Портал №1 по управлению цифровыми
и информационными технологиями

Аудиторы CMDB, кто они?

Опубликовано 25 января 2012
Рубрики: CMDB, конфигурации и активы
Комментарии

Коллеги, вот скажите мне, кто эти люди? Кто должен проверять актуальность CMDB? Не то чтобы у меня совсем не было идей, просто интересно узнать ваше мнение.

Напомню, что в процессе управления конфигурациями предполагается периодическая проверка актуальности хранящихся в CMDB данных. Проверка может быть полной, может быть выборочной. Результатом проверки обычно является перечень выявленных расхождений. В идеале к расхождениям могут добавиться еще и причины их появления (отказ от исполнения процедур процесса, осуществление изменений инфраструктуры минуя процесс и т.д.)

Так вот, с одной стороны проводить аудит CMDB должны люди, которые понимают в том, что они проверяют. Сложно, например, представить специалиста по приложениям, проверяющего корректность сведений о сетевом оборудовании.

С другой стороны, недаром в литературе эти проверки названы именно «аудит CMDB». Ведь если мы говорим о выявлении нарушений выполнения процедур процессов или фактов несанкционированных изменений, проверка должна быть максимально независимой, не должно быть проверок самого себя. Т.е. аудит должен осуществляться людьми отличными от тех, которые отвечают за актуальность данных в CMDB и корректное проведение изменений в инфраструктуре.

Спрашивается, где таких взять? При этом областей, которые необходимо проверять, может быть несколько (сервера, сетевое оборудование, рабочие станции и т.д.). Т.е. нужны будут специалисты по каждой из этих областей. 

Комментариев: 13

  • Александр

    В случае аутсорсера – это как правило заказчик.. В случае инсорсера – зависит от процедур наполнения CMDB. Ибо если, например, из SCCM выходит “вот так”, то никакой аудитор и не нужен особо.. Я склоняюсь что близко к оптимальному вариант “аудтор”=”ci owner”. Но тут есть один подводный камень – одно дело аудит самого ЭК, другое – связей между этими ЭК. Вот со связями дело несколько сложнее, но тоже решаемо..

  • Как вариант – аудитором является менеджер процесса, как человек понимающий структуру и потребителей со всех сторон. При выборочном аудите конкретной категории менеджер привлекает одного или нескольких экспертов (если информация в данной категории имеет несколько поставщиков). Проверку связей необходимо как-то автоматизировать. В случае автоматического наполнения необходимо проверять корректность и объем – здесь тоже должен работать человек понимающий потребителей.

    • Виталий Фролов

      К сожалению, проверку всех связей не автоматизировать. Автоматически можно проверить наличие хотя бы одной связи у каждой КЕ, но достаточно ли это? Очевидно, нет, нужна проверка вручную.

      • Согласен. Но проводить такие проверки только вручную сложно (на мой взгляд так и вообще нецелесообразно). Если средство автоматизации CMDB не следит за корректностью, то отловить такие ошибки практически невозможно.

        • Коллеги, видимо стоит использовать мозг людей и руки автоматизации. Так собрать часть данных поможет автоматизация, а уж решение по этим данным придется принимать людям.
          Кроме того, часть данных не поможет собрать и проверить никакая автоматизация, взять хотя бы местоположение оборудования.

  • Как правило, корректность (актуальность) данных CMDB является одним из важнейших показателей процесса управления конфигурациями. Естественно, с этим показателем связываются метрики. Какие роли могут быть охарактеризованы этими метриками? В зависимости от структуры процесса – это либо ответственные за CI (видимо, их Александр называет “владельцами”) либо координаторы конфигураций. Далее, поскольку менеджер процесса отвечает в целом за его результативность, то и с него “снимать” значения этих метрик было бы странно. Тогда, анализируя предложения Александра и Владимира, получаем 2 возможных варианта:
    1. или мы получаем аудит, который проводят заинтересованные стороны (доверие к такому аудиту и его польза для организации – соответствующее);
    2. или метрики корректности данных должны считаться независимо от результатов аудита. Тогда есть шанс, что аудит соответствующие сотрудники будут рассматривать, как инструмент реализации своей же ответственности, и будут в нём даже заинтересованы (хотя справедливости ради это всё же нельзя назвать аудитом, поскольку аудит – это по определению независимая оценка, см. ISO 19011).
    Второй вариант мне кажется очень любопытным. Но он приводит нас к очередному вопросу: как определить актуальность данных, используя другие механизмы (не аудит)?

  • Когда-то давно я работал в торговой компании в отделе, среди прочих дел проводившем инвентаризации ТМЦ в магазинах. Суть мероприятия – та же, что и у аудита CMDB: сверка фактических остатков товара и данных учёта, выявление и устранение расхождений, расследование их причин. Основные заказчики – финансовый директор и главный бухгалтер. Ответственные за обеспечение соответствия в ходе операционной деятельности – директора магазинов.
    Но. Директора заинтересованы в корректности и актуальности данных учёта не только потому, что с них потом за это спросят, но и потому, что они и их подчинённые ежедневно принимают на основании этих данных управленческие решения – заказывают товар у поставщиков, регулируют цены и т.п.
    Поэтому на каком-то этапе компания пришла к практике проведения двух видов инвентаризаций – “внешних” (проводимых отделом контроля) и “внутренних” – проводимых магазинами самостоятельно. Первые отражались в бухгалтерских данных, вторые – только в данных об остатках, которые использовались в текущей деятельности.

