Неограниченный доступ к записям инцидентов может привести к утечке конфиденциальной информации, включая пароли, лицензионные ключи и системные настройки. Это создает риски для безопасности ИТ-инфраструктуры, потенциальные злоумышленники могут получить доступ к критически важным системам. Также такая ситуация может поставить под угрозу физическую безопасность объектов, что особенно актуально для информации, связанной с пожароохранными системами. В результате компания может столкнуться с серьезными финансовыми и репутационными потерями.

«Нормальная работа услуги» определяется как рабочее состояние, при котором услуги и конфигурационные единицы работают в пределах согласованных уровней. Эти уровни могут быть установлены как в соглашениях об уровне обслуживания, так и в технических спецификациях. Например, для дискового массива нормальная работа может подразумевать, что даже при выходе из строя одного или нескольких дисков система продолжает предоставлять услуги без снижения качества. Если отклонение от заданных параметров не влияет на конечное качество услуги и остается в рамках согласованных условий, это не считается нарушением нормальной работы.

Когда владельцем сквозного процесса назначают руководителя одного из подразделений, участвующих в процессе, часто возникает проблема недостатка полномочий для управления всем процессом. Например, если владельцем процесса управления инцидентами назначают руководителя первой линии поддержки, он не сможет обеспечить необходимую работу последующих линий поддержки, так как у него нет власти над теми подразделениями. Это приводит к тому, что процесс работает не так, как был спроектирован, и возникают постоянные конфликты между подразделениями. Проблема особенно остра в организациях, где только начинают внедрять процессный подход и сталкиваются с противодействием и непониманием новых порядков. В зрелых процессно-ориентированных организациях эта проблема менее выражена, так как работают другие механизмы координации и управления, но при формировании сквозных процессов важно, чтобы владелец имел достаточные полномочия, охватывающие все подразделения, участвующие в процессе.

Некоторые организации полагают, что управление проблемами избыточно, если отсутствуют повторяющиеся инциденты. Такое мнение возникает из-за узкого понимания проблемы только как следствия частых инцидентов. На самом деле, даже единичные серьезные инциденты или скрытые уязвимости в инфраструктуре могут требовать решения проблем. Игнорирование проактивного анализа приводит к тому, что организации сталкиваются с критическими сбоями, которые могли бы быть предотвращены.

Процесс управления конфигурациями и процесс управления изменениями тесно связаны, но выполняют разные функции. Управление изменениями фокусируется на контроле и реализации изменений в ИТ-среде, тогда как управление конфигурациями обеспечивает точную и актуальную информацию о текущем состоянии этой среды. Хотя некоторые аспекты управления конфигурациями можно интегрировать в процесс управления изменениями, выделение отдельного процесса управления конфигурациями позволяет более эффективно контролировать качество и достоверность данных о конфигурации, что критично для успешного выполнения процесса управления изменениями.

Трудозатраты на творческие работы, такие как диагностика инцидентов, сложно учитывать с помощью стандартных методов, так как последовательность и объем работы невозможно заранее спрогнозировать. Метод нормативов здесь неэффективен, так как не подходит для задач, требующих анализа и нестандартного подхода. Более реалистичным вариантом является ручной учет трудозатрат, когда сотрудник самостоятельно фиксирует время, затраченное на решение проблемы, однако это требует определенной дисциплины и понимания того, что данные будут приблизительными.

Фраза 'Целое больше суммы его частей', приписанная Аристотелю, является основой целостного подхода, подчеркивающего, что никакая услуга, практика, процесс, отдел или поставщик не существуют в одиночку. Это означает, что организация должна работать интегрированным образом, управляя своей деятельностью в целом, а не отдельными ее частями. Данный принцип отражен в руководящих принципах ITIL 4, в частности в принципе 'Используйте целостный подход' (Think and work holistically). При таком подходе важно понимать, как все части организации работают вместе интегрированным образом, а услуги предоставляются посредством координации всех необходимых компонентов без выборочного внимания к отдельным элементам системы.

Для выявления слабых сторон при анализе рисков необходимо задавать вопросы: «Почему этот риск возможен? Какие внутренние характеристики или процессы организации делают этот риск вероятным? Какие особенности структуры управления, культуры или коммуникаций способствуют возникновению этого риска?» Подобные вопросы помогают выйти за рамки поверхностного описания рисков и проникнуть в их причины, что позволяет идентифицировать реальные слабые стороны организации, требующие внимания и корректировки.

IT4IT отражает концепцию жизненного цикла услуги через свою структуру Service Backbone (Сервисный каркас), который состоит из четырех основных Value Streams. Первый поток Strategy to Portfolio (S2P) соответствует начальной фазе жизненного цикла - определению стратегии и планированию услуг. Второй поток Requirement to Deployment (R2D) соотносится с фазами разработки и внедрения услуги. Третий поток Request to Fulfill (R2F) охватывает эксплуатацию и предоставление услуги пользователям. Четвертый поток Detect to Correct (D2C) связан с мониторингом и улучшением услуги в процессе ее эксплуатации. Таким образом, вся структура IT4IT организована таким образом, чтобы охватить все этапы жизненного цикла услуги - от первого концептуального представления до постоянного улучшения в эксплуатации, просто представлена в терминах потоков создания ценности, что подчеркивает добавление ценности на каждом этапе.

Для нормирования задач сопровождения CMDB можно использовать несколько методов. Первый метод - ведение полного или выборочного учета трудозатрат («списание часов»), что позволяет накапливать статистику и на ее основе устанавливать нормативы для аналогичных задач в будущем. Второй метод - консолидация внешней статистики с портала REALITSM.RU, где можно найти данные и наработки других организаций по оценке трудозатрат. Третий метод - детальная разбивка задач по группам конфигурационных единиц (ИТ-системы, бизнес-приложения, технологические элементы бизнес-приложений, инфраструктура) и ролям специалистов с учетом различной стоимости рабочего времени и требований к компетенциям. Четвертый метод - разработка внутренних стандартов и нормативов для каждой из задач сопровождения CMDB (первичная регистрация, обновление статусов, аудит, инвентаризация и т.д.) на основе оценки их сложности и требуемых ресурсов. Пятый метод - регулярный пересмотр и корректировка нормативов на основе анализа фактических трудозатрат и изменений в процессах работы с CMDB.