Потребности бизнеса от ИТ после прохождения этапа стартапа

Сейчас многие финансовые стартапы развиваются на западном рынке, и повышение уровня зрелости ИТ-процессов по международным стандартам позволяет не только получить понятный для бизнеса ИТ-отдел, но и повысить стоимость компании, если планируется ее продажа. И я готов поделиться опытом организации работы ИТ-отдела в финансовой компании, который привел к росту ее стоимости при продаже.

Немного о себе: начал карьеру работая программистом, и после 5 лет работы решил сменить деятельность и перешел на работу в страховую компанию на позицию менеджера, где со временем стал ИТ-директором, проработав в ней в общей сложности 11 лет.

Я присоединился к компании на довольно раннем этапе, всего несколько лет после открытия. В то время компания уже находилась на этапе стабильного роста, и перед бизнесом стояли задачи масштабирования, получения достоверной картины затрат на ИТ и защиты от рисков и кибер-угроз.

Опишу подход к организации процессов управления ИТ-услугами, но не буду затрагивать инструменты, с помощью которых это можно делать. Еще в тексте могут встречаться термины на английском языке, это связано с тем, что компания принадлежала зарубежным акционерам, которые ставили целью построить компанию со зрелыми процессами, поэтому все документы изначально мной создавались на английском языке и переводились по мере требований законодательства РФ.

Потребности бизнеса от ИТ после прохождения этапа стартапа

Поскольку компания уже прошла этап становления и была на этапе роста, то необходимо было обеспечить компанию возможностью адаптации к изменяющемуся рынку и предстояло построить систему управления ИТ для поддержки роста компании.

Помимо этого, существовали внутренние потребности ИТ-отдела. В момент моего прихода вся документация по ИТ состояла из десятка инструкций к используемым системам и была аккуратно сложена в папку на общем диске. С развитием компании и усложнения процессов очевидно, что ориентироваться в наборе инструкций сложно. А также вставали следующие вопросы:

  • Как сделать ИТ-отдел в компании готовым к масштабированию?

  • Как определить какие процессы можно отдать на аутсорс и как ими управлять?

  • Как организовать учет активов и базу знаний?

  • Как быть готовым к аудитам?

  • Как онбоардить новые кадры?

  • И как передать управление в случае бас-фактора?

Bus factor
Bus factor

Стандарты управления ИТ-услугами

При создании ИТ-дирекции важно рассмотреть, какими рамками и стандартами можно руководствоваться в своей работе. На тот момент я рассматривал фреймворки управления ИТ-услугами (ITSM frameworks) COBIT и ITIL.

COBIT (Control Objectives for Information and Related Technologies) известен как “зонтичная система”, обеспечивающая комплексный подход к руководству и управлению ИТ. Он ориентирован на согласование целей ИТ с целями бизнеса и обеспечение эффективного управления рисками и контроля. Однако COBIT не содержит подробного руководства по реализации процессов.

ITIL (Information Technology Infrastructure Library) представляет собой набор лучших практик по управлению ИТ-услугами. В третьей редакции (ITIL v3) декларируется, что она помогает организациям управлять ИТ исходя из коммерческих задач, стоящих перед компанией через введение процесса управления бизнес-услугами. Процесс включает в себя инвентаризацию ИТ-активов, сквозное управление, определение бизнес-процессов и динамическую привязку услуг к инфраструктуре.

Несмотря на то, что COBIT фокусируется на связи ИТ с целями бизнеса, мне в первую очередь необходимо было построить сами процессы управления ИТ. ITIL третьей редакции предлагает практики, а также обеспечивает связь между бизнесом и ИТ, поэтому я остановился на нем.

Стадии внедрения ITSM

Стратегия развития услуг

Первой стадией жизненного цикла услуг является разработка стратегии, в которую входит составление каталога ИТ-услуг и разработка соглашений об уровне обслуживания (SLA).

У кого взять опыт составления каталога ИТ-услуг?

Лучше всего организуют свою работу профессионалы — это аутсорсеры. Недолгий поиск привел к Каталогу ИТ-услуг некоммерческого партнёрства «АСТРА», куда входили крупнейшие аутсорсеры РФ. Пишу в прошедшем времени, потому что не уверен, что партнёрство существует в том же виде и сейчас. Для партнерства предпосылкой к созданию отраслевого документа стало желание сообщества в унификации подхода к предоставляемым услугам. Поскольку Каталог разработан аутсорсерами, то в нем используется слово Заказчик, но это не мешает взять его за основу для разработки внутренней документации, понимая, что Заказчики — это бизнес-подразделения компании.

Описанная в каталоге модель строится на иерархической структуре, где на верхнем уровне представлены бизнес-услуги, в середине поддерживающие их технические услуги, а на нижнем находятся конфигурационные элементы.

Бизнес ИТ-услуги привязаны к бизнес-процессам и в них может входить различный набор технических услуг. Это уровень представления для топ-менеджмента, содержит требования и учет заинтересованных сторон (Stakeholders).

На этом уровне можно выделить значимые для бизнеса услуги в отдельные категории:

  • Жизненно-важные

  • Высоко-доступные

Ниже уровнем представлены Технические услуги, которые описывают детали предоставляемых услуг с привязкой ко всем поддерживающим компонентам ИТ-инфраструктуры. Данный уровень используется ИТ-менеджментом, и на этом слое можно определить:

  • ответственных

  • уровень предоставления услуги исходя из нижестоящих услуг, предоставляемых, например внешними провайдерами

  • измеряемые параметры

  • состав конфигурационных элементов

  • характеристики услуги

Конфигурационные элементы описывают виды деятельности, на которых строится повседневная работа ИТ-специалистов. Данный уровень должен предусматривать возможность выбора такого набора услуг, который позволит определить ответственность по разным аспектам ИТ-услуги между внутренними ИТ-подразделениями и разными сторонними поставщиками ИТ-услуг.

Для примера можно взять предоставление услуг телефонной связи:

Для финансового отдела это одна услуга, которую можно учитывать укрупненно.
Для ИТ-менеджмента эта услуга включает в себя предоставление мобильных и офисных коммуникаций.
Для специалистов на данном уровне представлены виды деятельности и инструкции для выполнения своей работы.
Таким образом, можно детализировать ИТ-услугу и ответственность за нее до уровня объекта обслуживания, а в случае необходимости и до отдельного вида деятельности, который можно передать на аутсорсинг.

Проектирование услуг

В эту стадию входит разработка политик, архитектур, документации и разработка плана управления ими через качественные метрики.

Обеспечение качества предоставляемых услуг

В соответствии с ITIL v3 определение подходов к обеспечению качества ИТ-услуг включается в стадию проектирования. Чтобы контролировать качество оказания услуг создаётся система оценки. ИТ-менеджмент должен сосредоточиться на том, что ожидает бизнес:

  • повышении надежности услуг

  • улучшение эксплуатационной эффективности

В процессе проектирования услуг должны быть определены:

  • что подлежит измерению

  • какие метрики использовать

  • как использовать результаты измерений для демонстрации достижений

Показатели качества:

  • Доступность услуги/сервиса

  • Время решения проблемы

  • Доля нарушений SLA

  • Удовлетворенность пользователей/клиентов

Можно вводить и другие метрики, такие как стоимость одного контакта, доля решений по первому обращению и т.д. в зависимости от услуги, контекста и требований.

Чтобы достичь заданных показателей качества, мероприятия можно поделить на проактивные и реактивные.

Также, при создании бизнес-процесса технической поддержки важно учесть следующее:

  • Обращениям, связанным с информационной безопасностью, нужно присваивать высший приоритет (наверняка вам встречались статьи, когда даже крупные компании игнорируют запросы о найденных уязвимостях).

  • Необходимо настроить процесс напоминания о незакрытых заявках (всем неприятно, когда приходится обращаться по несколько раз).

  • Нужно предусмотреть процесс эскалации (сотрудники должны четко понимать границы своих компетенций).

Бизнес каталог ИТ-услуг

Для компании я составил такой список ИТ-услуг для бизнеса:

  • Управление технической поддержкой (единая точка контакта).

  • Управление рабочими местами пользователей — обеспечение и поддержка работоспособности оборудования и ПО рабочих мест.

  • Управление серверным оборудованием — установка, настройка и т. п.

  • Управление системами хранения и резервирования данных.

  • Управление сетями передачи данных — LAN, WAN.

  • Управление телефонией и системами видеоконференцсвязи — офисная и мобильная связь, а также поддержка проведения вебинаров.

  • Управление печатью и копированием.

  • Управление системой электронной почты.

