Описание COBIT 5 и его применение
Недостаточный обмен информацией
Все чаще многие руководители отделов ИТ, а также представители топ-менеджмента бизнеса осознают, что сотрудникам ИТ отделов необходимо лучше понимать потребности бизнеса. Кроме того, необходимо постоянно улучшать процессы взаимодействия с представителями бизнеса, так как чаще всего обмен информацией между бизнес-подразделением и отделами ИТ неудовлетворительный.
Возникает три основных точки, на которые стоит обратить внимание каждому ИТ руководителю:
- взаимодействие с бизнесом;
- оценка рентабельности ИТ;
- эффективное управление ИТ бюджетом.
Для реализации этих мероприятий можно использовать методологию управления информационными технологиями - COBIT 5.
COBIT 5 предлагает комплексный подход, который помогает предприятиям в решении задач, связанных с руководством и управлением корпоративными службами ИТ. Проще говоря, он позволяет предприятиям оптимизировать ценность ИТ за счет поддержания баланса между получением выгод и снижением уровня рисков и использования ресурсов. COBIT 5 позволяет построить целостную систему руководства и управления ИТ в масштабах всего предприятия, охватывая полностью все функциональные зоны ответственности бизнеса и ИТ и учитывая связанные с ИТ интересы внутренних и внешних заинтересованных сторон. COBIT 5 - это инструмент общего назначения, который может быть полезен предприятиям независимо от их размера и того, являются ли коммерческими, некоммерческими или относятся к государственному сектору.
Эта методология состоит из набора документов в области управления ИТ, которая разрабатывается некоммерческой ассоциацией ISACA.
История COBIT началась в 1996 году, в это время ISACA, образованная в 1969 году выпустила первую версию методологии оценки ИТ. Дальнейшее развитие было в 1998 году - версия 2, в 2000-м - версия 3, в 2005-м году вышла версия 4. В 2007 году версия 4 была доработана и в 2007 году стала нести индекс 4.1. На сегодняшний момент аудиторы параллельно используют две версии 4.1 и 5, которая вышла в 2012 году, и только набирает обороты в профессиональной среде.
Сейчас COBIT имеет связь со множеством других стандартов и лучших практик, таких как ISO 20000, ISO 27000, ISO 38500, ISO 31000, ISO 9000, ITIL, PRINCE2, PMBOK, CMMI, TOGAF, Basel II и другие. При этом в большинстве случаев в тексте указаны ссылки на конкретные главы в источниках.
Многих интересует вопрос, в чем отличие COBIT 5 от предыдущей версии?
В первую очередь, это применение интеграционного подхода, который объединил в себе управление ИТ, которое было в версии 4.1, управление инвестициями в ИТ, которое было описано в Val IT 2.0, а также управление рисками ИТ.
Введена новая система оценки, основанная на ISO 15504 и не совместимая с CMM.
Но стоит заметить, что COBIT 5 опирается на предыдущие версии, тем самым позволяя компаниям использующим предыдущие версии безболезненно переходить на новую.
Основные изменения содержащиеся в COBIT 5:
- Новые принципы руководства ИТ-предприятием (GEIT). COBIT 5 основан на пяти ключевых принципах руководства и управления корпоративными службами ИТ, которые в совокупности позволяют предприятиям выстроить эффективную систему руководства и управления, которая оптимизирует инвестиции в информацию и технологии и их использование в интересах заинтересованных сторон.
- Повышенное внимание на системы обеспечения (enablers). В предыдущей версии не было прямого указания на обеспечение, хотя косвенно они присутствовали.
- Появился новый домен и несколько новых и измененных моделей процессов.
COBIT 5 консолидирует COBIT 4.1, Val IT и рисковать в единую структуру, и был обновлен для согласования с текущей наилучшей практики-например, ITIL, TOGAF. Новая модель может быть использована в качестве руководства для корректировки, по мере необходимости, процессов на собственном предприятии (так же, как COBIT 4.1).
- COBIT 5 вводит пять новых процессов руководства (governance).
