'

Учет ИТ рисков при инвестировании

Понравилась презентация – покажи это...





Слайд 0

Учет ИТ рисков при инвестировании Святослав Сорокин Старший вице-президент ЗАО «Би-Эй-Си» www.bacint.ru Обеспечение непрерывности бизнеса


Слайд 1

От построения сетей – к управлению знаниями О чем пойдет речь Разрешите представится Значимость ИТ в бизнесе компании Оценки потерь бизнеса из-за ИТ Классификация рисков Международные стандарты Методология обеспечения непрерывности бизнеса Типичные ошибки


Слайд 2

От построения сетей – к управлению знаниями От построения сетей – к управлению знаниями Структура портфолио Би-Эй-Си Индустриальный и ИТ консалтинг Консалтинг по бизнес-процессам Разработка бизнес-приложений Разработка ИТ стратегии Информационная безопасность Инженерные системы Системы центров обработки данных Создание инженерных систем зданий Системы безопасности Бизнес приложения Системы мониторинга и управления ИКТ Операторские центры Документооборот ИКТ инфраструктура Центры обработки и хранения данных Системы доступа Системы передачи данных Телефония и видеоконференции Аутсорсинг Аутсорсинг ИКТ-инфраструктуры Сервисное обслуживание Обучение и тестирование


Слайд 3

От построения сетей – к управлению знаниями От построения сетей – к управлению знаниями Компания сегодня Более 1000 сотрудников Партнер более 40 мировых лидеров Более 300 сертификатов Реализовано более 600 крупных проектов 10 лет успешной работы на ИТ-рынке России и за ее пределами Государственная аккредитация на право осуществления деятельности в области информационных технологий Сертификация по ISO 9001:2001


Слайд 4

От построения сетей – к управлению знаниями От построения сетей – к управлению знаниями Широкий географический охват Россия Москва Санкт-Петербург Краснодар Саранск Омск Пермь Казахстан Астана Украина Киев


Слайд 5

От построения сетей – к управлению знаниями От построения сетей – к управлению знаниями Динамика оборота компании 2007 203М $ 2006 128M $ 2005 89M $ 2004 66M $


Слайд 6

От построения сетей – к управлению знаниями От построения сетей – к управлению знаниями Нам доверяют лидеры


Слайд 7

От построения сетей – к управлению знаниями Типичные вопросы “Акционерная стоимость и приоритеты” CEO “Значимость ИТ, эффективность, рентабельность инвестиций” CIO Как ИТ могут способствовать увеличению стоимости компании? Как ИТ могут помочь в управлении бизнесом и решении текущих задач? Как обеспечить принятие эффективных решений по инвестициям в ИТ и, как измерить влияние инвестиций в ИТ на бизнес? Какие существующие ИТ проекты принесут стратегические выгоды, какие проекты следует остановить? Как установить контроль над расходами в области ИТ? Каковы приоритеты бизнеса и требования к ИТ? Каким образом должны быть интегрированы организация ИТ, процессы, архитектура и инфраструктура в компании? Как принимать решения в области ИТ, как контролировать их исполнение? Как распределить ответственность? Как обеспечить прозрачность и контроль над инвестициями в ИТ? Как управлять портфелем ИТ проектов? Роль ИТ для бизнеса © 2006 Accenture


Слайд 8

От построения сетей – к управлению знаниями Мировая статистика 85% Компаний сильно или полностью зависит от вычислительных систем; В среднем на 6-й день после перерыва ИТ в работе теряется 25% бизнеса, а на 25-й день – 40%; Спустя 14 дней после прекращения работы вычислительных систем у 75% компаний потеря функционирования становится критической; Свыше 40% компаний, испытавших бедствие и не имевших Плана обеспечения бесперебойного функционирования в течение 3-5 лет теряли бизнес © 2007 Gartner


Слайд 9

От построения сетей – к управлению знаниями Пример оценки эффективности затрат 500 Стоимость, тыс. долларов США 262,80 Стоимость владения или аренды ИТ системы, в год 400 300 200 100 0 Доступность, % 26,28 2,63 35 150 500 Потери из-за недоступности, в год 99,900 99,990 99,999


Слайд 10

От построения сетей – к управлению знаниями Вопросы к себе С какими рисками сталкивается ваш бизнес и ИТ? Какие прямые и косвенные убытки понесет бизнес из-за простоя ИТ? Накладывается ли на ваш бизнес государственное регулирование? Когда в последний раз проводилась проверка плана обеспечения непрерывности бизнеса и какие она дала результаты?


