Опасность всюду

Зависимость бизнеса от IT-инф­раструктуры постоянно возрастает. Все большее значение придается сопутствующим рискам. К сожалению, редкая компания работает над их минимизацией. Шаблонная, но распространенная ситуация – при отказе сервера ставится вопрос о покупке нового. Если низкая скорость передачи данных тормозит работу – компания меняет провайдера. Проблема решается по факту ее возникновения. В результате корпоративная информационная система (КИС) работает с перебоями, документы не формируются, недовольным клиентам приходится ждать выполнения заказов. А ведь хороший топ-менеджер должен предвидеть проблемы, исходящие, например, от быстрого роста бизнеса, и заняться поиском путей их решения. Планирование IT-сферы должно учитывать все стороны жизни бизнеса. Такая постановка вопроса фактически подразумевает формирование стратегии развития всего бизнеса в целом, а не информационной среды как отдельной составляющей.

Руководитель отдела организационного развития и автоматизации УК Facilicom (поставщик услуг по комплексному обслуживанию объектов недвижимости) Александр Верес считает, что в принципе все IT-риски можно классифицировать по четырем типам. Первая группа – риски, связанные с высокими требованиями к скорости внедрения нового программного обеспечения (ПО), сетевых и аппаратных решений. Способ борьбы – использование современных методологий управления проектами и концепции ITSM (IT Service Management), привлечение консультантов. Причина появления рисков второго типа – сочетание возрастающей сложности IT-решений и требований безболезненного перехода к ним. «Революционные внедрения с шумом и потерями отходят в прошлое, – утверждает Александр Верес. – На первое место вышли требования к рентабельности действий IT-отделов и лояльности внутренних заказчиков и конечных пользователей. Поэтому процессы внедрения должны быть интегрированы с организационными изменениями в компании». Третья группа рисков – быстрое изменение требований к технологическим решениям со стороны бизнеса. «Ритм IT-изменений должен согласовываться с ритмом изменений в самой компании», – говорит Александр Верес. Четвертый вид рисков – низкий уровень компетенции персонала. Способ их минимизации – обучение.

Провода и трубы. Подобное планирование обычно начинается с достижением компанией определенного масштаба бизнеса – обороты начинают исчисляться миллионами долларов. Регулярные инциденты заставляют менеджеров задумываться о пропорционально растущих потерях во время простоев.

Особое внимание требуется общей инф­раструктуре – она не столь мобильна, как аппаратный и программный элементы. Характерный пример упущений приводит технический директор IntelinePro Александр Мартынюк. В план развития компания заложила создание новой серверной комнаты. Ее формирование планировалось на пять лет лет вперед, непосредственно строительство продолжалось год, а функционировать она начала на 15% мощности – требовалась установка дополнительного охлаждающего оборудования и независимого источника электроэнергии. В плане предполагалось, что холодильные машины и дизельная электростанция будут размещены на территории рядом с основным зданием. Однако это место занял на три года под склад другой арендатор. Дело в том, что в договоре на аренду помещения не так четко, как к площади внутри здания, были прописаны требования к территории. В результате внутренняя инфраструктура соответствует максимальной технической нагрузке, но вся эта мощь, по сути, пропадает задаром.

Другая компания подошла к вопросу организации центра обработки данных (ЦОД) более капитально – разместила серверную на территории завода, используя имеющуюся инфраструктуру арендодателя. «Электроснабжение почти соответствовало первой категории надежности, – рассказывает Александр Мартынюк. – Основное электропитание шло с заводской трансформаторной подстанции, система бесперебойного питания с резервом автономной работы на батареях на полчаса и резервная дизельная электростанция (ДЭС) необходимой мощности. Но сущест­вовало одно «но» – запустить резервную ДЭС можно, лишь попав в помещение заводского распределительного щита. А для этого надо разыскать главного энергетика завода, которого трудно было застать на месте». В итоге в случае перебоев с электропитанием у компании было лишь полчаса на корректное завершение работы. Изначально верная идея по сокращению риска не сработала из-за неучтенной организационной составляющей.

Постоянный контроль. Работать без единого сбоя не может ни одна система. Но минимизировать негативные по­следствия таких перерывов можно, внедрив ПО из разряда Service Desk. Решение поможет обуздать и рост расходов на IT, и даже важного системного администратора. Система Service Desk будет координировать и контролировать работу IT-подразделения. Предприятия компании «Северсталь-авто», в которую входят Ульяновский автомобильный завод, Заволжский моторный завод и ЗМА, обладают совершенно отличной друг от друга IT-инфраструктурой. Суммарный штат «айтишников» – около 600 человек. И их основная задача заключается в обеспечении бесперебойности бизнес-процессов, в том числе своевременной подачи информации в УК. Service Desk оказался лучшим способом контроля текущей ситуации. Пилотный проект создания системы на базе Naumen Service Desk завершился в августе 2006 года на ЗМЗ. В декабре система заработала на УАЗе и ЗМА. В результате предприя­тия живут по единой технической политике и регламентам.

