Praktyk w ITIL 4 jest 34, co nie oznacza, że trzeba z wszystkich korzystać. W czwartej części opiszę jakie praktyki wspierają zarządzanie poziomem świadczenia usług (SLM) oraz umowę na poziom świadczenia usług (SLA). Praktyki te są bardzo ważne aby spełnić wymagania SLA, które są uzgodnione pomiędzy dostawcą usług a klientem.

Zarządzanie dostępnością usług

Dostępność usługi to jeden najczęściej występujących parametrów, miar, metryk, który definiowany jest w SLA. Jest on też kluczowy z punktu widzenia użytkownika, który chce mieć gwarancję, że będzie mógł korzystać z usługi a jeżeli nawet będą jakieś niedostępności usługi to będą one krótkie i działanie usługi zostanie jak najszybciej przywrócone.

Celem praktyki zarządzania dostępnością usług jest zapewnienie, że usługi dostarczają uzgodniony poziom dostępności, który spełnia potrzeby klientów i użytkowników.

Ważne jest aby dostępność usług była mierzona właśnie z perspektywy użytkownika (end to end) a nie dostawcy usług.

Samą dostępność usługi możemy wyrażać w różny sposób: procentowo, czasowo, ilościowo. Najczęściej występujące miary to MTBF (Mean Time Between Failers), czyli średni czas pomiędzy awariami, mierzy jak często usługa ulega awarii. Inna miarą jest MTRS (Mean Time to Restore Service), czyli średni czas przywrócenia usługi do działania, mierzy jak szybko usługa jest naprawiana po awarii.

Czas dostępności lub niedostępności usługi liczmy w oknie świadczenia usługi, czyli wtedy kiedy dostawca zobowiązał się, że użytkownicy będą mogli korzystać z usługi.

Dostępność usługi zależy od wielu czynników, między innymi od architektury, dlatego wymagania związane z dostępnością powinny być definiowane na etapie projektowania i tworzenia usługi, aby była możliwość ich spełnienia.

Zarządzanie potencjałem wykonawczym i wydajnością

Drugą po dostępności, najczęściej występująca metryką definiowaną dla usług jest wydajność. Może być ona wyrażana w formie różnych miar: czas odpowiedzi na czynność wykonaną przez użytkownika (w sekundach), ilość operacji wykonywanych w jednostce czasu, czas przetwarzania określonej ilości transakcji.

Celem praktyki zarządzania potencjałem wykonawczym i wydajnością jest zapewnienie, że usługa osiąga uzgodnioną i oczekiwaną wydajność i spełnia aktualne i przyszłe wymagania w sposób efektywny kosztowo.

Zdefiniowanie wydajności wymaga określenia warunków brzegowych, nazywanych wolumetrią usługi. Chodzi o określenie jakie są graniczne wartości ilości zapytań, transakcji, operacji, przy których musza być spełnione wymagania wydajnościowe, np. dotyczące czasu odpowiedzi. Żaden system informatyczny nie jest z gumy i ma określoną przepustowość, która musi być zdefiniowana aby dostawca usług mógł świadomie przyjąć zobowiązania od klientów i użytkowników. Parametry wydajnościowe usługi powinny zostać zweryfikowane przed jej uruchomienie, poprzez przeprowadzenie testów wydajnościowych.

Drugim kluczowym elementem w tej praktyce, bardzo mocno powiązanym z wydajnością jest potencjał wykonawcy (capacity), który pozwala na zaplanowanie jakie zasoby infrastrukturalne są potrzebne aby spełnić wymagania wydajnościowe. Ile serwerów, ile CPU w serwerach, ile pamięci RAM, ile zasobów dyskowych HDD, ile operacji wejścia/wyjścia IO? Bez analizy potrzebnych zasobów infrastruktury, zaplanowania zapotrzebowania na zasoby infrastruktury i monitorowania wykorzystania zasobów, nie jest możliwe świadczenie usług na wymaganych poziomie wydajności i niezawodności.

Zarządzanie ciągłością działania usług

Celem praktyki zarządzania ciągłością działania usług jest zapewnienie, że dostępność i wydajność usługi są utrzymywane na wystarczającym poziomie w przypadku katastrofy. Praktyka ta zapewnia ramy do budowania odporności organizacji z możliwością wytworzenia skutecznej odpowiedzi, która chroni interesy kluczowych interesariuszy oraz reputację organizacji, markę i działania tworzące wartość.

Kolejna praktyka, która jest potrzebna aby zapewnić dostępność i wydajność usług. Metryki związane z ciągłością działania zawarte są również w umowie SLA. Co robić w przypadku wystąpienia katastrofy, np. takiej jak pożar, powódź, trzęsienie ziemi, atak terrorystyczny itp.? W tym pomaga nam właśnie ta praktyka.

Jaka jest definicja katastrofy? Nagłe, nieplanowane zdarzenie powodujące duże szkody lub poważne straty w organizacji. Aby zostać sklasyfikowanym jako katastrofa, zdarzenie musi spełniać określone kryteria wpływu na działalność, które są wstępnie zdefiniowane przez organizację

W ramach praktyki wykonujemy analizę ryzyka i określamy, które usługi są krytyczne z punktu widzenia działania biznesu. Co się stanie, jeżeli te usługi przestaną działać? Czy mogą nie działać kilka godzina, kilka dni? Jakie przyjąć rozwiązania aby w przypadku zmaterializowania się takiego zagrożenia, zachować ciągłość działania biznesu?

Ktoś powie, przecież takie sytuacje nie występują często i jest małe prawdopodobieństwo, że nas będą dotyczyć. Czy aby na pewno?

W 2021 roku spłonęła część serwerowni w data center OVH, jednego z dostawców usług internetowych, również dla polskich klientów. Kto nie miał planu odzyskiwania po katastrofie (Disaster Recovery Plan), ten poniósł znaczne straty związane z niedostępnością usług, nawet przez kilka dni.

Oczywiście nie można zabezpieczyć się przed wszystkimi zagrożeniami ale można zminimalizować ryzyko negatywnych skutków w przypadku ich wystąpienia.

Zarządzanie bezpieczeństwem informacji

Chyba nie trzeba nikogo przekonywać, że bezpieczeństwo informacji w każdej organizacji jest bardzo ważne. Szczególnie obecnie gdy mamy zwiększoną ilość różnych ataków w obszarze bezpieczeństwa, ważne jest aby świadomie i profesjonalnie podejść do tych zagadnień.

Celem praktyki zarządzania bezpieczeństwem informacji jest ochrona informacji potrzebnych organizacji do prowadzenia działalności. Obejmuje to zrozumienie i zarządzanie ryzykiem poufności, integralności i dostępności informacji, a także innych aspektów bezpieczeństwa informacji, takich jak uwierzytelnianie i niezaprzeczalność.

Praktyka zarządzania bezpieczeństwem informacji jest ściśle powiązana z praktykami zarządzania dostępnością oraz potencjałem wykonawczym i wydajnością, co oznacza, że pewne aspekty tych praktyk powinny być wdrażane w tym samym czasie. Nie da się zapewnić dostępności usługi, pomijając kwestie bezpieczeństwa informacji, które bezpośrednio wpływa na dostępność informacji gromadzonych i zarządzanych w ramach usługi.

Wdrożenie praktyki zarządzania bezpieczeństwem informacji chroni operacyjne działanie organizacji i utrzymanie klientów, zabezpiecza technologie i dane kluczowe do prowadzenia działalności biznesowej, ochrania organizację przed utratą reputacji i skutkami finansowymi, jasno pokazuje zagrożenia i podatności dotyczące bezpieczeństwa informacji, optymalizuje i określa priorytety dotyczące ochrony informacji.

 

Przedstawione praktyki są kluczowe aby świadczyć usługi na wymaganym przez klienta poziomie. W mojej ocenie praktyki zarządzanie ciągłością działania usług i bezpieczeństwem informacji są częściej wykorzystywane przez organizacje, podczas gdy zarządzani dostępnością oraz potencjałem wykonawczym i wydajnością, nie jest odpowiednio traktowane. Trochę to zaskakujące patrząc jak kluczowym elementem świadczenia usług jest ich dostępność.

Jak to wygląda w przypadku Twojej organizacji? Podziel się Swoim doświadczeniem.