Консалтинг и Аудит
Повышение эффективности бизнес-задач и IT-инфраструктуры организации напрямую зависит от проведения качественных и оперативных мер по IТ-консалтингу и аудиту.
Аудит выявляет плюсы и минусы в инфраструктуре и позволяет принять оперативные меры по их усовершенствованию.
Консалтинг обеспечивает соответствие IT-инфраструктуры и методов безопасности компании к его бизнес-задачам. Создается эффективная платформа для развития предприятия.
IT-консалтинг способствует повышению производительности и налаживает продуктивную работу IТ-инфраструктуры и системы безопасности. Снижаются риски в момент интеграции новых или модернизации установленных систем.
Методы позволяют добиваться значительных результатов IT-инфраструктуры и безопасности. Реализуются прозрачные, прогнозируемые и обоснованные процессы модернизации.
IT-консалтинг и IT-аудит позволяют снижать общую стоимость владения IТ-инфраструктурой и системами безопасности путем синергетического эффекта между установленными средствами IT.
Разработка программ (стратегий) развития ИТ
Разработка стратегий в области IT, является неотъемлемым компонентом общей стратегии по развитию предприятия. IT-стратегия принимает непосредственное участие в управленческом учете и бюджетировании.
IT-стратегия позволяет ответить на ключевые вопросы:
- применяя какие технологии можно существенно ускорить развитие бизнеса;
- в какие сроки возможно реализовать разработанную стратегию;
- какие финансовые вложения для этого потребуются;
- как сократить расходы и увеличить прибыль предприятия.
Разработка условно делится на две составляющие
- снижение операционных затрат компании;
- преобразование IT-департамента предприятия в движущую силу бизнеса
Формализованная IT-стратегия опирается на следующие критерии:
- значительная зависимость компании от IT-инфраструктуры;
- необходимость владения информацией, компания должна быть информационным лидером в соответствующем секторе рынка;
- систематизированный подход при реализации значимых стратегических задач организации;
- создание для пользователей работоспособной и эффективной информационной поддержки;
- интеграция новейших технологий, которые способны повышать эффективность основных бизнес-задач предприятия;
- повышение уровня руководителя IT-отдела до высшего менеджмента.
Разработка IT-стратегии должна опираться на мировые практики и международные стандарты
Это достигается путем внедрения стандартов IТIL, IТSM, CobiТ. После анализа, компания получит разносторонние пути развития IT-инфраструктуры на несколько лет вперед.
Направления разработки IT-стратегии
- формирование стратегических целей и задач компании, которые относятся к IT-инфраструктуре или которые реализуются при помощи них;
- формирование стратегических целей и задач IT-инфраструктуры, на базе тех бизнес-задач, которые устанавливает перед собой предприятие;
- распределение функций IT-департамента внутри предприятия.
Подходы по реализации IT-стратегии:
- определение метода реализации проектов на основе инсорсинга, аутсорсинга, разработки;
- используемые подходы по поддержке IT-сервисов: традиционные, SLA;
- организационные показатели;
- перечень основных этапов по реализации IT-стратегии;
- всесторонняя оценка затраченных средств на реализацию IТ-стратегии;
- методы мотивации сотрудников;
- определение конкурентных преимуществ, которые получает компания после реализации IT-стратегии, к примеру, повышение прибыли и информационной безопасности, снижение TCO и так далее;
- учет возможных рисков;
- перечень ключевых факторов успешной реализации IT-стратегии (Criticаl Suсcess Fаctors, СSF);
- перечень ключевых показателей достигнутых целей IT-стратегии (Kеy Gоal Indicаtors, КGI);
- перечень ключевых показателей эффективности IT-стратегии (Kеy Performаnce Indicаtors, KРI).
Три этапа разработки IT-стратегии
Первый этап
Проведение аудита IT-отдела по стандартам CobiT.
Основная цель — установить виды IT-сервисов, которые используются в данный момент, и определить их функциональную нагрузку. Производится анализ не только технологий, но анализ организации работы сотрудников и процессов. По итогам проведенного аудита выводится экспертная оценка степени функционирования ITи их соответствие с моделями зрелости CоbiT.
Второй этап
Установка соответствий уровня IT-инфраструктуры для текущих и перспективных требований бизнеса.
Основная цель — установить типы сервисов, которые требуются для эффективного функционирования компании и какими должны быть уровни зрелости ITв перспективе для достижения бизнес-задач.
Третий этап
Внедрение IT-стратегии.
Основные цели — установить подходы и методы для достижения развития IT, установить требуемые финансовые затраты, определить системы мотивации сотрудников, установить критерии, по которым будет оцениваться эффективность реализации IT-стратегии, сформулировать перечень преимуществ, которые получит компания.
