Infrastruktur optimering gennem simpel analyse

En Infrastruktur Optimerings (IO) analyse er et forholdsvis simpelt værktøj, hvormed det er muligt at 'tage temperaturen' og få målt modenhedsgraden af ens it-infrastruktur. Samtidig er analysen et glimrende værktøj i forhold til en eventuel prioritering af kommende it-infrastruktur opgaver og projekter.

Hvad er en IO-analyse?
Som skrevet ovenfor er det en metode der via knap 90 spørgsmål prøver at afdække modenhedsgraden af ens it-infrastruktur. Som det ses i figuren forneden drejer det sig helt konkret om 5 kategorier:

• Identitets- og adgangshåndtering
• Desktop, device og serverhåndtering
• Sikkerhed og netværk
• Databeskyttelse og gendannelse 
• It- og sikkerhedsprocesser
   

For hver af disse 5 kategorier måles modenhedsgraden - 'Basal', 'Standardiseret', 'Rationaliseret' og 'Dynamisk'. Hver modenhedsgrad har visse karakteristika i forhold til it-infrastrukturen - for udvalgte udtryk der kendetegner de 4 modenhedsgrader, se figuren. Undersøgelser fra bl.a. IDC har vist, at jo højere en it-infrastruktur befinder sig på modenhedsskalae, desto mere omkostningseffektivt kan it-infrastrukturen drives i dagligdagen og jo mere moden it-infrastrukturen er, desto bedre bidrager it-afdelingen til virksomhedens kerneforretning.

Ideen bag analysen og modellen er så at indplacere de 5 kategorier i hver sin modenhedsgrad og ud fra denne placering komme med konkrete anbefalinger i forhold til indsatser og projekter i it-infrastrukturen - hvis man vel og mærke har et ønske om at bevæge sig til en højere modenhedsgrad. Disse anbefalinger gives under hensyntagen til bl.a. omkostningsreduceringer og driftsmæssige effektiviseringer for it-afdelingen, som kan få frigjort ressourcer - fx tid og penge - som igen kan reinvesteres i nye it-mæssige tiltag til gavn for virksomhedens kerneforretning.

Ateas erfaringer og resultater
Gennem de seneste 9 måneder har Atea gennemført knap 100 IO-analyser hos både store og små samt offentlige og private virksomheder. I den forbindelse er der blevet foretaget en ekstensiv dataindsamling, som vi gerne vil dele med læseren.

Det overordnede resultat for de gennemførte IO-analyser ses i figuren fornede og viser et billede af, at det står ganske fornuftigt til hvad modenhedsgraden angår. Samtidig viser resultatet dog også at der er uudnyttede muligheder i forhold til effektiviseringer og omkostningsbesparende tiltag inden for de 5 målte kategorier.

Det er svært at komme med generelle anbefalinger i en artikel som nærværende, da disse i sagens natur vil være individuelle i forhold til den konkrete it-infrastruktur og de forretningsmæssige behov og krav, der forefindes. Men, dykker man lidt ned i resultaterne og kigger på de enkelte kategorier og fordelingen i modenhedsgraden, så viser der sig følgende billede.

Identitets- og adgangshåndtering

Kategorien dækker områder som måden, man giver adgang til sin it-infrastruktur på, hvordan denne adgang og indstillinger håndteres og om det sker på en sikkerhedsmæssig forsvarlig måde - herunder også på mobile enheder (læs: mobiltelefoner). For langt den overvejende del af de analyserede kunder er der helt konkret tale om teknologier omhandlende Active Directory og hvordan dette anvendes, men det kunne fx også være Novells eDirectory.

Den altovervejende grund til at over 60% af analyserne viser en basal modenhedsgrad i denne kategori, hænger sammen med den manglende adgangsmæssige håndtering af mobile enheder. Her tænkes helt konkret på om den mobile enhed er sikret mod uautoriseret adgang hvis den fx bare ligger på bordet, går tabt eller bliver stjålet. At tænke sine mobile enheder ind i håndteringen af ens it-infrastruktur er blevet vigtigere og vigtigere de seneste år, da brugen af dem så at sige er eksploderet de seneste år og mange mobile enheder bruges ikke kun som mobiltelefoner længere, men indeholder typisk også data i form af kontaktpersoner, e-mails og kalenderaftaler og dermed også potentielt sensitive data.