    Думаю, аудит CMDB может быть организован аналогично: текущая работа по актуализации данных о КЕ проводится по инициативе координаторов конфигураций и/или менеджера процесса, и результаты таких проверок не влияют на оценку этих ролей. При этом владелец процесса может инициировать проведение аудита CMDB с целью контроля работы менеджера процесса и оценки последнего. Такой аудит предполагает привлечение независимых экспертов, например, из отдела управления качеством или подобного. Как и в любом другом аудите, в отдельных случаях может быть оправдано привлечение также предметных экспертов извне – для компенсации нехватки у собственных аудиторов специальных знаний. Эти проверки не могут проводиться слишком часто и могут стать частью, например, ежегодного аудита процесса.

  • Еще вариант. В одной территориально распределенной компании к аудиту процессов привлекались менеджеры этих же процессов, но из других территорий. Это несколько снижало не-независимость проверяющих, хотя, конечно, могло просто подменить самопроверку круговой порукой.
    В принципе, для распределенной инфра- и оргструктуры с дублированием компетенций в разных территориях можно попробовать аналогичную практику.

  • Виталий Фролов

    Добрый день. Весьма актуальная тема для нашей организации. При запуске конфига у нас предполагалось, что аудит CMDB будет проводить менеджер, как лицо очевидно заинтересованное в актуальности данных CMDB и их востребованности. Актуальность в свою очередь можно разделить на полноту и достоверность данных и полноту и достоверность связей.
    Менеджер даже мотивирован проводить аудит с некой регулярностью. Что же получилось? Результаты аудитов показывают наличие весьма небольшого количества расхождений, хотя по другим сведениям (пока лишь косвенным) расхождений должно быть на порядок больше.
    Почему так? Анализ показал, что дело, как всегда, в мотивации. Менеджер своими руками из-за загруженности не может проводить аудит, он ставит поручения на специалистов по учету соответствующих категорий, т.е. на тех, кто и так имеет возможность менять атрибуты, заводить новые КЕ, вносить изменения в связи, а также видеть состояние реальной инфраструктуры. Специалисту, получившему задание проверить соответствие, при обнаружении расхождения легче внести изменения в CMDB сразу, чем отчитываться наверх, а потом очевидно получать следующее задание на устранение расхождения, а значит, опять заниматься бюрократией. Либо, еще легче, специалист просто не покажет расхождения и не изменит данные, его некому проверить в данном случае 🙂 Менеджеру бы самому проверить выборочно результаты, но зачем? Ему получается это на руку – аудиты проводятся, их результаты показывают, что все неплохо. В конце прошлого года к нам пришло понимание, что проводить аудиты должен независимый человек. И встал тот же вопрос, который задает Евгений – кто эти люди, какие полномочия у них должны быть, какими знаниями они должны обладать? На сегодня мы уже почти закончили работу для того, чтобы ответить на эти вопросы по всем категориям, почти по всем атрибутам и связям. Вырисовывается ответ, что в принципе, любой сотрудник, обладающий хотя бы общим представлением об ИТ инфраструктуре способен провести такую проверку, независимо от заинтересованных лиц (специалистов по учету, исполнителей процесса, координаторов и даже менеджера). Ему нужны только соответствующие полномочия (например, стоять за спиной администраторов, иметь доступ в ЦОДы) и способность и желание выявлять несоответствия между показаниями администраторов железа и администраторов софтовых систем.

    • Виталий, предлагаемый Вами вариант кажется рабочим, при условии готовности администраторов сотрудничать в ходе подобных проверок.

  • Leonid

    «…проводить аудит CMDB должны люди, которые понимают в том, что они проверяют. Сложно, например, представить специалиста по приложениям, проверяющего корректность сведений о сетевом оборудовании»

    Не соглашусь с категоричностью данного утверждения. Многое зависит от информации, хранимой в CMDB. Сейчас как раз прорабатываем этот вопрос, так как первоначальный подход, с проверкой заинтересованными сторонами, себя не оправдал. На 80% готова методика проверки, где для каждого атрибута прописан способ проверки людьми не отвечающими за данную КЕ. Ни каких непроверяемых атрибутов пока не встретили. Сложнее со связями, но и тут, при опоре на утвержденную модель связей, нет ничего невозможного.

    • Могу смягчить ” .. люди, которые либо сами знают, либо имеют возможность привлекать к аудиту ресурсы с необходимыми знаниями …”

  • Игорь

    за актуальность отвечают ответственые, неактуальность CMDB в случае выявления – ведет к затратам на приведение в актуальное состояние. Эти затраты ответственные с каким то кэфом (повышающим, понижающим решается индивидуально в разных компаниях) компенсируют владельцу биза. И не надо никаких аудитов. Если при регулярных процессах использования CMDB неактуальность не обнаруживается, то 2 варианта: Всё хорошо, всё вовремя актуализируется.  2-ой. Тоже всё хорошо. Актуальность может и не 100%, но она просто и невостребована.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM