Konfiguraationhallinnan haasteet - Konfiguraationhallinnan hyödyt riskienhallinnalle ulkoistetu

Kaikista ITIL:n palvelunhallinnanprosesseista konfiguraationhallintaa voidaan pitää yhtenä vaikeimmista prosesseista ottaa käyttöön ja suorittaa oikein. Myös digitalisaation myötä nopeasti muuttuvat IT-ympäristöt ja liiketoiminnan muuttuvat

tarpeet tuovat konfiguraationhallinnalle lisähaasteita esimerkiksi uusien palveluiden ja näiden rakenneosien syntymisien kasvavasta tahdista, joka näkyy taas tiedon suurenemassa määrässä. Tiedon valtavan määrän hallinta onkin yksi konfiguraationhallinnan suorittamisen suurista haasteista. Tästä johtuen joutuvat palvelunhallinnan ammattilaiset miettimään esimerkiksi seuraavaa kysymystä: Miten CI-tieto olemassa olevista järjestelmistä saadaan siirrettyä uuteen ITSM-järjestelmään?

Jopa pienillä yrityksillä on tuhansia yksilöllisiä tietueita ja niiden välisiä suhteita seurattavanaan, ja isoilla yrityksillä tietueiden määrä nousee miljooniin. Tämä tiedon määrä itsessään luo haasteita konfiguraatiotietokannan luomiselle ja toteutumiselle.

Mitä tietueita lasketaan mukaan? Mitä teknologista tietämystä tarvitaan tietueiden laskemiseksi ja vielä oikeassa järjestyksessä? Miten tietueet kategorisoidaan, jos potentiaalisia kategorisointeja on useita erilaisia? Tästä käy selväksi, että konfiguraatiotietokannan luominen ja ylläpitäminen on haastavaa tiedon määrän ja sen kategorisoinnin takia (Klosterboer, 2007).

Hyvänä esimerkkinä tästä on 15.12.2014 uutisoitu artikkeli Elisan kaivinkonetapauksesta Ruotsissa (Tivi, 2014). Kun kaivinkone ”nirhaisi”

runkokaapelin, syntyi siitä jälkiseurauksia nettiyhteyden tarjoamiseen johtuen virheellisestä konfiguraatiotiedosta. Inhimillisen virheen takia varayhteys ei lähtenytkään automaattisesti päälle, vaan se piti käynnistää manuaalisesti. Tästä koitui pidennetty palveluhäiriö Elisalle. Elisa korjasi palveluhäiriön, pyysi anteeksi asiakkailtaan ja lupasi tulevaisuudessa parantaa konfiguraationhallintaansa. Toinen esimerkki tästä on 02.05.2011 uutisoitu tapaus Amazonin pilvipalveluiden vioista ja sen aiheuttaneesta konfiguraatio-ongelmasta. Pilvipalvelut hidastuivat ja jotkin ylläpidetyt verkkopalvelut, kuten Foursquare ja Reddit kaatuivat tai vastasivat hitaasti.

Tämä johtui siitä, että tietoliikenne ohjattiin vahingossa kulkemaan pienemmän kapasiteetin yhteyksien kautta. Asiakaskuntaa tyydyttääkseen Amazon julkaisi 5700 sanaisen dokumentin tapauksesta, joka vastaanotettiin hyvin asiakkaiden keskuudessa (Tivi, 2011).

Dynaamiset ympäristöt. IT-ympäristöjen jatkuvat muutokset ja näiden muutosten hajaantunut luonne luovat omat haasteensa konfiguraationhallinnalle. Erilaisia muutoksia voivat olla käyttäjien asentamat ohjelmat työkoneilleen tai organisaation yhteiselle, jaetulle kiintolevylle, huolto- ja päivitysjulkaisut koskien kaikkia organisaation ohjelmistoja ja laitteistoja, tekniikan vanhentumisesta johtuva tarve uudistaa laitteistoa nykyaikaisemmaksi ja projekteista syntyvät uudet automaatioteknologiat ja monimutkaisuuden tasot koskien niitä. Kaikkia näitä voidaan kontrolloida enemmän tai vähemmän, mutta varmaa on se, että jokainen muutos, joka tapahtuu IT-ympäristössä, tulee olla kirjattuna konfiguraatiotietokantaan (Klosterboer, 2007).

