Utrzymanie systemów informacji

Wstęp

Przedsiębiorstwo, jakiekolwiek by nie było, bez efektywnych operacji nie ma szans przetrwać. Dlatego też trzeba zarządzać zarządzaniem (masło maślane – to lubię najbardziej ;)). Tutaj wkracza temat kontroli nad systemem informacyjnym przedsiębiorstwa.

To oznacza, że trzeba mieć kontrolę nad systemami zarządzającymi operacjami. Dokonuje się to poprzez mierzenie i raportowanie wyników zmian, które mają przynosić firmie ciągły rozwój.

To nasz temat na dziś: zarządzanie operacjami począwszy od zarządzania zmianą poprzez kontrolowanie i aż po wiele, wiele innych. Wiem, że nie mogłeś się już doczekać, aż zmienimy temat z audytu na jakiś inny, więc w i końcu masz – idziemy dalej 😉

Zarządzanie i kontrola nad operacjami w firmie

Wszystkie aktywności, które są wykonywane w firmie, powinny być zarządzane i kontrolowane. Naprawdę dużo to pomaga w pracy i rozwoju. Gdy po skończeniu szkoły poszedłem do swojej pierwszej pracy, strasznie zastanawiało mnie, po co jest tu tyle procedur, polityk i instrukcji, wytycznych, jak postępować, i tak dalej. Naprawdę było dla mnie nienormalne. Przecież to proste tematy i nie trzeba chyba tego opisywać — wystarczą dwa zdania, zrób tak i tak, i dziękuję.

Trwało to dość długo, zanim zrozumiałem, jak to działa i że dzięki tematom takim, jak zarządzanie zmianą, da się rozwijać dany aspekt. Mam nadzieję, że po tym artykule uda Ci się dojść do podobnego wniosku. I jeśli jeszcze nie jesteś do tego przekonany, ten artykuł otworzy Ci oczy i pomoże zrozumieć, dlaczego warto tak postępować.

Wszystkie aktywności wykonywane przez pracowników dotyczące wszelkich operacji powinny być częścią kontroli, procedury, procesu czy też projektu, który został zaakceptowany przez kierownictwo.

Wszelkie procedury i procesy czy też projekty powinny mieć udokumentowane wszelkie operacje, jakie były lub są z nimi związane. Musisz pamiętać, że to kierownictwo ostatecznie za to odpowiada.

Poniżej znajdziesz wysokopoziomową listę aktywności, które kierownictwo powinno albo wykonać, albo wydelegować ich wykonanie. Jeśli delegujemy zadania, po ich wykonaniu należy sprawdzić, czy wszystko zostało zrobione tak, jak jest to wymagane.

Lista aktywności

• Przygotowanie procesów i procedur — Każda powtarzalna czynność w firmie powinna być udokumentowana w firmie jako proces bądź też procedura. Są to dokumenty, które opisują krok po kroku czynności wykonywane podczas obsługi danej operacji. Te dokumenty muszą po stworzeniu zostać przejrzane i zatwierdzone przez zarząd.
• Przygotowanie standardów — Standaryzacja to super sprawa, która wiele ułatwia. Jedynym problemem przy standaryzacji jest to, że gdy pada jedno, to zazwyczaj pada też wszystko inne. Ale zdecydowanie ilość problemów się zmniejsza, jeśli mamy wszystko w jednym standardzie. Dlatego też powinno się standaryzować pod konkretne marki czy też technologie. Życie wtedy jest łatwiejsze 🙂
• Zapewnienie zasobów — Zarząd jest odpowiedzialny za zapewnienie wszelkich zasobów potrzebnych do wykonania operacji. Niezależnie od tego, czy tym zasobem jest odpowiednia ilość wykwalifikowanych pracowników, technologia czy też budżet. Pamiętaj, że wszystkie zasoby muszą być dostosowane do misji i celów kierownictwa, a nie Twoich. No, chyba że akurat należysz do kierownictwa 😉
• Zarządzanie procesami — Wszystkie procesy powinny być kontrolowane. To pozwoli określić, czy procesy są wykonywane efektywnie, czy jednak trzeba coś w nich poprawić.