- Практика и деятельность. COBIT 5 объединяет и обновляет все предыдущие методики, а именно COBIT 5, Val IT и Risk IT в одной новой модели, что делает её более удобной для пользователей при реализации улучшений
- Пересмотрены и расширены цели и метрики. В COBIT 5 приводится пересмотренный каскад целей, основанный на целях бизнеса задающий ИТ-цели, связанные с поддержкой критически важных процессов.
- Входы и выходы, предлагаемые в каждой практике управления процессом, в отличие от версии 4.1 где были только предложения на уровне процесса.
- Расширенные RACI-чарты на уровне руководства практикой. В COBIT 4.1 RACI-чарты были только на уровне процесса. В COBIT 5 это на уровне руководства практикой.
- Новый процесс оценки модели зрелости. COBIT 5 будет поддерживать новые возможности процесса оценки, основанные на ISO / IEC 15504, в качестве альтернативы подходу CMM. COBIT 4.1, Val IT и Risk брали за основу CMM-оценку которая считается не совместимой с ISO/IEC 15504 подходом, так как эти методики используют различные атрибуты и шкалы для измерений.
Итак, COBIT 5 состоит из следующих доменов:
Стоит обратить внимание, на то, как COBIT определяет понятия РУКОВОДСТВО и УПРАВЛЕНИЕ.
Руководство (governance) - обеспечивает анализ потребностей заинтересованных сторон, условий и возможностей с тем, чтобы определить сбалансированные и согласованные цели предприятия; задание направления развития через приоритезацию и принятие решений; а также контроль исполнения и соответствия согласованным направлению и целям. В большинстве организаций общее руководство является прерогативой совета директоров, возглавляемого председателем.
Управление (management) - проектирует, выстраивает, ведет и контролирует деятельность в соответствии с направлением, заданным руководящим органом для достижения целей предприятия. В большинстве организаций управление находится в зоне ответственности высшего менеджмента, возглавляемого генеральным директором.
Сертификационная схема в COBIT5
Основные цели COBIT 5 в области ИТ:
- ориентация ИТ на потребности бизнеса;
- помощь в увеличении выгод, получаемых бизнесом;
- рациональное использование ИТ ресурсов;
- ИТ риски управляются надлежащим образом.
COBIT позволит Вам:
- Связать бизнес-цели с процессами реализованными в ИТ;
- Произвести оценку текущих процессов управления ИТ;
- Достаточно быстро получить целостную картину об ИТ процессах в компании и их взаимосвязях;
- Использовать методику как источник лучших практик по организации ИТ процессов;
- Установить необходимые метрики для оценки эффективности ИТ процессов;
- На основе проведенных измерений определить вектор дальнейшего развития;
- Организовать эффективные коммуникации с бизнесом.
Большинство публикаций, в том числе и COBIT framework являются бесплатными и доступны на сайте ISACA после регистрации. Остальные документы, такие как программы аудита технологий или руководства по внедрению можно купить онлайн прямо на сайте. Строго говоря, членство в ISACA стоит денег, но зато дает право получить доступ к множеству полезных документов, которые не всегда можно найти в свободном доступе.
Сейчас существует переведенная на русский язык книга COBIT 4.1, но уже идет работа по переводу и новой, пятой версии.
Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.
Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.
Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.
Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.
Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.
Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.
Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.
CobiT - это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).
Рисунок 1 – Модель CobiT
CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта - все то, что так или иначе имело отношение к целям управления.
Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.
Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.
CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:
· топ-менеджерами;
· руководителями среднего звена (ИТ-директором, начальниками отделов);
· непосредственными исполнителями (инженерами, программистами и т. д.);
· аудиторами.
Таблица 1 - Целевая аудитория CobiT
COBIT - подход к управлению информационными технологиями , созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.
Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.
Ключевые области управления ИТ:
- Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
- Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.
- Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
- Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции или системы управления рисками в практику организации.
- Оценка эффективности представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по сравнению с бухгалтерским учетом, методами.
Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается какрезультат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов . ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.
Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.
Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):
Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:
- PO1 Разработка стратегического плана
- PO2 Определение ИТ архитектуры
- PO3 Определение направлений развития технологий
- PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
- PO5 Управление инвестициями в ИТ
- PO6 Согласованное управление целями и задачами
- PO7 Управление ИТ персоналом
- PO8 Управление качеством
- PO9 Оценка и управление рисками ИТ
- PO10 Управление проектами
Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:
- AI1 Идентификация и выбор решений по автоматизации
- AI2 Проектирование и разработка приложений
- AI3 Проектирование и поддержка технической инфраструктуры
- AI4 Обеспечение работы и использования ИС
- AI5 Закупка ИТ ресурсов
- AI6 Управление изменениями
- AI7 Установка и утверждение решений и изменений
Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:
- DS1 Определение и управление уровнями сервиса
- DS2 Управление сервисами подрядчиков
- DS3 Управление производительностью и мощностью
- DS4 Обеспечение непрерывности сервисов
- DS5 Обеспечение безопасности систем
- DS6 Определение и распределение ИТ затрат
- DS7 Обучение пользователей
- DS8 Управление службой поддержки и инцидентами
- DS9 Управление конфигурацией
- DS10 Управление проблемами
- DS11 Управление данными
- DS12 Управление физическим оборудованием
- DS13 Управление эксплуатацией
Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:
- ME1 Отслеживать и оценивать производительность ИТ
- ME2 Отслеживать и оценивать внутренние контроли
- ME3 Гарантировать соответствие регулирующим требованиям
- ME4 Обеспечивать руководство ИТ
Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.
В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.
Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.
К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (см. табл. 3.3).
Таблица 3.3. Сравнение некоторых стандартов аудита ИТ
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 35 тыс. членов из более чем 100 стран, в том числе и России. Ассоциация IS АС А координирует деятельность более чем 38 тыс. сертифицированных аудиторов информационных систем (CISA - Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции. Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.
По заявлениям руководящих органов ISACA, основная цель ассоциации -исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по разработке политик безопасности компании.
Концепция изложена в документе под названием CobiT 3rd Edition (Control Objectives for Information and Related Technology), который состоит из шести частей:
Часть 1: Резюме для руководителей (Executive Summary);
Часть 2: Определения и основные понятия (Framework). Помимо определений и основных понятий в этой части сформулированы требования к ним;
Часть 3: Цели контроля (Control Objectives);
Часть 4: Принципы аудита (Audit Guidelines);
Часть 5: Набор средств внедрения (Implementation Tool Set);
Часть 6: Принципы управления (Management Guidelines).
Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799:2005 (BS 7799-1:2002). Примерно так же подробно приведены практические рекомендации по разработке политик безопасности и управлению информационной безопасностью в целом, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт CobiT (Control Objectives for Information and Related Technology) - пакет открытых документов, первое издание которого было опубликовано в 1996 году. Кратко основная идея стандарта CobiT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов (рис. 3.10) для обеспечения компании необходимой и надежной информацией.
Рас. 3.10. Процессы управления ресурсами информационной системы
В модели CobiT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, сгруппированным определенным образом (рис. 3.11).
Рис. 3.11. Объекты контроля и управления информационными технологиями
Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например стиль, удобство интерфейсов. Характеристики доставки информации получателю - показатели, в обобщенном виде входящие в показатели доступности и частично - в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.
В-третьих, показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Как вы работаете: по наитию или по науке? Наверное, никто не даст однозначного ответа: работа в ИТ-сфере предполагает сочетание опыта и технологий, точных указаний, норм и красивых, даже талантливых, инженерных находок. В любом случае, опыт решает. А как насчёт чужого опыта? В мире создано множество сводов и правил, предназначенных для работы ИТ-служб, которые объединяет понятие с маркетинговым оттенком - «лучшие практики». Это опыт, сформированный множеством компаний и позволяющий довольно просто решать стандартные проблемы.
В посте мы расскажем, что такое ITIL, ITSM, CobiT, DevOps, как они связаны и почему даже системные администраторы небольших компаний должны что-то знать об этих аббревиатурах.
