среда, 26 октября 2011 г.

Драйверы замены технического парка

Часто перед финансовыми директорами и финансовыми контролерами возникает задача определить эффективность затрат ИТ и инвестиций в ИТ. Для этого выполняется анализ ИТ бюджета. Одна из наибольший статей затрат или инвестиций в ИТ бюджете - закупка оборудования. И вот тут возникает вопрос: насколько закупка оборудования была выполнена целесообразно. Особенно если это не закупка нового оборудования, а замена технического парка.
Для анализа целесообразности закупки необходимо проанализировать драйверы, которые могут привести к замене технического парка:

  1. Функциональность старого оборудования не удовлетворяет пользователей и бизнес-владельцев;
  2. Производительность старого оборудования не удовлетворяет пользователей и бизнес-владельцев;
  3. Условия технической поддержки и гарантийного ремонта оборудования не удовлетворяют бизнес-владельцев;
  4. Оборудование часто выходит из строя. Как следствие, существуют потери в виде рабочего времени сотрудников, упущенных клиентов, трудозатрат сотрудников ИТ на поиск и установку замены, затраты на приобретение замены;

Анализ этих факторов может помочь в ответе на вопрос, была ли закупка оборудования целесообразной.

вторник, 18 октября 2011 г.

Риски социальных сетей

Прочитал статью А.Г. Капустиной "Минные поля социальных сетей" опубликованную в журнале "Inside" №4 2011 года. Статья посвящена вопросам безопасности использования социальных сетей.
В ней рассматривает основной риск, связанный с использованием социальных сетей - потенциальными нарушениями авторских прав при распространении контента. При этом в качестве иллюстрации разбирается судовой иск ВГТРК против ООО "В Контакте" по нарушению авторских прав при размещении пользователем фильма "Охота на пиранью".
У меня возник вопрос: неужели это основные риски, связанные с использованием социальных сетей?
Я думаю, что значительная доля рисков лежит в области взаимодействия людей, раскрытия персональной информации, раскрытия конфиденциальной информации работодателей и т.д.. Эти риски более существенны и их можно оценить (хоть и приблизительно). Так, например, два года назад в Англии оценили ущерб экономике страны от использования социальных сетей..
Часто неразумное использование социальных сетей может стоить человеку рабочего места.
Основной момент социальных сетей в том, что такие сети делают человека более открытым и, если он ведет нечестную игру, ему более сложно контролировать что и кому он говорил, а что и кому не говорил. И тут "тайное очень часто становится явным", к тому же в самый неподходящий момент. Так что новые технологии тут не причем. Весь вопрос в человеческих взаимоотношениях. А это старо как мир.

пятница, 14 октября 2011 г.

О безопасности в социальных сетях

Позавчера слушал на радио Бизнес.fm передачу Геннадия Балашова "Стресс-шоу психология денег". В нем Геннадий рассказывал о силе Facebook как движущем средстве продажи, маркетинга, развития бизнеса.
Он выдвигал тезис, что в Украине имея наличные средства и страницу в Facebook можно сделать многое и развить собственный бизнес очень быстро. Facebook позволяет не только проинформировать аудиторию о своем продукте, но и включить аудиторию в обсуждение своего продукта. Как подтверждение этого Геннадий ссылался на страницу самой передачи в этой социальной сети.
А не следующий день произошло интересное. Я залез на эту страницу и вижу, что она не обновляется, вопросы, которые задаются на странице в передаче не озвучиваются, статус не обновляется. Секрет этого раскрылся несколькими минутами позже. Геннадий в эфире сказал, что страницу у них "увели" злобные хакеры, но он надеется что в скором времени они смогут ее вернуть и дальше вести ее как средство общения.
Отсюда вывод: переход бизнеса на электронные средства продвижения товаров и ведения бизнеса вообще повышает зависимость компаний от уровня зрелости информационной безопасности. Если построить “стартап” бизнес на основе Facebook таким образом, как это предлагал Геннадий и не уделять внимания информационной безопасности, то такой бизнес может в один прекрасный момент стать достоянием другого индивидуума, при этом не нужно даже взламывать помещение и похищать устав.

среда, 12 октября 2011 г.

Анализ безопасности сети. Формирование рабочей программы.

Очень часто в компаниях возникает задача оценки информационной безопасности по отношению к корпоративной сети. Это может быть частью аудита информационной безопасности, частью оценки проекта модернизации сети, частью аудита на соответствие стандартам безопасности. При этом желательно иметь некий рабочий план, по которому можно проводит аудит. Как подходить к проблеме создания такого плана?
Аудит корпоративной сети немного отличается от аудита информационных систем. Для аудита информационных систем на уровне операционной системы, СУБД или приложения можно воспользоваться рекомендациями и руководствами. Эти рекомендации и руководства предоставляются разработчиком соответствующего программного обеспечения или организаций, занимающихся созданием, разработкой, стандартизацией и распространением знаний в области аудита и контроля информационных систем (например, методологическими руководствами таких организаций, как www.isaca.org, www.isc2.org, www.owasp.org, и др.). Методологические руководства носят характер контрольного списка, по которому можно оценивать защищенность системы.
Корпоративная сеть является распределенной системой по самой своей сути, в этой системе нет единственной точки или устройства, защита которого позволила бы защитить корпоративную сеть целиком.
К тому же, целью атак на корпоративную сеть (за исключением атак типа отказ в обслуживании) являются чаще всего корпоративные сервера, пользователи, хранилища данных и т.д. Сама сеть рассматривается как промежуточное звено. Это усложняет определение того, какая часть корпоративной сети попадает в объем аудита, а какая нет. С корпоративными серверами проще. К примеру, мы определили систему SAP как критичную с точки зрения требований информационной безопасности, поскольку информация, которая обрабатывается в этой системе, является конфиденциальной. SAP состоит из двух серверов: сервера приложения и сервера баз данных. Оба сервера работают под управлением операционной системы AIX, на сервере баз данных используется СУБД Oracle. Соответственно эти сервера и попадают в объем процедур аудита.
Для аудита северов и инфраструктурного ПО мы можем получить программу аудита для соответствующих систем на сайте ISACA (доступно только для членов ассоциации) и использовать ее при аудите. Там же есть и программа для аудита сети. Эта программа, кроме вступительной части и части, охватывающей описание общего подхода, содержит два раздела: дизайн безопасной сети (Network Security Design) и компоненты безопасной сети (Network Security Components). Программа охватывает дискретную сущность (отдельные устройства) и интегрированную сущность (сеть в целом) корпоративной сети.
Но, к сожалению, в программе аудита сети, предложенной ISACA, выпущен важный момент – люди. А ведь именно люди и человеческий фактор иногда составляет одну из наибольших угроз. Например, в августе 2011 года неправильная конфигурация (как следствие недостатков процедуры управления конфигурациями) привели к значительному сбою в информационных системах Yandex.ru.
Повлиять на этот человеческий фактор можно, внедрив соответствующие процедуры и разделив обязанности. Например, рекомендуется внедрить управление изменениями в сети, процедуру управление конфигурациями, процедуру мониторинга доступности и производительности, процедуру управления инцидентами на уровне сети и т.д.

четверг, 6 октября 2011 г.

Подход к разработке показателей эффективности работы ИТ подразделения

Ключевые показатели эффективности работы ИТ подразделения компании являются важным элементом взаимодействия ИТ подразделения и бизнес-подразделений, для который ИТ подразделение предоставляет услуги.
Поскольку ИТ подразделение часто является центром затрат а не прибыли, то применять походы к оценке работы подразделений, которые применяются к центрам прибыли, к подразделению ИТ невозможно. Например, отдел продаж мы можем оценить по количеству заключенных контрактов, средней стоимости контракта и т.д., но для ИТ подразделения это применить невозможно. Однако, при этом необходимо оценивать работу всего подразделения в целом и руководителя ИТ подразделения в частности. Тут к нам на помощь приходят показатели эффективности работы, которые необходимо разработать учитывая следующие факторы:
1. Отрасль экономики, в которой работает компания.
2. Организационную структуру.
3. Культуру компании.
4. Уровень зрелости бизнес-процессов.
5. Численность персонала.
6. Сложность ИТ архитектуры.
Ключевые показатели эффективности работы являются методом оценки "полезности ИТ подразделения для бизнес-подразделений". Такая оценка должна выполнятся исходя из приоритетов, которые ставит перед собой бизнес-подразделение. Соответственно бизнес должен решить, что для него важнее и выбрать соответствующие показатели эффективности. ИТ подразделение является сервисным подразделением и, как и в любой сервисной организации, его работа может быть оптимизирована исходя из следующих направлений: стоимость, качество, время. Одновременно оптимизировать все три направления невозможно.
В каждом из направлений можно выбрать несколько ключевых показателей эффективности. Примеры таких показателей:
Стоимость

  • Общая стоимость поддержки ИТ систем на протяжении периода времени
  • Отношение общих затрат подразделения ИТ к стоимость существующего (приобретенного за период) оборудования
  • Стоимость (средняя, минимальная и максимальная) обработки заявок пользователей
  • Расходы по обучению на одного сотрудника ИТ
  • Процент текучести кадров ИТ подразделения за период времени

Качество

  • Количество повторно открытых заявок
  • Количество заявок при обработке которых были ошибки ИТ специалистов
  • Количество жалоб пользователей
  • Результаты анкетирования удовлетворенности пользователей ИТ и руководителей бизнес подразделений
  • Уровень подготовки пользователей в результате обучения, проведенного ИТ подразделением
  • Размер корпоративной базы знаний по эксплуатации ИТ систем
  • Количество запросов к корпоративную базу знаний по эксплуатации ИТ систем
  • Количество часов на обучение для одного сотрудника ИТ подразделения

Время

  • Время (среднее, минимальное и максимальное) обработки заявок пользователей
  • Количество заявок, выполненных не в срок
  • Общее время простоя рабочих мест на протяжении периода времени
  • Общее время простоя серверного оборудования на протяжении периода времени
  • Частота предоставления отчетов руководству

Как видно, большинство из показателей возможно оценивать по статистике работе службы поддержки пользователей. Соответственно внедрение такой службы является важным элементом оценки взаимодействия работы ИТ подразделения. Для обеспечения объективности, обработка заявок в такой службе не должна быть полностью под контролем ИТ подразделения.

среда, 5 октября 2011 г.

Причины внедрения ИТ контролей в организациях

Компании в процессе своего развития проходят через несколько стадий. Начинается развитие компании из стартапа или покупки франшизы. Если владелец бизнеса покупает его в виде франшизы, то вместе с разработанной бизнес-моделью ведения бизнеса, который покупается внедряются и необходимые внутренние контроли, включая и ИТ контроли.
Если же компания начиналась со старпата и развивается, то рано или поздно в процессе развития перед собственниками компании или перед наемными менеджерами возникает вопрос о внедрении ИТ контролей.
Для чего нужно внедрять ИТ контроли в компаниях? Вроде бы и без ИТ контролей хорошо.
Рассмотрим возможные причины внедрения ИТ контролей:
Причина1. Для соответствия требованиями.
В процессе развития компании она сталкивается с необходимостью привлечения дополнительных финансовых ресурсов для обеспечения роста, выхода на новые рынки, расширения бизнеса. Использовать только собственные ресурсы в этом случае означает упущенную возможность захвата открывшейся ниши на рынке. Если компания привлекает заемные средства в виде кредитов, выпущенных облигаций, эмиссии акций, то тут возникает ряд требований по аудиту финансовой отчетности и контролируемости бизнес-среды. Эти требования выдвигаются либо сторонами, предоставляющими заемные средства (например условия кредитования, предлагаемые банками) либо посредниками и операторами рынка (например, фондовыми биржами). Если компания работает в определенном секторе экономики (например, банковский или телекоммуникационный), то требования по контролям, в том числе и ИТ контролям могут выдвигаться регуляторами рынка (государства, ассоциации платежных систем).
Если компания не соответствует требованиям, то это ей может грозить штрафом или лишением лицензии.
Причина2. Для уменьшения ущерба от сбоев систем.
Сколько стоит для небольшой компании простой в течение 4 часов системы бухгалтерского учета или потеря данных за 1 месяц? А сколько стоит для телекоммуникационного оператора простой биллинговой системы и системы авторизации в течении 2 часов и потеря информации за 4 суток? Эти два события показывают, что ущерб от простоя системы и потери данных может сильно зависит от размера компании и специфики бизнеса. В процессе роста компании руководство понимает, что частые инциденты приводят к все большим ущербам и желательно от этих инцидентов избавиться. А инциденты происходят либо по причине технического характера (выход из строя компонент системы) либо по причине человеческого фактора (случайно выполнил не ту операцию, решил в системе исправить неправильную проводку, решил выполнить недозволенную операцию). Минимизацию частоты этих инцидентов и их последствий можно достичь внедряя систему внутренних контролей.
Причина3. Для повышения эффективности бизнеса.
Часто ли возникает в компании ситуация, при которой данные, которые несколько сотрудников старательно вводили в течение недели, были утеряны из-за сбоя системы и есть необходимость эти данные вводить повторно? Сколько времени необходимо потратить на повторную подготовку отчета или проектного документа, который был утерян за день до сдачи заказчику из-за сбоя в системе?
Часто инциденты с ИТ системами приводят к неэффективному использованию времени сотрудников компании. Если это время стоит дорого, то ущерб от таких сбоев очевиден. Если мы минимизируем последствии инцидентов, то мы в целом повысим эффективность ведения бизнеса.
Причина4. Для повышения прозрачности бизнеса и эффективного управления.
Задавался ли руководитель вопросом, кто из отдела продаж предоставил большую скидку клиенту и кто дал добро на это? Как быстро он сможет получить ответ на этот вопрос? Если компания небольшая и «все на виду», то руководитель знает, что происходит в компании и какие операции выполняются сотрудниками. Он также знает, выполнятся ли эти операции в интересах компании. А если компания насчитывает до 1000 сотрудников и офисы компании расположены в разных городах?
Решить эту задачу позволит внедрения ИТ контролей в систему учета и авторизации продаж.
Как видно есть несколько причин внедрения ИТ контролей. Представленный перечень причин является далеко не полным, однако он позволяет руководителям и собственникам компаний задуматься о такой вещи, как ИТ контроли.