Учет ИТ рисков при инвестировании Святослав Сорокин Старший вице-президент
advertisement
Учет ИТ рисков при инвестировании Обеспечение непрерывности бизнеса Святослав Сорокин Старший вице-президент ЗАО «Би-Эй-Си» www.bacint.ru О чем пойдет речь • • • • • • Разрешите представится Значимость ИТ в бизнесе компании Оценки потерь бизнеса из-за ИТ Классификация рисков Международные стандарты Методология обеспечения непрерывности бизнеса • Типичные ошибки От построения сетей – к управлению знаниями Структура портфолио Би-Эй-Си Индустриальный и ИТ консалтинг Консалтинг по бизнес-процессам Разработка бизнес-приложений Разработка ИТ стратегии Информационная безопасность ИКТ инфраструктура Центры обработки и хранения данных Системы доступа Системы передачи данных Телефония и видеоконференции Бизнес приложения Системы мониторинга и управления ИКТ Операторские центры Документооборот Инженерные системы Системы центров обработки данных Создание инженерных систем зданий Системы безопасности Аутсорсинг Аутсорсинг ИКТ-инфраструктуры Сервисное обслуживание Обучение и тестирование От построения сетей – к управлению знаниями Компания сегодня 10 лет успешной работы на ИТ-рынке России и за ее пределами Более 1000 сотрудников Партнер более 40 мировых лидеров Более 300 сертификатов Реализовано более 600 крупных проектов Государственная аккредитация на право осуществления деятельности в области информационных технологий Сертификация по ISO 9001:2001 От построения сетей – к управлению знаниями Широкий географический охват Россия Украина Казахстан Москва Санкт-Петербург Краснодар Саранск Омск Пермь Киев Астана От построения сетей – к управлению знаниями Динамика оборота компании 2004 66M $ 2005 89M $ 2006 128M $ 2007 203М $ От построения сетей – к управлению знаниями Нам доверяют лидеры От построения сетей – к управлению знаниями Роль ИТ для бизнеса Типичные вопросы CEO “Акционерная стоимость и приоритеты” CIO “Значимость ИТ, эффективность, рентабельность инвестиций” • Как ИТ могут способствовать увеличению стоимости компании? • Каковы приоритеты бизнеса и требования к ИТ? • Как ИТ могут помочь в управлении бизнесом и решении текущих задач? • Каким образом должны быть интегрированы организация ИТ, процессы, архитектура и инфраструктура в компании? • Как обеспечить принятие эффективных решений по инвестициям в ИТ и, как измерить влияние инвестиций в ИТ на бизнес? • Какие существующие ИТ проекты принесут стратегические выгоды, какие проекты следует остановить? • Как установить контроль над расходами в области ИТ? © 2006 Accenture • Как принимать решения в области ИТ, как контролировать их исполнение? Как распределить ответственность? • Как обеспечить прозрачность и контроль над инвестициями в ИТ? • Как управлять портфелем ИТ проектов? От построения сетей – к управлению знаниями Мировая статистика • 85% Компаний сильно или полностью зависит от вычислительных систем; • В среднем на 6-й день после перерыва ИТ в работе теряется 25% бизнеса, а на 25-й день – 40%; • Спустя 14 дней после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критической; • Свыше 40% компаний, испытавших бедствие и не имевших Плана обеспечения бесперебойного функционирования в течение 3-5 лет теряли бизнес © 2007 Gartner От построения сетей – к управлению знаниями Пример оценки эффективности затрат От построения сетей – к управлению знаниями Вопросы к себе • С какими рисками сталкивается ваш бизнес и ИТ? • Какие прямые и косвенные убытки понесет бизнес из-за простоя ИТ? • Накладывается ли на ваш бизнес государственное регулирование? • Когда в последний раз проводилась проверка плана обеспечения непрерывности бизнеса и какие она дала результаты? От построения сетей – к управлению знаниями Международные стандарты в области ИТ • Стандарты оценки и управления информационной безопасностью: • ISO 15408 • ISO 17799 • BSI • Стандарты ИТ аудита: • • • • CobiT SAC COSO SAS 55/78 • Методики анализа рисков – существует общий подход к анализу рисков, однако единой универсальной методики нет. От построения сетей – к управлению знаниями Метрики управления доступностью • • • • • • • • • • • • • • • Простой, недоступность обслуживания Недоступность