Zarządzanie usługami centrum danychOd inwestycji do eksploatacji

Paweł Wawrzyniak

Warszawa, 30 marca 2015

http://www.nordea.pl/

• Kilka słów o… Nordea IT sp. z o.o.

• Na początku… Strategia

• Uporządkowany proces powstawania OPD

• W praktyce…

• Eksploatacja

• Doskonalenie usług

2

O Nordea IT Polska sp. z o.o. (NITPL)

Nordea IT Polska sp. z o.o. została powołana do życia przez Nordea Bank AB, by

wykorzystując wiedzę i wieloletnie doświadczenie ekspertów nabyte w Nordea Bank

Polska S.A., wspierać Grupę Nordea w działaniach z obszaru IT

Jako firma specjalizująca się w sektorze nowych technologii istniejemy na rynku od

stycznia 2014 roku

Z sukcesem realizujemy wiele dużych międzynarodowych projektów informatycznych,

wspieramy bank w Polsce, krajach bałtyckich i Skandynawii

Działamy w ramach pięciu departamentów

3

O Nordea IT Polska sp. z o.o. (NITPL)

Data Centre Services, zespół 6-7 osób:

– Wsparcie dla Nordea Operation Centre w Polsce, Łódź 700 osób (2 lokalizacje)

– Floor Management, Service Management i nadzór nad jakością usługi Primary Data Centre

– Floor Management, Service Management i nadzór nad jakością usługi Disaster Recovery Centre

– Wsparcie projektów (przedsięwzięć) realizowanych w powyższych obszarach odnośnie definicji wymagań,

definicji standardów i zgodności projektów oraz ich wykonania z wymaganiami Nordea AB (w tym projektu

migracji Nordea Bank Polska S.A. do PKO BP S.A)

4

• Kilka słów o… Nordea IT sp. z o.o.

• Na początku… Strategia

• Uporządkowany proces powstawania OPD

• W praktyce…

• Eksploatacja

• Doskonalenie usług

5

Strategia biznesowa…Rekomendacja D - strategia i organizacja obszarów technologii informacyjnej i

bezpieczeństwa środowiska teleinformatycznego

Rekomendacja 3

Bank powinien opracować i wdrożyć strategię w zakresie obszarów technologii

informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze

strategią działania banku.

Dla kogo ośrodek przetwarzania danych?

Dlaczego ośrodek przetwarzania danych?

Dlaczego zapasowy ośrodek przetwarzania danych?

Dwie różne strategie?

6

… Strategia ITRekomendacja D - strategia i organizacja obszarów technologii informacyjnej i

bezpieczeństwa środowiska teleinformatycznego

Rekomendacja 3

Bank powinien opracować i wdrożyć strategię w zakresie obszarów technologii

informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze

strategią działania banku.

Istnieje strategia działania banku i strategia IT

Strategia IT musi odpowiadać strategii biznesowej (plan rozwoju)

Za opracowanie strategii odpowiada bank

Decyzja o budowie ośrodka przetwarzania danych ma charakter strategiczny

OPD jest zasobem krytycznym dla biznesu, nie dla IT

Rolą IT jest wsparcie inwestycji w zakresie posiadanych kompetencji (przerost

oczekiwań)

7

• Kilka słów o… Nordea IT sp. z o.o.

• Na początku… Strategia

• Uporządkowany proces powstawania OPD

• W praktyce…

• Eksploatacja

• Doskonalenie usług

8

Projekty rozwoju infrastruktury OPDRekomendacja D - rozwój środowiska teleinformatycznego

Rekomendacja 6

Bank powinien posiadać sformalizowane zasady prowadzenia projektów w zakresie

środowiska teleinformatycznego, adekwatne do skali i specyfiki realizowanych projektów.

Rekomendacja 7

Systemy informatyczne banku powinny być rozwijane w sposób zapewniający wsparcie

jego działalności oraz uwzględniający wymogi bezpieczeństwa środowiska

teleinformatycznego.

9

Od strategii do… UtrzymaniaPlanowanie, budowa i eksploatacja

10

O czym jeszcze warto pamiętać?Planowanie, budowa i eksploatacja

11

10 – 20 lat

Umowa I. Wykonanie budynku i infrastruktury OPDKilka uwag

Umowa związana z wykonaniem OPD o ustalonych parametrach

technicznych

Wymagane silne wsparcie prawne i współpraca z IT

Zespół projektowy – skład i odpowiedzialności po stronie inwestora i

wykonawcy (ścisły podział – granica odpowiedzialności)

Warto włączyć stronę trzecią (konsultacje) już na etapie opracowywania

koncepcji i projektowania, jeżeli wykonawca nie posiada własnych

kompetencji pozwalających na certyfikację (np. wg Uptime Institute):

– Gwarancja uzyskania oczekiwanego rezultatu, np. OPD pozytywnie przechodzi testy i zostaje

sklasyfikowany na poziomie Tier III wg Uptime Institute

– Błędy popełnione na etapie projektowania mogą uniemożliwić certyfikację na oczekiwanym

poziomie po zakończeniu budowy

– Certyfikacja nie jest tak istotna, jak wykonanie testów obciążeniowych przed uruchomieniem

ośrodka z sukcesem

12

Umowa związana z późniejszym utrzymaniem budynków OPD

– SLA, Service Level Agreement (pol. umowa o gwarantowanym poziomie świadczenia usług)

definiuje zasady:

– utrzymania i systematycznego poprawiania ustalonego między klientem a dostawcą

poziomu jakości usług poprzez stały cykl obejmujący:

– uzgodnienia,

– monitorowanie usługi,

– raportowanie,

– przegląd osiąganych wyników

– granicę odpowiedzialności (parametry usługi)

– Katalog usług (na żądanie)

13

Umowa II. Utrzymanie budynku i infrastruktury OPDKilka uwag

Granica odpowiedzialności (SLA)Relacja Dostawca usług vs Klient

14

• Kilka słów o… Nordea IT sp. z o.o.

• Na początku… Strategia

• Uporządkowany proces powstawania OPD

• W praktyce…

• Eksploatacja

• Doskonalenie usług

15

Rozbudowa „starego” podstawowego OPDPoligon doświadczalny IT, rok 2008

16

Rozbudowa „starego” podstawowego OPDPoligon doświadczalny IT, rok 2008

17

Zapasowy OPD (DRC)Lata 2009 - 2010

18

Zapasowy OPD (DRC)Lata 2009 - 2010

19

Zapasowy OPD (DRC)Lata 2009 - 2010

20

Podstawowy OPD (PDC)Lata 2010 - 2012

21

Podstawowy OPD (PDC)Lata 2010 - 2012

22

O czym warto pamiętać?Kilka wniosków z procesu budowy OPD

Budowa od podstaw – mniejsze ograniczenia

Zespół projektowy z dokładnie przypisanym zakresem odpowiedzialności

Duże projekty wyłącznie z doświadczonym partnerem i przy wsparciu

niezależnych konsultantów

Testy integracyjne – istotne dla wykonawcy generalnego

Testy obciążeniowe, wg metodyki Uptime Institute, wykonane pod nadzorem

akredytowanych specjalistów, są konieczne przed przekazaniem OPD na

eksploatację

O oszczędnościach należy myśleć na etapie opracowywania koncepcji i

projektowania

Należy ściśle przestrzegać umowy (sic!)

„Kontrola najwyższą formą zaufania”

23

• Kilka słów o… Nordea IT sp. z o.o.

• Na początku… Strategia

• Uporządkowany proces powstawania OPD

• W praktyce…

• Eksploatacja

• Doskonalenie usług

24

EksploatacjaRekomendacja D - utrzymanie i eksploatacja środowiska teleinformatycznego

Rekomendacja 9

Bank powinien posiadać sformalizowane zasady dotyczące zarządzania

infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi

komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe

wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych.

Rekomendacja 10

Bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi

dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i

poprawność działania środowiska teleinformatycznego, uwzględniające również usługi

świadczone przez podmioty należące do grupy kapitałowej banku.

Rekomendacja 11

Bank powinien posiadać sformalizowane zasady oraz mechanizmy techniczne

zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji

oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej.

25

EksploatacjaZasady dobrej współpracy i kontroli

Utrzymanie infrastruktury przekazanej na eksploatację tak, aby nie zakłócić

ciągłości działania kluczowych usług w warstwach wyższych (Facility

Management vs Floor Management)

Monitorowanie 24/7/365

Ustalenie bezpiecznych okien serwisowych dla przeglądów (prace

wymagające przerwy lub bezprzerwowe, np. weekend, zakres godzin itp.)

Dobra komunikacja z personelem dostawcy usług utrzymania infrastruktury

OPD:

– Umowa (granica odpowiedzialności)

– Procedury operacyjne – ciągła aktualizacja

– Regularny przegląd list dostępu i procedur bezpieczeństwa fizycznego

– Regularne posiedzenia Komitetów Monitorujących (np. 1x miesiąc)

– Regularne posiedzenia Komitetów Sterujących (na żądanie, 1x rok)

– Wspólne planowanie i poczucie odpowiedzialności

26

EksploatacjaProcedury operacyjne i raportowanie

Procedury operacyjne, np.:

– Zarządzanie bezpieczeństwem fizycznym

– Zarządzanie zmianą

– Zarządzanie konfiguracją

– Zarządzanie pojemnością

– Zarządzanie incydentami / poważnymi incydentami / problemami

– Procedury usług interwencyjnych + katalog usług

– Zarządzanie poziomem usługi

Regularne raportowanie ze strony dostawcy usług utrzymaniowych i

przegląd raportów (wyjaśnianie wątpliwości na bieżąco)

– Raport miesięczny, kwartalny, roczny (zapis post-factum)

– Zgłaszanie potencjalnych problemów na bieżąco

27

EksploatacjaPrzykładowy zakres raportu

Wstęp

– Okres raportowania (1 miesiąc w zakresie wskazanych dat)

– Zakres raportu

– Odwołanie do umowy, na podstawie której świadczone są usługi (granica odpowiedzialności)

Wykaz prac serwisowych elementów infrastruktury

– Zasilanie

– Chłodzenie

– Sprzątanie

– Inne (BMS, CCTV/SSWiN/SKD, VESDA, SSP i SUG)

Stan bieżącej konfiguracji i zużycia zasobów OPD

– Zużyte/dostępne miejsce – mapa pomieszczenia serwerowni, obłożenie szaf

– Obciążenie systemu zasilania/obciążenie systemy zasilania przez sprzęt IT

– Obciążenie/zapas na UPS

– Obciążenie/zapas na agregatach

– Wykres PUE

28

EksploatacjaPrzykładowy zakres raportu

Wykaz zdarzeń krytycznych, incydenty, naruszenia SLA

– Lista zdarzeń, w których UPS podtrzymał zasilanie w czasie zaniku zasilania miejskiego

– Lista zdarzeń, w których została przekroczona temperatura lub wilgotność w serwerowni

– Lista pozostałych zdarzeń krytycznych (praca na generatorze, zadziałanie zabezpieczeń, wyciek itp.)

– Lista zdarzeń związanych z naruszeniem bezpieczeństwa

Rejestr prac zleconych z wyceną

Rekomendacje Dostawcy

Planowane prace serwisowe (z wyprzedzeniem: miesiąc, kwartał, rok)

Kontrola dostępu fizycznego i uprawnień

– Wykaz osób i uprawnień

– Wykaz ruchów osobowo-materiałowych na obiekcie

29

• Kilka słów o… Nordea IT sp. z o.o.

• Na początku… Strategia

• Uporządkowany proces powstawania OPD

• W praktyce…

• Eksploatacja

• Doskonalenie usług

30

Eksploatacja – co dalej?Rekomendacja D - zarządzanie bezpieczeństwem środowiska teleinformatycznego

Rekomendacja 22

Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego

banku powinny być przedmiotem systematycznych, niezależnych audytów.

Ciągłe udoskonalanie zastosowanych rozwiązań administracyjnych

(procedur, procesów, regulacji) i technicznych (optymalizacja zużycia

zasobów)

Regularne audyty – wewnętrzne i zewnętrzne

Ciągły rozwój kompetencji komórki nadzorującej umowy (certyfikacja dla

specjalistów OPD)

Cel:

– Utrzymanie poczucia bezpieczeństwa zasobów krytycznych

– Optymalizacja zużycia zasobów i kosztów

31

Dziękuję