Отношение многих предприятий к рискам ИТ должно измениться.
По данным аналитиков рынка из компании IDC, в 2005 г. мировые затраты на ИТ достигли магической цифры в 1 трлн долларов и продолжают увеличиваться. Четверть этой суммы была потрачена на программное обеспечение. Информационные технологии по-прежнему остаются важным движущим фактором экономики, но отношение многих предприятий к рискам ИТ должно измениться. Оценить связанные с ИТ риски поможет управление ИТ на основе управляющей базы данных о конфигурации.
Лишь 10% предприятий применяют активное управление рисками, как утверждает Nifis, национальная организация наблюдения за безопасностью в Internet, основываясь на результатах анализа рынка IT Advisory Group. Даже небольшие организации могут сегодня выразить количественно, какой ущерб повлечет за собой полное или частичное отключение систем ИТ, и детально классифицировать его по таким категориям, как снижение производительности, уменьшение оборота и т. д. Согласно опубликованному в феврале документу Gartner Group, в области управления рисками ИТ все еще главенствует реактивный подход к событиям безопасности. Аналитики призывают изменить отношение к управлению рисками ИТ, проявив созидательную активность в этом направлении. Речь идет о том, чтобы повышать защищенность ИТ, оценивать проекты с учетом рисков ИТ, выявлять потенциальные потери и добиваться реальной оценки имеющихся ресурсов.
Для оперативной реализации управления рисками ИТ имеются разные стандартизованные модели. Общее управление рисками, к примеру, описывается в модели деловых рисков от Ernst&Young, в рекомендациях стандартов BS 7799 и ISO 17799. Руководство по базовой защите Федерального Агентства по информационным технологиям предлагает рекомендации по оценке рисков не только для государственного сектора. Стратегические элементы планирования и имеющийся опыт, в частности библиотека инфраструктуры ИТ (IT Infrastructure Library, ITIL) или цели управления информационными и связанными с ними технологиями (Control Objectives for Information and Related Technology, COBIT), предоставляют важные данные об эффективном управлении рисками ИТ. Если COBIT содержит каталог методов для рисков ИТ, то ITIL концентрируется на обобщенном описании управления конфигурацией, уровня услуг и безопасности в области управления рисками, тем самым способствуя предотвращению последних.
Риски ИТ могут принимать различные формы, среди которых наряду с классическим отказом или неготовностью ИТ из-за дефектов, недостатков системы безопасности и т. д. (производственный риск, операционный риск) есть риски правового и финансового характера, в том числе вследствие падения цен и упущенных возможностей. Мы остановимся на вопросах управления конфигурациями как условии управления рисками ИТ.
НЕОБХОДИМЫЕ ДАННЫЕ ДЛЯ ОПЕРАТИВНОГО УПРАВЛЕНИЯ РИСКАМИ ИТ
Для каких приложений не существует соглашений об уровне сервиса (Service Level Agreement, SLA)? Какие приложения используются более трех лет? Система управления рисками должна предоставлять ответ на эти и аналогичные вопросы при нажатии одной кнопки. Она действенна постольку, поскольку актуальны ее данные, которые — полученные путем различных процедур, взвешенные и консолидированные — образуют основу для принятия решений. Такой инструмент для управления рисками поддерживает следующие задачи:
- обобщение, оценка, администрирование и управление рисковыми активами и службами ИТ как с технической, так и с экономической точки зрения;
- оценка, определение приоритетов и анализ соотношения стоимость/польза для предложенных мер;
- регулярное сопоставление плановых показателей с фактическими;
- документирование рисков и мер по их устранению;
- создание отчетов;
- доступ к порталу знаний об ИТ на ролевой основе.
Источником данных о полной топологии ИТ и ядром приложения для управления рисками ИТ является управляющая база данных о конфигурации (Configuration Management Database, CMDB). Накапливая информацию обо всех компонентах ИТ и связях между ними на протяжении их жизненного цикла, CMDB дает обзор состояния ИТ, договоров о технической поддержке и лицензий на использование программного обеспечения (см. врезку «Что не сможет CMDB?»). Как правило, именно исчерпывающей информации об инсталлированном программном обеспечении и не достает, из-за чего многие предприятия подвержены риску чрезмерного или недостаточного лицензирования. CMDB способна стать краеугольным камнем более экономичного и надежного — с точки зрения используемых редакций — управления программным обеспечением.
В идеальном случае CMDB пополняют так называемые инструменты отображения зависимостей между приложениями (см. Рисунок 1). Они распознают логические связи и зависимости в топологии приложений и серверов, а также таких компонентов, как маршрутизаторы и коммутаторы. Благодаря этой информации становится возможным отображать взаимосвязи продуктов, деловых процессов и услуг с учетом временного и функционального использования поддерживаемой технологии, что улучшает возможности мониторинга. Администраторы могут, к примеру, предсказать, какие риски скрывает за собой запланированное изменение конфигурации.
Рисунок 1. При отказе системы ИТ отображение технических взаимосвязей позволяет провести анализ того, какие компоненты ИТ, а значит, и службы ИТ пострадали. |
Рынок отображения зависимостей или технических взаимозависимых цепочек, будучи дисциплиной, относящейся к управлению конфигурацией, пока еще довольно мал, но тем больше его потенциал. По прогнозам Gartner Group, он вырастет со 100 млн долларов в текущем году до 200 млн в следующем. Однако в среднесрочной перспективе этот сегмент продукции растворится в нескольких областях, таких, например, как управление конфигурацией, разработка приложений и управление деловыми услугами.
В рамках дисциплин ITIL управление конфигурацией не является самоцелью: оно предоставляет информацию об элементах конфигурации — используемых активах, аппаратном и программном обеспечении, документации, процедурах, сервисных данных и т. д., а также об их статусе, истории и всех соединениях. Таким образом, управление конфигурацией способствует вдобавок процессам поддержки и предоставления услуг. Однако CMDB становится полезной лишь при условии достижения высокого уровня актуальности и полноты. Необходимые для этого затраты не стоит недооценивать. Будучи стержневой информационной частью всеобъемлющего управления ИТ, CMDB представляет собой необходимое условие для управления рисками ИТ. Но сложные взаимодействия, возникающие при активном управлении рисками, может отображать лишь единая система, поддерживающая и другие дисциплины ИТ. Решающим фактором является то, что данные из процессов управления проблемами и переменами поступают в CMDB в актуальном состоянии, чем обеспечивается динамическое предоставление информации.
Для оценки потенциальных рисков и принятия соответствующих мер необходимо сопряжение с управлением затратами на ИТ: к примеру, аудитор в области страхования жизни должен знать, насколько велики издержки на эксплуатацию серверов, из чего составляется стоимость рабочего места SAP и какую долю страхового контракта составляют ИТ (см. врезку «Примеры»). Исходя из этого можно вычленить критические факторы для таких процессов и активно ими управлять, определив и интегрировав, к примеру, соответствующие механизмы эскалации на случай отказа.
Безусловно, при рассмотрении рисков учитывается не только сама техника, но и то значение, которое компоненты ИТ имеют для производительности и создания стоимости. Насколько оно велико, можно определить с помощью единой базы данных.
Томас Герик — директор по телекоммуникациям компании USU.
Чего не может CMDB?
CMDB не в состоянии определить важность для предприятия некоторых процессов, например угрозы убытка, которая выявляется при помощи методов внутреннего и внешнего аудита. CMDB не отображает и не документирует процессы, а предоставляет пул данных об управлении конфигурацией, изменениями и версиями, поддерживая его в актуальном состоянии. В принципе в ней могут сохраняться данные об элементах конфигурации и зависимостях между ними, а также о значимости деловых процессов, но система не будет определять их автоматически.
Примеры
Тема управления программными активами затрагивает финансовые и правовые риски. Пример: на предприятии имеется лицензированное программное обеспечение Microsoft Project. Данные свидетельствуют о том, что этим приложением активно пользуются 40 сотрудников. При помощи CMDB можно получить информацию как о контрактах, так и об инсталляциях. Выясняется, что приобретено 50 лицензий для установки на отдельные машины, но в действительности программное обеспечение установлено на 100 компьютеров. С правовой точки зрения предприятие сублицензировано — опасная ситуация. С точки зрения использования — сверхлицензировано. Что делать? Можно докупить еще 50 лицензий. Однако более разумно при помощи CMDB запустить автоматический процесс удаления невостребованного ПО и заново заключить договор на обслуживание имеющегося.
Следующий пример касается области производственных рисков. Страховая компания в рамках анализа бизнеса составила матрицу взаимодействия прикладных систем и зависимостей между ними и базовыми системами, а также прочими компонентами ИТ. В отношении отдельных деловых областей, в частности страхования жизни или здоровья, можно определить потенциальные риски. Если из-за запоздалого запуска обновления системы безопасности UNIX произойдет системный отказ, он среди прочего повлияет на функционирование Oracle и, таким образом, на весь деловой процесс (см. Рисунок 2).
Рисунок 2. Пример управления рисками ИТ в области страхования жизни и здоровья. |
Возможной мерой контроля является обеспечение своевременного управления заплатами при помощи обязательных правил системного администрирования. Это имеет последствия и для договоров о поддержке с поставщиками: они должны предусматривать соблюдение соответствующих правил обновления. В случае важных процессов такие «поддерживающие контракты» должны включать в себя соглашения об уровне сервиса (Service Level Agreement, SLA) в целях обеспечения своевременной обработки отказов. Правильно организованное управление конфигурацией предоставляет для этого подробную информацию обо всех компонентах ИТ и отображает связи между ними.
? AWi Verlag