Ключевые факторы успеха при реализации IT-стратегии:
- наличие детально продуманной бизнес-стратегии, включая управленческий учет и бюджетирование;
- IT-процессы сформированы с учетом IT-стратегии и отвечают бизнес-задачам организации;
- установлены участники и распределены обязанности внутри IT-процессов;
- сотрудники, участвующие в IT-процессах имеют необходимую квалификацию;
- проведение непрерывных мониторингов IT-процессов, с целью повышения их эффективности;
- руководящий состав компании полностью понимает необходимость и важность ITдля успешного ведения бизнеса;
- четко определены задачи и цели IT;
- владение необходимой информацией всеми сотрудниками компании;
- управление ITвнедрено в процессы управления компании, очерчено направление развития IT, производится контроль рисков и осуществляется политика безопасности компании.
Ключевые показатели достижения цели IТ-стратегии:
- существенно повысилась эффективность работы предприятия;
- уменьшено влияние IT-рисков;
- к общему стандарту приведены бизнес-процессы;
- расширена клиентская база;
- повысилось качество обслуживания;
- найдены и реализуются новые каналы сбыта;
- продукция отвечает требованиям стандартов качества.
Ключевые показатели эффективности реализации IT-стратегии:
- сформирован принципиально новый уровень качества IT-сервисов;
- увеличена доступность IT-сервисов и снижено время на получение необходимых данных;
- повысилась эффективность применения вычислительных средств;
- увеличено число сотрудников, которые прошли соответствующее обучение;
- достигнуто соответствие критериев себестоимость/эффективность IT-процессов;
- произошло повышение производительности труда в IT-департаменте;
- уменьшено число ошибок в процессах и снижены затраты на их ликвидацию.
BCM. (BusinessContinuityManagement). Обеспечение непрерывности бизнеса
Business Continuity Management - комплексный подход в управлении компанией, который направлен на выявление потенциальных угроз предприятию. Подход позволяет обеспечить:
- прочную основу для поддержания компании в стабильном состоянии;
- возможность оперативно реагировать на внештатные ситуации.
Главная цель BCM-защита интересов собственника и поддержание его репутации на высоком уровне.
С помощью BCM регулируется процессы восстановления информации при сбоях, управляются программы для обучения, проходят процессы аудита, процедуры и планы непрерывности бизнеса. Все этим меры направлены на подтверждение их соответствия текущим задачам и нуждам компании.
Современные IT дают бизнесу широкий потенциал для увеличения эффективности разработанных решений. Сегодняшние компании стали зависимы от информационных технологий. Главная задача, которая ставится перед IT-инфраструктурой - обеспечить необходимый уровень IT– услуг.
Разрешение этой цели задачи находятся в использовании резервирования компонентов IT-инфраструктуры и в обеспечении непрерывности работы компонентов.
Стратегия обеспечения непрерывности
Данная стратегия достигается при помощи следующей документации и действий.
DisasterRecoveryPlan
План обеспечения непрерывности. Он является ключевым документом стратегии. План формулирует последовательность мероприятий, направленных на подготовку, реагирование, и ликвидацию последствий при чрезвычайных ситуациях, а также регламентирует срок возвращения компании к штатному расписанию работы.
План включает в себя:
- условия, при которых план вступает в силу;
- перечень мероприятий, которые потребуются, чтобы восстановить функционирование IT– сервисов;
- время, за которое будет восстановлено функционирование;
- список лиц, ответственных за восстановительные работы.
В категориях делается описание процедур, которые позволят предоставить компании определенные услуги:
- частичное обслуживание;
- обработка некоторой информации;
- работа с предварительными данными и их последующая корректировка;
- предоставление всего спектра услуг.
В ситуациях, при которых единовременное применение приложений невозможно, расставляются приоритетные функции обслуживания.
Процедуры восстановления и резервное копирование
Эти две взаимодополняющие процедуры определены системой обеспечения ИБ IT-инфраструктуры. Резервное копирование БД - основной метод повышения сохранности информации. В ее работе должны предусматриваться и описываться процедуры создания, и хранения всей корпоративной информации на двух и более удаленных серверах. Восстановление предусматривает регламент корректного восстановления информации по резервным копиям.
Фонд резервного оборудования
Требуется для оперативного восстановления функциональности сервисов при чрезвычайных происшествиях, предусмотренных в DisasterRecoveryPlan. Фонд применяется в тех ситуациях, когда произошел отказ основного оборудования. Восстанавливается работоспособность IT-инфраструктуры согласно установленным приоритетам.
Тестирование плана восстановления
Обязательное условие непрерывности бизнеса – выполнение периодического тестирования плана восстановления. Эти мероприятия обеспечивают готовность сотрудников компании к оперативным действиям при чрезвычайных ситуациях. Тестирование проходит согласно утвержденной периодичности и производится либо в формате учений, либо в обстановке, которая приближена к чрезвычайной.