At have en så høj modenhedsgrad i kategorien 'Identitets- og adgangshåndtering' som muligt (læs: Business Case skal udarbejdes) kan give gevinster i forhold til it-afdelingens tidsforbrug når fx brugere skal oprettes eller slettes i systemerne, da man her stræber efter en fuld automatisering. Udover at det giver en ekstensiv brug af indstillinger i forhold til brugernes arbejdspladser, giver det erfaringsmæssigt færre supportkald til helpdesken med deraf følgende mindre tidsforbrug for it-afdelingen, som igen kan genanvendes til nye effektiviserende tiltag.

For brugerne vil en styring af deres digitale identitet på tværs af systemerne give den fordel, at it-infrastrukturen virker som et mere sammenhængende system med deraf følgende større effektivitet i hverdagen. Herunder også en mere stabil arbejdsplatform, da utilsigtede hændelser eventuelt kan undgås grundet centralt styrede indstillinger.

Anbefalinger af mere generel karakter i denne kategori kunne være:

• Ekstensiv anvendelse af GPO'er, herunder også GPO Preferences i Windows Server 2008
• Adgangskontrol af mobile enheder - fx med Exchange 2007, hvis de mobile enheder er Windows Mobile baserede, alternativt anvendelse af andre systemer til formålet
• Implementering af et Informations Rights Management system

Og af mere avanceret teknologi kan nævnes identitetshåndtering på tværs af virksomhedens systemer.

Desktop, device og server håndtering

Dette er en meget bredt dækkende kategori som omfatter store dele af it-infrastrukturen - både ude ved brugerne, men også i datacentret. Reelt set kan man tale om 3 separate områder - pc'er (stationære og bærbare), mobile enheder og servere.

De af Atea foretagne analyser viser da også store forskelle mellem disse 3 områder hos de enkelte kunder. Forskelle som ikke nødvendigvis kommer frem i det overordnede resultat, da modellen arbejde efter princippet om mindste fællesnævner.

IO-analyserne viste jævnligt, at fx håndtering af mobile enheder kunne karakteriseres som basal, mens håndteringen af pc'er lå på et standardiseret niveau, og server håndteringen og overvågning nærmede sig den rationaliserede modenhedsgrad. Vel og mærke alt sammen inden for den samme it-infrastruktur.

Som navnet af kategorien antyder, omhandler den måden man håndterer både sine servere og de pc'er og enheder brugerne gør brug af til daglig. Her tænkes ikke kun på udrulning af operativsystemer, patchning og applikationsdistribution/opgradering, men også på overvågning af systemer (både desktop- og server-baseret). Vel og mærke en overvågning "helt inde i maven" på de enkelte systemer og ikke kun om fx en server er kørende eller ej, eller om den har diskplads nok.

Fordelen ved at have meget effektive systemer til dette formål skal søges i, at det vil frigøre tid hos it-afdelingen. Det er motoren (fx MDT, SCCM eller Altiris) der sørger for, at brugerne har et fungerende operativsystem med netop de applikationer de skal bruge, i forhold til de opgaver de løser i virksomheden. Kombineres en velkørende motor endda med selvbetjeningsmoduler for brugerne (fx adgang til applikationer, adgang til drev, nulstilling af adgangskode og/eller mapning af en printer), vil det kunne frigøre endnu flere ressourcer i it-afdelingen, som igen vil kunne reinvesteres i nye tiltag. Arbejdet med håndtering af brugernes pc'er og mobile enheder fjernes fra it-afdelingen og systemerne/motoren som it-afdelingen stiller til rådighed klarer så at sige ærterne i samarbejde med passende selvbetjeningsmoduler. Samtidig vil en detaljeret overvågning af ikke kun forretningskritiske systemer gøre, at it-afdelingen fremadrettet vil kunne arbejde langt mere proaktivt og tage eventuelle problemer og hændelser i opløbet - måske endda før driften og brugerne lægger mærke til det.

Anbefalinger af mere generel karakter i denne kategori kunne være:

• Indførelse og effektiv udnyttelse af system management system - fx MDT, System Center Configuration Manager eller Altiris Deployment Solution
• Implementering af overvågningssystem, så it-afdelingen fremadrettet har mulighed for at være mere proaktiv - fx System Center Operations Manager
• Ekstensiv anvendelse af virtualiseringsteknologier, da dette både øger fleksibiliteten i datacentret, men også hos brugerne (fx VDI og applikationsvirtualisering)
• Implementering af selvbetjeningsløsninger for brugerne - fx Spintop

Sikkerhed og netværk
I forhold til Ateas tilbundsgående sikkerhedsanalyse, kradser kategorien i forbindelse med IO-analysen kun i overfalden hvad sikkerhedsaspekter angår. Og alligevel giver den et godt fingerpeg på tingenes tilstand i en it-infrastruktur.

Kategorien beskæftiger sig med løsninger i it-infrastrukturen der tilsikrer, at informationer og kommunikation er beskyttet fra uautoriseret adgang, samtidig med at der kigges på mekanismer, der sikrer it-infrastrukturen mod vira, malware og andre angrebsmetoder.

En sikker og stabil it-infrastruktur, hurtigt og effektivt leverede sikkerhedsopdateringer, etablerede sikkerhedsperimetre for servere, pc'er og applikationer, så disse kan modstå angreb og karantæne funktionalitet, er nogle af de karakteristika, der eksisterer i forbindelse med en høj modenhedsgrad.

Kigger man på resultatet forneden, så er teknikker som VLAN, VPN-adgang, antivirus udrulning og centrale firewalls veletablerede teknikker i langt de fleste af de analyserede it-infrastrukturer. Mens det ofte er tilfældet at en PKI-infrastruktur, en RADIUS/IAS mekanisme og/eller en karantæne løsning, ikke er tilstede.

Gevinsterne ved at fokusere på denne kategori vil som tidligere nævnt være en it-infrastruktur, der er mere stabil og kan modstå eventuelle angreb, uden at brugerne oplever nævneværdig nedgang i tilgængelighed, samtidig med at it-afdelingen har forbedrede muligheder for hurtigere reetablering af normal drift efter et angreb.

Anbefalinger af mere generel karakter i denne kategori kunne være:

• Design og implementering af en PKI-infrastruktur, da certifikater i flere og flere løsninger spiller en central rolle - fx i forbindelse med trådløse netværk
• Implementering af en karantæne løsning, så rejsende medarbejdere på en forsvarlig måde kan koble fx deres bærbare på firmaets netværk - eventuelt kombineret med DirectAccess i Windows 7.
• Etablering af både mail- og webscanning - fx via en hosted løsning - da mange eksterne sikkerhedstrusler kommer ind via den vej
• Kryptering af bærbare pc'er og mobile enheder, da disse ofte indeholder sensitive data - fx via BitLocker i Windows 7

Databeskyttelse og gendannelse
En kategori der historisk set har haft mange it-afdelingers bevågenhed, hvilket både ses af det overordnede resultat, hvor det er kategorien med den højeste score, men også hvis man kigger på det mere detaljerede resultat nedenfor. Svaret skal måske findes i det gamle ordsprog om at "Rigtige mænd tager ikke backup…de græder"?

Men kategorien beskæftiger sig ikke kun med det at tage backup af sine data, men hvad der er lige så vigtigt, er at kunne gendanne sine systemer og data på en effektiv og hurtig måde. Herunder også anvendelse af virtualiserings- og eventuel clustering-teknologier til formålet.

Analysen kigger ligeledes på om der er sammenhæng mellem hvad forretningen forventer i forbindelse med datasikkerhed og gendannelse og hvad it-afdelingen kan tilbyde. Eller sagt med andre ord, om der er udarbejdet Service Level Agreements (SLA'er) mellem forretningen og it-afdelingen.

Gevinsterne ved en høj modenhedsgrad i denne kategori er ikke kun tilgængelighed af systemer og data for brugerne, men også en afklaret forventningsafstemning mellem forretningen og it-afdelingen, som igen vil gøre det daglige arbejde mere smidigt og effektivt for alle parter.

Anbefalinger af mere generel karakter i denne kategori kunne være:

• Udarbejdelse af SLA'er i forhold til backup og restore
• Centralisering af backup på decentrale kontorer og brugernes enheder (pc'er og mobile enheder)
• Anvendelse af virtualiseringsteknologier i forbindelse med backup og restore
• Udarbejdelse af disaster recovery planer

It og sikkerhedsprocesser
Kategorien er procesorienteret og her kigges der på hvordan en it-afdeling håndterer dagligdagen omkring hændelser, ændringer og videreudvikling af it-infrastrukturen, samtidig med at sikkerhedsmæssige aspekter tages med i betragtning. Mens anvendelse af tidssvarende teknologi er en del af kategorien, så er den menneskelige side - færdigheder, roller og ansvarsfordeling - mindst lige så vigtig.

En høj modenhedsgrad i denne kategori kan hjælpe virksomheder med at definere og håndtere it services, så de på den mest effektive måde understøtter virksomhedens kerneforretning. Her tænkes fx på automatisering af ofte udførte opgaver, så effektiviteten øges, arkitektonisk design af it-infrastrukturen og services baseret på forretningens behov, reducering af fejlfinding og nedetid med definerede incident management procedurer og proaktiv monitorering eller etablering af definerede service levels med tilhørende SLA'er.

Resultatet af Ateas undersøgelser viser, at langt hovedparten af analyserne gav en basal score i denne kategori. Dykker man dog bag kulisserne og tager også de dialoger med i betragtning, som foregik i forbindelse med afholdelsen af analyserne, tegner der sig et lidt andet billede.

Det er Ateas erfaring, at mange it-afdelinger har ganske godt fat i it og sikkerhedsprocesser i dagligdagen og en fornuftig rollefordeling er også ofte til stede. Der hvor IO-modellen dog, så at sige "straffer", er at disse ting oftest ikke er formaliseret - hverken i selve it-afdelingen eller i forhold til forretningen. Lidt simplificeret udtrykt betyder det, at it-afdelingen efterlever og bruger it og sikkerhedsprocesser i hverdagen, men det er ikke muligt at finde en beskrivelse af dem, da tingene foregår uformelt og er dokumenteret i it-afdelingens hoveder.

Men, alt andet lige, er denne tilstand dog bedre end hvis det var omvendt. Altså, at it og sikkerhedsprocesser inkl. SLA'er med forretningen var veldefineret, formuleret og nedskrevet, men ingen i hverken it-afdelingen og forretning efterlever dem i hverdagen.

Som tidligere nævnt er veldefinerede og dokumenterede it- og sikkerhedsprocesser og dermed et højt modenhedsniveau en metode til at frigøre ressourcer i it-afdelingen, samtidig med at it-infrastrukturen også fremadrettet tilbyder en forbedret understøttelse af virksomhedens kerneforretning.

Anbefalinger af mere generel karakter i denne kategori kunne være:

• Deltagelse i 3-dages ITIL Foundation kursus, da det vil give et godt grundlag til det videre arbejde omkring en stabil og sikker drift, samtidig med at hele it-afdelingen får en fælles referenceramme
• Formalisering af allerede eksisterende processer omkring change og incident management - herunder også udarbejdelse af SLA'er, så sammenhængen med forretningen sikres
• Etablering/udbygning af forum, hvor it og forretningen i fællesskab mødes og herved tilsikrer, at it-infrastrukturen løbende både understøtter og er med til at effektivisere virksomhedens kerneforretning

Når dagen er omme
Afslutningsvis er det vigtigt at bemærke, at resultaterne for de afholdte IO-analyser er meget individuelle og en 'one size fits all' løsning findes ikke, da den konkrete situation og den aktuelle it-infrastruktur skal tages med i betragtning og holdes op mod den it-strategi, man eventuelt har.

Desforuden har ikke alle it-afdelinger nødvendigvis et ønske om at flytte sig fra et modenhedsniveau til et andet i forhold til de indsatser, der er påkrævet, jævnfør denne model. Det kan der være mange gode grunde til, men det essentielle i den sammenhæng er, at man som it-afdeling/forretning tager bevidste valg omkring det.