Засоби підтримки процесу моніторингу ІТ

Набір засобів, що дозволяють вирішувати виникаючі в ІТ-інфраструктурі проблеми, сьогодні досить великий, так що при необхідності можна навіть розробити особливий, добре налагоджений процес ліквідації неполадок. Однак, найкращий спосіб − визначити появу самої проблеми. Очікувана й передбачувана проблема вже не так страшна. У такому випадку час пошуку несправностей і простою може помітно скоротитися.

Системи управління й моніторингу пройшли досить довгий шлях еволюційного розвитку, віхами якого стали ідеї й твердження, що у різний час домінували у середовищі фахівців. Наприкінці минулого століття великі авторитети стверджували, що система управління інфраструктурою повинна бути автоматичною й самостійно керувати всім процесом. Тобто у випадку виникнення проблем приймати рішення повинна була сама система, тоді як адміністраторові приділялася роль пасивного спостерігача, що одержує лише повідомлення про те, які проблеми і яким шляхом були ліквідовані. Але досить швидко з'ясувалося, що все це ілюзії, а тотальна ставка на штучний інтелект СУМ − якщо не глухий кут, то, принаймні, ідея, що значно випередила свій час.

Нині провідні розробники й інсталятори корпоративних інформаційних систем упевнені, що основне завдання СУМ полягає в тому, щоб, насамперед, правильно сформулювати розуміння проблеми. І вже залежно від результату можна намагатися її вирішувати.

Існує багато засобів моніторингу ІТ. Реалізуючи функцію управління, керівники найбільш ефективно використають сім основних:

світлофорні звіти про проекти й стратегічні ініціативи;

управління за допомогою системи збалансованих показників і панелей;

еталонне тестування ризику й контролю при прийнятті рішень по інвестиціях в ІТ;

активний моніторинг інфраструктури ІТ;

мозковий штурм із питань управління ризиком і раціоналізації;

внутрішнє і зовнішнє оцінювання;

ознайомлення керівництва зі звітами відповідальних працівників.

Світлофорні (traffic light) звіти про проекти й стратегічні ініціативи. Це найбільш популярний механізм надання звітності керівництву за яким повною мірою використовується принцип всебічності й повідомлення про виключення.

Якщо захід укладається у терміни й бюджет, у звіті йому присвоюють зелений колір. Коли у наявності ознаки майбутньої перевитрати часу й коштів − жовтий. Якщо перевитрата вже має місце або цілей неможливо досягти без серйозних змін й інвестицій − червоний.

При цьому заходами можуть бути:

проект;

ініціатива з удосконалення;

відпрацьовування аудиторської рекомендації.

Ініціативи з удосконалення формуються у результаті реінжинірингу, мозкового штурму, присвяченого керуванню ризиками, перевірок якості, контрольної самооцінки й т.д.

Жовтий і червоний сигнали вимагають коротко описати статус і прийняти коригувальні заходи (табл. 6.1).

Таблиця 6.1

Світлофорний звіт про стратегії і заходи

Бачення й стратегія	Завдання	Одиниці виміру	Заходи	Ініціативи
Фінанси: як ІТ сприяють фінансовому успіху організації?
Клієнти: як ІТ повинні допомагати клієнтам, щоб підтримувати реалізацію бачення?
Внутрішні бізнес-процеси: у яких ІТ-процесах треба досягти переваги, щоб задовольнити акціонерів і клієнтів?
Навчання й розвиток: як зберегти здатність змінювати й удосконалювати ІТ-середовище, щоб реалізувати бачення?

Управління за допомогою системи збалансованих показників. В управлінні ІТ усе ширше застосовується метод збалансованих показників для виміру вартості й загального внеску ІТ.

Метод забезпечує узгодження планів компанії й ІТ через узгодження цілей ІТ для ІТ-процесів і цілей бізнесу, що ці процеси підтримують. Визначаються основні індикатори (фактори) успіху для кожного процесу.

Керівництво реалізує комплекс заходів щодо оцінювання й моніторингу, щоб зібрати інформацію про досягнення результатів (використовуючи одиниці виміру цілей) і про виконання ІТ-процесів (використовуючи ключові робітники показники). Ці дані дозволяють визначити, чи ефективні стратегії й методи використання ІТ, вибрати коригувальні або регулюючі міри.

Зв'язок між системами збалансованих показників об’єкта й ІТ гарний спосіб узгодження. Багато індикаторів результативності роботи ІТ впливають на діяльність об’єкта, тобто демонструють якість цієї діяльності. Система збалансованих показників повинна відображати внесок ІТ у результативність функціонування об’єкта.