Обучение сотрудников компании
Обучение сотрудников требуется для упорядочивания процессов при восстановлении. Оно заключается в ознакомлении всех сотрудников с документацией, которая регламентирует использование IT-сервисов и содержит основные положения, описывающие поведение сотрудника при возникновении чрезвычайной ситуации.
Самая распространенная ошибка – попытка сузить задачи непрерывности бизнеса только до обеспечения непрерывности программно-аппаратных комплексов. Эти действия могут привести к:
- неоправданным ожиданиям и требованиям к безотказности IT-инфраструктуры, что приведет к существенному повышению затрат;
- увеличение риска потери клиентов и бизнеса при возникновении чрезвычайных ситуаций.
Компания-исполнитель, которая занимается созданием систем непрерывности работы, обязуется:
- провести бизнес-анализ компании;
- оценить возможные риски;
- разработать стратегии, которые обеспечат нормальную функциональность бизнеса при чрезвычайных ситуациях.
Разработанная стратегия включает в себя:
- интеграцию IT-решений: создаются резервные центры обработки данных, устанавливаются решения для хранения и восстановления данных и так далее;
- внесение модернизаций в бизнес-структуры компании.
После реализации плана, компания получает комплекс техмероприятий и IT-решений, которые позволяют минимизировать риски и негативные влияния при чрезвычайных ситуациях, что и обеспечивает непрерывность работы компании.
Решения Datacenter Infrastructure
Представляет из себя высокофункциональный мобильный дата-центр. Он размещается внутри спецконтейнера. Центр создан на базе исследований потребительских предпочтений и соответствует повышенным требованиям к мобильности современных дата-центров.
Гибкость и масштабируемость
- контейнерный центр обработки данных решает все поставленные перед ним задачи;
- просто расширяется;
- легко масштабируется;
- оперативно передислоцируется.
Способен быстро:
- разворачивать новые технологические мощности;
- защитить важную информацию и оборудование;
- разрешить проблему дефицита помещений.
Технологически оснащен:
- большой энергоэффективностью из-за современных способов теплоизоляции контейнера;
- отсутствуют проблемы с шумом;
- не продуцируются электромагнитные излучения.
Параметры и характеристики:
- кабели прокладываются внутри стен контейнера;
- IT-оборудование помещается в спецшкафы;
- обеспечено бесперебойное питание;
- надежная система охлаждения;
- проводится постоянный мониторинг оборудования.
HP Intеgrity Supеrdome 2
Новейшие серверы НР Inttgrity Suptrdome 2 необходимы для особо значимых приложений. Сервер помогает компании добиваться улучшенных показателей рентабельности и изменять подход к обслуживанию и содержанию IT-инфраструктуры.
НР Intеgrity Supеrdome 2 отличает высокий уровень надежности — приблизительное время между сбоями IT-инфраструктуры - более 300 (трехста) лет.
Конвергентная инфраструктура разрешает проблемы с бесперебойной работой и повышает производительность при помощи упрощения и консолидации всех действующих процессов.
HP Intеgrity Supеrdome 2 имеет следующие преимущества:
- поддерживается высокий уровень обслуживания при помощи меньшего числа оборудования и сокращается время при его обслуживании;
- оптимизируется использование ресурсов и достигается максимальная отдача от имеющихся инвестиций;
- повышается производительность на 25%, тем самым растет эффективность бизнеса;
- повышается эффективность распределения IT-ресурсов на 40%, поддерживаются стратегические планы развития.
Без лишних расходов, осуществляется переход при помощи услуги HP Entеrprise Sеrvice. Данные услуги дают эффективную помощь при переходе на конвергентную инфраструктуру НР для сред повышенной значимости без остановки рабочих процессов. Компания при этом получает следующие возможности:
- управление для физических и виртуальных ресурсов происходит одинаковыми методами, при этом используется одна консоль;
- существенно сокращается время и ресурсы при интеграции новых IT-сервисов компании;
- снижаются сложности при обслуживании и управлении IT-инфраструктурой;
- появляется возможность привлекать инновации при высвобождении ресурсов от стратегических инициатив;
- снижается общая стоимость владения.
Virtual Environment
Prоxmox Virtuаl Envirоnment — представляет собой систему виртуализации с открытым исходным кодом. Она основывается на Dеbian GNU/Linuх.
Гипервизорами выступают KVМ и OpеnVZ. Система способна выполнять любые задачи, которые поддерживаются KVМ ОС (Linux, *ВSD, Windоws и другие), при этом минимизируются потери производительности. Администрирование сервера и управление виртуальными машинами осуществляется через wеb-интерфейс или командную строку Linux.
Для создания новых виртуальных машин предлагается множество опций:
- как гипервизор будет использоваться;
- какой тип хранилища будет оптимальным – LVМ или файл образа;
- какой реализовать тип эмулируемой дисковой подсистемы - IDЕ, SСSI или VirtIО;
- какой выбрать тип эмулируемой сетевой карты;
- определить число доступных процессоров и так далее.
