Практики управления ИТ-инфраструктурой: обзор основных методологий

Каждая компания стремится к оптимизации своих расходов и увеличению эффективности своих вложений. Вы спросите причем здесь ИТ? А вот притом, что ИТ-инфраструктура является незаменимым элементом в общей структуре компании без которого достижение делаемого эффекта просто невозможно. Тем более это актуально для тех компаний у которых бизнес напрямую связан с Информационными Технологиями. В мире создано множество сводов, правил, предназначенных для работы ИТ-служб, которые объединяет в общее понятие «стандарты» с маркетинговым оттенком — «лучшие практики». В сегодняшней статье мы как раз попытаемся разобраться в этих общих методологиях.

Мы расскажем, что такое ITIL, ITSM, CobiT, DevOps, как они связаны  с ИТ и почему даже системные администраторы небольших компаний должны что-то знать об этих практиках.

И так, начнем.

1. ITIL и ITSM

ITIL (IT Infrastructure Library) — набор публикаций (библиотека), содержащий лучшие практики в области управления ИТ-услугами. ITIL содержит рекомендации по предоставлению качественных ИТ-услуг, процессов, функций, а также других средств, необходимых для их поддержки. Структура ITIL основана на жизненном цикле услуги, который состоит из пяти стадий (стратегия, проектирование, преобразование, эксплуатация и постоянное совершенствование). Также существуют дополнительные публикации, входящие в ITIL и содержащие специфичные рекомендации по индустриям, типам компаний, моделям работы и технологическим архитектурам. Это каноническое определение ITIL.

На самом деле, эта библиотека породила целую парадигму управления ИТ-инфраструктурой компании, основанную на SLA (соответствие обещаний поставщика услуги ожиданиям клиента) и ITSM (IT Service Management, управление ИТ-услугами).

Использованный в библиотеке процессный подход полностью соответствует стандартам серии ISO 9000 (ГОСТ Р ИСО 9000). Процессный подход акцентирует внимание предприятия на достижении поставленных целей, анализе ключевых показателей «эффективности» (KPI), а также на ресурсах, затраченных на достижение этих целей.

Действующая на сегодня, Третья редакция ITIL (ITIL v.3) была выпущена в мае 2007. В ней полностью переработаны и по-новому организованы разделы, чтобы поддержать новый подход «формата жизненного цикла услуг». ITIL v.3 содержит уже только пять книг и состоит из:

• Стратегия услуг (англ. Service Strategy)
• Проектирование услуг (англ. Service Design)
• Преобразование услуг (англ. Service Transition)
• Эксплуатация услуг (англ. Service Operation)
• Постоянное улучшение услуг (англ. Continual Service Improvement)

Библиотека ITIL представляет собой набор документов, применяемых для практического внедрения подходов IT Service Management (ITSM).

Наиболее известными являются десять базовых процессов, обеспечивающих поддержку и предоставление ИТ сервисов, которые описаны в IT Service Management (ITSM):

• Процесс управления инцидентами
• Процесс управления проблемами
• Процесс управления конфигурациями
• Процесс управления изменениями
• Процесс управления релизами
• Процесс управления уровнем услуг
• Процесс управления мощностями (ёмкостью)
• Процесс управления доступностью
• Процесс управления непрерывностью
• Процесс управления финансами
• 
  

ITSM — это концепция организации работы ИТ-подразделения и его взаимодействия с внешним или внутренним заказчиком, а также внешними контрагентами.

Использование методов ITSM даёт возможность делать сервис дешевле и оперативнее, а работу ИТ-подразделения прозрачнее, что особенно ценно в многофилиальных и холдинговых организациях. Также есть ещё один момент, который в век стартапов и буквально молниеносного роста новых типов бизнеса вышел за пределы интересов крупных организаций — это возможность сертификации по ISO 20000, международному стандарту для управления и обслуживания ИТ-сервисов. Полезная штука, если вы претендуете на кусок рынка и ищете себе инвестора.

Теперь о рисках. Понятно, что стандарты ITSM и библиотека ITIL описывают лучшие практики и при ознакомлении с ними кажется, что всё логично и именно так работать и должно. 