Еталонне тестування ризику й контролю при прийнятті рішень по інвестиціях в ІТ. Еталонне тестування дозволяє проводити моніторинг окупності інвестицій і зниження ризиків, пов'язаних з ІТ. Воно допомагає об’єкту відрізнити бажане від дійсного, визначити стратегію й виробити рішення щодо проектів з удосконалення. Моніторинг удосконалень і регулярна переоцінка зрілості об’єкта методом еталонного тестування (порівняння з показниками інших підприємств) стають передовою практикою моніторингу ІТ.

Активний моніторинг інфраструктури ІТ. Проблема ризиків інфраструктури ІТ як на рівні окремого об’єкта, так і їх сукупності багато у чому змінила управління безпекою й ризиками у сфері ІТ.

Стало зрозумілим, що традиційний підхід до визначення політики, вибір міри обережності і їхня реалізація занадто статичні для мінливого, нестабільного середовища. Їм потрібен був більш динамічний метод поточного активного моніторингу інфраструктури ІТ.

Такий метод передбачає безперервний контроль і самооцінку з метою виявлення й вирішення проблем. Про підсумки заходів треба, якщо необхідно, інформувати вище керівництво (у яких випадках це треба робити, повинно роз'яснити саме керівництво).

При активному моніторингу йде робота з виявлення несанкціонованих дій у системах і мережах. Збирається й аналізується інформація, шукаються ознаки атак і вірусів, уразливі місця, випадки недотримання основних правил, зловживання.

Таку роботу необхідно підтримувати процедурами реагування. Як правило, вона супроводжується тренуваннями по розпізнаванню вторгнення, випробуванням засобів управління інфраструктурою, за підсумками яких керівництву подаються звіти про виключення.

Мозковий штурм із питань раціоналізації й управління ризиком. Об’єкти з високим ступенем ризику вводять процеси й зобов'язання, пов'язані з постійним моніторингом ризиків. Економічна альтернатива цьому – продуманий і підготовлений мозковий штурм за участю вищого керівництва й осіб, відповідальних за ІТ, безпеку, ризики й оцінювання.

Результатом повинні стати переліки найбільш уразливих місць і загроз, список заходів з поліпшення й реагування.

Внутрішнє і зовнішнє оцінювання. Для керівництва звіти внутрішніх і зовнішніх перевірок є найважливішим засобом моніторингу ІТ. У звітах декларується мета перевірки, указуються її обсяг і методологія, зміст й охоплений період. У них відображаються: повні результати й висновки, причини проблем, рекомендації з виправлення ситуації й поліпшення діяльності.

Звіт включає запевняння, що оцінювання проведено відповідно до загальноприйнятих стандартів, і вказівку, у яких випадках стандарти не дотримувалися. У документі присутні стосовні до справи думки відповідальних працівників об’єкта, програма, захід або функція, перевірені відповідно до результатів оцінювання, висновки й рекомендації, заплановані коригувальні дії.

За виправлення ситуації відповідає керівництво об’єкта, але необхідно проконтролювати, чи прийняті необхідні міри.

Ознайомлення керівництва зі звітами відповідальних працівників. Це найважливіший елемент управління ІТ. Керівники повинні одержувати для ознайомлення звіти по просуванню до поставлених цілей, про ступінь виконання завдань, про підсумки, показники й ризики. Розглянувши повідомлення, менеджмент забезпечує своєчасне вживання необхідних заходів.

Контроль за ІТ-мониторингом процесів, що відповідає вимогам об’єкта з досягнення цілей, можливий завдяки визначенню індикаторів виконання, систематичної й своєчасної звітності й швидкому усуненню відхилень. Він ураховує:

збалансовані показники з факторами продуктивності й одиницями виміру;

оцінку задоволеності клієнтів;

управлінську звітність;

базу знань про попередню роботу;

зовнішнє еталонне тестування.

Для контролю ІТ і внутрішніх процесів керівництво повинно переконатися, що визначено індикатори виконання по внутрішніх і зовнішніх джерелах та ведеться збір даних для підготовки звітів керівництву й повідомлень про виключення, що відносяться до цих індикаторів.

Необхідно контролювати відповідність і повноту організаційних й індивідуальних робочих показників.

Керівництво оцінює послуги, що надаються інформаційною технологією, і порівнює їх рівень із цільовим. Оцінювання повинно проводитися на постійній основі.

