Учет ИТ рисков при инвестировании презентация

ИТ в бизнесе компании
Оценки потерь бизнеса из-за ИТ
Классификация рисков
Международные стандарты
Методология обеспечения непрерывности бизнеса
Типичные ошибки

управлению знаниями

Структура портфолио Би-Эй-Си

Индустриальный и ИТ консалтинг
Консалтинг по бизнес-процессам
Разработка бизнес-приложений
Разработка ИТ стратегии
Информационная безопасность

Инженерные системы
Системы центров обработки данных
Создание инженерных систем зданий
Системы безопасности

Бизнес приложения
Системы мониторинга и управления ИКТ
Операторские центры
Документооборот

ИКТ инфраструктура
Центры обработки и хранения данных
Системы доступа
Системы передачи данных
Телефония и видеоконференции

Аутсорсинг
Аутсорсинг ИКТ-инфраструктуры
Сервисное обслуживание
Обучение и тестирование

управлению знаниями

Компания сегодня

Более 1000 сотрудников
Партнер более 40 мировых лидеров
Более 300 сертификатов
Реализовано более 600 крупных проектов

10 лет успешной работы на ИТ-рынке России и за ее пределами

Государственная аккредитация на право осуществления деятельности в области информационных технологий

Сертификация по ISO 9001:2001

управлению знаниями

Широкий географический охват

Россия
Москва
Санкт-Петербург
Краснодар
Саранск
Омск
Пермь

Казахстан
Астана

Украина
Киев

управлению знаниями

Динамика оборота компании

2007
203М $

2006
128M $

2005

89M $

2004

66M $

управлению знаниями

Нам доверяют лидеры

ИТ, эффективность, рентабельность инвестиций”

CIO

Как ИТ могут способствовать увеличению стоимости компании?
Как ИТ могут помочь в управлении бизнесом и решении текущих задач?
Как обеспечить принятие эффективных решений по инвестициям в ИТ и, как измерить влияние инвестиций в ИТ на бизнес?
Какие существующие ИТ проекты принесут стратегические выгоды, какие проекты следует остановить?
Как установить контроль над расходами в области ИТ?

Каковы приоритеты бизнеса и требования к ИТ?
Каким образом должны быть интегрированы организация ИТ, процессы, архитектура и инфраструктура в компании?
Как принимать решения в области ИТ, как контролировать их исполнение? Как распределить ответственность?
Как обеспечить прозрачность и контроль над инвестициями в ИТ?
Как управлять портфелем ИТ проектов?

Роль ИТ для бизнеса

© 2006 Accenture

полностью зависит от вычислительных систем;
В среднем на 6-й день после перерыва ИТ в работе теряется 25% бизнеса, а на 25-й день – 40%;
Спустя 14 дней после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критической;
Свыше 40% компаний, испытавших бедствие и не имевших Плана обеспечения бесперебойного функционирования в течение 3-5 лет теряли бизнес

© 2007 Gartner

США

262,80

Стоимость владения или аренды ИТ системы, в год

400

300

200

100

0

Доступность, %

26,28

2,63

35

150

500

Потери из-за недоступности, в год

99,900

99,990

99,999

сталкивается ваш бизнес и ИТ?
Какие прямые и косвенные убытки понесет бизнес из-за простоя ИТ?
Накладывается ли на ваш бизнес государственное регулирование?
Когда в последний раз проводилась проверка плана обеспечения непрерывности бизнеса и какие она дала результаты?

безопасностью:
ISO 15408
ISO 17799
BSI
Стандарты ИТ аудита:
CobiT
SAC
COSO
SAS 55/78
Методики анализа рисков – существует общий подход к анализу рисков, однако единой универсальной методики нет.

Международные стандарты в области ИТ

Недоступность компонента
Время обнаружения неполадки
Время реагирования на неполадку
Время ремонта в случае неполадки
Время восстановления в случае неполадки
Время возобновления обслуживания в случае неполадок
Время устранения неполадки
MTBSI, среднее время между системными неполадками
MTTR, среднее время прекращения простоя, среднее время восстановления
Критическое время сбоя
Недоступность услуг третьей стороны
Недоступность компонентов, предоставляемых третьей стороной
Время возобновления недоступных услуг
Количество повторных сбоев

точка восстановления Согласованный с бизнесом интервал времени, предшествующий аварии, за который допускается потеря данных
Return Time Objective (RTO) Целевое время восстановления Согласованный с бизнесом интервал времени после аварии, необходимый для восстановления ИТ-сервиса

Основные метрики

Company

2005 Hewlett-Packard Development Company

Development Company

ИТ

© 2005 Hewlett-Packard Development Company

непрерывности бизнеса Комплекс технических и организационных мер по снижению рисков прерывания бизнеса в случае бедствия
Disaster Recovery Plan (DRP) План аварийного восстановления Важнейшая составляющая ВСР, содержащая суть и порядок действий аварийных команд по восстановлению критически важных ИТ-сервисов

Основные мероприятия по снижению ИТ рисков

с подготовкой/обновлением плана
Задержка с тестированием плана
Число проблем, выявленных при последнем тестировании, которые еще не решены на данный момент времени
Результаты опроса по осведомленности о непрерывности предоставления ИТ-услуг
Число выявленных за данный период проблем, которые ставят под угрозу план
Число неверных записей в справочнике группы кризисного контроля
Запаздывание готовности резервных мощностей
Степень удовлетворенности клиентов

Метрики непрерывности предоставления ИТ услуг

цикл по обеспечению надежности ИТ систем

информации о текущей надежности и отказоустойчивости ИТ систем
Определение требований к повышению надежности и отказоустойчивости

Анализ информации о надежности и отказоустойчивости ИТ систем
Оценка информации
Разработка решений по повышению надежности ИТ систем

Анализ и выбор метода ТЭО проектов по повышению надежности ИТ систем
ТЭО проектов по повышению надежности ИТ систем.
Разработка и согласование сводного текста отчета

Карта проблем надежности и отказоустойчивости ИТ систем
Карта «блокируемых» рисков
Требования к повышению надежности и отказоустойчивости

Решения по повышению надежности и отказоустойчивости ИТ систем
Перечень мероприятий для повышения надежности ИТ систем

Отчет по результатам работ, включающий рекомендации по повышению надежности и отказоустойчивости ИТ систем и их ТЭО
Итоговая презентация по результатам работ

Работы

Работы и результаты по обеспечению надежности ИТ

ИТ систем и их ТЭО

надежности ИТ

Корпоративные стандарты,
требования подразделений

Бизнес процессы

ИТ системы

Проекты

Обоснование
эффективности

REVENUE
ARPU
EBITDA / OIBDA
Bad Debts
CHURN
REVENUE ASSURENCE

Анализ и разработка решений по повышению надежности ИТ систем

комплекс технологических и организационно-методических мер, которые позволяют обеспечить непрерывность предоставления ИТ-сервисов организации.

Пример проекта Внедрение Программы аварийного восстановления

снижение вероятности ЧС
снижение уязвимости при ЧС
снижение потенциального ущерба
Аварийное восстановление

Типы сценариев:
полная потеря ВЦ
потеря серверов/приложений
частичная потеря данных
серьезный сбой сети
логическое повреждение данных

Типы сценариев: потеря приложения (данные/сервис)

Ущерб от потери приложения

Классификация (классы критичности)

RTO/RPO

RTO/ RPO

Техническое решение / $
защита данных
восстановление сервиса

ОБЩЕЕ РЕШЕНИЕ (сроки + деньги)
(возможно, изменение решений)

горячие»);
Каналы связи основной и резервной площадок;
Резервное оборудование:
«Холодное» (на складе, либо по предварительным договорам у вендоров)
«Теплое» (предварительно инсталлированное для целей резервирования, используемое для производственных нужд в штатном режиме)
«Горячее» (работающее как резервное в режиме On-Line)
Организационная структура и Планы обучения
Высокоуровневые решения по способам эксплуатации резервных систем
Стратегия защиты данных
Способы резервного копирования;
Способы репликации данных.
Стратегия восстановления ИТ-сервисов
Привязка классов критичности ИТ-сервисов (RPO/RTO) к способам резервирования и защиты данных;
Стратегия реализации Программы
Укрупненный план-график с описанием этапов реализации