Слайд 11

От построения сетей – к управлению знаниями Стандарты оценки и управления информационной безопасностью: ISO 15408 ISO 17799 BSI Стандарты ИТ аудита: CobiT SAC COSO SAS 55/78 Методики анализа рисков – существует общий подход к анализу рисков, однако единой универсальной методики нет. Международные стандарты в области ИТ


Слайд 12

От построения сетей – к управлению знаниями Метрики управления доступностью Простой, недоступность обслуживания Недоступность компонента Время обнаружения неполадки Время реагирования на неполадку Время ремонта в случае неполадки Время восстановления в случае неполадки Время возобновления обслуживания в случае неполадок Время устранения неполадки MTBSI, среднее время между системными неполадками MTTR, среднее время прекращения простоя, среднее время восстановления Критическое время сбоя Недоступность услуг третьей стороны Недоступность компонентов, предоставляемых третьей стороной Время возобновления недоступных услуг Количество повторных сбоев


Слайд 13

От построения сетей – к управлению знаниями Return Point Objective (RPO) Целевая точка восстановления Согласованный с бизнесом интервал времени, предшествующий аварии, за который допускается потеря данных Return Time Objective (RTO) Целевое время восстановления Согласованный с бизнесом интервал времени после аварии, необходимый для восстановления ИТ-сервиса Основные метрики


Слайд 14

От построения сетей – к управлению знаниями Классификация рисков © 2005 Hewlett-Packard Development Company


Слайд 15

От построения сетей – к управлению знаниями Причины и следствия простоя ИТ © 2005 Hewlett-Packard Development Company


Слайд 16

От построения сетей – к управлению знаниями Методика оценки потерь © 2005 Hewlett-Packard Development Company


Слайд 17

От построения сетей – к управлению знаниями Оценки потерь бизнеса из-за простоя ИТ © 2005 Hewlett-Packard Development Company


Слайд 18

От построения сетей – к управлению знаниями Business Continuity Plan (BCP) План обеспечения непрерывности бизнеса Комплекс технических и организационных мер по снижению рисков прерывания бизнеса в случае бедствия Disaster Recovery Plan (DRP) План аварийного восстановления Важнейшая составляющая ВСР, содержащая суть и порядок действий аварийных команд по восстановлению критически важных ИТ-сервисов Основные мероприятия по снижению ИТ рисков


Слайд 19

От построения сетей – к управлению знаниями Число услуг, не охватываемых планом Задержка с подготовкой/обновлением плана Задержка с тестированием плана Число проблем, выявленных при последнем тестировании, которые еще не решены на данный момент времени Результаты опроса по осведомленности о непрерывности предоставления ИТ-услуг Число выявленных за данный период проблем, которые ставят под угрозу план Число неверных записей в справочнике группы кризисного контроля Запаздывание готовности резервных мощностей Степень удовлетворенности клиентов Метрики непрерывности предоставления ИТ услуг


Слайд 20

От построения сетей – к управлению знаниями УГРОЗЫ Физические (техногенные, терроризм) Логические (хакерские атаки, саботаж) РИСК УЯЗВИМОСТЬ БИЗНЕС RPO RTO ИТ-сервисы Логика снижения ИТ рисков


Слайд 21

От построения сетей – к управлению знаниями Исполнение проектов по повышению надежности ИТ систем Жизненный цикл по обеспечению надежности ИТ систем


Слайд 22

От построения сетей – к управлению знаниями Результаты Общая координация и управление проектом Сбор информации о текущей надежности и отказоустойчивости ИТ систем Определение требований к повышению надежности и отказоустойчивости Анализ информации о надежности и отказоустойчивости ИТ систем Оценка информации Разработка решений по повышению надежности ИТ систем Анализ и выбор метода ТЭО проектов по повышению надежности ИТ систем ТЭО проектов по повышению надежности ИТ систем. Разработка и согласование сводного текста отчета Карта проблем надежности и отказоустойчивости ИТ систем Карта «блокируемых» рисков Требования к повышению надежности и отказоустойчивости Решения по повышению надежности и отказоустойчивости ИТ систем Перечень мероприятий для повышения надежности ИТ систем Отчет по результатам работ, включающий рекомендации по повышению надежности и отказоустойчивости ИТ систем и их ТЭО Итоговая презентация по результатам работ Работы Работы и результаты по обеспечению надежности ИТ