Керівництво регулярно оцінює задоволеність клієнтів послугами, що надаються функціями ІТ, виявляючи недоліки й ставлячи завдання з удосконалення.

Виконавчий менеджмент повинен одержувати для розгляду звіти про просування об’єкта до поставлених цілей, про виконання планових завдань, про отримані результати й зменшення ризиків. Ознайомившись зі звітністю, керівництво зобов'язане вжити заходів, які вважає за необхідні.

При цьому до критичних факторів успіху відносяться:

є корисна, точна й своєчасна звітність;

визначено процеси, основні цільові показники й індикатори виконання;

оцінювання роботи ІТ провадиться по фінансовому, операційному, клієнтському й організаційному критеріях, які забезпечують відповідність цілям організації й можуть бути інтегровані з такими засобами, як система збалансованих показників для ІТ;

існують зрозумілі й доведені до виконавців завдання процесів;

розроблено структуру для визначення й дотримання вимог до звітності по ІТ;

створено базу знань про попередню роботу.

Основні цільові показники:

послідовне застосування певної кількості робочих показників;

виявлення й реалізація зростаючого числа можливостей для поліпшення процесів;

задоволеність керівних осіб й органів звітністю про роботу;

зниження кількості недоліків.

Основні індикатори виконання:

часовий проміжок між виникненням недоліку й повідомленням про нього;

часовий проміжок між повідомленням про недолік і вживання заходів;

відношення між відзначеними недоліками й недоліками, які вимагають подальшої уваги керівництва («індекс шуму»);

кількість процесів, які піддаються моніторингу;

кількість виявлених й убудованих у моніторинг відносин «причина – слідство»;

кількість зовнішніх даних для еталонного тестування ефективності процесу;

часовий проміжок між змінами у бізнесі й пов'язаними з ними змінами у робочих показниках;

кількість змін у комплексі робочих показників, що виникли без зміни цілей об’єкта.

Контроль за ІТ-процесом оцінювання адекватності внутрішнього контролю, що відповідає вимогам об’єкта з досягнення цілей, можливий завдяки моніторингу засобів внутрішнього контролю, перевірці їх ефективності, регулярний звітності. Він ураховує:

відповідальність за внутрішній контроль;

постійний моніторинг внутрішнього контролю;

звітність про помилки й виключення;

дані еталонного тестування;

самооцінку;

звітність керівництва;

дотримання законів й інструкцій.

При нормальному ході операцій керівники повинні проводити моніторинг ефективності внутрішнього контролю за допомогою управлінської й наглядової діяльності, порівняння, узгодження й інших стандартних дій. Відхилення вимагають аналізу й коригування. Про них варто повідомляти працівникові, відповідальному за цю функцію, і керівникові більш високого рівня. Про серйозні відхилення необхідно інформувати вище керівництво.

Надійний внутрішній контроль забезпечує швидкість виявлення помилок і невідповідностей і виправлення їх до того, як вони позначаться на товарах і послугах. Варто збирати й систематично доводити до керівництва інформацію про помилки, невідповідності й виключення.

Керівництво повинне доводити інформацію про рівень внутрішнього контролю й про виключення до всіх, хто має до цього відношення, забезпечуючи незмінну ефективність системи внутрішнього контролю. Необхідно з'ясувати, яка інформація потрібна на тому або іншому рівні прийняття рішень.

Затверджена перевірка операційної безпеки й внутрішнього контролю повинна проводитися періодично у вигляді самоперевірки або незалежного оцінювання з метою з'ясуваня відповідності безпеки й внутрішнього контролю затвердженим або тим, що маються на увазі, вимогам. Необхідно проводити постійний моніторинг для виявлення уразливих місць і проблем в області безпеки.

Критичні фактори успіху:

керівництво чітко знає, які компоненти процесів необхідно контролювати;

є ясне розуміння відповідальності, пов'язаної із внутрішнім контролем, узгодженням і внутрішнім оцінюванням;

функція внутрішнього контролю компетентна й авторитетна, належним чином розподіляє відповідальність;

розроблено структуру контролю процесів ІТ;

чітко налагоджена процедура своєчасної звітності про недоліки внутрішнього контролю;

дані моніторингу внутрішнього контролю точні, повні й своєчасні;

керівництво приділяє увагу недолікам внутрішнього контролю;

існує взаємозв'язок з оцінкою ризику й процесами безпеки;

забезпечено спільне використання знань про проблеми внутрішнього контролю і їх рішень.