Z racji tego, że zajmujemy się bezpieczeństwem, w dalszej części będziemy poruszać temat IT i bezpieczeństwa, w tym zarządzania usługami IT.

Helpdesk

Zaczniemy więc od helpdesku. Helpdesk zajmuje się pomocą wewnętrznym pracownikom firmy w wypadku wystąpienia incydentu czy też potrzeby załatwienia jakiegoś tematu związanego z IT. Z punktu widzenia pracownika helpdesk prowadzi ich zagadnienie od początku do końca.

Helpdesk jest również odpowiedzialny za utrzymanie kontaktu z pracownikami odnośnie ich zgłoszeń i informowaniu ich o postępach czy ich braku co jakiś czas. Zazwyczaj ten czas jest określony w umowie bądź przez kierownika/szefa helpdesku.

Helpdesk też bardzo często służy jako punkt styku z innymi procesami związanymi z zarządzaniem usługami IT. Między innymi są to procesy takie, jak zarządzanie zmianą, zarządzanie konfiguracją i inne, o których dowiesz się w dalszej części tego artykułu.

Zarządzanie Incydentem

Incydent to inaczej nieplanowane przerwanie usługi czy też zmniejszenie jakości danej usługi. Przykładem incydentu może też być sytuacja, gdy w RAID padnie jeden z dysków – więc może to być też wydarzenie, kiedy dana konfiguracja jeszcze nie wpłynęła na operację czy usługę.

W wypadku, gdy dany incydent już miał miejsce, informacja jak go rozwiązać powinny znaleźć się we wcześniej stworzonym do tego katalogu, w którym będą już zawarte informacje o zaistniałych incydentach wraz ze wskazówkami, jak te incydenty rozwiązać. Jeśli jest to możliwe, pracownicy helpdesku powinni mieć dostęp do takich informacji, by szybciej rozwiązywać problemy.

Gdy do rozwiązania incydentu potrzebna jest zmiana konfiguracji, należy to zrobić poprzez zarządzanie zmianą i zarządzanie konfiguracją. I znowu tu zaznaczę, że dowiesz się o tym poniżej, więc bez stresu – zawsze możesz się cofnąć do tych fragmentów i przeczytać je jeszcze raz, by objąć całą sytuację.

Gdy jednak nie znamy trwałego rozwiązania danego incydentu, przechodzi on w status problemu — zapraszam do akapitu poniżej.

Zarządzanie Problemem

Gdy wystąpi kilka takich samych bądź podobnych incydentów, mówimy o problemie. Głównym celem zarządzania problemem jest zmniejszenie niedogodności odczuwanych podczas wystąpienia incydentu.

Zarządzanie problemem może być również wykonywane w proaktywny sposób, np. poprzez śledzenie systemu, czy jest w dobrej kondycji. Przykładem może być wykorzystanie przez serwer całej pamięci, co może się wiązać z szeregiem mniejszych incydentów.

Czym jest zarządzanie zmianą?

Zarządzanie zmianą to formalny proces, w którym jakakolwiek zmiana musi być zgłoszona, przejrzana, a następnie zaakceptowana przez odpowiednią osobę, zanim zostanie wykonana.

Celem zarządzania zmianą jest zminimalizowanie ryzyka, które następuje przy dokonywaniu zmian w systemach. Jak sam wiesz, jedna konfiguracja może posypać cały system. Zwłaszcza gdy nie mamy świadomości, że taką konfigurację wprowadziliśmy do systemu.

Jeśli zaś określiliśmy dokładnie, kto daną zmianę zaakceptował i wprowadził, mamy mniejsze ryzyko chaosu, a za tym mniejszą ilość problemów. A to przekłada się na nasze szczęście i spokojną głowę 😉

Lista czynności związanych z zarządzaniem zmianą

• Zgłoszenie zmiany — Takie zgłoszenie powinno zawierać szczegółowe dane na temat tego, co chcemy zmienić wraz z uzasadnieniem biznesowym, dlaczego należy dokonać takiej zmiany. Powinna w nim się znaleźć również informacja, kto będzie dokonywał takiej zmiany, kto przeprowadzi kontrole po wprowadzeniu tej zmiany – czy wszystko jest ok. Powinny to być dwie różne osoby. W takim zgłoszeniu powinniśmy mieć również szereg informacji, jak przywrócić konfigurację do stanu sprzed zmiany. Po to, by w szybki sposób wrócić do działania, mimo że zmiana się nie dokonała. Przydałoby się również wykonać testy w środowisku testowym. Choć z doświadczenia wiem, że często takie środowiska nie istnieją 😉
• Przegląd zgłoszenia — Tu zostaje dokonany przegląd zgłoszenia przez odpowiednie osoby, które powinny zadać pytania, jaki wpływ może przynieść zmiana – pozytywny czy też negatywny. I powinny rozważyć, czy należy wprowadzić takie rozwiązanie. Tu osoba zgłaszająca będzie musiała odpowiedzieć odpowiedniej osobie przeglądającej na wszelkie pytania dotyczące tego zgłoszenia. Na koniec osoba przeglądająca zdecyduje, czy idziemy dalej i zgłoszenie dostaje akcept, czy jednak odrzucamy.
• Wykonanie zmiany — Osoba bądź grupa osób dokonuje wcześniej ustalonych zmian według wcześniej ustalonej instrukcji, na którą zgodzili się wszyscy uczestnicy tej zmiany. Rezultat takiej zmiany zostaje zapisany i zarchiwizowany. Inaczej mówiąc, jeśli coś padło, to piszemy, że padło i co to było. A jeśli wszystko było ok, to piszemy, że zmiana przebiegła poprawnie i taki log zachowujemy.

• Potwierdzenie zmiany — Wykonywane są wcześniej uzgodnione testy, by potwierdzić, czy dana zmiana przyniosła wymagany efekt i czy nie wyrządziła innych nieprzewidzianych wcześniej szkód. Jeśli coś nie pójdzie zgodnie z planem, należy przywrócić poprzednią wersję bez wprowadzonej zmiany.
• Zmiana w wypadku pośpiechu — tak zwana emergency change. Gdy zdarzy się sytuacja, w której nie jesteśmy w stanie czekać na poprawne wykonanie całości tego procesu, zmiana musi zostać dokonana natychmiast, ponieważ na przykład bez tej zmiany w minutę tracimy miliony. Należy uświadomić zarząd, że takie sytuacje są tylko incydentalne, nie na porządku dziennym i tak nie można postępować non stop. Oczywiście przy takiej zmianie również musi być akceptacja. Ale jest ona często dokonywana werbalnie, a następnie zmiany i ich wpływ przedstawiane są wszystkim zaangażowanym.

Nieautoryzowana zmiana

Firma musi posiadać metody i narzędzia, którymi będzie mogła wykryć dokonanie niepożądanej zmiany. Jeśli taka zmiana zostanie dokonana przez pracownika, musi pociągnąć to za sobą dyskusję z przełożonym, który wyjaśni pracownikowi, dlaczego nie może dokonywać zmian w ten sposób.

Nie wiadomo, co taka zmiana może spowodować, ponieważ nie została ona przeanalizowana. Trzeba to przeanalizować i przywrócić stan sprzed zmiany, bądź też przeanalizować i zaakceptować. Ale jak widzisz, tak czy siak całego procesu nie da się ominąć, a jedynie odłożyć. A nieautoryzowana zmiana mogła tylko narobić problemów. Należy wprowadzić kontrole, by uniknąć takich sytuacji. Poniżej lista takich kontroli.

Lista kontroli przy nieautoryzowanej zmianie

• Podział obowiązków — To jeden z bardzo niedocenianych, ale i często kosztownych rozwiązań. Jeśli jest nas dwóch na tym samym stanowisku i robimy to samo, to jeśli jeden dokona jakichś niepotwierdzonych zmian, ten drugi od razu to zobaczy. Jest to czasem kosztowne, ponieważ zwykle wystarczy jeden pracownik na dane stanowisko i nie ma potrzeby, by był kogoś drugi. Nie ma też ma drugiej osoby w firmie o takich kompetencjach, by mogła ona od czasu do czasu coś skontrolować.
• Przegląd kodu aplikacji — Przed wprowadzeniem zmian należy zrobić przegląd kodu przez niezależnego specjalistę.
• Ograniczone uprawnienia — Tylko osoby, które powinny mieć gdzieś dostęp oraz muszą dokonywać zmian, mają ten dostęp. Wszyscy inni tego dostępu nie mają. Dla przykładu jeden z programistów nie powinien mieć dostępu do produkcji, ponieważ to inny programista powinien zrobić przegląd tego kodu i go wystawić.
• Sprawdzanie integralności plików — Wszystkie systemy produkcyjne powinny mieć oprogramowanie, które będzie sprawdzać integralność plików. I gdy nastąpi jakaś zmiana, dostaniemy prompt na czerwono 🙂 że coś zostało zmienione. Oczywiście – aby nie były to false positive – te komunikaty powinniśmy dostawać tylko wtedy, gdy zmian dokonała nieodpowiednia osoba.
• Sprawdzanie aktywności plików — I tu tak samo. Wszystkie systemy produkcyjne powinny mieć zaimplementowane rozwiązanie, które będzie w stanie wykryć aktywność na plikach.

Zarządzanie Konfiguracją

Zarządzanie konfiguracją to proces zapisywania konfiguracji z systemów IT. Takie podejście ma kilka plusów.

• Przywracanie — Dzięki takiemu podejściu dużo łatwiej jest przywrócić system do pracy i przywrócić funkcjonowanie biznesu.
• Konsekwencja — Używając automatów można wykonywać kopie zapasowe konfiguracji. To ułatwi administrację i zminimalizuje ryzyko pomyłki. A dodatków nie będzie błędu ludzkiego, w którym to ktoś zapomniał zrobić kopię konfiguracji i dokonano paru zmian, które nie weszły, a teraz trzeba ręcznie szukać i cofać te zmiany.
• Rozwiązywanie problemów — Takie zapisy zawsze pomagają w obsłudze błędów, a często pomagają je z miejsca rozwiązać.

Dzięki robieniu takich kopii konfiguracji można je wykorzystać do kontroli tego, czy dana konfiguracja się zgadza. Czy też jednak ktoś dokonał jakichś zmian. Nawet najprostszym sposobem – porównaniem hashu pliku konfiguracji z kopii względem pliku aktualnego i automatyzacja tego procesu.

Zarządzanie poziomem usługi

Zarządzane poziomem usługi to, jak sama nazwa wskazuje, wykonywanie odpowiednich czynności, aby usługa była jak najwyższej jakości dla klientów. Można to osiągnąć poprzez ciągłe monitorowanie danej usługi oraz poprzez przeglądy od czasu do czasu, czy usługa trzyma poziom i czy da się daną usługę jakoś poprawić, czyli, innymi słowy, udoskonalić ją.

Podsumowanie

Dziś powiedziałem troszkę o systemie informacyjnym przedsiębiorstwa i jak nim zarządzać. Omówiliśmy dużo różnych rodzajów zabezpieczeń i unikania problemów poprzez zarządzanie i kontrolowanie operacji IT. Dowiedziałeś się o zarządzaniu zmianą i o tym, jak kontrolować nieautoryzowane zmiany. Poruszyliśmy też zarządzanie incydentami oraz zarządzanie problemem.

Jak widzisz, było tego troszkę i głównie mówiliśmy o zarządzaniu. Jeśli trafisz do jakiejś korporacji, to zobaczysz, że wszystko działa w ten sposób. Jeśli zaś trafisz do startupu, zobaczysz, że jednak to podejście z korporacji przydałoby się wprowadzić, więc lepiej dowidzieć się jak to działa i implementować to pomału. Pomoże Ci to w obu przypadkach. W tym pierwszym – zrozumiesz, dlaczego tak to funkcjonuje, a w drugim będziesz wiedział, o co chodzi i jak zacząć wprowadzać więcej porządku w te struktury i czemu jest to potrzebne.

Pozdrawiam – Pusz