• Если принимать все положения как есть, без привязки к текущему положению дел в бизнесе в целом и в ИТ-службе в частности, можно прийти к излишней формализации и значительному нарушению работы. Процесс внедрения принципов ITIL должен быть избирательным и адаптивным. 
• Опять же, перед изменением подхода к управлению следует провести глубокий анализ процессов, происходящих внутри ИТ-инфраструктуры — если всё работает и очевидных путей и потребностей улучшения нет, лучше подойти к ITSM избирательно и внедрять самые ценные и нужные принципы: управление лицензиями (SAM), управление конфигурациями или просто наладить мониторинг.
• Если нет внятной цели использования принципов ITIL, то лучше отказаться от затеи. Внятные цели — это, например, изменение политики управления лицензиями или решение проблемы использования сотрудниками пиратского софта. Невнятная цель — внедрить и применить то, что навязали сверху, потому что услышали на конференции.

Собственно говоря, это именно ITIL мы с вами обязаны созданием и развитием удобных систем тикетов, управления инцидентами и Service Desk. 

2. CobiT

CobiT (Control Objectives for Information and Related Technologies, задачи управления для информационных и смежных технологий) — сбор стандартов и руководств в области управления ИТ-аудита и безопасности; руководство и сборник практик по управлению ИТ-процессами. Связанный с ITIL инструмент, который непрерывно обновляется и предназначен для того, чтобы между руководством компании, ИТ-специалистами и аудиторами (внешними и внутренними) царили мир и взаимопонимание. Проще говоря, управляющий менеджер должен понимать все ИТ-риски, в том числе связанные с бездействием в ситуациях, требующих коррекции, а также потенциальные риски, связанные с использованием того или иного элемента ИТ-инфраструктуры компании. 

Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — всё то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Рассмотрим две распространённые ситуации.

Ситуация первая. У руководства компании может отсутствовать понимание того, что происходит в ИТ-пространстве, но при этом быть полное понимание целей и миссии бизнеса, процессов, продукта и услуг. И наоборот, ИТ-директор может фанатично строить идеальную ИТ-инфраструктуру, практически не интересуясь тем, как она вписывается в стратегию развития компании. И случается такое нередко именно в самом уязвимом слое — среднем бизнесе, который ещё не достиг нового уровня управления (как гигант), но уже пережил разрастание служб и разрыв простых и внятных внутрифирменных коммуникаций, присущих малому бизнесу. А между тем, такое положение вещей не снимает с руководителя ответственность абсолютно за все процессы в компании, в том числе происходящие в ИТ.

Ситуация вторая, свойственная компаниям любого уровня: от микробизнеса до транснациональных корпораций, — неадекватная оценка рисков. Почти каждый из нас хоть раз встречался с рисками завышенного масштаба: например, страх перед DDoS в небольшой компании или всем известная и так и не ставшая реальностью «проблема 2000». Это риски, которым придают огромное значение и которые не несут объективной угрозы. С другой стороны, существуют недооценённые риски, на которые никто не обращает внимание, но именно они способны положить весь рабочий процесс или принести коммерческий ущерб: неограниченный срок действия учётных записей и паролей пользователей от рабочих ПК и корпоративных информационных систем, клиент-банков; передача коммерчески значимых данных по незащищённым каналам; отсутствие антивирусов и проч. Чтобы классифицировать риски и грамотно их оценить, необходимо проводить внутренний и/или внешний ИТ-аудит. Он, в свою очередь, должен быть не проверкой соответствия правилам и не толчком к соблюдению правил, а именно соблюдением правил. Поэтому аудит должен быть регулярным и сопряжённым с мониторингом системным процессом получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих внутри неё.

В свете этих ситуаций вернёмся к CobiT. В нём описаны цели, задачи и принципы управления, объекты управления, ИТ-процессы, инструменты работы с ИТ-инфраструктурой, а также вопросы ИТ-безопасности. Актуальную версию CobiT и статьи по нему можно почитать на сайте ISACA (есть платные и бесплатные материалы). CobiT можно определить как методологию корпоративного управления ИТ, которая:

• ориентирована на реальные бизнес-требования;
• поддерживает процессный подход к управлению ИТ-инфраструктурой и контролирует процессы;
• оценивает эффективность ИТ в компании.