Обработка заявок, поступающих в IT-службы от различных подразделений, происходит на основе единых регламентов. Сот­рудники первой линии поддержки регистрируют заявку, указывая неисправный сервис, описание проблемы и тип заявки. Далее заявка автоматически передается профильной группе специалистов, отвечающих за поддержку данного сервиса. Все этапы обработки заявки вплоть до ее решения учитываются в системе. В случае несоблюдения регламентных сроков устранения инцидента производится автоматическая эскалация заявки с оповещением руководителя IT-службы. Кроме текущего контроля система позволяет определять связь конкретных проблем с масштабными инцидентами. Тем самым помогая IT-сотрудникам вычленять «узкие места» и планировать развитие инфраструктуры. Проблема пресекается в зародыше.

Внедрение нового приложения, смена оборудования или даже переезд потенциально влекут рост количества сбоев. Избежать неприятностей помогут четкие регламенты действий и сроков, детальное описание IT-инфраструктуры и распределение ответственности профильных сот­рудников. Руководитель направления аудита компании IT Expert Федор Байновский рассказал об опыте переезда в новое здание одного из клиентов. Спустя три недели так и не удалось восстановить работу бизнес-приложения. Тогда IT-директор обратился к стороннему консультанту. Спустя еще две недели бизнес-приложение заработало. «Причина возникшей ситуации – отсутствие взаимоувязанного описания элементов IT-инфраструктуры, – говорит Федор Байновский. – Не всегда по памяти можно восстановить последовательность подключений. Запуск бизнес-приложения на новом объекте проводился без предварительного функционального тестирования. В результате приложение висло спустя 30 минут после начала работы. Но самое удивительное, что о дате переезда и новом месте дислокации центрального офиса IT-руководитель узнал всего за неделю».

Перезагрузка. Опосредованная причина увеличения риска сбоев – рост бизнеса. Серверы не выдерживают нагрузки, снижается скорость передачи данных. Так, в переезжавшей в новый офис компании подключение дополнительных рабочих мест привело к заметному снижению производительности бизнес-приложения из-за нехватки мощностей сервера. «Приобретение нового сервера не было предусмотрено в бюджете», – вспоминает Федор Байновский. Лекарство может быть только одно – IT-директор должен «заглянуть» в будущее и заранее поставить в известность руководство о грядущем объеме изменений, в том числе денежном. Обладающей дальновидным CIO компании не придется «затыкать дыры». Изменение масштаба IT-инфраструктуры пройдет поэтапно в рамках единого проекта. Такой подход менее затратен, чем «лоскутный».

Компания «Открытые технологии» решила кардинально улучшить отказоустойчивость системы хранения данных. Начали с почтовой информации. Работу почтовых и файловых сервисов обеспечивали два сервера: SUN Fire 240 и дисковый массив SUN Storage 3510. Для обеспечения отказоустойчивости на серверах использовалось ПО Veritas Cluster Server. То есть хранение и резервирование почтовой информации велось только на дисковом массиве, а отказоустойчивость обеспечивалась за счет кластерного ПО. При создании системы хранения почтовой информации было использовано ПО Veritas Storage Foundation, серверное оборудование и системы хранения SUN Fire V240, SUN StorEdge 3510, оптические коммутаторы IBM TotalStorage SAN32B-2. Система построена по технологии Storage Area Network.

В результате повысились скорость доступа, объем хранимых данных. Появилась возможность для дальнейшего наращивания скорости доступа к информации и ее объема, количества подключенных серверов. «Почта – главный инструмент в работе компании, – говорит руководитель департамента внутренней автоматизации «Открытых технологий» Максим Темнов. – Особенно сервисного центра, работающего в режиме 24 часа семь дней в неделю. Почти все заявки в него поступают через электронную почту. Чем быстрее письма приходят, обрабатываются, попадают диспетчеру и далее инженеру, тем быстрее клиент получает помощь. Соответст­венно сбои в работе почты недопустимы. Созданная система обеспечивает высокую надежность и доступность всех сервисов, гарантирует круглосуточное функционирование почтовой системы и системы обработки запросов как в московском офисе, так и в региональных представительствах компании».

Цена вопроса. В идеале оценка рисков требует статистической информации, накопленной внутри компании. В крайнем случае, можно воспользоваться внешними отраслевыми данными – внутренние бизнес-процессы компаний слишком непохожи. Оценить возможные убытки можно, исходя из собственного опыта. «Упростить задачу оценки IT-рисков можно, если перевести рассмотрение технологических рисков на язык бизнеса, – советует руководитель центра компетенции Trend Micro в России и СНГ Михаил Кондрашин. – Например, поражение сервера может привести к простою отдела или всей компании. Финансовый ущерб от остановки руководитель сможет оценить не хуже IT-консультанта. Ущерб от спама можно подсчитать по относительно простой схеме. Для этого нужно знать время, потраченное сотрудниками на удаление нежелательных писем, и их зарплату. Сумма ущерба может составлять до нескольких сотен тысяч долларов для компании в 1000 сотрудников».

Федор Байновский, руководитель направления аудита компании IT Expert:– Управление IT-рисками должно быть неотъемлемой частью системы корпоративного управления организации и предусматривать систематическое проведение независимых проверок работы IT-подразделений. На операционном уровне IT-риск-менеджмент включает проведение регламентных работ по техническому обслуживанию всех элементов IT-инфраструктуры. Для снижения риска утраты информации целесообразно использовать процедуры резервного копирования. Администрирование бизнес-приложения, активного сетевого оборудования, системы управления базами данных (СУБД) должно осуществляться в соответствии с техническими инструкциями и руководст­вами.

Николай Зезюлинский, директор по развитию бизнеса компании «ФОРС – Центр разработки»:– В любой иерархии IT-рисков ключевым остается человеческий фактор – он определяет до 70% угроз. Наиболее «узкое место» – уровень доступа сот­рудников к внутренней информации. В остальном это не столько сознательное причинение вреда, сколько некомпетентность и принятие необоснованных технических решений, а также риск потери квалифицированных кадров. Критичность IT-рисков прямо пропорциональна степени автоматизации предприятия и зависимости основной деятельности компании от использования средств IT. Исходя из масштабов IT-проекта, вложения в аудит для минимизации рисков могут составить до 20% его стоимости.

Александр Мартынюк, технический директор IntelinePro:– Основное правило при развитии IT-инфраструктуры – соответствие обеспечивающей инфраструктуры требуемому уровню надежности информационных систем. Любой «перекос» в ту или иную сторону приведет к отказу в критической ситуации или вычислительных, или инженерных систем. Пример: серверная комната крупного предприятия, расположенная в офисном центре, оказалась затопленной из-за прорыва батареи в противоположном конце здания этажом выше. Это произошло потому, что нижняя точка верхнего этажа находилась как раз над серверной. Никто и не подумал заблаговременно позаботиться о герметичности перекрытий.

Александр Верес, руководитель отдела организационного развития и автоматизации управляющей компании Facilicom:– Компетенция IT-персонала и персонала, который использует IT-решения, накладывает существенные ограничения на системные интерфейсы для пользователей и администраторов. А также заставляет, с одной стороны, строго регламентировать действия персонала, а с другой – предоставлять все многообразие функциональности, соответствующее требованиям заказчиков. Эффективно решаются эти задачи активным обучением персонала, внедрением систем управления знаниями и дистанционного обучения. И параллельно с этим рационально использовать IT-системы с более простыми и удобными интерфейсами, более зрелые и надежные, что экономит много средств, затрачиваемых на обучение и поддержку.

Михаил Кондрашин, руководитель центра компетенции Trend Micro в России и СНГ: – Использование в бизнесе интернета сформировало отдельную группу рисков – ущерб от вредоносных кодов. Схем множество – от рассылки программ, шифрующих файлы на компьютере жертвы и требующих выкуп за расшифровку, до заражения десятков или даже сотен тысяч компьютеров с целью сдачи полученной сети в аренду для рассылки спама, шпионских программ, вирусов. Угрозу шифрования можно смягчить с помощью системы резервного копирования. Другие риски минимизируются только использованием специализированных продуктов, которые традиционно называют антивирусами, хотя корректнее этот класс продуктов называть Secure Content Management – управление безопасностью информации.

Георгий Ованесян, руководитель направления консалтинга по ITIL и аутсорсингу компании «Крок»:– Вопросы эксплуатации любой системы первый раз рассматриваются на этапе предпроектного обследования, то есть до формирования технического задания на систему (ТЗ). Составляется перечень рисков, которые могут возникнуть при внедрении и последующей эксплуатации системы. Эксплуатационные требования и требования к информационно-сетевой инфраструктуре указываются в техническом задании. При проектировании, разработке и внедрении системы список потенциальных рисков постоянно пересматривается. Некоторые из них устраняются за счет модернизации IT-инф­раструктуры или обучения персонала. Для оставшихся рисков создается методика их обнаружения и модель реакции на возможный инцидент.

Журнал «Финанс.» №21 (207) 4 июня – 10 июня 2007 — IT+финансы
Наталья Анищук