Обучение ИТ-специалистов: что нового может дать ITIL?

Управление мощностями, доступностью, непрерывностью ИТ-услуг и информационной безопасностью. Почему эти процессы так важны для сервис-менеджмента?

Согласно лучшим практикам, нашедшим отражение в библиотеке ITIL, основным интерфейсом взаимодействия между бизнесом и ИТ является услуга. ИТ-подразделение — провайдер, предоставляющий некий набор услуг, а бизнес — его потребитель. При этом ИТ-услуга будет иметь ценность для потребителя, если она приносит пользу, соответствуя своему назначению (fit for purpose), и обеспечивает гарантию, соответствуя условиям использования (fit for use).

В трактовке ITIL v3 "гарантия" складывается из четырех взаимосвязанных компонентов:

  • требуемая доступность

  • достаточные мощности (возможности)

  • соответствие требованиям безопасности

  • соотетствие требованиям обеспечения непрерывности

Зачастую вопросы гарантии ускользают от внимания и потребителя, и поставщика услуг, либо решаются не самым эффективным образом. К сожалению, это может быть обнаружено уже в ходе предоставления услуги, что влечет за собой, как минимум — дополнительные расходы, а иногда и создает ситуации, в итоге ведущие к потере всего бизнеса. ITIL, для обеспечения гарантии, предлагает использовать следующие процессы:

  • управление мощностями (Capacity Management)

  • управление доступностью (Availability Management)

  • управление непрерывностью (IT Service Continuity Management)

  • управление информационной безопасностью (Information Security Management).

Понимая важность данных вопросов и недостаточную информированность в них наших российских ИТ-специалистов, компания IT Expert (провайдер практического и сертификационного ИТ-обучения с 2002 г.) разработала учебный курс Planning Protection and Optimization: Управление мощностями, доступностью, непрерывностью ИТ-услуг и информационной безопасностью (ITIL v3 PPO), который завершает направление Capability Stream в международной линейке курсов по ITIL v3.

Курс охватывает аспекты ИТ-деятельности, которые в разной степени необходимы абсолютно любой организации, однако часто являются сложными для понимания и реализации. Действия, осуществляемые в рамках данных процессов, взаимосвязаны и взаимодополняемы. При прослеживании особенностей этих взаимосвязей достигается осознание основных направлений, методологий, приемов и рекомендаций претворения теории в жизнь.

Многие рассматриваемые вопросы выходят за границы не только упомянутых процессов, но иногда и за рамки ИТ — например, вопрос рисков, которому в модуле PPO уделено достаточно серьезное внимание. Рассматривается полный комплекс мер по работе с этим неотъемлемым свойством любой деятельности и разьираются такие активности, как:

  • Идентификация: выявление угроз и возможностей, связанных с выполняемой деятельностью

  • Оценка: понимание и оценка угроз и возможностей, их взаимосвязей и взаимного влияния

  • Планирование: подготовка решения, которое позволит снизить угрозы и в полной мере использовать имеющиеся возможности

  • Осуществление: меры по управлению рисками, контроль их эффективности и применение корректирующих действий.

Использование информационных технологий сопряжено с большим количеством рисков, которые в зависимости от затрагиваемых активов, наличия угроз и уязвимостей могут быть отнесены к "зоне внимания" процессов управления доступностью, непрерывностью, информационной безопасностью или других деятельностей (например, операционные риски, связанные с внесением неправильных данных в информационную систему). Любые из этих рисков могут "выстрелить" в самый неподходящий момент, и мы должны быть в состоянии своевременно предпринять меры по снижению вероятности наступления или смягчению последствий.

Стоит обратить пристальное внимание на деятельность по управлению мощностями (возможностями) совместно с управлением спросом. Это интересно любым поставщикам ИТ-услуг, как внутренним, так и внешним. Многие уже начинают понимать, что удовлетворение всего возрастающего спроса вовсе не требует постоянного наращивания мощностей, а достижимо за счет грамотного управления уже существующими возможностями и корректного влияния на спрос и потребление наших услуг.

В свою очередь, процесс управления доступностью, несмотря на свою довольно "долгую" историю и наличие технологического базиса в виде схожих деятельностей и понятий в ряде отраслевых стандартов (многим из которых не один десяток лет), при попытке его реализации оказывается достаточно сложным и требующим наличия основополагающих организационно-управленческих знаний, с помощью которых эту деятельность из периодической и направленной на удовлетворение узкоспециализированных потребностей технических служб можно перевести в область услуг, нацеленную на принесение ценности основному бизнесу.

Надо отметить, что процесс обеспечения непрерывности ИТ-услуг (IT Service Continuity Management — ITSCM) является частью деятельности по обеспечению непрерывности всего бизнеса и при этом направлен на максимально полное выполнение бизнес-требований к восстановлению ИТ. При изучении основополагающих аспектов и действий в рамках данного процесса (таких, как оценка рисков, создание планов обеспечения непрерывности, проведение тестирования планов и тренировок по их выполнению) отдельное внимание в программе курса уделяется часто упускаемым из виду моментам, которые могут свести на нет все наши задумки. К примеру, необходимо дать ответы на следующие вопросы:

  • Где хранится план, описывающий действия в случае наступления катастрофы (пожар в здании и т.п.)?

  • Как узнать контакты сотрудников, которых нужно срочно оповестить при возникновении серьезного сбоя серверного оборудования, если информационная система с этими данными в настоящий момент неработоспособна?

  • Кто даст команду к дейтсвиям, предусмотренным планами обеспечения непрерывности? На каком основании будет принято решение? Как мы вообще узнаем, что что-то произошло?

Можно привести ряд других "тонкостей", о которых иногда даже не задумываются, но умение предусмотреть которые избавило бы многие организации от серьезных потерь.

И, наконец, обеспечение информационной безопасности — наверно, самый "избалованный" постоянным к себе вниманием процесс из рассматриваемых в блоке PPO. Несмотря на то что во многих организациях задача информационной безопасности традиционно относится в приоритетным, принимаемые меры часто являются недостаточными и не эффективными. Это, как правило, вызвано отсутствием необходимой управленческой активности, которая в совокупности с грамотной эксплуатацией специальных технологических средств поможет достичь необходимого уровня безопасности. Хорошо организованная управленческая деятельность обеспечит выполнение большей части требований к информационной безопасности. Даже самые современные и дорогостоящие средства без наличия праильной организации управления не смогут гарантировать выполнение основных требований в виде обеспечения конфиденциальности, целостности и доступности активов, информации и ИТ-услуг.

Упомянутые процессы подробно рассматриваются в учебном курсе PPO. Отдельного внимания заслуживают практические занятия, проводимые в рамках обучения и направленные на более глубокое понимание некоторых наиболее выжных вещей. К ним относится, например, составление полного описания риска, включающее в себя определение активов, присущих им уязвимостей, возможных угроз и применяемых методов контроля, направленных на снижение данных рисков. Или определение организационно-управленческих решений по повышению уровня доступности ключевой ИТ-услуги или системы, и другие примеры реализации задач PPO.

Дмитрий Хруслов,

ведущий тренер-консультант компании IT Expert

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.