Обучение ИТ-специалистов: что нового может дать ITIL®?

Управление мощностями, доступностью, непрерывностью ИТ-услуг и информационной безопасностью. Почему эти процессы так важны для сервис-менеджмента?

Согласно лучшим практикам, нашедшим отражение в библиотеке ITIL®, основным интерфейсом взаимодействия между бизнесом и ИТ является услуга. ИТ-подразделение - провайдер, предоставляющий некий набор услуг, а бизнес - его потребитель. При этом ИТ-услуга будет иметь ценность для потребителя, если она приносит пользу, соответствуя своему назначению (fit for purpose), и обеспечивает гарантию, соответствуя условиям использования (fit for use).

В трактовке ITIL® "гарантия" складывается из четырех взаимосвязанных компонентов:

• требуемая доступность

• достаточные мощности (возможности)

• соответствие требованиям безопасности

• соответствие требованиям обеспечения непрерывности

Зачастую вопросы гарантии ускользают от внимания и потребителя, и поставщика услуг, либо решаются не самым эффективным образом. К сожалению, это может быть обнаружено уже в ходе предоставления услуги, что влечет за собой, как минимум - дополнительные расходы, а иногда и создает ситуации, в итоге ведущие к потере всего бизнеса. ITIL®, для обеспечения гарантии, предлагает использовать следующие процессы:

• управление мощностями (Capacity Management)

• управление доступностью (Availability Management)

• управление непрерывностью (IT Service Continuity Management)

• управление информационной безопасностью (Information Security Management).

Понимая важность данных вопросов и недостаточную информированность в них наших российских ИТ-специалистов, компания IT Expert (провайдер практического и сертификационного ИТ-обучения с 2002 г.) разработала учебный курс Planning Protection and Optimization: Управление мощностями, доступностью, непрерывностью ИТ-услуг и информационной безопасностью (ITIL®  PPO), который завершает направление Capability Stream в международной линейке курсов по ITIL® .

Курс охватывает аспекты ИТ-деятельности, которые в разной степени необходимы абсолютно любой организации, однако часто являются сложными для понимания и реализации. Действия, осуществляемые в рамках данных процессов, взаимосвязаны и взаимодополняемы. При прослеживании особенностей этих взаимосвязей достигается осознание основных направлений, методологий, приемов и рекомендаций претворения теории в жизнь.

Многие рассматриваемые вопросы выходят за границы не только упомянутых процессов, но иногда и за рамки ИТ - например, вопрос рисков, которому в модуле PPO уделено достаточно серьезное внимание. Рассматривается полный комплекс мер по работе с этим неотъемлемым свойством любой деятельности и развиваются такие активности, как:

• Идентификация: выявление угроз и возможностей, связанных с выполняемой деятельностью

• Оценка: понимание и оценка угроз и возможностей, их взаимосвязей и взаимного влияния

• Планирование: подготовка решения, которое позволит снизить угрозы и в полной мере использовать имеющиеся возможности

• Осуществление: меры по управлению рисками, контроль их эффективности и применение корректирующих действий.

Использование информационных технологий сопряжено с большим количеством рисков, которые в зависимости от затрагиваемых активов, наличия угроз и уязвимостей могут быть отнесены к "зоне внимания" процессов управления доступностью, непрерывностью, информационной безопасностью или других деятельностей (например, операционные риски, связанные с внесением неправильных данных в информационную систему). Любые из этих рисков могут "выстрелить" в самый неподходящий момент, и мы должны быть в состоянии своевременно предпринять меры по снижению вероятности наступления или смягчению последствий.

Стоит обратить пристальное внимание на деятельность по управлению мощностями (возможностями) совместно с управлением спросом. Это интересно любым поставщикам ИТ-услуг, как внутренним, так и внешним. Многие уже начинают понимать, что удовлетворение всего возрастающего спроса вовсе не требует постоянного наращивания мощностей, а достижимо за счет грамотного управления уже существующими возможностями и корректного влияния на спрос и потребление наших услуг.

В свою очередь, процесс управления доступностью, несмотря на свою довольно "долгую" историю и наличие технологического базиса в виде схожих деятельностей и понятий в ряде отраслевых стандартов (многим из которых не один десяток лет), при попытке его реализации оказывается достаточно сложным и требующим наличия основополагающих организационно-управленческих знаний, с помощью которых эту деятельность из периодической и направленной на удовлетворение узкоспециализированных потребностей технических служб можно перевести в область услуг, нацеленную на принесение ценности основному бизнесу.

Надо отметить, что процесс обеспечения непрерывности ИТ-услуг (IT Service Continuity Management - ITSCM) является частью деятельности по обеспечению непрерывности всего бизнеса и при этом направлен на максимально полное выполнение бизнес-требований к восстановлению ИТ. При изучении основополагающих аспектов и действий в рамках данного процесса (таких, как оценка рисков, создание планов обеспечения непрерывности, проведение тестирования планов и тренировок по их выполнению) отдельное внимание в программе курса уделяется часто упускаемым из виду моментам, которые могут свести на нет все наши задумки. К примеру, необходимо дать ответы на следующие вопросы:

• Где хранится план, описывающий действия в случае наступления катастрофы (пожар в здании и т.п.)?

• Как узнать контакты сотрудников, которых нужно срочно оповестить при возникновении серьезного сбоя серверного оборудования, если информационная система с этими данными в настоящий момент неработоспособна?

• Кто даст команду к действиям, предусмотренным планами обеспечения непрерывности? На каком основании будет принято решение? Как мы вообще узнаем, что что-то произошло?

Можно привести ряд других "тонкостей", о которых иногда даже не задумываются, но умение предусмотреть которые избавило бы многие организации от серьезных потерь.

И, наконец, обеспечение информационной безопасности - наверно, самый "избалованный" постоянным к себе вниманием процесс из рассматриваемых в блоке PPO. Несмотря на то что во многих организациях задача информационной безопасности традиционно относится в приоритетным, принимаемые меры часто являются недостаточными и не эффективными. Это, как правило, вызвано отсутствием необходимой управленческой активности, которая в совокупности с грамотной эксплуатацией специальных технологических средств поможет достичь необходимого уровня безопасности. Хорошо организованная управленческая деятельность обеспечит выполнение большей части требований к информационной безопасности. Даже самые современные и дорогостоящие средства без наличия праильной организации управления не смогут гарантировать выполнение основных требований в виде обеспечения конфиденциальности, целостности и доступности активов, информации и ИТ-услуг.

Упомянутые процессы подробно рассматриваются в учебном курсе PPO. Отдельного внимания заслуживают практические занятия, проводимые в рамках обучения и направленные на более глубокое понимание некоторых наиболее важных вещей. К ним относится, например, составление полного описания риска, включающее в себя определение активов, присущих им уязвимостей, возможных угроз и применяемых методов контроля, направленных на снижение данных рисков. Или определение организационно-управленческих решений по повышению уровня доступности ключевой ИТ-услуги или системы, и другие примеры реализации задач PPO.