Ситуация на ИТ-рынке. Санкции. Срочные меры. Что делать с рисками?
На сегодняшний день команда CORTEL наблюдает, как Apple, TSMC, AMD и Intel приостанавливают поставки продукции в Россию. При этом ограничения коснулись и программного обеспечения. Финансовые взаимодействия с западными партнёрами осложнены или невозможны. С другой стороны, мы видим как возрастает активный интерес к отечественным разработкам в инфраструктуре и ПО.
Есть ли ответ этому запросу – сложно сказать. Рынок оценит и баланс будет найден.
Но уже сейчас есть понимание - «постоять в сторонке» не удастся.
Сегодня важно защитить ИТ системы и инфраструктуру бизнеса, а в дальнейшем скорректировать ИТ стратегию. В этой части нужно внимательно следить за развитием импортозамещения в ИТ и поддерживать отечественные компании.
Что делать уже сейчас?
1. Инфраструктура
- Контроль обновлений должен быть у вас. Внимательно отнеситесь к серверам обновлений приложений. Деактивация может быть реализована через очередной патч. Решение: обновляться на локальном сервере с тестированием на выделенном сегменте
- Организуйте миграцию ресурсов к Российским IAAS провайдерам, если ваша ИТ инфраструктура находится в облаке, на выделенном сервере или на коллокации у западных партнеров
- Смените CDN провайдера на отечественного, если пользуетесь услугами компании из Европы или США
2. Инвентаризация и регламенты
Учёт материальных и интеллектуальных активов часто открывает глаза и позволяет существенно повысить эффективность работы. Многие компании узнают о реальном положении вещей только после аудита.
- Создайте резервные копии рабочей документации из сервисов Google и MS 365 для возможности работать локально
- Внедрите политики обновления ПО, с учётом их блокировки на территории Российской Федерации
- Проверьте лицензии на программное обеспечение и инструменты разработки. Продлите по последней актуальной версии. Составьте план на случай блокировки и подберите варианты замещения
- Проведите инвентаризацию сети. Работайте с партнерами и поставщиками услуг связи на территории Российской Федерации. Обсудите сценарии исключения рисков блокировок
- Проверьте код ваших сайтов и приложений. Проведите аудит и найдите используемые ссылки на зарубежные ресурсы, чтобы быть готовыми поставить заглушки.
4. Информационная безопасность
- Защититесь от DDoS и хакерских атак на критичные онлайн-ресурсы и приложения с помощью отечественных сервис-провайдеров
- Добавьте Российские DNS-сервера для резолвинга, если используете зарубежные
- Перенесите хостинг ваших DNS-зон к отечественным провайдерам, если используете зарубежные
- Обеспечьте резервное копирование данных из облачных систем корпоративных коммуникаций: CRM системы, Почта, Мессенджеры, Видеосвязь, хранение данных и т.д. Составьте план на случай блокировки. Определите заменители
- Проверьте каналы коммуникации с клиентами,составьте план на случай блокировки
5. Резервное копирование
Business continuity - сегодня во главе угла.
Резервирование не равно резервному копированию. Кластера, RAID группы и размещение в облаке не спасают от потери данных
- Начните с составления ведомости и проверки работоспособности копий
- Составьте перечень объектов копирования: операционные системы, базы данных, общие папки и иные хранилища
- Перенесите копии из западных облаков на отечественные
- Изучите правило 3-2-1
- Настройте регулярное автоматическое резервное копирование и оповещение на случаи, если резервное копирование завершится с ошибкои
- Составьте план резервного копирования, где определите частоту и глубину резервных копии
- Проверяйте время восстановления из резервнои копии и убедитесь в его приемлемости
Сейчас мы помогаем многим компаниям. Это не исчерпывающий и не исключающий список всего что можно и нужно делать. В каждом конкретном случае - инструменты и способы различны, но практика показывает - самые устойчивые к авариям клиенты готовились к этому давно и имеют на руках планы восстановления.
Как работать с рисками в будущем?
Сегодня как никогда бизнес почувствовал важность технологий: продажи и общение с клиентами, платежи и внутренние процессы, теперь все удобнее и эффективнее, но требует внимания к безопасности. Данные должны быть доступными, целостными и защищенными, чтобы бизнес мог принимать верные решения и непрерывно функционировать. Важнейшим элементом в достижении непрерывной работы бизнес-процессов и бизнес-приложений является выбор стратегии управления рисками.
Риск - влияние неопределенности на цели.
(ГОСТ Р ИСО 31000-2010. Менеджмент риска)
Какие бывают стратегии работы с рисками:
1. Стратегия уклонения - предполагает полное исключение риска.
2. Стратегия снижения - может применяться к любому риску. Нацелена на снижения вероятности наступления риска и его последствий
3. Стратегия передачи - переносит последствия наступления риска и ответственность за реагирование на третью сторону, при этом сам риск не устраняется. Передача риска предполагает финансовые затраты на передачу и получение финансовой компенсации в случае материализации риска.
4. Стратегия принятия
- Активное принятие - план действий разрабатывается до наступления риска, обеспечивает резерв времени и ресурсов на устранение последствий наступившего риска
- Пассивное принятие - план устранения последствий риска будет разработан после наступления риска
Разберем пример
Предприятие с непрерывной деятельностью поставки товаров или услуг.
Штат сотрудников более 500 человек
Годовой оборот превышает 30 млрд. рублей
Непрерывная работа ключевых процессов предприятия зависит от нескольких Бизнес-приложений. Существует риск остановки работы бизнес-приложения из-за отказа ИТ инфраструктуры.
Что может нанести предприятию существенный ущерб, если длительность такой остановки превысит приемлемое время.
Какие стратегии мы можем применить?
СТРАТЕГИЯ УКЛОНЕНИЯ от данного риска неприменима, так как придется отказаться от автоматизированной обработки данных, что сделает работу предприятия нецелесообразной.
СТРАТЕГИЯ СНИЖЕНИЯ риска является самой распространенной. Но количество уязвимостей, которые могут привести к наступлению риска превышает несколько сотен и пока снижается вероятность наступления по 205-ой уязвимости, первая сотня вновь становиться актуальной и процесс становиться бесконечным.
Например: обеспечиваем избыточность ИТ инфраструктуры и моментальное переключение на дублирующую инфраструктуру в момент аварии. При этом не снижаем риск утраты основной или дублирующей инфраструктуры и/или отказ работы квалифицированного персонала.
СТРАТЕГИЯ ПЕРЕДАЧИ ОТВЕТСТВЕННОСТИ за работу бизнес-приложения. Любая учетная система по модели SAAS - самый простой вариант, но не всегда приемлемый из-за внутренних и внешних ограничений.
В данном случае можно передать ответственность за обеспечение работы ИТ инфраструктуры третьей стороне. При этом, дублирование могут выполнять разные поставщики сервиса. Таким образом, будет исключен риск утраты ИТ инфраструктуры.
ПАССИВНАЯ СТРАТЕГИЯ принятия риска в данном случае не целесообразна, так как стоимость простоя приложения может существенно превысить стоимость мер на снижение вероятности и последствий риска.
АКТИВНАЯ СТРАТЕГИЯ принятия риска оправдана.
Мы соглашаемся с возможностью отказа бизнес-приложения по любой причине, при этом имеем четкий план действий в момент аварии и необходимые ресурсы для восстановления работы на приемлемом уровне и в необходимое время.
Важно: выбор стратегии должен соответствовать целям предприятия в рамках существующих ограничений.
Часто руководители ставят во главу угла экономию финансов, забывая о стоимости последствий наступления рисков, что обходится дороже.
Стоимость снижения риска не должна превышать стоимости устранения его последствий.
Мы видим как индустрия активно адаптируется и меняет сценарии использования ИТ инфраструктуры. Бизнес приходит к пониманию, что модель закупок и самостоятельная эксплуатация это медленно и дорого, особенно сейчас, когда сам факт закупок под вопросом или невозможен. Я в своей практике замечаю что мышление на уровне “железа” и мышление на уровне бизнес-задач и сервисов это отражение уровня цифровой зрелости и развития ИТ в конкретно взятой компании. Но если вчера это был вопрос развития и прироста доходов за счет повышения эффективности ИТ, то сегодня это вопрос сохранения и защиты бизнеса.
А на что рассчитывать в более долгосрочной перспективе? Где брать железо, на котором сидят все корпорации, банки, гос предприятия и большой процент среднего бизнеса? Где брать годы, которые понадобятся на их же пересадку с SAPов и Аксапт на 1С и кастомку?
1. Прогнозировать, что будет в долгосрочной перспективе не приходится, так как ситуация меняется ежедневно. Рассчитывать на то, что в ближайшем времени все вернется «на круги своя» не стоит. Будет как-то по-другому. Точно могу сказать, что сервисные компании - резиденты РФ, не аффилированные с санкционными организациями, продолжают работать на территории РФ в штатном режиме.
2. По железу. Голое железо по старым ценам искать уже бесполезно. Цепочки поставок перестраиваются. Цены точно вырастут. В качестве альтернативы, можно рассмотреть использование частного или публичного облака в тесной интеграции с имеющейся инфраструктурой (Гибридная архитектура), что позволяет устранить возможный дефицит мощностей и добавить устойчивости в функционировании бизнес-приложений. Сервис провайдеры предоставляют такой сервис. Знаю примеры организации частного облака в ЦОДе Заказчика.
3. По переходу с SAPа и AXAPTA на 1С или более сложные программные сборки.
Если организация входит в санкционный список, то вариантов нет. Необходимо готовиться к миграции, при этом итоговое решение принимать по факту такой готовности.
Да, спасибо!
Хорошо, что у многих сервисов то же резервное копирование происходит автоматически. Мы для работы с клиентами Мегапланом пользуемся, сегодня узнали, что автоматически резервные копии создаются. Ничего не потеряем, даже если от интернета отключат)) Наверняка, в других сервисах также.
Беда в том что рунета пока нет и делать его не на чем. По железу полный афронт