
9 Aversano L.; M. Tortorella; “Quality Evaluation of Floss Projects: Application to ERP Systems,” 资讯及软件科技, vol. 55, iss. 7, July 2013, http://www.sciencedirect.com/science/article/abs/pii/S0950584913000311
10 Zotero,自由/开源软件治理,“组库,自由/开源软件治理” http://www.zotero.org/groups/2310183/foss_governance/items/BQXBV4MC/item-list
11 Op cit ISACA
12 Harvey, C.; “Open Source Software: Top 59 Sites,” Datamation, 23 February 2011, http://www.datamation.com/open-source/open-source-software-top-59-sites/
13 Op cit ISACA
14 ISACA, COBIT® 设计指南:设计信息和技术治理解决方案, USA, 2018, http://5wb7.baileherculane.net/resources/cobit

LAURA JAIME

是一名信息工程师. 她过去的经验包括在安哥拉的两所私立大学部署免费/自由开源软件(FLOSS). 她目前正在研究用于IT治理的FLOSS解决方案,重点是COBIT®.

JOÃO BARATA

是信息工程系的助理教授吗, 科英布拉大学科学与技术学院, Portugal). 他也是科英布拉大学信息与系统中心的研究员,并于2016年受邀加入科英布拉理工学院,担任信息系统(is)助理教授。. Barata拥有22年的IS顾问经验,曾与非洲300多个公共和私人组织合作, 欧洲和美国. 主要研究方向为IS, 数字转换, IT governance, 业务流程管理, 供应链管理与工业.0/5.0.