компонента Время обнаружения неполадки Время реагирования на неполадку ITSM Время ремонта в случае неполадки Время восстановления в случае неполадки Время возобновления обслуживания в случае неполадок Время устранения неполадки MTBSI, среднее время между системными неполадками MTTR, среднее время прекращения простоя, среднее время восстановления Критическое время сбоя Недоступность услуг третьей стороны Недоступность компонентов, предоставляемых третьей стороной Время возобновления недоступных услуг Количество повторных сбоев От построения сетей – к управлению знаниями Основные метрики • Return Point Objective (RPO) Целевая точка восстановления Согласованный с бизнесом интервал времени, предшествующий аварии, за который допускается потеря данных • Return Time Objective (RTO) Целевое время восстановления Согласованный с бизнесом интервал времени после аварии, необходимый для восстановления ИТ-сервиса От построения сетей – к управлению знаниями Классификация рисков © 2005 Hewlett-Packard Development Company От построения сетей – к управлению знаниями Причины и следствия простоя ИТ © 2005 Hewlett-Packard Development Company От построения сетей – к управлению знаниями Методика оценки потерь © 2005 Hewlett-Packard Development Company От построения сетей – к управлению знаниями Оценки потерь бизнеса из-за простоя ИТ © 2005 Hewlett-Packard Development Company От построения сетей – к управлению знаниями Основные мероприятия по снижению ИТ рисков • Business Continuity Plan (BCP) План обеспечения непрерывности бизнеса Комплекс технических и организационных мер по снижению рисков прерывания бизнеса в случае бедствия • Disaster Recovery Plan (DRP) План аварийного восстановления Важнейшая составляющая ВСР, содержащая суть и порядок действий аварийных команд по восстановлению критически важных ИТ-сервисов От построения сетей – к управлению знаниями Метрики непрерывности предоставления ИТ услуг • • • • • • • • • Число услуг, не охватываемых планом Задержка с подготовкой/обновлением плана Задержка с тестированием плана ITSM Число проблем, выявленных при последнем тестировании, которые еще не решены на данный момент времени Результаты опроса по осведомленности о непрерывности предоставления ИТ-услуг Число выявленных за данный период проблем, которые ставят под угрозу план Число неверных записей в справочнике группы кризисного контроля Запаздывание готовности резервных мощностей Степень удовлетворенности клиентов От построения сетей – к управлению знаниями Логика снижения ИТ рисков УГРОЗЫ 1. Физические (техногенные, терроризм) 2. Логические (хакерские атаки, саботаж) УЯЗВИМОСТЬ РИСК ИТ-сервисы БИЗНЕС RTO RPO BCP DRP От построения сетей – к управлению знаниями Жизненный цикл по обеспечению надежности ИТ систем Аудит надежности ИТ систем Разработка решений по повышению надежности ИТ систем Исполнение проектов по повышению надежности ИТ систем Разработка ТЭО проектов по повышению надежности ИТ систем От построения сетей – к управлению знаниями Работы и результаты по обеспечению надежности ИТ Общая координация и управление проектом Работы • • Сбор информации о текущей надежности и отказоустойчивости ИТ систем Определение требований к повышению надежности и отказоустойчивости • • • Анализ информации о надежности и отказоустойчивости ИТ систем Оценка информации Разработка решений по повышению надежности ИТ систем • Решения по повышению надежности и отказоустойчивости ИТ систем Перечень мероприятий для повышения надежности ИТ систем • • • Анализ и выбор метода ТЭО проектов по повышению надежности ИТ систем ТЭО проектов по повышению надежности ИТ систем. Разработка и согласование сводного текста отчета Результаты • • • Карта проблем надежности и отказоустойчивости ИТ систем Карта «блокируемых» рисков Требования к повышению надежности и отказоустойчивости • • • Отчет по результатам работ, включающий рекомендации по повышению надежности и отказоустойчивости ИТ систем и их ТЭО Итоговая презентация по результатам работ От построения сетей – к управлению знаниями Мероприятия по обеспечению надежности ИТ систем и их ТЭО Согласование с бизнесом изменения требований Сбор информации о надежности ИТ систем