Кроме того, CobiT соответствует стандартам ISO 9000 и ISO/IEC 17799, стандарту информационной безопасности и менеджмента ИБ. С помощью принципов CobiT можно минимизировать риски и контролировать отдачу инвестиций в ИТ. Что нам нравится в CobiT, так это то, что он хорошо структурирован и поле зрения этого свода правил попадают планирование, организация, приобретение, внедрение, эксплуатация и сопровождение, а также мониторинг и оценка пяти важнейших элементов каждой компании (согласно определения CobiT, ресурсов ИТ).

1. Данные — информация внутри компании в любом виде, медиафайлы, внешняя информация.
2. Приложения — множество автоматизированных и ручных процедур.
3. Технология — программное обеспечение, аппаратное обеспечение, СУБД, СУ сетями, ОС.
4. Оборудование — ресурсы, поддерживающие технологию.
5. Люди — персонал с навыками и умениями, в том числе контроля и мониторинга.

То есть фактически CobiT исходит из понимания того, что ИТ-инфраструктура — это управление информацией, а согласно своду информация оценивается по нескольким критериям:

• продуктивность — обеспечение доступности информации с помощью максимально экономичного и продуктивного использования ресурсов
• эффективность — актуальность и своевременность информации
• конфиденциальность — обеспечение защиты информации от несанкционированного доступа
• целостность — достоверность, полнота и точность информации
• согласованность — соответствие законодательству, подзаконным нормативно-правовым актам и локальным нормам (указам, договорам, уставу и т.д.)
• пригодность и простота доступа — возможность получения и использования информации для управления бизнес-процессами
• надёжность — свойство информации отражать реальное положение дел, необходимое для принятия управленческих (в т.ч. финансовых) решений.

Так как же соотносятся CobiT и ITIL? ITIL — библиотека лучших практик предоставления услуг в сфере ИТ, а CobiT — больше по части управления и аудита ИТ. Соответственно, все процессы, описанные в ITIL, могут управляться и подвергаться аудиту стандартом CobiT.

Управление IT по CobiT можно представить в следующем ступенчатом виде (по порядку реализации):

• Стратегии (выстраивание IT-процесса по бизнес-целям, постановка задачи, цели и создание концепции IT-процесса; ответственные: руководство бизнес-подразделений).
• Политики (методы достижения целей в рамках стратегий, например: «длина пароля регламентируется»; ответственные: руководство IT-подразделений).
• Стандарты (метрики для политик-методов, например: «длина пароля должна составлять не менее 8 символов»; ответственные: руководство IT-подразделений).
• Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителей; ответственные: руководство IT-подразделений).

3. DevOps

Связан с ITIL (в некоторых источниках считается прямым следствием), покрывается CobiT, но имеет совершенно другую парадигму подход к системному администрированию DevOps. Впрочем, сама расшифровка названия указывает на то, что это гибрид на стыке администрирования и разработки (development и operations). Методология DevOps соединяет в себе труд разработчиков и ИТ-инженеров (это могут быть сформированные команды, отдельные люди или даже один человек), тем самым обеспечивая быстрые темпы развёртывания, надёжность и безопасность production-среды (включая тестирование).

Методология фокусируется на стандартизации окружений разработки с целью способствования быстрому выпуску релизов. В идеале, системы автоматизации сборки и выпуска должны быть доступны всем разработчикам в любом окружении, и у разработчиков должен быть контроль над окружением, а информационно-технологическая инфраструктура должна становиться более сфокусированной на приложении.

DevOps отлично вписался в Agile-методологию с частыми билдами и релизами, хорошо работает в случае развития и тестирования облачных сервисов, а также непрерывно развивающихся пользовательских приложений (корпоративных систем, игр, планировщиков, агрегаторов и т.д.), именно поэтому с 2009 года он хорошо развился и прижился во многих командах как своеобразный тип айтишной кооперации. Дополнительное преимущество DevOps-методологии ощущается при использовании разработчиками и инженерами по тестированию виртуальных машин, конфигурационных файлов, интеграционного и непрерывного тестирования. Например, при тестировании сервисов IP-телефонии тестировщик пишет и использует автоматические тесты, сам настраивает схему, виртуальные машины, репликацию базы данных — фактически это и есть DevOps.

Задача DevOps — сделать процесс разработки и поставки программного обеспечения согласованным с эксплуатацией, часто эти задачи решаются при поддержке автоматических средств.

Как методология DevOps даёт множество преимуществ, среди которых:

• стандартизация и автоматизация окружения
• высокая скорость разработки, разворачивания и тестирования
• возможность часто выпускать обновления
• минимизация проблем при внедрениях у заказчика и т.д.

Как видите, DevOps не является подходом чисто к системному администрированию, соответственно, о его применении идёт речь, в основном, в компаниях-девелоперах.

В заключение

Действительно, ITIL и CobiT затрагивают и описывают несколько десятков ИТ-процессов, многих из которых нет в большинстве организаций. Однако это не повод отказаться от ознакомления с основами методологий, чтобы внедрить некоторые идеи в жизнь вашей ИТ-инфраструктуры. Вот примерный перечень того, что даёт использование некоторых принципов перечисленных методологий.

• Распределение ответственности в команде и понимание взаимосвязей всех подразделений. Так, например, отдел продаж не может жить отдельно от ИТ-службы, поскольку является пользователем услуг и информации, которая обеспечивается ИТ. Особенно это заметно в тех компаниях, где данные собираются в централизованной базе, а затем распределяются по запросу (например, компании, имеющие биллинг, информацию из которого выгружают с помощью специальных отчётов согласно правам доступа). Плюс ко всему, внутри самой команды ИТ-службы также стоит чётко распределять обязанности — это обеспечит скоординированность действий.
• Рост внимательности и ответственности. В случае, если персоналу известно о непрерывном мониторинге и периодическом ИТ-аудите, многих инцидентов удаётся избежать, поскольку пользователю становится очевидно, что любые ухищрения будут выявлены.
• Рост скорости реакции на проблемы. Если в компании существует система тикетов и заявок, то эффективность обслуживания внутренних заказчиков значительно повышается, а скорость решения проблемы контролируется самим инициатором заявки.
• Простота и прозрачность выявления проблем. Система работы с инцидентами в сочетании с программным обеспечением, позволяющим осуществлять мониторинг сети, помогает быстро устанавливать причину возникновения проблемы и объекты, задействованные в проблеме. А, значит, получать достоверные сведения для поиска решения.
• Упрощение утилизации ресурсов. Системные администраторы и инженеры с помощью специальных программ могут удалённо устанавливать физически и морально устаревшее программное и аппаратное обеспечение и либо обновлять его, либо заменять новым. При этом возможно осуществлять планирование замены элементов ИТ-инфраструктуры, а это — гарантия стабильной работы сотрудников без внезапных простоев.

Своя выгода от использования принципов перечисленных методологий есть и у руководства компании. Прежде всего, это аспект экономии и планирования.

• Управление лицензиями ПО, проверка наличия свободных лицензий — одна из ощутимых статей экономии на ИТ-инфраструктуре. Установление профиля использования лицензий помогает скорректировать объём закупаемых или арендуемых продуктов, перераспределить ПО по реальным потребностям. Классический пример: отдел продаж из 7 человек, трое из которых постоянно «в полях», а ещё один — выгружает данные раз в месяц для анализа. В отделе семь лицензий CRM, а можно было бы обойтись пятью. Такая же история повторяется и в отделах логистики и дизайна, где установлено и нередко простаивает дорогостоящее ПО.
• Регламентированный порядок работы внутри ИТ-службы уменьшает количество сорванных сроков и нереализованных проектов.
• Понимание текущего среза аппаратного и программного обеспечения в компании позволяет обоснованно составлять бюджет на приобретение ИТ-активов, быстро и точно оценивать потребности компании в модернизации ИТ-инфраструктуры.
• Точное понимание особенностей организации ИТ-инфраструктуры помогает оптимизировать соотношение капитальных и операционных расходов. Например, делая выбор в пользу аренды ПО по модели SaaS или использования виртуальных вычислительных мощностей в облаке.

За материалы спасибо Alloy Software