Дополнительные преимущества:
- легкое управление по средствам web-интерфейса;
- возможность мониторинга нагрузки в режиме onlinе;
- создание библиотеки установочных образов;
- возможность подключения к физической консоли гостевых систем из браузера по VNС;
- возможность объединять серверы в кластер;
- возможность живой миграции виртуальных машин, при полной работоспособности гостевой системы;
- возможность быстро развертывать гостевые системы из шаблонов;
- возможность автоматического резервного копирования виртуальных машин.
Построение систем высокой доступности вычислительных кластеров для бизнес-критичных ИС (НА & ProductivityClusters)
Уникальный продукт, при помощи которого возможно создание и эксплуатация кластерных решений. Он поддерживает работу практически со всеми операционными системами: Sоlaris, HP-UХ, AIХ, Linuх, Windоws.
Кроме этого:
- доступна широкая поддержка приложений;
- имеется множество готовых программ-агентов для работы с БД;
- внедрены программы резервного копирования;
- поддерживаются ЕRP и другие системы.
Применение одного решения существенно снижает затраты на обучение сотрудников и администрирование. Централизованная консоль управления и возможность одновременно выполнять команды сразу в нескольких кластерах значительно увеличивают эффективность работы администратора.
АУДИТ Информационных Систем
Практически все современные компании используют IT-инфраструктуру. Учитывая это, аудит информационных систем по международным стандартам – неотъемлемая часть эффективной работы предприятия.
Во время аудита ИС контролируются:
- функциональные принципы ИС;
- способы хранения данных;
- использование контрольных процессов, которые мониторят функционирование среды обработки данных;
- уровень лицензированного ПО;
- установка соответствий используемых алгоритмов к требованиям стандартов;
- возможность обновления ПО для оперативной реакции на изменения задач бизнеса;
- возможность оперативно или планомерно расширять функционал установленных систем;
- уровень информационной безопасности;
- общая информационная политика предприятия.
Процедуры контроля при аудите информационных систем:
- проверка точности работы систем;
- контроль ПО и среды ИС;
- проверка и ведение аналитических счетов и ведомостей;
- составление документации и ее контроль;
- сравнительная характеристика данных;
- установка ограничений доступов к корпоративной информации и активам компании;
- анализ эффективности расхода бюджета.
Существуют риски, которые определены фактами незащищенности системы. В этой ситуации рекомендуется сделать анализ на предмет необходимости в предоставлении неограниченных прав доступа к информации персоналу, который обслуживает ИС. Также рекомендуется регистрировать действия сотрудников которые имеют расширенные полномочия. Аудит событий дает возможность оперативно устанавливать меру ответственности конкретного сотрудника за выполненные действия.
Влияние ИС на аудит
Об ИС, играющих определяющую роль в выполнении бизнес задач компании, необходимо иметь доскональное понимание их возможностей влияния на неотъемлемый риск.
Такое положение определено тем, что имеющиеся неотъемлемые риски, могут оказать влияние на искажение информации. Риски связаны с:
- разработкой и эксплуатацией ПО;
- поддержкой системного ПО;
- обеспечением физической защиты ИС;
- контролем доступа к корпоративным приложениям.
Риски увеличивают вероятность ошибок в программах, БД и корпоративных файлах.
Отдельное внимание уделяется ситуациям, при которых в компанию интегрируются новые информационные системы. Такая процедура потребует значительных финансовых затрат и должна быть отображена в отчетности компании.
В этой ситуации, в число задач аудита входит анализ результатов интеграции ИС, оценка их эффективности и уровень соответствия по отношению к ожиданиям бизнес-задач компании.
Пожалуй, наиболее сложный и трудоемкий этап аудита - сквозное тестирование интегрированной системы. В задачу аудита входит проверка:
- соответствия работы системы к поставленным бизнес-задачам компании;
- корректности данных;
- оценка уровня автоматизированного контроля согласования документации в ИС.
Кроме этих задач, существует необходимость определения степени автоматизации процессов, для минимизации дополнительных трудовых затрат, которые определены ручным контролем. Процесс тестирования выявляет совершенство системы автоконтроля при некорректных действиях сотрудников. Это позволяет снижать финансовые риски.
Минусы в организации доступов к системе определяются при помощи специализированных аудиторских действий - периодический анализ прав сотрудников и выявление их избыточности. При необходимости доступы ограничиваются или разделяются полномочия между сотрудниками.
Заключительный этап аудита
Проверка пользовательской документация, которая в результате своей неактуальности приводит к значительным снижениям эффективности и производительности сотрудников. Такая документация затрудняет полномерный анализ рисков и ведет к снижению уровня контроля во время управления проектами.