Слайд 23

От построения сетей – к управлению знаниями ТЭО приемлемо? Да Нет Мероприятия по обеспечению надежности ИТ систем и их ТЭО


Слайд 24

От построения сетей – к управлению знаниями Анализ и разработка решений по повышению надежности ИТ Корпоративные стандарты, требования подразделений Бизнес процессы ИТ системы Проекты Обоснование эффективности REVENUE ARPU EBITDA / OIBDA Bad Debts CHURN REVENUE ASSURENCE Анализ и разработка решений по повышению надежности ИТ систем


Слайд 25

От построения сетей – к управлению знаниями Ввод Программы в эксплуатацию Программа аварийного восстановления — комплекс технологических и организационно-методических мер, которые позволяют обеспечить непрерывность предоставления ИТ-сервисов организации. Пример проекта Внедрение Программы аварийного восстановления


Слайд 26

От построения сетей – к управлению знаниями 1 этап: Разработка Концепции Первичные угрозы Превентивные меры снижение вероятности ЧС снижение уязвимости при ЧС снижение потенциального ущерба Аварийное восстановление Типы сценариев: полная потеря ВЦ потеря серверов/приложений частичная потеря данных серьезный сбой сети логическое повреждение данных Типы сценариев: потеря приложения (данные/сервис) Ущерб от потери приложения Классификация (классы критичности) RTO/RPO RTO/ RPO Техническое решение / $ защита данных восстановление сервиса ОБЩЕЕ РЕШЕНИЕ (сроки + деньги) (возможно, изменение решений)


Слайд 27

От построения сетей – к управлению знаниями Стратегия резервирования ИТ-сервисов Резервные площадки («холодные, горячие»); Каналы связи основной и резервной площадок; Резервное оборудование: «Холодное» (на складе, либо по предварительным договорам у вендоров) «Теплое» (предварительно инсталлированное для целей резервирования, используемое для производственных нужд в штатном режиме) «Горячее» (работающее как резервное в режиме On-Line) Организационная структура и Планы обучения Высокоуровневые решения по способам эксплуатации резервных систем Стратегия защиты данных Способы резервного копирования; Способы репликации данных. Стратегия восстановления ИТ-сервисов Привязка классов критичности ИТ-сервисов (RPO/RTO) к способам резервирования и защиты данных; Стратегия реализации Программы Укрупненный план-график с описанием этапов реализации 1 этап Разделы концепции


Слайд 28

От построения сетей – к управлению знаниями 1 этап Разработка типов сценариев


Слайд 29

От построения сетей – к управлению знаниями 1 этап Классификация критичности ИТ приложений


Слайд 30

От построения сетей – к управлению знаниями Главный и резервный вычислительные центры Распределенный вычислительный центр Смешанный вычислительный центр ГВЦ РЦ 1 этап Варианты разработки ИТ инфраструктуры


Слайд 31

От построения сетей – к управлению знаниями 2 этап: Техническое проектирование


Слайд 32

От построения сетей – к управлению знаниями 3 этап: Разработка документов Угрозы Таблицы критичных ИТ-сервисов Превентивные меры по снижению вероятности реализации угроз Превентивные меры по снижению ущерба от реализации угроз РИСК План первичного реагирования План аварийного восстановления ИТ-сервисов в РВЦ План перехода от аварийного к штатному функц-ию План переноса ИТ-сервисов обратно в ГВЦ Превентивные меры


Слайд 33

От построения сетей – к управлению знаниями Разработка регламентов и процедур аварийного восстановления Разработка планов обучения Разработка планов тестирования (учебных переключений) Внедрение организационной структуры, регламентов и процедур аварийного восстановления 3 этап: Разработка документов


Слайд 34

От построения сетей – к управлению знаниями 4 этап: Ввод в действие Программы План внедрения Глубина проработки 18 месяцев; Пересмотр 6-12 месяцев; Мониторинг, улучшение Стратегический уровень; Тактический уровень; Операционный уровень «Опорная инф-ра» Превентивные меры; РЦ с инфраструктурой Резервное копирование Техническая реализация Планы разного уровня Критичные/важные/остальные Пошаговое внедрение; Проверка работоспособности; Высокая доп. нагрузка Обеспечение непрерывности ИТ-сервисов Оптимизация основной инфраструктуры Резервные раб. места/резервный офис Разработка DR-плана Разработка планов и регламентов Контроль изменений Необходимо встроить в основной процесс развития ИТ


Слайд 35

От построения сетей – к управлению знаниями Переоценка или недооценка рисков (неадекватность используемого решения для предотвращения возможных потерь) Передача руководства проектом обеспечения непрерывности бизнеса ИТ-руководителям Обеспечение непрерывности достигается не только (и не столько) за счет технических средств, сколько благодаря управленческим процессам, таким как контроль рисков, контроль изменений, регулярное тестирование Плана и т.д. Типичные организационные ошибки (1)


Слайд 36

От построения сетей – к управлению знаниями Недооценка скорости изменений в Компании Проект обеспечения непрерывности, в котором не учитываются изменения структуры Компании или быстрые темпы ее роста, может не улучшить, а ухудшить способность восстановления в случае ЧС «Мы сами справимся!» Участие внешних консультантов позволяет: разработать целостный и всеобъемлющий подход; формализовать используемые процедуры и методы; воспользоваться экспертным опытом. Типичные организационные ошибки (2)


Слайд 37

От построения сетей – к управлению знаниями «Расскажем, когда всё будет готово!» Реализация проекта по обеспечению непрерывности бизнеса занимает длительное время. Естественно, что руководство будет интересоваться успехами, не дожидаясь окончания проекта. Поэтому необходимо регулярно информировать его о ходе выполнения работ, возникающих проблемах и ближайших планах, чтобы избежать ситуации, в которой достигнутые результаты не соответствуют ожиданиям. Нельзя допустить, чтобы потраченные усилия получили оценку «ГОРА РОДИЛА МЫШЬ». Типичные организационные ошибки (3)


Слайд 38

От построения сетей – к управлению знаниями Дублирование существующей ИТ-инфраструктуры Если не проводить оптимизации существующей ИТ-инфраструктуры, то ее усложнение за счет реализации DR-решений вместо способности обеспечить непрерывность бизнеса приведет лишь к уменьшению надежности Недостаточность выделенных ресурсов Реализация стратегии обеспечения непрерывности бизнеса требует большого количества ресурсов, выделенных в нужное время и в нужном месте. Особенно важно иметь достаточно технических специалистов, способных участвовать в реализации и последующей эксплуатации примененных технологических решений. Типичные технологические ошибки (1)


Слайд 39

От построения сетей – к управлению знаниями «Всё и сразу!» Поскольку ИТ-инфраструктура современных компаний состоит из большого количества компонент, невозможно обеспечить непрерывность функционирования их всех за один шаг. Работы должны быть спланированы таким образом, чтобы на каждом этапе постепенно повышать степень непрерывности бизнеса, не подвергая его дополнительным рискам на протяжении всего проекта. Типичные технологические ошибки (2)


Слайд 40

От построения сетей – к управлению знаниями Заключение Не рискуйте! Не дожидайтесь безвозвратных потерь Выступайте с инициативой Управляйте проектом Берегите свои нервы и своего босса


Слайд 41

От построения сетей – к управлению знаниями Наши предложения Количественный и качественный анализ рисков и его согласование с бизнес-подразделениями Аудит ИКТ компании и деятельности ИТ-служб на предмет готовности к рискам Разработка ТЭО, концепции и внедрение плана по поддержанию непрерывности бизнеса в области ИТ (BCP) Разработка ТЭО, концепции и внедрение плана восстановления работоспособности информационной системы в области ИТ (DRP) Разработка и внедрение архитектурных решений по реорганизации ИКТ предприятия в соответствии с BPC и DRP


Слайд 42

Спасибо за внимание ! Святослав Сорокин E-mail: sviatoslav.sorokin@bacint.ru Тел: +7 (495) 787 24 50 (доб. 1262) http://www.bacint.ru


×

HTML:





Ссылка: