Этот процесс, интегрированный в управление системами и являющийся частью политики управления изменениями, может снизить число поступающих в сервисную службу обращений и время незапланированных простоев, а также помогает разработать более предсказуемую платформу для системных обновлений (апгрейдов).
Фиксированное пользовательское окружение представляет собой ограниченную версию управляемого пользовательского окружения. Оно предотвращает попытки пользователя вносить изменения в установки, а также загружать неразрешенное программное обеспечение. Это окружение отличается от управляемого пользовательского окружения тем, что зависит от компьютера и является локальным по отношению к устройству. Оно не управляется и не синхронизируется конфигурацией сервера.
Эта особенность, совместно с процессами управления системами и управления изменениями, способствует снижению числа незапланированных сбоев и обращений в сервисную службу, а также дает возможность более реально планировать управление.
Управление безопасностью данных заключается в логической защите данных от их порчи, кражи или любой комбинации того и другого. Управление безопасностью данных предполагает идентификацию и авторизацию пользователей, обеспечение тщательного контроля над загрузкой данных и файлов из внешних коммуникационных каналов и, наоборот, над загрузкой данных во внешнюю сеть, а также установку firewalls и других технологических барьеров для предотвращения несанкционированного доступа, хищения и порчи.
Этот метод является частью общего процесса обеспечения безопасности, который подразумевает понимание проблемы пользователями, их обучение, наличие политики, процедур, мер безопасности и планов по восстановлению бизнеса после аварии.
Управление изменениями – это политика, процедуры и инструментальные средства, разработанные для наблюдения за клиентскими компьютерами и другими элементами сетевых активов с целью обеспечения гарантий того, что никакие несанкционированные изменения не будут внесены. Все это предполагает наличие базы данных изменений, которая позволяет их распознавать в процессе устранения неисправностей.
Стандартизация
Стандартизация поставщиков ограничивает число тех клиентов, с которыми работает организация.
Для выделенных элементов активов организация отбирает ограниченное число поставщиков, у которых могут быть приобретены аппаратные средства и программное обеспечение. Обычно поставщики делятся на основных и вторичных. Путем стандартизации меньшего числа поставщиков организация может получать скидки и минимизировать количество проблем, связанных с совместимостью, технической поддержкой, посредническими требованиями поставщика, проверкой новых технологий, а также административные расходы управленческого аппарата поставщика. С одной стороны, это может несколько ограничить выбор из имеющихся в распоряжении продавца технологий и характеристик. В то же самое время это дает возможность добиваться больших оптовых скидок. Стандартизация поставщика является частью всестороннего процесса управления активами, охватывающего разработку процедур и политики снабжения и закупок, а также контроля над выполнением требований соответствия.
Стандартизация платформ заключается в стандартизации специфических системных моделей и платформ операционных систем для серверов, клиентских компьютеров и периферийных устройств, в ограничении рассматриваемых для закупки операционных систем, моделей клиентских компьютеров, мобильных компьютеров, серверов, принтеров, сетевых и коммуникационных устройств. Стандарты устанавливаются для определенных пользователей и задают конкретный номер модели и названия операционных систем, рассматриваемых для закупки.
Стандартизация более специфических платформ будет нацелена на поставщика для выявления номера конкретной модели и серийных номеров компонентов каждой конфигурации.
С течением времени стандартизация будет изменяться вместе с потребностями пользователя.
Стандартизация платформ предусматривает установление процедур и политики снабжения и закупок, а также путь для обеспечения надзора за соответствием, включая управление активами и изменениями.
Уменьшение сложности может ознаменоваться доминированием систем, являющихся типовыми для групп пользователей, что упростит процессы конфигурирования, администрирования, устранения неисправностей и модернизации.
Стандартизация приложений означает унифицированное развертывание в организации набора приложений, специфических по версиям и поставщикам, где стандарты разрабатываются с учетом типов и групп пользователей. Стандартизация приложений заключается в разработке политики и процедур снабжения и закупки, а также в контроле над распространением приложений, инсталляциями и обновлениями, что гарантирует выполнение требований.
Стандартизация приложений значительно улучшает взаимодействие систем, особенно когда пользователям необходимо обмениваться файлами и данными. Также это упрощает процессы управления изменениями, обслуживания приложений, устранения неисправностей и обучения.
Централизованное снабжение представляет собой набор процедур и политику управления процессом снабжения. При централизованном снабжении необязательно сосредотачивать весь персонал снабженцев в одном-единственном месте. Скорее наоборот, следует развивать общий набор стандартов снабжения и деловых процедур, собирать информацию по запросам, договорам с поставщиками, данным активов, отраслевую информацию, а также профессиональные навыки ведения снабжения, чтобы получить все необходимые компоненты для успешного заключения выгодных сделок. Также централизованное снабжение должно гарантировать соответствие друг другу правил стандартизации.
Оптимальным процессом снабжения станет тот, который основывается на прогрессивных технологиях: электронная коммерция, интегрированные данные активов, предварительное планирование конфигураций для закупок, изготовление под заказ, укороченные циклы авторизации по стандартизованным технологиям. Это снизит расходы и повысит уровень удовлетворенности пользователей.