  • Управление корпоративными системами (1С, КИС, СЭД).

  • Управление web-сайтами компании.

  • Управление инженерной инфраструктурой.

  • Мониторинг инфраструктуры и сервисов.

  • Управление информационной безопасностью (включая защиту персональных данных).

  • Управление непрерывностью бизнеса.

Данный перечень лёг в основу положения об ИТ-отделе, таким образом компания получила список направлений деятельности ИТ-отдела.

В рамках активности Capacity management я разбил направления деятельности на 3 категории исходя из объемов выполняемой работы и компетенций, которые можно выделить в подразделения ИТ-дирекции:

Отдел поддержки — отвечает за базовые инфраструктурные услуги, куда входит практически весь перечень услуг, которые выполняются администраторами и сотрудниками технической поддержки.
Отдел разработки — во главе с менеджером проекта отвечает за разработку.
Отдел ИБ — отвечает менеджер по информационной безопасности и непрерывности бизнеса.

Здесь возникает сложность совмещения ролей в небольших компаниях, что может вызвать конфликт интересов. Обычно отдел ИБ подчиняется напрямую руководителю компании или акционерам, но в компании была определена только стратегия на уровне акционеров, поэтому я отвечал за ее реализацию с привлечением экспертов и аутсорсеров ИБ, потому что объем знаний, скрытый за стратегией, был довольно велик.

Управление информационной безопасностью

Для управления информационной безопасностью в компании было принято решение придерживаться стандарта ISO 27001, который предоставляет фреймворк по созданию, внедрению, сопровождению и постоянному совершенствованию Information security management system (ISMS).

Политики информационной безопасности

Работа по внедрению ISMS заняла не один год, и целью было доведение части процессов до уровня зрелости, когда процесс задокументирован, имеет владельца, область применения и используется в большинстве подразделений организации.

Я просто перечислю политики, которые были введены, и которые затрагивают все аспекты операционной деятельности организации:

ISMS Organization
Management of IS Specifications
IT-System and Network Operations
Cloud Security
Cryptography
HR Security
Identity and Access Management
Information Classification
IS Compliance
IS Incident Management and Response
IT-Asset Management
Mobile Security
Physical Security
Procurement and Provider Management
Secure Software Development
Secure Use of Information and IT

Дополнительные активности

В рамках управления ИТ-отделом также приходится заниматься и дополнительными вещами, например сертификацией PCI DSS и вопросами защиты персональных данных по 152 ФЗ. Данные активности отлично ложатся в услугу управления информационной безопасностью.

По PCI DSS получали сертификат как E-commerce (SAQ-A EP). Стандарт определяет требования к процессам, инфраструктуре и сайту, а также предписывает проводить ASV-сканирование, что позволило поднять уровень защищенности ресурсов компании.

По 152-ФЗ также были введены определенные политики и процессы, которые необходимо было поддерживать. Оставлю эту тему без подробностей, поскольку компании из РФ и так должны быть хорошо знакомы с требованиями и процессами.

В момент введения в действие закона GDPR, который является экстерриториальным, проводили оценку применимости и оценку необходимых доработок.

Управление непрерывностью бизнеса

Business continuity management (BCM) также как и внедрение ISMS является частью по реализации риск-ориентированного подхода.

Политика управления непрерывностью бизнеса по ISO 22301 декларирует необходимость введения 3-х линий защиты в виде ролей владельца процесса, риск-менеджера и аудиторов. А также введения следующих активностей:

  • Анализ влияния на бизнес (Business impact analysis), оценка рисков (Risk assessment).

  • План восстановления бизнеса или Business recovery plan (BRP), который формируется исходя из проведенного анализа.

  • План тестирования по различным сценариям и календарь обучения.

Все активности строятся на риск-ориентированном подходе, то есть из вероятности и степени риска, что позволяет исключить нерелевантную деятельность.

Стадия преобразование услуг

На данной стадии вводятся дополнительные политики и процессы:

  • управление изменениями

  • управление релизами

  • управление конфигурацией

  • валидация и тестирование услуг

  • управление знаниями

Здесь наблюдается пересечение с требованиями стандарта ISO 27001.

Связанные процессы

Дополнительные процессы
Дополнительные процессы

Необходимо учитывать, что предоставляемые услуги не существуют сами по себе, а связаны с процессами, на обеспечение которых также необходимо выделить время и учитывать определенные требования.

Учет активов (Asset management)

ИТ-активы компании состоят из физического оборудования и лицензий на ПО. Для учета нужно применять специализированные программы и проводить регулярную инвентаризацию. Что примечательно, ITIL v3 также позволяет считать активом и услуги.

Ведение база знаний (Knowledge base management)

Нужна сотрудникам для документирования архитектуры, сохранения инструкций и особенностей обслуживаемой системы.

Предоставление отчетности (Reporting procedures)

Необходимо иметь возможность генерировать и сохранять различные отчеты в зависимости от получателей. Например, аудиторам необходимо предоставлять отчеты по изменениям, где указаны ответственные за изменение, описание, дата, согласование.

Управление изменениями (Change management policy)

Процесс изменений должен быть внедрен в компании, чтобы сделать процесс структурированным и контролируемым образом, минимизируя риски простоя, сокращать количество инцидентов и соответствовать нормативным стандартам.

Управление инцидентами (Incident management and response policy)

Политика определяет требования к процессам, чтобы минимизировать негативное воздействие инцидентов и должен включать в себя следующее: Планирование и подготовка Обнаружение и отчетность Отбор и принятие решений Противодействие Извлеченные уроки

Управление уровнем обслуживания (SLA management)

Процесс, направленный на определение, переговоры, согласование, мониторинг и отчетность по уровню ИТ-услуг, предоставляемых заказчикам.

Эксплуатация услуг

Портфель услуг составили, инструкции создали, команду набрали, что дальше? Четвертая стадия жизненного цикла ИТ-услуг — это операционная деятельность. Результатом этапа эксплуатации услуг является предоставление качественных ИТ-услуг, отвечающих потребностям бизнеса и его клиентов. Эффективное и рациональное управление ИТ-услугами позволяет организациям обеспечить соответствие ИТ-услуг бизнес-стратегии и их ценность для заказчиков.

Постоянное улучшение услуг

Согласно ITIL v3, пятым этапом жизненного цикла услуг является непрерывное совершенствование услуг (Continual Service Improvement, CSI), который направлен на выявление и внедрение улучшений ИТ-услуг с целью повышения эффективности, результативности и ценности для бизнеса. Этап CSI включает в себя следующие действия:

  • Определение стратегии развития (чтобы уделять внимание только актуальным услугам)

  • Определение метрик и ключевых показателей эффективности

  • Сбор и анализ данных для выявления тенденций, закономерностей и областей, требующих улучшения

  • Представление проанализированных данных и рекомендаций заинтересованным сторонам

  • Внедрение улучшений

  • Мониторинг эффективности внедренных изменений

Результатом этапа CSI является постоянное совершенствование ИТ-услуг и процессов в соответствии с изменяющимися потребностями бизнеса и его заказчиков. Выявляя области для улучшения и внедряя изменения, организации могут гарантировать, что их ИТ-услуги приносят пользу бизнесу и соответствуют его стратегиям и целям.

Планирование рабочей нагрузки руководителя

Политики не только необходимо ввести, еще их необходимо регулярно пересматривать, чтобы вовремя адаптировать к изменяющемуся законодательству, стандартам и рынку. Также существуют дополнительные процессы, такие как: оценка рисков, аудит и закрытие недостатков, тестирование DRP, Business Impact Analysis, BCM Risk Assessment, сдача архива в ЦБ и т. д.
Понимание о том, какие существуют активности, позволяет спланировать рабочую нагрузку таким образом, чтобы не делать что-то в аврале. Это позволило составить план на год, где описано в каком месяце какая активность должна происходить.

Повышение уровня зрелости процессов

Описанное выше подводит к тому, что после внедрения каталога ИТ-услуг появляется полная картина о том, какие услуги предоставляет ИТ-отдел и какие процессы под этим лежат, а также позволяет определить метрики для каждого из процессов. Это даёт возможность составить дорожную карту для повышения уровня зрелости ИТ-процессов.

Сложности управления политиками в международных компаниях

В процессе внедрения политик возникают пересечения требований по разным стандартам и разному законодательству. Например, различаются требования ISO 27001 и ФСТЭК по шифрованию или порядок уведомления регулирующих органов в случае инцидентов по ИБ (да-да, есть определенные требования к банкам и страховым компаниям по уведомлениям государственных органов).