1 этап Разделы концепции

центр

Смешанный вычислительный центр

ГВЦ

РЦ

1 этап Варианты разработки ИТ инфраструктуры

меры по снижению вероятности
реализации
угроз

Превентивные меры по снижению ущерба от реализации угроз

РИСК

План первичного реагирования

План аварийного восстановления ИТ-сервисов в РВЦ

План перехода от аварийного к штатному функц-ию

План переноса ИТ-сервисов обратно в ГВЦ

Превентивные меры

планов обучения

Разработка планов тестирования (учебных переключений)

Внедрение организационной структуры, регламентов и процедур аварийного восстановления

3 этап: Разработка документов

внедрения
Глубина проработки 18 месяцев;
Пересмотр 6-12 месяцев;
Мониторинг, улучшение

Стратегический уровень;
Тактический уровень;
Операционный уровень

«Опорная инф-ра»
Превентивные меры;
РЦ с инфраструктурой
Резервное копирование

Техническая реализация

Планы разного уровня

Критичные/важные/остальные
Пошаговое внедрение;
Проверка работоспособности;
Высокая доп. нагрузка

Обеспечение непрерывности ИТ-сервисов

Оптимизация основной инфраструктуры
Резервные раб. места/резервный офис

Разработка DR-плана

Разработка планов и регламентов

Контроль изменений

Необходимо встроить в основной процесс развития ИТ

рисков (неадекватность используемого решения для предотвращения возможных потерь)
Передача руководства проектом обеспечения непрерывности бизнеса ИТ-руководителям Обеспечение непрерывности достигается не только (и не столько) за счет технических средств, сколько благодаря управленческим процессам, таким как контроль рисков, контроль изменений, регулярное тестирование Плана и т.д.

Типичные организационные ошибки (1)

в Компании Проект обеспечения непрерывности, в котором не учитываются изменения структуры Компании или быстрые темпы ее роста, может не улучшить, а ухудшить способность восстановления в случае ЧС
«Мы сами справимся!» Участие внешних консультантов позволяет:
разработать целостный и всеобъемлющий подход;
формализовать используемые процедуры и методы;
воспользоваться экспертным опытом.

Типичные организационные ошибки (2)

будет готово!» Реализация проекта по обеспечению непрерывности бизнеса занимает длительное время. Естественно, что руководство будет интересоваться успехами, не дожидаясь окончания проекта. Поэтому необходимо регулярно информировать его о ходе выполнения работ, возникающих проблемах и ближайших планах, чтобы избежать ситуации, в которой достигнутые результаты не соответствуют ожиданиям. Нельзя допустить, чтобы потраченные усилия получили оценку «ГОРА РОДИЛА МЫШЬ».

Типичные организационные ошибки (3)

проводить оптимизации существующей ИТ-инфраструктуры, то ее усложнение за счет реализации DR-решений вместо способности обеспечить непрерывность бизнеса приведет лишь к уменьшению надежности
Недостаточность выделенных ресурсов Реализация стратегии обеспечения непрерывности бизнеса требует большого количества ресурсов, выделенных в нужное время и в нужном месте. Особенно важно иметь достаточно технических специалистов, способных участвовать в реализации и последующей эксплуатации примененных технологических решений.

Типичные технологические ошибки (1)

ИТ-инфраструктура современных компаний состоит из большого количества компонент, невозможно обеспечить непрерывность функционирования их всех за один шаг. Работы должны быть спланированы таким образом, чтобы на каждом этапе постепенно повышать степень непрерывности бизнеса, не подвергая его дополнительным рискам на протяжении всего проекта.

Типичные технологические ошибки (2)

с инициативой
Управляйте проектом
Берегите свои нервы и своего босса

рисков и его согласование с бизнес-подразделениями
Аудит ИКТ компании и деятельности ИТ-служб на предмет готовности к рискам

Разработка ТЭО, концепции и внедрение плана по поддержанию непрерывности бизнеса в области ИТ (BCP)

Разработка ТЭО, концепции и внедрение плана восстановления работоспособности информационной системы в области ИТ (DRP)

Разработка и внедрение архитектурных решений по реорганизации ИКТ предприятия в соответствии с BPC и DRP

50 (доб. 1262)
http://www.bacint.ru