Понять требования бизнеса, спланировать развитие ИТ
Как эффективно использовать инфраструктуру? Насколько масштабные инвестиции в технологии действительно помогут развить бизнес? Ответы на эти острые для многих вопросы позволит найти полный ИТ-аудит компании. Всестороннее обследование выявит потребности бизнеса в ИТ, даст оценку состоянию их инфраструктуры и информационных систем, позволит сформировать соответствующий план инвестиций.
ИТ-аудит в компании, как правило, проводят в двух направлениях. Первое — анализ бизнеса, позволяющий понять, какие потребности у компании в ИТ и насколько справляются с бизнес-задачами имеющиеся технические средства. Другое направление — технический аудит, обследование состояния ИТ-инфраструктуры и информационных систем.
Часто сам бизнес инициирует аудит, чтобы выяснить, каковы реальные инвестиции в ИТ и что дают эти вложения. Нередко ИТ-департамент заказывает аудит, чтобы в дальнейшем оптимизировать системы, упростить процессы обслуживания или, например, снизить затраты на эксплуатацию.
Какие ИТ-системы в приоритете?
Всесторонний ИТ-аудит в первую очередь выявляет, какие бизнес-функции имеет компания, какие из них являются критичными и формируют конечную ценность, а какие — вспомогательными. Эту часть аудита выполняют сотрудники ИТ-консалтинга. Помимо классификации функций специалисты определяют ключевые бизнес-процессы и проводят интервью с представителями организации, отвечающими за данные процессы. В результате выявляются требования бизнеса к автоматизации процессов с помощью информационных систем (ИТ-сервисов). На основе такого обследования можно сделать выводы, насколько ИТ поддерживают каждый из бизнес-процессов, соответствуют ли информационные системы требованиям бизнес-пользователей. Теперь можно выработать рекомендации к модернизации систем, а если их нет, сформулировать предложения по их созданию.
В отчете по результатам аудита будут сформированы и ранжированы по приоритетам требования бизнеса к ИТ и показатели удовлетворенности их текущим состоянием, что позволит сформировать краткосрочный план развития. Если же аудит проводится для формирования ИТ-стратегии, то для долгосрочных планов, обычно на 5–7 лет, ИТ-аудит затронет не только текущие потребности бизнеса в ИТ, но и стратегию развития организации в целом, например, планы выхода компании на рынок в других регионах или освоение новых видов деятельности. Такие шаги в будущем потребуют поддержки со стороны ИТ, готовности развивать системы, и все это необходимо учитывать.
Инфраструктура не подведет?
Одновременно с обследованием бизнеса в рамках ИТ-аудита проводят технический анализ всех ИТ-средств, в том числе инфраструктуры. Программное и аппаратное обеспечение оценивают для конкретных задач. Исследование обязательно понадобится, если вы хотите снизить издержки на эксплуатацию ИТ-систем, оптимизировать работу технического персонала, сократить избыточные ресурсы.
Аудиторы обследуют сети, системы хранения данных, вычислительные мощности, операционные системы и корпоративное программное обеспечение, инженерные системы, системы информационной безопасности (ИБ), виртуализации, привлекая технических специалистов соответствующих квалификаций.
Аудит ИТ-инфраструктуры позволяет узнать, какие технические средства используются, как они работают, выявить возможности для их оптимизации, а также дать рекомендации по внедрению определенных решений, хорошо известных на рынке, либо по модернизации существующих систем. Рекомендации аудиторов могут касаться оптимизации не только самих систем, но и процессов, связанных с деятельностью пользователей данных систем.
Основные направления обследования
В зависимости от потребностей заказчика аудит информационных систем может проводиться по следующим областям.
Функциональность
Анализ функциональных возможностей информационных систем и их сопоставление с потребностями бизнеса позволяет составить карту функционального покрытия областей деятельности организации или конкретных процессов, таких как закупки, логистика, работа с заказчиками, продажи, поддержка продаж, и других.
Производительность
Задержка в работе интерфейса информационной системы, низкая производительность базы данных, недостаточная скорость сетевого обмена могут серьезно влиять на выполнение бизнес-функции. Особенно это важно для критичных бизнес-функций, потому что компания может нести прямые убытки, терять конкурентные преимущества и проигрывать на рынке. В этом случае необходимо модернизировать информационную систему либо оптимизировать бизнес-процессы в соответствии с задачами бизнеса, а также внешними требованиями к организации — законодательными актами, регламентами или контрактами с заказчиками, подразумевающими соблюдение SLA. Бывают ситуации, когда специалисты организации недовольны производительностью информационной системы, а по результатам аудита ее работа удовлетворяет всем необходимым нормативам и не влияет на ключевую деятельность организации. В таком случае ее модернизация не является приоритетной.
Гибкость и масштабируемость
Здесь анализируются возможности и трудоемкость адаптации информационной системы под изменяющиеся требования бизнеса. При этом изменения могут затрагивать как функционал системы, так и ее производительность.
Эргономика
Данная область показывает, насколько пользователи удовлетворены интерфейсами информационных систем. Удобству способствует стандартизация интерфейсов, их интуитивное понимание, унификация информационных систем и их интеграция между собой, где это необходимо.
Надежность
Анализ показателей надежности базируется на требованиях бизнеса и регламентирующих актов. Например, в банках самыми критичными являются системы, связанные с обслуживанием клиентов банка, их счетов и банковских карт. Сначала ИТ-консультанты собирают и анализируют требования, регламентирующие возможное время простоев, формируют целевые показатели надежности для информационных систем, затем инженеры выдают заключение о соответствии этим показателям реализованной архитектуры текущих систем.
Информационная безопасность
Высокоуровневые требования к защите информации выявляют консультанты по информационной безопасности. Они анализируют и фактическое выполнение регламентов законодательных документов, например, по работе с персональными данными.
Защита по всем фронтам
Аудит в области информационной безопасности (ИБ) — это всестороннее обследование, позволяющее оценить текущее состояние ИБ компании и спланировать, как в дальнейшем повышать уровень защиты. Можно анализировать защищенность всей компании или отдельных критичных информационных систем (или бизнес-процессов).
В ходе комплексного аудита оцениваются используемые технологии безопасности и процессы, а также сотрудники, например, насколько они осведомлены в области ИБ. Для каждой рассматриваемой плоскости формируются свои проверки и методы. Поэтому до начала работ нужно выявить и согласовать критерии аудита между всеми задействованными сторонами.
Для объективной оценки технической защищенности всей информационной системы компании и отдельных узлов и приложений проводят различные проверки — «пассивные» и «активные» (тестирование на проникновение). Для «активного» аудита нужно обязательно согласовать график работ, поскольку они могут быть сопряжены с рисками потери доступности. Если организуют тесты на проникновение в сетевой периметр организации, время проведения согласуют с интернет-провайдерами (ISP), чтобы сделать проверку максимально эффективной и при этом избежать нежелательных простоев.
В результате тестирований и последующего анализа специалисты получают объективные данные о техническом уровне защиты информационных систем, о выявленных уязвимостях, нарушениях и недостатках защиты ИТ-ресурсов компании. Моделирование угроз и оценка рисков позволяют посмотреть на все в комплексе и определить дальнейшие приоритетные действия, учитывая ценность и критичность затронутых ресурсов. Полученные сведения помогают сформировать уровни выявленных рисков и определить оптимальные меры для их защиты.
Эффективность инфраструктуры и мониторинг
Эффективность ИТ-инфраструктуры определяют на основе данных о текущем применении вычислительных мощностей и производительности ее компонентов, а также данных о сбоях и истории их устранения.
Согласно стандарту ISO 9000:2015, эффективность определяется как соотношение между достигнутым результатом и задействованными ресурсами. ИТ-инфраструктура используется эффективно, если она с минимальными затратами вычислительных мощностей обеспечивает заданный уровень качества ИТ-сервисов, то есть позволяет предоставлять ресурсы с нужным уровнем доступности и производительности.
Для того чтобы выявить зависимости между требуемыми объемами и нагрузкой на компоненты инфраструктуры, применяют специальные системы мониторинга, которые периодически измеряют потребляемые вычислительные ресурсы и производительность.
Мониторинг на постоянной основе помогает определить границы изменения нагрузки, а также установить повторяющиеся всплески нагрузки, связанные с бизнес-деятельностью пользователей, например, в отчетный период. Эта же информация может служить дополнительным индикатором «нормальности» процессов, происходящих в инфраструктуре, и помогает отследить подозрительную, нетипичную нагрузку на системы. Исторические данные позволяют строить прогнозы применения вычислительных ресурсов, что способствует своевременному обеспечению необходимого объема вычислительных мощностей. Данные измерений системы мониторинга помогают перераспределить доступные мощности для их более эффективного использования.
Системы мониторинга также способны отследить негативные тенденции, которые могут привести к снижению производительности или к сбою сервисов. Применение систем мониторинга ИТ-инфраструктуры сокращает время на локализацию проблем и тем самым повышает доступность ИТ-сервисов. Большая часть времени по восстановлению сервиса тратится не на устранение сбоя, а на то, чтобы определить, в чьей зоне ответственности произошла авария. Для оперативной локализации сбоя в системах мониторинга предусмотрены механизмы корреляции, или определения аварийных событий, являющихся причиной или следствием сбоя.
Важно понимать, какое влияние оказывает сбой того или иного компонента ИТ-инфраструктуры на предоставляемый сервис. Основой для корреляции событий в ИТ-инфраструктуре становится так называемая сервисно-ресурсная модель. Она представляет собой связанный граф, вершиной которого является ИТ-сервис, а нижними элементами — компоненты ИТ-инфраструктуры, обеспечивающие работу данного сервиса. В сервисно-ресурсной модели определяется зависимость элементов между собой и степень влияния нижних уровней на более высокие. С помощью сервисно-ресурсной модели удается определить, насколько авария повлияет на сервис, задать необходимый уровень критичности в зависимости от приоритетности сервиса для бизнеса и назначить инцидент на сотрудников, ответственных за данный элемент инфраструктуры.
Что же в итоге?
В результате ИТ-аудита, проведенного во всех областях, готовится отчет, в котором выдаются всевозможные рекомендации для устранения найденных недостатков. Если резюме аудиторов содержит предложения по модернизации существующих систем или внедрению новых, что связано со значительными затратами, бизнес может потребовать обоснование больших инвестиций. Обычно такое обоснование делается путем разработки технико-экономического обоснования (ТЭО) или даже бизнес-плана. Но подобные работы уже выходят за рамки ИТ-аудита и выполняются отдельно.
Опубликовано 18.05.2017