Без иллюзий: реальная оценка ИТ-инфраструктуры

04 декабря 2024
Компания:
Стоматологическая клиника
Сфера деятельности:
Стоматология и научные исследования
Аутсорсинг
Аутсорсинг

В кейсе вы узнаете:

  • Какие проблемы возникают в IT-инфраструктуре растущих компаний;
  • Почему важно наличие регламентов и технической документации;
  • Каким вопросом можно проверить компетенции ИТ-специалиста.

Статья будет полезна руководителям предприятий, IT-менеджерам и HR, которые хотят понять, как эффективно устранять хаос в IT-системах и строить инфраструктуру, готовую к развитию. Вы получите практические идеи и поймете, каким вещам стоит уделять особое внимание.

Оценка ИТ-инфраструктуры

Исходные данные

Заказчик – крупная компания, оказывающая услуги и ведущая научные разработки в стоматологической отрасли. У клиента имеются офис, лаборатория и клиника.

Компания динамично развивается, у неё есть собственный IT-отдел (2 системных администратора, бизнес-аналитик, специалист службы поддержки), отдел разработки (5 опытных разработчиков создают внутреннюю ERP-систему, поддерживают сайты компании, проектируют вспомогательные сервисы, внедряют веб-решения).

ИТ-инфраструктура клиента состоит из 3 физических серверов в офисе, на которых расположены 12 виртуальных машин (контроллер домена, файловый сервер, AD, бэкапы и серверы в инфраструктуре разработки). Также предприятие арендует мощности в различных ЦОД.

Клиент обратился к нам с просьбой оценить, насколько ИТ-инфраструктура соответствует современным стандартам и запросам внутренних бизнес-процессов.


Задачи проекта:

  • 1 Анализ текущего состояния инфраструктуры для выявления уязвимых мест;
  • 2Разработка рекомендаций по модернизации, оптимизации и повышению отказоустойчивости;
  • 3Устранение критических проблем в IT-инфраструктуре.

Оценка состояния ИТ-инфраструктуры

Оценка ИТ

Мы запросили доступы и приступили к анализу ситуации. Вся работа проводилась удаленно.

На первых этапах возникли сложности с получением необходимых паролей. Это было связано с отсутствием технической документации и инвентаризации. В процессе работы несколько раз пришлось запрашивать доступ к тому или иному сервису.

Ещё до начала детального анализа стало ясно: не хватает чёткой структуры и планирования. Инфраструктура выглядела как дом с надстроенными этажами, где каждый строился без общего проекта. Выглядит внушительно, но стоит ли на него рассчитывать в долгосрочной перспективе?

Перечислим основные проблемы, найденные в IT-инфраструктуре

Знакомство с системами клиента показало, что компания движется в сторону современных технологий, но ИТ-архитектура этому никак не способствует.

Техническая документация

В компании отсутствуют регламенты и инвентаризация. Это одна из основ, на которой выстраивается отказоустойчивость, но, к сожалению, многие ИТ-специалисты не уделяют этому должного внимания.


Оценка состояния ИТ

В любой ИТ-инфраструктуре должны быть четкие регламенты, по которым составляется техническая документация, производится профилактика оборудования, реализуется создание бэкапов, а на случай сбоя осуществляются четкие шаги по восстановлению системы.


Серверы и ПО

Оборудование, несмотря на амбициозные планы предприятия, не соответствовало поставленным задачам. Диски, которые давно пора заменить, подвергают опасности корпоративные данные. Отсутствуют резервные серверы, запасные системы хранилища данных, RAID-массив собран с ошибками.

А когда мы заметили, что один сервер не перезагружался больше 273 дней, стало очевидно: подход "работает — не трогай" здесь превратился в правило. Подобный долгий аптайм, является показателем того, что ПО давно не обновлялось, накопилось множество ошибок в памяти системы, а при перезагрузке сервер может не запуститься.

Вы можете проверить своих системных администраторов, задав им вопрос — какой аптайм у вашего сервера? Если показатель больше двух месяцев, а сисадмин этим гордится, то вам срочно нужно проводить ИТ-аудит, так как перед вами некомпетентный сотрудник.

Оценка ИТ-безопасности

Одним из ключевых направлений аудита стал анализ состояния информационной безопасности. В результате проверки было выявлено, что уровень защиты системы оказался недостаточным и требовал срочного улучшения.

У некоторых учетных записей были слишком лёгкие пароли – система не настроена в соответствии международным стандартам безопасности. Также отсутствовало ограничение на попытки входа, что позволяет перебирать комбинации без каких-либо лимитов.

Помимо этого в системе отсутствовало контурное разграничение, поэтому в случае проникновения шифровальщика в инфраструктуру, он мог уничтожить сразу все виртуальные машины и корпоративные данные.

Нехватка мощностей

В целом ИТ-архитектура клиента была слабого уровня: из-за того, что оборудование подобрано неправильно и некорректно настроено ПО, имеющиеся серверы работали на пике своих возможностей. Для отдельных задач предприятию приходилось арендовать мощности. При этом было использовано множество различных поставщиков услуг — более 5 различных компаний.

Такое разветвление значительно осложняет управление ИТ-инфраструктурой и не является действительно безопасным. В случае если отключится один из сервисов, неясно, какое количество времени потребуется на восстановление информационной системы.

Для динамично развивающихся компаний ключевым фактором успеха является стратегическое планирование экосистемы. В рассматриваемом случае ИТ-инфраструктура не предусматривала масштабируемость, а также не были заложены дополнительные резервы для обеспечения отказоустойчивости, что создает риски для стабильности и дальнейшего роста бизнеса.





Выводы аудита, решения и рекомендации

Эффективность ИТ-инфраструктуры
1. Документация как основа порядка
1. Документация как основа порядка

Компания получила подробную инвентаризацию оборудования и регламенты по резервному копированию, восстановлению и обновлению серверов. Теперь все процессы задокументированы, а сотрудники IT-отдела понимают, как действовать в случае инцидента.

Оценка эффективности ИТ-оборудования
2. Модернизация оборудования
2. Модернизация оборудования

Были даны рекомендации по замене устаревших дисков, корректной сборке RAID-массивов, по подбору и настройке резервных серверов, а также сетевого оборудования.

Оценка безопасности ИТ
3. Повышение безопасности
3. Повышение безопасности

Пароли теперь соответствуют современным стандартам безопасности, таким как NIST SP 800-63 и OWASP, что подразумевает использование минимальной длины в 12 символов, наличие комбинации букв верхнего и нижнего регистра, цифр и специальных символов. Шифровальщики больше не смогут удалить бэкапы, защита инфраструктуры значительно усилена.

Аренда мощностей для it-инфраструктуры
4. Системный подход к аренде мощностей
4. Системный подход к аренде мощностей

Систематизация в выборе поставщика вычислительных мощностей упростит управление и сократит расходы.




Для клиента мы подробно описали текущие проблемы ИТ-системы и предложили конкретные шаги по их устранению.

Развивающаяся компания может столкнуться с серьезными экономическими рисками, если не применяет эффективные методы управления IT-инфраструктурой и не отслеживает ключевые показатели её состояния. Регулярная проверка и оценка метрик качества работы систем позволяют минимизировать угрозы и обеспечить стабильное развитие бизнеса.

Аудит ИТ-инфраструктуры мы рекомендуем проводить не реже чем раз в два года.

Мы поможем увидеть всё, что скрывается за привычным словом "работает".

Иконка для обратной связи
У Вас похожая задача?Мы всегда готовы подсказать решение!
Задайте вопросы напрямую руководителю данного проекта (9.00–23.00):
+7 965 022 73 40