IT控制:怎样开始?从哪里开始?

  IT操作最佳实践如ITIL,提供了一个可以定义可重复和可证明的IT流程的框架。然而,当公司试图采用ITIL去开始进行流程改进时,他们面临两个非常困难的问题:怎样开始?从哪里开始?

  Visible+Ops(Visible+Outbreak+Prevent+Services,可视性中断预防服务)提供了相应的方法论。

  对于那些需要增加服务水平、安全和审计能力的IT部门来说,Visible+Ops是一种能够提高IT变更管理控制和流程改进的方法论,由四个说明性和自我提升的步骤组成。

  Visible+Ops手册,为公司提供了一步步的操作步骤和说明性指导,以便可以开始或继续他们的IT流程改进过程。

  对于业务管理、安全和审计者来说,Visible+Ops是容易实现的,因为它是基础控制部分。以控制为基础,不仅能发现调整的部分,而且能够帮助提供可靠的IT服务传递。Visible+Ops能识别出破坏服务水平和安全的关键问题,并为解决他们提供说明性指导。

  尽管IT操作、安全和审计扮演不同的角色,但是由于缺乏有效控制,这三个部门经常不一致。通过改进流程和控制,所有人能受益于一个更高效的工作关系,并允许这些部门更高效地成功完成共同的业务目标,最终实现以下目标:

  遵从的状态:由于控制是可见的、可证实的和具有规律性的上报活动,因此IT操作和审计人员之间形成一种信任的工作关系;

  形成一种“注重因果关系”的文化:通过控制和相关方法论的使用,这些团队能通过合理地利用“原因”和“结果”之间的关系,去识别并解决问题,形成一种“注重因果关系”的文化,而不是诸如“让我们看看它是否在正常工作”的带有主观性的文化氛围;

  一种基于事实的管理:公司重视控制和相关的方法论,这不仅有助于有效地解决问题,而且能够帮助公司进行一种基于事实的决策的制定。

  三类控制流程

  流程遍及维护产品基础架构工作,其目的不仅是预防服务中断,而且能有效地传递IT服务。这可以通过变更管理和资产和配置管理来实现。BS15000把变更管理和资产与配置管理定义为最基本的控制。城市银行前CIO斯蒂芬.凯特曾经说过:“控制不会使业务慢下来,就像汽车的闸一样,控制允许你走得更快。”

  审计人员经常通过风险和控制来观察世界。风险的确存在,你能通过预防或监测而减少风险;如果风险发生了,你应该能进行修正和恢复。为了更好地解释这一点,以下是三类控制的说明:

  1.阻止某些事情发生的预防性控制:例如政策、职责的分离和授权流程,都是预防性控制。

  2.监测分析控制:如果预防性控制失效了,或者某些事情没有遵从,就通过监测分析控制来监控活动和流程。例如,变更监测和认证就是监测控制。

  3.修正控制:它可以把糟糕的情况修复到所期望的状态。例如,由于一个失败的变更,系统突然瘫痪,作为一个修正控制,就是重新安装所有应用程序的过程,包括从最近可知的正常的映象,到把系统带回到在线服务状态。

  这三类控制的结合能产生一个检查和平衡机制,以便确保流程、人员和技术在规定的范围类运作。

  Visible+Ops也创造性地提供了一种工具,审计人员可以在上面有效地回顾流程和控制,而不是必须通过“辩论分析”方式工作。这提供了一种更加高效的工作关系、更加平滑的审计,并且使他们在审计准备和辅导上花费更少的时间。

  看看效果

  职责分离可以确保,没有任何一个人能未经检查就访问没有授权的事情。由于缺乏职责分离而制造了大量犯罪、欺骗的机会,因此不允许开发者访问生产流程,因为他们有能力直接在管控环境中进行变更。相反,他们开发完代码,然后必须送到检测。这样,IT操作部门就能再次检查这个变更,评定风险,如果所有事情都是可接受的,再部署使用。

  目前,许多审计所关注的是行业所必需的,或者是确保财务报告的完整性的遵从需求;同时,审计人员和核查员通过打开所有仓库并查看货物,以检查财务说明是否正确。按照这样做法,他们去审核财务说明是否与实际发现的相匹配。

  然而,即使最好的审计人员的时间和资源也是有限的。实际上,他们不是进入仓库并检查货物,而是走到计算机旁,检查这些控制,然后决定其是否可信。在大多数案例中,最好把预防与监测控制合并为一;如果他们不存在或者不合适,审计人员就不相信这些计算机控制的成效。

  这些做法减弱了审计员的能力并依靠机器去做任何事情。也就是说,没有确保合适的控制存在,以及需要更加详细的审查,因为那些都会导致巨大的成本。

  “Visible+Ops是一种方法论,对于我漫长的财务和技术审计职业生涯中不断出现的主要问题,它都有所启示,”技术审计员鲁比.克里斯汀娜说:“评估系统的可靠性,审计员需要看以下问题:控制到位,控制文档,控制沟通,和在实际操作中的控制证据。Visible+Ops为IT管理者展示了如何建立操作流程的方法,能回答审计员没完没了的问题———我们怎样真正知道你的控制有效?”

  通过顺利审计之路

  为了与审计人员之间创造一种更高效的工作关系,公司需要能够清晰地描述———那些能够证明他们正按照期望工作的预防流程和检查控制。

  “Visible+Ops为任何层次的IT人员提供了一个改进操作流程的催化剂似的方法,”比尔·什恩,一个财富100强的金融机构的系统安全工程师说:“不管故障是多么困难,Visible+Ops工具帮助公司找到了一个排除故障的方法。如果你正在打算开始或改善配置管理,支持一个可重复的服务器预防流程,并且制定一套实现高质量决策的方法,Visible+Ops正是一个起点。我向任何信息系统的管理者、具有技术背景的高级管理者或具有管理目标的IT职员,推荐它。”

  Visible+Ops提供了一个框架,通过可重复的、可见的和可审计的IT流程,可以在IT运作者、安全和审计之间创造了高效的连接。

  通过掌握IT控制点和接受点,安全部门和审计部门能在变更被执行之前,再查看这些变更,并探测到什么时候这些控制被废止,这些控制不仅能避免那些导致安全事故或无序运作的情况,也允许连续不断的监测并减少不一致的情况。

  监测变更提供了一个重要的安全机制,就像带有棘齿的攀岩者。这些棘齿保证了绳子向一个方向移动,预防攀岩者坠落。监测变更以强制执行流程,可以防止公司滑向一种无法控制的变更状态。

  “这不是说,我们不再犯错误了,而是说,对于导致错误的情况,我们能更加科学地控制,”史蒂夫·达博,IP服务运营副总裁说,“更多时候,错误被看作经验,这样错误就变得越来越少。在寻找全球性IT管理方面,这些流程和监测控制已经帮助我们实现了许多目标。”

  作者/Kevin Behr、Gene Kim、George Spafford

关注读览天下微信, 100万篇深度好文, 等你来看……