Epäonnistumiset työkalujen integroimisessa. On olemassa hyviä laitteistoja ja ohjelmistoja löytäviä työkaluja sekä integroituja työkaluja, jotka mahdollistavat häiriö- ja muutosrekisterien linkittämisen konfiguraatiorekistereihin. Haaste työkaluihin liittyen on siinä, että pitäisi löytää tai rakentaa työkalu, joka löytää tietoa, siirtää sen varastoon, linkittää sen muiden palvelunhallintaprosessien tietoihin ja mahdollistaa sen noutamisen ja visualisoinnin varastosta. Ongelma siis on siinä, että on tarve suodattaa löydettyä tietoa sekä samalla liittää se löytämättömään tietoon.

Lisäksi turvallisuuskysymykset nousevat näiden työkalujen haasteiksi. Kuinka saada tietoa laitteistoista ja ohjelmistoista koko organisaation kautta, jos palomuurit estävät työkaluja toimimasta tiettyyn pisteeseen asti näin ollen estäen tiedon siirtymistä muihin organisaation osiin. On äärimmäisen tärkeää että organisaatio valitsee käytettävät työkalunsa varovaisesti, tietäen tasan tarkkaan mikä näiden työkalujen funktionaalisuus on ja mitä rajoituksia niillä on (Klosterboer, 2007).

Manuaaliset attribuutit. Manuaalisten attribuuttien käyttämistä tulisi välttää, jos vain mahdollista, koska niiden ylläpitäminen voi vaatia liikaa panosta sekä samalla avautuu mahdollisuus tehdä inhimillisiä virheitä, joita voi olla vaikea huomata. Kaikki manuaalisesti täytetyt attribuutit tulisi merkata epäilyttäväksi ja niitä tulisi auditoida usein, jotta saavutettaisiin mahdollisimman pieni virheellisyys.

Konfiguraatiotietokannan suurimpia virheellisiä tietueita ovat juuri manuaalisesti

täytetyt attribuutit, joten niiden määrä pitäisi pitää mahdollisimman vähäisenä (Klosterboer, 2007).

Muita haasteita konfiguraationhallinnan suorittamisessa voi olla muun muassa ihmisten vakuuttaminen siitä, että he eivät voi kiertää konfiguraationhallintaprosesseja (esimerkiksi lataamalla luvattomia ohjelmia työkoneelle tai laiminlyömällä konfiguraatioiden attribuuttien täyttämistä), riittävien taloudellisten resurssien saaminen, tiedon liiallisen määrän kerääminen (koska sitä on saatavilla paljon) sekä johdon hyväksyntä ja tuki liittyen konfiguraationhallinnan käyttöönottamiseen ja suorittamiseen (Bon et al., 2007). Lisäksi haasteita luovat heterogeenisen infrastruktuurin ja pilviympäristön hajauttava vaikutus (koska infrastruktuuri on hajautettu, tarkoittaa tämä useita eri käyttöjärjestelmiä, laitteistoja ja ohjelmistoja, jotka taas vaativat omia hallintatyökalujaan ja asiantuntijoitaan) sekä järjestelmien ylläpitotiimien erikoistumisesta johtuva nopeuden ja tehokkuuden väheneminen (Komarek et al., 2015).

3 Riskienhallinta IT-palvelunhallinnassa

Riskienhallinnan päätehtävät (ISO/IEC, 2012a):

1) Tunnista riskejä. Uuden prosessin tai palvelun rakentuessa tunnista kaikki mahdolliset riskit.

2) Kategorisoi ja arvioi riskit. Tunnistetut riskit kategorisoidaan, arvioidaan ja priorisoidaan jotta tunnistetaan että minkä riskien korjaamiseen resursseja kannattaa investoida.