Составление карты рисков ухудшения надежности Определение требований бизнеса Анализ и оценка информации Формирование комплекса технических решений Нет Разработка ТЭО ТЭО приемлемо? Да Разработка итогового отчета Формирование комплекса организацион. решений Определение стоимости потерь От построения сетей – к управлению знаниями Анализ и разработка решений по повышению надежности ИТ Корпоративные стандарты, требования подразделений Бизнес процессы Анализ и разработка решений по повышению надежности ИТ систем NGOSS ITSM ИТ системы Проекты Рискменеджмент Обоснование эффективности REVENUE ARPU EBITDA / OIBDA Bad Debts CHURN REVENUE ASSURENCE От построения сетей – к управлению знаниями Пример проекта Внедрение Программы аварийного восстановления Ввод Программы в эксплуатацию Разработка документов и регламентов Техническое проектирование Разработка концепции обеспечения непрерывности Запуск проекта Программа аварийного восстановления — комплекс технологических и организационно-методических мер, которые позволяют обеспечить непрерывность предоставления ИТсервисов организации. От построения сетей – к управлению знаниями 1 этап: Разработка Концепции 1. Превентивные меры Первичные угрозы • • • снижение вероятности ЧС снижение уязвимости при ЧС снижение потенциального ущерба 2. Аварийное восстановление Типы сценариев: • полная потеря ВЦ • потеря серверов/приложений • частичная потеря данных • серьезный сбой сети • логическое повреждение данных RTO/ RPO Техническое решение / $ • защита данных Классы • восстановление решений сервиса Типы сценариев: потеря приложения (данные/сервис) Ущерб от потери приложения Классификация (классы критичности) • Load balancing • Синхронная репликация RTO/RPO I Mission critical 2 Business critical 3 Business operat 4 Operational • Cross-site backup ОБЩЕЕ РЕШЕНИЕ (сроки + деньги) От построения сетей – к решений) управлению знаниями (возможно, изменение 1 этап Разделы концепции Стратегия резервирования ИТ-сервисов • • • Резервные площадки («холодные, горячие»); Каналы связи основной и резервной площадок; Резервное оборудование: • «Холодное» (на складе, либо по предварительным договорам у вендоров) • «Теплое» (предварительно инсталлированное для целей резервирования, используемое для производственных нужд в штатном режиме) • «Горячее» (работающее как резервное в режиме On-Line) • Организационная структура и Планы обучения • Высокоуровневые решения по способам эксплуатации резервных систем Стратегия защиты данных • • Способы резервного копирования; Способы репликации данных. Стратегия восстановления ИТ-сервисов • Привязка классов критичности ИТ-сервисов (RPO/RTO) к способам резервирования и защиты данных; Стратегия реализации Программы • Укрупненный план-график с описанием этапов реализации От построения сетей – к управлению знаниями 1 этап Разработка типов сценариев Полная потеря центра данных В этом случае будет прекращено предоставление всех услуг центра данных. Предполагается, что физическая инфраструктура ИТ станет совершенно недоступной, равно как и все хранящиеся в ней данные. Значительная частичная потеря серверов или прикладных сред В этом сценарии некоторые сервисы будут продолжать работать, но по меньшей мере, один из самых важных сервисов окажется недоступен. Тем не менее, данные восстановить можно. Значительная частичная потеря данных В этом случае значительная часть данных оказывается утрачена или недоступна. Хотя некоторые сервисы могут продолжать работать, хотя бы один из самых важных сервисов недоступен из-за потери данных. Однако часть физической инфраструктуры ИТ может быть по-прежнему доступна для использования. Серьезный сбой сети При таком сценарии теряется связь по локальной сети или связь с Интернетом. Хотя непосредственного влияния на серверы и данные это не окажет, сбой в сетевой инфраструктуре означает, что бизнес-пользователи, клиенты и партнеры не смогут получить доступа к ИТ-услугам, предоставляемым ГВЦ. Значительная потеря данных вследствие логического повреждения В этом случае, хотя инфраструктура ИТ останется невредимой, бизнес-услуги окажутся недоступны, потому что необходимые им данные будут недоступны вследствие повреждения. Следует исходить из допущения, что все копии данных, сделанные в реальном времени, будут также повреждены, и приложения/сервисы придется вернуть к предыдущей моментальной копии. От построения сетей – к управлению знаниями 1 этап Классификация критичности ИТ приложений НАЗВАНИЕ ОПИСАНИЕ Очень высокий приоритет – критично для миссии компании Приложения, без которых Компания не сможет предоставлять основные услуги после аварии в центре данных или вести учет потребления услуг. Высокий приоритет – критично для бизнеса Приложения, без которых Компания не сможет поддерживать и увеличивать свою клиентскую базу. Средний приоритет – важно для деловых операций Приложения, без которых Компания не сможет выполнять свои основные бизнес-функции. Низкий приоритет – производительность офисной работы Приложения, для восстановления которых в случае чрезвычайной ситуации можно не предусматривать специальных средств. От построения сетей – к управлению знаниями 1 этап Варианты разработки ИТ инфраструктуры Уровень пользователей Уровень пользователей Уровень пользователей Уровень приложений Уровень приложений Уровень приложений Уровень ОС Уровень ОС Серверный уровень Серверный уровень Сетевой уровень Сетевой уровень Инженерный уровень Инженерный уровень Главный и резервный вычислительные центры ГВЦ Приложение 1 Приложение 2 Приложение 3 Приложение 4 Уровень ОС Серверный уровень Сетевой уровень Инженерный уровень Уровень ОС Серверный уровень Сетевой уровень Инженерный уровень Распределенный вычислительный центр РЦ Приложение 1 Приложение 2 Приложение 3 Приложение 4 Смешанный вычислительный центр От построения сетей – к управлению знаниями 2 этап: Техническое проектирование Среда доступа Оптоволокно РВЦ хранение данных LAN, MAN, WAN • в случае бедствия автоматическое перенаправление всех внутренних пользователей с основного на резервный ВЦ • наличие доступа к ресурсам компании из внешних сетей Internet • к корпоративным порталам и почте для внешних пользователей SAN, DWDM, Multipathing, Gigabit Ethernet • единый SAN для резервирование данных критичных систем в РВЦ Интеллектуальные дисковые массивы, резервное копирование, внешнее хранение лент РВЦ системы Dedicated, COD, Procurement, Non-production Инфраструктура (восстановление критичных систем) Сервисы авторизации, Корпоративная почта, DNS, Сетевые каталоги • наличие в РВЦ основных сетевых служб, таких как DNS, MSAD‚ и т.д. • наличие у пользователей систем привычной и актуальной рабочей среды (общие каталоги‚ корпоративная почта‚ доступ к внешней почте) Аппаратная, программная, средствами резервного копирования Перенос нагрузки из ГВЦ в РВЦ Репликация данных Восстановление сервисов Резервный офис Резервные рабочие места конечных пользователей От построения сетей – к управлению знаниями 3 этап: Разработка документов Разработка концепции Превентивные меры по снижению вероятности реализации угроз Техническое проектирование Разработка Разработка Реализация DR- системы планов DR-плана и регламентов Ввод вв действие действие Ввод DR-плана Программы 1 DRP Превентивные меры по снижению ущерба от реализации угроз РИСК 2 DRP План первичного реагирования 3 DRP План аварийного восстановления ИТ-сервисов в РВЦ План перехода от аварийного к штатному функц-ию Превентивные меры План переноса ИТ-сервисов обратно в ГВЦ 4 DRP 5 DRP 6 DRP Угрозы Таблицы критичных ИТ-сервисов От построения сетей – к управлению знаниями 3 этап: Разработка документов Разработка концепции Техническое проектирование Разработка Разработка Реализация DR- системы планов DR-плана и регламентов Ввод вв действие действие Ввод DR-плана Программы Разработка регламентов и процедур аварийного восстановления Разработка организационной структуры групп восстановления Разработка планов обучения Внедрение организационной структуры, регламентов и процедур аварийного восстановления Разработка планов тестирования (учебных переключений) От построения сетей – к управлению знаниями 4 этап: Ввод в действие Программы Разработка Разработка Реализация DR- системы планов DR-плана и регламентов Техническое проектирование Разработка концепции Ввод вв действие действие Ввод DR-плана Программы План внедрения • Глубина проработки 18 месяцев; • Пересмотр 6-12 месяцев; • Мониторинг, улучшение Планы разного уровня • Стратегический уровень; • Тактический уровень; • Операционный уровень Техническая реализация «Опорная инф-ра» • Превентивные меры; • РЦ с инфраструктурой • Резервное копирование Критичные/важные/остальные • Пошаговое внедрение; • Проверка работоспособности; • Высокая доп. нагрузка • Оптимизация основной инфраструктуры • Резервные раб. места/резервный офис Контроль изменений Обеспечение непрерывности ИТ-сервисов Необходимо встроить в основной процесс развития ИТ От построения сетей – к управлению знаниями Типичные организационные ошибки (1) 1. Переоценка или недооценка рисков (неадекватность используемого решения для предотвращения возможных потерь) DR 2. Передача руководства проектом обеспечения непрерывности бизнеса ИТ-руководителям Обеспечение непрерывности достигается не только (и не столько) за счет технических средств, сколько благодаря управленческим процессам, таким как контроль рисков, контроль изменений, регулярное тестирование Плана и т.д. От построения сетей – к управлению знаниями Типичные организационные ошибки (2) 3. Недооценка скорости изменений в Компании Проект обеспечения непрерывности, в котором не учитываются изменения структуры Компании или быстрые темпы ее роста, может не улучшить, а ухудшить способность восстановления в случае ЧС 4. «Мы сами справимся!» Участие внешних консультантов позволяет: • разработать целостный и всеобъемлющий подход; • формализовать используемые процедуры и методы; • воспользоваться экспертным опытом. От построения сетей – к управлению знаниями Типичные организационные ошибки (3) 5. «Расскажем, когда всё будет готово!» Реализация проекта по обеспечению непрерывности бизнеса занимает длительное время. Естественно, что руководство будет интересоваться успехами, не дожидаясь окончания проекта. Поэтому необходимо регулярно информировать его о ходе выполнения работ, возникающих проблемах и ближайших планах, чтобы избежать ситуации, в которой достигнутые результаты не соответствуют ожиданиям. Нельзя допустить, чтобы потраченные усилия получили оценку «ГОРА РОДИЛА МЫШЬ». От построения сетей – к управлению знаниями Типичные технологические ошибки (1) 1. Дублирование существующей ИТ-инфраструктуры Если не проводить оптимизации существующей ИТ-инфраструктуры, то ее усложнение за счет реализации DR-решений вместо способности обеспечить непрерывность бизнеса приведет лишь к уменьшению надежности 2. Недостаточность выделенных ресурсов Реализация стратегии обеспечения непрерывности бизнеса требует большого количества ресурсов, выделенных в нужное время и в нужном месте. Особенно важно иметь достаточно технических специалистов, способных участвовать в реализации и последующей эксплуатации примененных технологических решений. От построения сетей – к управлению знаниями Типичные технологические ошибки (2) 3. «Всё и сразу!» Поскольку ИТ-инфраструктура современных компаний состоит из большого количества компонент, невозможно обеспечить непрерывность функционирования их всех за один шаг. Работы должны быть спланированы таким образом, чтобы на каждом этапе постепенно повышать степень непрерывности бизнеса, не подвергая его дополнительным рискам на протяжении всего проекта. От построения сетей – к управлению знаниями Заключение • • • • • Не рискуйте! Не дожидайтесь безвозвратных потерь Выступайте с инициативой Управляйте проектом Берегите свои нервы и своего босса От построения сетей – к управлению знаниями Наши предложения • Количественный и качественный анализ рисков и его согласование с бизнес-подразделениями • Аудит ИКТ компании и деятельности ИТ-служб на предмет готовности к рискам • Разработка ТЭО, концепции и внедрение плана по поддержанию непрерывности бизнеса в области ИТ (BCP) • Разработка ТЭО, концепции и внедрение плана восстановления работоспособности информационной системы в области ИТ (DRP) • Разработка и внедрение архитектурных решений по реорганизации ИКТ предприятия в соответствии с BPC и DRP От построения сетей – к управлению знаниями Святослав Сорокин E-mail: sviatoslav.sorokin@bacint.ru Тел: +7 (495) 787 24 50 (доб. 1262) http://www.bacint.ru