Основні цільові показники:

індекс задоволеності вищого керівництва й упевненість, що надає звітність з моніторингу внутрішнього контролю;

знижена ймовірність порушень в області внутрішнього контролю;

позитивні зовнішні відгуки про кваліфікації й сертифікації;

кількість заходів щодо удосконалення контролю;

дотримання вимог законодавства або інструкцій;

зменшення числа порушень в області безпеки або дефектів якості.

Основні індикатори виконання:

кількість і поширеність самооцінки;

своєчасне оповіщення про недоліки внутрішнього контролю;

кількість, періодичність й охоплення звітів про дотримання внутрішніх вимог;

обсяг своєчасних заходів для питань внутрішнього контролю;

кількість випадків поліпшення контролю у результаті аналізу причин.

Контроль за ІТ-процесом проведення незалежних перевірок ураховує:

незалежну сертифікацію й акредитацію;

незалежне оціння ефективності;

незалежну перевірку дотримання вимог законодавства й регулюючих органів;

незалежну перевірку дотримання контрактних зобов'язань;

перевірку й еталонне тестування сторонніх провайдерів послуг;

виконання перевірок кваліфікованими фахівцями;

профілактичне оцінювання.

До впровадження нових важливих служб ІТ керівництво повинно забезпечити незалежну сертифікацію/акредитацію безпеки й внутрішнього контролю, а після впровадження – ресертификацію й переакредитацію на регулярній основі.

Керівництво повинно регулярно одержувати незалежну оцінку ефективності послуг ІТ, у тому числі послуг, що надаються сторонніми провайдерами, незалежне підтвердження дотримання контрактних зобов'язань, вимог законодавства й регулювальних органів, незалежне підтвердження того, що сторонні провайдери послуг дотримуються контрактних зобов'язань, вимог законодавства й регулюючих органів.

Керівництво повинно переконатися, що функція незалежної перевірки проявляє технічну компетентність, знання й навички, необхідні для ефективного, раціонального й економічного проведення таких перевірок.

Керівництво ІТ повинно намагатися провести профілактичние оцінювання до остаточної здачі в експлуатацію ІТ-решений.

Критичні фактори успіху:

забезпечено постійне зв'язування з потребами учасників;

організація визначила процеси для перевірки ІТ (особливо загального внутрішнього контролю, сертифікації й важливих рішень);

регулярно проводиться еталонне тестування сторонніх провайдерів послуг;

процес прийняття рішень по ІТ опирається на аналіз вимог для перевірки думки третьої сторони;

до незалежної перевірки проводиться ретельне оцінювання ступеня ризику з основними учасниками;

процес довгострокового удосконалювання незмінно опирається на незалежну перевірку;

перевірки проводяться за загальноприйнятими правилами.

Основні цільові показники:

зростаюче число прийнятих думок по загальній системі зовнішнього контролю у всіх погоджених сферах;

зростаюче число сертифікатів якості й акредитацій у всіх погоджених сферах;

зростаюче число зовнішніх підтверджень важливих рішень у зв'язку з ІТ, таких як запуск, переговори про контракт, спільні підприємства, великі придбання;

частка вчасно відпрацьованих рекомендацій, даних незалежної перевірки внутрішнього контролю, сертифіката якості або акредитації;

зменшуване число невдалих або скасованих важливих рішень по ІТ;

індекс взаємної довіри й упевненості учасників.

Основні індикатори виконання:

зниження накладних витрат на проведення перевірок і сертифікацію;

своєчасність звітності про перевірки;

своєчасність проведення ревізійних заходів;

число процесів перевірки;

число ітерацій (повернень на доробку) звітів про перевірку;

число рішень по ІТ, що вимагає перевірки, коли вона не передбачена;

число рішень по ІТ, що не потребують перевірки, коли вона передбачена;

зниження числа невдалих або скасованих важливих рішень по ІТ після позитивного висновку перевірки.

Описані засоби повністю забезпечують підтримку процесу моніторингу інформаційних технологій.

Контрольні запитання до розділу 6

1. У чому полягає сутність моніторингу ІТ?

2. Які функціїмоніторингу ІТ?

3. Що є об’єктами моніторингу ІТ?

4. Що є підсистемами й продуктами ІТ-моніторингу?

5. У чому полягають задачі моніторингу ІТ?

6. Що є результатами моніторингу ІТ?

7. У чому полягає структура управління і моніторингу ІТ?

8. Надати характеристику засобів підтримки процесу моніторингу ІТ.