В этом случае составляется List of non-conformities, где указывается список невозможности исполнения требований и в приоритет берется локальное законодательство. Этот список утверждается на уровне группы компаний.

Что может сделать руководитель, чтобы повысить стоимость компании

Определить, что нужно добиться с помощью ITSM и как это согласуется с бизнес-целями.

Оценить текущую практику управления ИТ-услугами в организации и понять с чего начать.

Создать стратегию, в которой будут описаны шаги, необходимые для перехода от текущего состояния к желаемому состоянию с помощью ITSM. Привести план в действие и развернуть адаптированные процессы ITSM в организации. Это может потребовать обучения персонала новым процессам и технологиям.

Ключевое в ITSM — это постоянный процесс совершенствования. Постоянно измеряйте и контролируйте эффективность ИТ-услуг и процессов, а также используйте обратную связь для выявления областей, требующих дальнейшего совершенствования.

Поощряйте сотрудничество и коммуникацию между ИТ-командами и другими подразделениями, чтобы обеспечить согласованность и максимальную ценность ИТ-услуг для бизнеса.

При необходимости обращайтесь к внешним экспертам. Рассмотрите возможность привлечения консультантов или экспертов по ITSM, которые могут обеспечить руководство и поддержку на протяжении всего процесса внедрения.

Итоги

Для компании

[В душном корпоративном стиле]

ИТ-отдел стал готов к масштабированию и введению новых процессов и систем, инженеры получили описание своих обязанностей и список поддерживаемых систем, стало возможно вводить метрики для управления. Также бизнес получил возможность выделять как целые направления, так и определенные услуги для аутсорса с возможностью их контроля.

Основное преимущество ITIL v3 заключается в том, что она позволяет компании получить максимальную отдачу от инвестиций в ИТ. Это дает возможность повысить инновационный уровень и ценность бизнеса за счет использования всего потенциала, заложенного в технологии, и опыта ИТ-специалистов.

Преимущества ИТ-структур от такой комбинации заключаются в более полной и приносящей большее удовлетворение роли ИТ-специалистов в работе компании. Более того, растет их авторитет и ценность для компании, поскольку руководство начинает воспринимать ИТ-подразделение как структуру, создающую и увеличивающую ценность бизнеса.

Преимущества для руководства компании заключаются в более плотных взаимоотношениях с ИТ-структурами и лучшем понимании возможностей ИТ-структур по использованию технологии для развития бизнеса. За счет активного взаимодействия с ИТ-структурами руководство компании может внедрить новые бизнес-процессы, повышающие конкурентоспособность их компании.

Для акционеров

Повышение уровня зрелости процессов повышает стоимость компании независимо от методологии оценки бизнеса. Компания успешно продолжает свою деятельность после продажи, качественно оказывая свои услуги клиентам с осознанным вкладом в это от ИТ-персонала.

Для меня

За 11 лет работы я получил опыт как:

  • системный аналитик, когда моделировал информационные системы,

  • бизнес-аналитик при моделировании бизнес-процессов по BABOK,

  • менеджера проекта при управлении международными командами разработки по Agile,

  • как security officer при внедрении системы ИБ.

Еще считаю ценным опыт работы с людьми из разных стран. Подходы к управлению определяются стандартами, но культура разная. Самое главное — обмен опытом.

Я очень благодарен своим руководителям, которые создали очень комфортную среду внутри компании и дали возможность узнать столько нового. Я до сих пор считаю эту компанию второй семьёй.

После продажи компании я не увидел для себя возможностей роста, поэтому решил попробовать себя на международном рынке, пусть и в другой роли. Все дела были постепенно переданы, поэтому с уверенностью могу сказать, что качество не пострадает. И я до сих с удовольствием общаюсь с коллегами.

Комментарии (4)


  1. Remers24
    24.08.2024 17:06

    После продажи компании я не увидел для себя возможностей роста, поэтому решил попробовать себя на международном рынке

    Это где?


    1. msfs11 Автор
      24.08.2024 17:06

      Американская healthcare компания с офисом разработки в Черногории. Всегда интересно было пожить у моря.


      1. Remers24
        24.08.2024 17:06

        а налоги кто и как платит, надеюсь вы задуматватесь о своем будующем,


  1. ozzyBLR
    24.08.2024 17:06

    Вроде начинали за здравие, а в итоге... Просто перечисление практик и артефактов ITIL? С минимумов примеров реализации(