Зоопарк методологий: очень краткий обзор
ITIL и ITSM
ITIL (IT Infrastructure Library) - набор публикаций (библиотека), содержащий лучшие практики в области управления ИТ-услугами. ITIL содержит рекомендации по предоставлению качественных ИТ-услуг, процессов, функций, а также других средств, необходимых для их поддержки. Структура ITIL основана на жизненном цикле услуги, который состоит из пяти стадий (стратегия, проектирование, преобразование, эксплуатация и постоянное совершенствование). Также существуют дополнительные публикации, входящие в ITIL и содержащие специфичные рекомендации по индустриям, типам компаний, моделям работы и технологическим архитектурам. Это каноническое определение ITIL.На самом деле, эта библиотека породила целую парадигму управления ИТ-инфраструктурой компании, основанную на SLA (соответствие обещаний поставщика услуги ожиданиям клиента) и ITSM (IT Service Management, управление ИТ-услугами). ITSM - это концепция организации работы ИТ-подразделения и его взаимодействия с внешним или внутренним заказчиком, а также внешними контрагентами.
ITSM сам по себе ИТ-проект, поэтому, как и все остальные проекты, имеет свои преимущества и недостатки. Использование методов ITSM даёт возможность делать сервис дешевле и оперативнее, а работу ИТ-подразделения прозрачнее, что особенно ценно в многофилиальных и холдинговых организациях. Также есть ещё один момент, который в век стартапов и буквально молниеносного роста новых типов бизнеса вышел за пределы интересов крупных организаций - это возможность сертификации по ISO 20000, международному стандарту для управления и обслуживания ИТ-сервисов. Полезная штука, если вы претендуете на кусок рынка и ищете себе инвестора.
Теперь о рисках. Понятно, что стандарты ITSM и библиотека ITIL описывают лучшие практики и при ознакомлении с ними кажется, что всё логично и именно так работать и должно.
- Если принимать все положения как есть, без привязки к текущему положению дел в бизнесе в целом и в ИТ-службе в частности, можно прийти к излишней формализации и значительному нарушению работы. Процесс внедрения принципов ITIL должен быть избирательным и адаптивным.
- Опять же, перед изменением подхода к управлению следует провести глубокий анализ процессов, происходящих внутри ИТ-инфраструктуры - если всё работает и очевидных путей и потребностей улучшения нет, лучше подойти к ITSM избирательно и внедрять самые ценные и нужные принципы: управление лицензиями (SAM), управление конфигурациями или просто наладить мониторинг.
- Если нет внятной цели использования принципов ITIL, то лучше отказаться от затеи. Внятные цели - это, например, изменение политики управления лицензиями или решение проблемы использования сотрудниками пиратского софта. Невнятная цель - внедрить и применить то, что навязали сверху, потому что услышали на конференции.
CobiT
CobiT (Control Objectives for Information and Related Technologies , задачи управления для информационных и смежных технологий) - сбор стандартов и руководств в области управления ИТ-аудита и безопасности; руководство и сборник практик по управлению ИТ-процессами. Связанный с ITIL инструмент, который непрерывно обновляется и предназначен для того, чтобы между руководством компании, ИТ-специалистами и аудиторами (внешними и внутренними) царили мир и взаимопонимание. Проще говоря, управляющий менеджер должен понимать все ИТ-риски, в том числе связанные с бездействием в ситуациях, требующих коррекции, а также потенциальные риски, связанные с использованием того или иного элемента ИТ-инфраструктуры компании.Рассмотрим две распространённые ситуации.
Ситуация первая. У руководства компании может отсутствовать понимание того, что происходит в ИТ-пространстве, но при этом быть полное понимание целей и миссии бизнеса, процессов, продукта и услуг. И наоборот, ИТ-директор может фанатично строить идеальную ИТ-инфраструктуру, практически не интересуясь тем, как она вписывается в стратегию развития компании. И случается такое нередко именно в самом уязвимом слое - среднем бизнесе, который ещё не достиг нового уровня управления (как гигант), но уже пережил разрастание служб и разрыв простых и внятных внутрифирменных коммуникаций, присущих малому бизнесу. А между тем, такое положение вещей не снимает с руководителя ответственность абсолютно за все процессы в компании, в том числе происходящие в ИТ.
Ситуация вторая , свойственная компаниям любого уровня: от микробизнеса до транснациональных корпораций, - неадекватная оценка рисков. Почти каждый из нас хоть раз встречался с рисками завышенного масштаба: например, страх перед DDoS в небольшой компании или всем известная и так и не ставшая реальностью «проблема 2000». Это риски, которым придают огромное значение и которые не несут объективной угрозы. С другой стороны, существуют недооценённые риски, на которые никто не обращает внимание, но именно они способны положить весь рабочий процесс или принести коммерческий ущерб: неограниченный срок действия учётных записей и паролей пользователей от рабочих ПК и корпоративных информационных систем, клиент-банков; передача коммерчески значимых данных по незащищённым каналам; отсутствие антивирусов и проч. Чтобы классифицировать риски и грамотно их оценить, необходимо проводить внутренний и/или внешний ИТ-аудит. Он, в свою очередь, должен быть не проверкой соответствия правилам и не толчком к соблюдению правил, а именно соблюдением правил. Поэтому аудит должен быть регулярным и сопряжённым с мониторингом системным процессом получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих внутри неё.
В свете этих ситуаций вернёмся к CobiT. В нём описаны цели, задачи и принципы управления, объекты управления, ИТ-процессы, инструменты работы с ИТ-инфраструктурой, а также вопросы ИТ-безопасности. Актуальную версию CobiT и статьи по нему можно почитать на сайте ISACA (есть платные и бесплатные материалы). CobiT можно определить как методологию корпоративного управления ИТ, которая:
- ориентирована на реальные бизнес-требования;
- поддерживает процессный подход к управлению ИТ-инфраструктурой и контролирует процессы;
- оценивает эффективность ИТ в компании.
- Данные - информация внутри компании в любом виде, медиафайлы, внешняя информация.
- Приложения - множество автоматизированных и ручных процедур.
- Технология - программное обеспечение, аппаратное обеспечение, СУБД, СУ сетями, ОС.
- Оборудование - ресурсы, поддерживающие технологию.
- Люди - персонал с навыками и умениями, в том числе контроля и мониторинга.
То есть фактически CobiT исходит из понимания того, что ИТ-инфраструктура - это управление информацией, а согласно своду информация оценивается по нескольким критериям:
- продуктивность - обеспечение доступности информации с помощью максимально экономичного и продуктивного использования ресурсов
- эффективность - актуальность и своевременность информации
- конфиденциальность - обеспечение защиты информации от несанкционированного доступа
- целостность - достоверность, полнота и точность информации
- согласованность - соответствие законодательству, подзаконным нормативно-правовым актам и локальным нормам (указам, договорам, уставу и т.д.)
- пригодность и простота доступа - возможность получения и использования информации для управления бизнес-процессами
- надёжность - свойство информации отражать реальное положение дел, необходимое для принятия управленческих (в т.ч. финансовых) решений.
DevOps
Связан с ITIL (в некоторых источниках считается прямым следствием), покрывается CobiT, но имеет совершенно другую парадигму подход к системному администрированию DevOps . Впрочем, сама расшифровка названия указывает на то, что это гибрид на стыке администрирования и разработки (development и operations). Методология DevOps соединяет в себе труд разработчиков и ИТ-инженеров (это могут быть сформированные команды, отдельные люди или даже один человек), тем самым обеспечивая быстрые темпы развёртывания, надёжность и безопасность production-среды (включая тестирование). Говоря проще, эта методология исключила распространённую фразу, ставшую мемом: «Проблема на стороне железа/софта».DevOps отлично вписался в Agile-методологию с частыми билдами и релизами, хорошо работает в случае развития и тестирования облачных сервисов, а также непрерывно развивающихся пользовательских приложений (корпоративных систем, игр, планировщиков, агрегаторов и т.д.), именно поэтому с 2009 года он хорошо развился и прижился во многих командах как своеобразный тип айтишной кооперации. Дополнительное преимущество DevOps-методологии ощущается при использовании разработчиками и инженерами по тестированию виртуальных машин, конфигурационных файлов, интеграционного и непрерывного тестирования. Например, при тестировании сервисов IP-телефонии тестировщик пишет и использует автоматические тесты, сам настраивает схему, виртуальные машины, репликацию базы данных - фактически это и есть DevOps.
Как методология DevOps даёт множество преимуществ, среди которых:
- стандартизация и автоматизация окружения
- высокая скорость разработки, разворачивания и тестирования
- возможность часто выпускать обновления
- минимизация проблем при внедрениях у заказчика и т.д.
Предупреждение о Visible Ops
Вы можете услышать термин Visible Ops. Он не имеет прямого отношения к DevOps, однако имеет отношение к ITIL, а именно - это книга (с развитием технологий превратившаяся в серию книг) Visible Ops Handbook, которая является отличным пошаговым руководством по использованию ITIL в компании. В книгах есть интересные практические примеры крупных корпораций. Первая, ставшая классикой книга, простым английским языком раскрывает проблемы ИТ в компании и цели изменений. В любом случае, хотя бы пролистать PDF-ку стоит.
Ок, моя компания не входит в топ-100 мира, что мне делать с этой информацией?
Действительно, ITIL и CobiT затрагивают и описывают несколько десятков ИТ-процессов, многих из которых нет в большинстве организаций. Однако это не повод отказаться от ознакомления с основами методологий, чтобы внедрить некоторые идеи в жизнь вашей ИТ-инфраструктуры. Вот примерный перечень того, что даёт использование некоторых принципов перечисленных методологий.- Распределение ответственности в команде и понимание взаимосвязей всех подразделений. Так, например, отдел продаж не может жить отдельно от ИТ-службы, поскольку является пользователем услуг и информации, которая обеспечивается ИТ. Особенно это заметно в тех компаниях, где данные собираются в централизованной базе, а затем распределяются по запросу (например, компании, имеющие биллинг, информацию из которого выгружают с помощью специальных отчётов согласно правам доступа). Плюс ко всему, внутри самой команды ИТ-службы также стоит чётко распределять обязанности - это обеспечит скоординированность действий.
- Рост внимательности и ответственности. В случае, если персоналу известно о непрерывном мониторинге и периодическом ИТ-аудите, многих инцидентов удаётся избежать, поскольку пользователю становится очевидно, что любые ухищрения будут выявлены.
- Рост скорости реакции на проблемы. Если в компании существует система тикетов и заявок, то эффективность обслуживания внутренних заказчиков значительно повышается, а скорость решения проблемы контролируется самим инициатором заявки.
- Простота и прозрачность выявления проблем. Система работы с инцидентами в сочетании с программным обеспечением, позволяющим осуществлять мониторинг сети, помогает быстро устанавливать причину возникновения проблемы и объекты, задействованные в проблеме. А, значит, получать достоверные сведения для поиска решения.
- Упрощение утилизации ресурсов. Системные администраторы и инженеры с помощью специальных программ могут удалённо устанавливать физически и морально устаревшее программное и аппаратное обеспечение и либо обновлять его, либо заменять новым. При этом возможно осуществлять планирование замены элементов ИТ-инфраструктуры, а это - гарантия стабильной работы сотрудников без внезапных простоев.
- Управление лицензиями ПО, проверка наличия свободных лицензий - одна из ощутимых статей экономии на ИТ-инфраструктуре. Установление профиля использования лицензий помогает скорректировать объём закупаемых или арендуемых продуктов, перераспределить ПО по реальным потребностям. Классический пример: отдел продаж из 7 человек, трое из которых постоянно «в полях», а ещё один - выгружает данные раз в месяц для анализа. В отделе семь лицензий CRM, а можно было бы обойтись пятью. Такая же история повторяется и в отделах логистики и дизайна, где установлено и нередко простаивает дорогостоящее ПО.
- Регламентированный порядок работы внутри ИТ-службы уменьшает количество сорванных сроков и нереализованных проектов.
- Понимание текущего среза аппаратного и программного обеспечения в компании позволяет обоснованно составлять бюджет на приобретение ИТ-активов, быстро и точно оценивать потребности компании в модернизации ИТ-инфраструктуры.
- Точное понимание особенностей организации ИТ-инфраструктуры помогает оптимизировать соотношение капитальных и операционных расходов. Например, делая выбор в пользу аренды ПО по модели SaaS или использования виртуальных вычислительных мощностей в облаке.