Управление практической деятельностью
Время, требуемое для планирования ИТ-проектов. Планирование является важнейшим аспектом в критической траектории любого технологического проекта. Исследования показали, что при "срезании углов" в процессе планирования можно оказаться в ситуации, когда затраты и время реализация проекта уровня предприятия намного превышены. Планирование требует наличия адекватной информации по текущему и целевому состояниям и точных оценок времени и объема инвестиций, которые нужны для осуществления всех необходимых для реформы шагов. Планирование также предполагает создание команды мотивированных исполнителей с определенными для каждого ролями, описание всех задач, распределение обязанностей, своевременный контроль и уменьшение рисков. Процесс планирования должен включать разработку документа "видение/область применения приложения", который поможет каждому члену команды лучше понять проект, цели, график выполнения и риски. Плановая служба должна предоставить членам команды адекватное время на понимание, анализ, создание документов и обсуждение, прежде чем они возьмутся за разработку и внедрение.
Планирование является важной составляющей управления изменениями и управления проектом.
Контроль и управление уровнями сервиса. Уровень сервиса предварительно определяется соглашением об уровнях сервиса между группой пользователей и отделом ИС и между ИС и сторонним сервис-провайдером. В идеале это должен быть договор об особых услугах, которые ИС будут оказывать конечным пользователям, независимо от производительности и способов устранения проблемы. Показатели должны быть четко определены, измеримы, контролируемы и понятны.
Управление системами и использование технологии автоматизации сервисной службы обеспечивают глобальную поддержку для отслеживания, структурирования и контроля сервисных показателей. Опросы пользователей об их удовлетворенности также могут дать исходные данные, позволяющие наметить необходимые уровни сервиса и контроль над расходами.
Планирование мощностей представляет собой процесс, позволяющий оценить мощности сети и активов относительно требуемого уровня, а затем скорректировать их до нужного уровня. Процесс планирования загрузки мощностей предусматривает перенос новых ИТ-инициатив на существующую инфраструктуру с учетом динамики изменения стоимости обеспечения пропускной способности и емкости накопителей, памяти и других системных ресурсов сети.
Управление жизненным циклом TCO является финансовым управлением сетью, с помощью которого можно оценивать общую стоимость владения, сравнивать стоимости (затраты) с типовыми показателями по отрасли и принимать решения по изменениям, преследующим не только технические, но и финансовые цели. Процессы, методы и инструментальные средства непрерывно и регулярно применяются на практике для оценки достигнутого и оптимизации затрат. Используя управление жизненным циклом TCO, можно добиться лучших циклов технологического обновления, а также проверить, насколько инвестиции способны оказать положительное влияние и обеспечить возврат вложенных средств, перед тем как приступать к внедрению.
Обучение пользователей является одним из самых действенных средств снижения затрат. Исследования показывают, что недостаточно обученному пользователю по сравнению с опытным требуется в 2–6 раз больше технической поддержки (включая помощь коллег). Обучение пользователя следует проводить с применением систем и приложений, чтобы оно максимально соответствовало особенностям и требованиям фактической работы.
Обучение должно быть комплексным: с преподавателем в классах; на компьютерах; своевременное повышение квалификации для увеличения производительности работы пользователя и снижения стоимости поддержки.
Обучение эксплуатирующего персонала. Профессиональное обучение очень важно для подготовки специалистов службы ИС, обеспечивающих техническую и справочную поддержку пользователей. Персонал этой службы должен эффективно и быстро решать вопросы пользователей. Все сотрудники службы должны получить профессиональное образование, связанное с использованием систем, инструментальных средств и приложений в повседневной работе. Обучение должно включать тренинг-классы с инструктором, сертификационные курсы, семинары и работу на компьютерах. Профессиональное обучение должно значительно сократить число случаев самостоятельного обучения специалистов по ИС и уменьшить время, необходимое для внедрения систем и устранения неисправностей в них.
Мотивированный персонал – это такие сотрудники, которые будут работать в команде и при необходимости закроют собой любую брешь и решат любую проблему. Такие специалисты всегда могут подстраховать друг друга. Мотивированный персонал работает усердно для достижения целей, намеченных организацией. Основными мотивирующими моментами могут быть, к примеру, начальник, у которого все хотели бы работать; члены команды, которые нравятся и которых уважают; компенсации и бонусы; очевидное признание, особенно за пределами службы ИС.
Стабильность организации ИС очень важна для поддержания согласованности и сфокусированности в коллективе. Постоянная реорганизация, изменения в управлении и внутриполитические баталии плохо сказываются на моральном состоянии, оборотах, затратах, риске и результатах работы. В организации ИС необходимо найти баланс между стабильностью и стагнацией, чтобы поддерживать мотивированный коллектив, сформировавшийся в команду. Очевидно, что чем стабильнее будет организация, тем легче достичь поставленных целей.
Оценка эффективности сервисов
Другим методом помимо ТСО является экономическая оценка сервисов. При такой оценке возникают два вопроса:
• Сколько стоит сервис?
• Сколько стоит простой сервиса?
На первый вопрос дают ответ стандарт ITSM и метод прямых затрат, в котором расходы на сервис предлагается считать методом прямых затрат, – см. рис. 9.2.
Рис. 9.2. Метод прямых затрат
Естественно, что равномерно распределяемые затраты по мере накопления статистики или появления критериев распределения их по сервисам могут переходить в разряд условно распределяемых.
Другой вопрос связан с оценкой потерь от простоя сервиса. Естественно, что она может быть дана только бизнес-подразделениями предприятия. В общем виде оценка потерь от простоя сервиса качественно описывается следующей кривой (см. рис. 9.3).
Рис. 9.3. Потери от простоя
Количественные значения потерь от простоя (вертикальная ось) могут быть получены, повторим, только бизнес-подразделениями.
Глава 10 Проекты с использованием методики оценки ТСО
Инвестиции в управление ИТ-активами
В качестве примера, позволяющего продемонстрировать оценку экономического эффекта проекта, приведем один из вариантов использования методики ТСО для организации, состоящей из 2500 сотрудников.
Исходные данные [3] :
• коэффициент дисконтирования – 12,0 %;
• ставка рефинансирования – 35 %;
• количество рабочих станций – 2000;
• количество ноутбуков – 500;
• средняя цена рабочей станции (с системным ПО) – $1500;
• средняя цена ноутбука (с системным ПО) – $3000.
Анализ текущего состояния процесса управления ИТ-активами выявил ряд дополнительных возможностей организации по оптимизации ее деятельности. В качестве рекомендаций было предложено повысить уровень использования передовых методик по управлению ИТ-активами за счет внедрения автоматизированной системы управления ими по следующим направлениям (при общей 10-балльной оценке):
• управление учетом аппаратных средств – с 3 до 10;
• управление учетом системного ПО – с 4 до 10;
• управление закупками – с 6 до 9
при неизменном уровне процессов управления поставщиками (уровень 7) и жизненным циклом ИТ-активов (уровень 3) – см. рис. 10.1.
Рис. 10.1. Администрирование активов
В качестве основных элементов повышения эффективности были выбраны следующие задачи:
• подготовка договоров о закупке оборудования (Volume Purchase Agreements);
• оптимизация процесса инвентаризации ИТ-активов (IT Inventory Optimization);
• автоматическое определение прибыли (Automatic Inventory Benefits);
• обнаружение дополнительных доходов (Surplus Discovery Gains);
• избежание потерь оборудования (PC Theft/Loss Avoidance);
• сокращение расходов при инсталляции (MAC/Installation Savings);
• обеспечение лицензионной чистоты (Software License Compliance);
• оптимизация количества лицензий на ПО (SW License Optimization);
• управление списанием оборудования (Asset Retirement Management);
• автоматическое управление проблемами (Automatic Problem Management);
• снижение количества звонков в службу обслуживания (Reduction in Service Desk Call Volume);
• снижение времени на обработку внеплановых заказов (Reduction in Reactive Dispatching);
• сокращение простоев системного и сетевого оборудования (System/ Network Outage);
• повышение эффективности инфраструктуры (Infrastructure Efficiency Gain);
• снижение расходов при сопровождении договоров (Maintenance Contract Savings);
• снижение налоговых затрат на имущество (Property Tax Expense Reduction).
Расходы на внедрение информационной системы состоят из затрат на:
• лицензии на ПО (License);
• консультационные услуги (Professional Services);
• оборудование и общесистемное ПО (HW/SW);
• техническую поддержку (Maintenance);
• управление операциями и администрирование (Administration);
• обучение (Training).
В данном случае общие затраты на внедрение и эксплуатацию системы за пять лет составляют около 796 тыс. долларов, в том числе около 488 тыс. долларов за первый год, прежде всего за счет стоимости лицензий, услуг и оборудования.
Оценка совокупной стоимости владения информационной системой организации (TCO) при текущем и целевом уровне внедрения методов управления ИТ-активами показывает, что эффект от внедрения системы составит около 0,6 млн. долл. в год (см. табл. 10.1). Аккумулированный эффект нарастающим итогом за пять лет эксплуатации представлен в табл. 10.2.
Таблица 10.1. Эффект от внедрения системы управления активами 
Таблица 10.2. Эффект нарастающим итогом 
Таблица 10.2. Эффект нарастающим итогом (окончание)
Вывод: внедрение системы управления ИТ-активами экономически целесообразно. Период окупаемости инвестиций составляет 7 месяцев.
Инвестиции в информационную безопасность
В качестве примера использования методики ТСО для обоснования инвестиций на информационную безопасность (ИБ) рассмотрим проект создания корпоративной системы защиты информации от вирусов и вредоносных апплетов, интегрированной с системой контроля и управления доступом на объекте информатизации.
Для этого сначала условно определим три возможных степени готовности корпоративной системы защиты от вирусов и вредоносных апплетов, а именно: базовую, среднею и высокую.
Базовая. Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и вредоносных апплетов при небольших затратах.
Средняя. Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политике защиты информации, передаваемой по открытым каналам связи. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации.