Views: 267
Менеджеры дата-центров ведут постоянную борьбу с риском. Эффективное управление рисками в Дата-Центре, помимо помещения вычислительного ресурса в ограниченное пространство с использованием ограниченной мощности и охлаждающей способности, предполагает постоянную доступность этого ресурса. Это означает выявление и управление рисками из различных источников.
Методология управления рисками на основе стандартов может помочь в решении этой проблемы. Это может помочь менеджерам центров обработки данных определить приоритеты своих рисков и подготовиться к проведению аудита центра обработки данных или критических сред. Когда начать?
Понимание различных типов риска
Прежде чем центр обработки данных сможет управлять рисками, он должен понять различные категории угроз операциям. Кевин Рид, старший менеджер GIO UK во французской многонациональной ИТ-консалтинговой компании Capgemini, отвечает за управление рисками в центрах обработки данных в своей организации, которая имеет собственные средства обслуживания клиентов. Он выделяет несколько категорий для руководителей центров обработки данных, о которых следует беспокоиться.
«Первая категория риска в критически важных центрах обработки данных – это потеря питания», – предупреждает он. Этот риск является существенным для центра обработки данных, но существуют структуры, включающие управление этим риском. Как и многие другие центры обработки данных, Capgemini использует рейтинги уровня, которые помогают классифицировать их подверженность таким разрушительным рискам.
«Capgemini разрабатывает и внедряет средства Tier 3 для обеспечения устойчивости своих клиентов с помощью силовых маршрутов с поддержкой ИБП N + 1 и N + N к стойкам и системам охлаждения», – сказал Рид. «Кроме того, подключение питания дуэли к площадке защищает от сбоя питания местной подстанции, а резервные генераторы служат последним средством».
Второй риск связан с перебоями в обслуживании из-за пожаров от неисправных установок и ИТ-оборудования, сказал он, добавив, что компания использует системы подавления инертного газа во всех помещениях ИТ, в том числе в помещениях, для тушения пожаров до их распространения.
«Третья категория риска – это наводнения (реки и экстремальные погодные условия), самолеты, пандемии и загрязнение воздуха от других объектов», – продолжил он. «Никогда не следует выбирать места на траекториях полетов, вблизи зон риска наводнений и рядом с фабриками, которые загрязняют или могут содержать взрывоопасные химические вещества».
Наконец, Рид указывает на безопасность как четвертую категорию риска. Это включает в себя как физическую безопасность, так и риск логических нарушений безопасности (хаков). Фирма даже сводит террористические угрозы в эту категорию риска.
Как и другие категории риска, безопасность естественно разбивается на множество подкатегорий, и их можно разделить еще дальше. Например, в рамках логической безопасности менеджеры могут рассматривать доступ сотрудников к приложениям как определенную область риска, а доступ с мобильных устройств и устройств – как другую.
Некоторые риски появляются как новые технологии и становятся мейнстримом. Например, Пол Феррон, директор по решениям безопасности в CA Technologies, предупреждает о разрастании виртуализации как особой угрозе безопасности. Он предупредил, что это явление, чаще всего описываемое как риск управления и ресурсов, может иметь свои последствия и для безопасности данных.
«Виртуальные машины могут быть легко скопированы без соответствующих привилегий безопасности», – предупредил он. «Когда пользователи покончили с ними, их нельзя закрыть».
В этом случае, как и во многих других, разработка безопасных процессов для определенных операций помогает стандартизировать их и снизить риск появления уязвимостей в сети. Использование, скажем, инструментов управления ИТ-услугами для кодификации и автоматизации этих процессов еще более сокращает его.
Мэтт Ловелл, технический директор облачной хостинговой компании Pulsant, добавляет риски для здоровья и безопасности.
Он предупредил, что они многогранны – от наилучшей электротехнической практики и механической безопасности до контроля защиты окружающей среды и шума, а также от проблем работы в ограниченном пространстве.
«Это требует значительной степени соблюдения и безопасности измерений, чтобы гарантировать, что весь персонал, работающий в окружающей среде, делает это с минимальным риском для себя и других», – сказал он.
Методологии управления рисками
Эти риски не все будут равны, хотя. Некоторые из них будут более вероятными, чем другие, в то время как другие будут иметь большее потенциальное влияние. Жонглирование ими всех и понимание того, какие из них следует расставить по приоритетам с бюджетной точки зрения, является важной частью процесса.
Феррон советует менеджерам использовать вариации традиционной матрицы управления рисками с вероятностью риска по одной стороне и потенциальным влиянием бизнеса по другой. «Это может быть трехмерный график», – добавил он, предположив, что в третьем измерении можно выделить прогнозируемые расходы для снижения рассматриваемого риска.
Операция чтения имеет аналогичный подход, предназначенный для выявления и количественной оценки рисков и их потенциальных затрат на смягчение. Важно отметить, что его система управления рисками разработана для того, чтобы быть живым, дышащим документом, который со временем меняется.
«В Capgemini мы внедрили ежемесячную систему управления рисками, которая регистрирует все риски и проблемы с планами сдерживания и действий», – сказал он. «Инвестиционный бюджет предоставляется, если требуются изменения».
Хотя центры обработки данных сталкиваются с собственными уникальными видами рисков, эффективное управление и методы, используемые для управления ими, не являются специфическими для этой среды. Более общие методологии управления рисками так же подходят для описания и обработки рисков центров обработки данных, как и в других областях.
По словам Ловелла, одним из общепризнанных стандартов управления рисками является ISO 31000: 2009. Этот стандарт устанавливает общие принципы и рекомендации по управлению рисками и разработан с учетом типов рисков, которые каждый пользователь считает целесообразными. Это скорее основа для управления рисками, чем аккредитация, но Ловелл сказал, что ее также можно использовать для проверки готовности к рискам в центре обработки данных.
«Программа аудита должна быть направлена на то, чтобы определить, какие правильные процедуры реагирования существуют, и что они отрабатываются и понимаются персоналом, которые со временем меняются, поэтому их необходимо постоянно обновлять», – сказал он.
Однако дата-центры работают не одни. Они существуют в более широком континууме, который объединяет технологии с бизнес-целями. Управление рисками в технологии станет частью более широкой истории управления рисками. Компетентные компании будут изучать все виды рисков, от финансовых до нормативных и организационных.
То, как риск центра обработки данных вписывается в это, зависит от компании. В случае Capgemini, менеджер центра обработки данных отвечает за объект и будет управлять ежемесячными процессами рисков и проблем. Этот менеджер вместе с главой британских дата-центров ежемесячно проводит встречи с командой финансового директора, чтобы предсказать любые основные расходы на риски.
По словам Ловелла из Pulsant, команды, отвечающие за соблюдение требований центров обработки данных, обычно отчитываются перед Правлением в той или иной форме.
«Есть обязанности директора, которые должны управляться и отражаться как юридические обязательства. Это может отличаться от других программ управления ИТ, которые могут отчитываться через различные проектные или организационные структуры », – сказал он.
В идеале, должно быть некоторое разделение обязанностей при управлении рисками и отчетности о результатах, добавил Ловелл. «Рекомендация всегда заключается в том, чтобы надлежащим образом управлять рисками, и это должно включать уровень независимого управления и проверки соответствия вне рабочих групп, которые осуществляют мониторинг и предоставляют услуги центра обработки данных. Это может быть независимая команда внутреннего или внешнего управления ».
Выбор методологии аудита
Ключевое слово здесь – проверка. Количественная оценка, установление приоритетов и снижение риска является одной из задач управления рисками, но измерение производительности центра обработки данных в этих областях является важной частью процесса. Аудит на предмет риска поможет внутреннему персоналу – и, возможно, клиентам, при необходимости, – выяснить, насколько хорошо центр обработки данных контролировал различные источники риска в работе.
Прежде чем выбрать аудит для покрытия рисков в центре обработки данных, менеджеры должны понять, чего они хотят добиться от него. Ориентирован ли клиент на проведение аудита рисков? Если да, есть ли какие-то конкретные стандарты, которые ищет клиент? Существуют ли метрики управления рисками, которые клиент хочет, чтобы центр обработки данных поразил?
Аудит также может проводиться поставщиками услуг по снижению рисков в центре обработки данных. Например, центры обработки данных Capgemini регулярно проверяются собственной группой, государственными клиентами, а также страховщиками Capgemini, сказал Рид.
Стандарты аудита
Для эффективного управления одной из самых больших проблем аудита рисков является разнообразие категорий риска. Трудно проверить все это по одному стандарту, а это означает, что руководителям центров обработки данных, возможно, придется применять различные стандарты при проведении аудита.
Что касается безопасности, ISO 27002 охватывает свод правил по управлению информационной безопасностью. В нем рассматриваются различные аспекты, в том числе безопасность человеческих ресурсов, физическая и экологическая безопасность, а также контроль доступа.
Стандарт безопасности данных индустрии платежных карт (PCI-DSS) также охватывает информационную безопасность и представляет собой весьма предписывающий стандарт, ориентированный на организацию и хранение данных кредитных карт в центре обработки данных. Он охватывает создание и обслуживание защищенной сети, управление уязвимостями, а также мониторинг сети и системы, среди прочего.
Для эффективного управления коммерческих операторов, обрабатывающих правительственную информацию, могут потребоваться другие проверки. В Великобритании Список X является общепризнанной системой проверки безопасности для подрядчиков, обрабатывающих правительственные данные, в то время как в США альтернативными являются уровни очистки помещений.
«С точки зрения охраны здоровья и безопасности многие операторы центров обработки данных работают или, по крайней мере, следуют принципам OHSAS18001, который является международно признанным стандартом для управления безопасностью и здоровьем и соответствующими системами», – добавил Ловелл.
Аудиты по охране окружающей среды часто подпадают под ISO14001. Центры обработки данных, возможно, пожелают рассмотреть этот стандарт аудита и риски для окружающей среды в целом, учитывая тенденцию хранения дизельного топлива на месте для удовлетворения потребностей генератора.
Заинтересованные стороны
По словам Гэвина Милларда (Gavin Millard), технического директора Tenable Network Security, занимающегося продажей программного обеспечения, предназначенного для сканирования сетей на предмет угроз безопасности, в процессе определения и снижения рисков часто участвует множество заинтересованных сторон. Он делит их на три основные группы: команда безопасности, операционная команда и бизнес.
Проблема в том, что не все из них имеют одинаковые повестки дня, предупредил он: «Как обнаружили многие организации, цели и потребности каждой из них часто противоречат друг другу, что вызывает проблемы с определением приоритетов действий, необходимых для уменьшения определения риска каждой конкретной группой». он сказал.
Как выглядят эти конфликты? Одним из примеров является исправление программного обеспечения. Это один из наиболее эффективных способов снижения рисков безопасности в организации. В июле 2013 года Австралийское управление безопасности опубликовало ряд стратегий по борьбе с кибер-вторжениями. Исправление операционных систем было одной из этих мер, а исправление приложений – другой. Агентство заявило, что выполнение этого, наряду с внесением в белый список приложений и минимизацией административных привилегий, устранит 85 процентов взломов.
Проблема заключается в том, что приоритетной задачей группы ИТ-безопасности является устранение дыр в системе, через которые может проникнуть злоумышленник, чтобы снизить риск взлома данных. Это требует быстрого исправления критических уязвимостей. И наоборот, ИТ-отдел должен минимизировать риск простоя, а это означает, что любые изменения в системе должны быть структурированы, запланированы и контролироваться. Это часто может привести к тому, что рабочие группы будут запрашивать менее частые графики исправлений для снижения риска доступности.
У бизнес-менеджеров есть своя, отдельная повестка дня: поддержание итогов и достижение их целевых показателей. Таким образом, они захотят, чтобы патчи были развернуты только в том случае, если выгода от итогов перевешивает стоимость завершения работы.
«Противоречивые цели могут быть трудными для решения эффективного управления , но один из наиболее эффективных методов достижения этой цели – создать высокоэффективный процесс для непрерывного определения места риска», – сказал Миллард. «Вам также нужен предсказуемый, надежный метод обновления систем без ущерба для всеобъемлющих бизнес-целей организации».
Таким образом, эффективное управление рисками включает в себя не только оценку угроз для центра обработки данных, но и готовность членов команды совместно работать вместе, чтобы можно было с радостью выполнить все задачи. В некоторых случаях это может создать возможности для новых методов работы.
Введение дисциплин DevOps (разработка / эксплуатация) для оптимизации рабочего процесса между разработкой, тестированием и развертыванием может помочь компенсировать напряженность, такую как описанная Миллардом.
Как и в большинстве случаев в сфере ИТ, эффективное управление рисками – это такой же процесс, ориентированный на людей, как и технологический. Использование стандартизированных методологий и аудитов может помочь определить, насколько сильно рискует центр обработки данных и как это может повлиять на будущие бюджеты.