3) Tuo tunnistetut riskit ja suunnitellut hoitokeinot tietoon tarpeellisille tahoille.

4) Valvo riskejä. Arvioituja riskejä valvotaan.

5) Oikeanlaisia hoitokeinoja käytetään riskien korjaamiseksi tai turhien riskien välttämiseksi.

Vaikka tutkimusta IT-riskeistä tai IT:stä johtuvista riskeistä on tehty ja työkaluja ja tekniikoita on kehitetty, ovat IT-riskit silti esillä monissa organisaatioissa. Riskit eivät ole vähentyneet, vaan päinvastoin, ne ovat lisääntyneet. Tähän on kaksi syytä.

Ensinnäkin, IT on jatkuvasti monimutkaistunut ja täten tuonut lisää riskejä tunnistettavaksi ja hallittavaksi. Toiseksi, kehitystä tapahtuu myös muilla alueilla, joka myös synnyttää lisää riskejä. Tämä tarkoittaa sitä, että IT-riskeistä on tullut yhä enemmän vallitseva osa meidän yhteisöämme samalla, kun luonnolliset riskit ovat vähentyneet. Kun vanhojen riskien syypäät olivat luonnolliset katastrofit, uusien riskien syypäät ovat meidän itsemme luomat tekniset järjestelmät sekä organisaatiojärjestelmät (Hanseth et al., 2007).

Yhteiskuntamme tulee yhä monimutkaisemmaksi johtuen teknologisen kehityksen ja sen käytön lisääntymisestä. Tämä näkyy myös yritysmuotojen monimutkaistumisessa.

Nämä seikat ovat tärkeitä jatkuvalle globalisaatiolle. Tästä monimutkaisesta maailmasta on tulossa enemmän ennustamattomampi ja hallitsemattomampi. IT on käytännössä jokaisen teknologisen kehityksen keskuksena tai vähintäänkin sen

osa-29

alueena. IT, internet ja sen päälle rakennut sovellukset ovat globalisaation ydinosa.

Täten voidaan sanoa, että IT on muuttunut kontrolliteknologiasta riskiteknologiaksi eli siis teknologiaksi, joka luo enemmän riskiä kuin kontrolloi sitä (Hanseth et al., 2007).

Termi VUCA (Volatility, Uncertainty, Complexity, Ambiguity, Epävakaisuus, Epävarmuus, Monimutkaisuus, Monitulkintaisuus) on termi, joka kehitettiin kuvamaan maailmankuvaa kylmän sodan aikana. Samaa termiä voidaan käyttää myös nykypäivän IT-maailmasta (Verism, 2018).

Riskienhallinnan ei pitäisi pelkästään keskittyä tiedon ja prosessien suojelemiseen, vaan sen tulisi ottaa myös tiedonhallinta (Knowledge Management, KM) huomioon.

Tämä seikka on tullut yhä ajankohtaisemmaksi 2000-luvulla älypuhelinten ja kannettavien tietokoneiden yleistyessä. Organisaatioiden henkilöstö käy jatkuvaa dialogia erilaisilla laitteilla, ohjelmistoilla sekä erilaisissa sosiaalisissa medioissa.

Tämä itsessään luo riskin sille, että joku organisaation henkilö esimerkiksi vuotaa vahingossa yrityksen herkkäluontoista tietoa julkisuuteen unohtamalla jonkun laitteensa julkiselle paikalle, joutumalla hakkeroinnin uhriksi tai tartuttamalla viruksen omaan laitteeseensa ulkopuolisia ohjelmia tai tiedostoja laitteelleen ladatessaan (Thalmann et al., 2014).

In document Konfiguraationhallinnan hyödyt riskienhallinnalle ulkoistetussa IT-palvelunhallinnassa ja hajautetussa IT-ympäristössä : tapaustutkimus Savon Voima Oyj (sivua 33-38)