О стратегии и тактике работы ИT-департамента крупного телекоммуникационного оператора рассказывает Анатолий Климашевский, директор по информационным технологиям компании «МТС Украина».
PCWeek/UE: Расскажите, что входит в ваши основные обязанности как ИT-директора?
Мои управленческие задачи сходны с функциями остальных топ-менеджеров. В нашей компании руководитель должен уметь транслировать цели компании на цели своего подразделения. Иными словами, он должен понимать, куда движется компания, и определять, как вверенное ему подразделение должно функционировать, чтобы двигаться в одном русле с предприятием к достижению поставленных целей. Кроме того, в обязанности менеджера входит организация эффективной операционной работы подразделения, обеспечение его финансирования и налаживание продуктивного взаимодействия с другими подразделениями.
PCWeek/UE: По вашему мнению, насколько сильно бизнес телекоммуникационных операторов сегодня испытывает потребность в ИT?
А вот телекоммуникационные технологии сегодня эволюционируют достаточно быстро. Они настолько плотно вошли в жизнь человека, что большинство людей с трудом себе представляет бытие в их отсутствие. Человек может пользоваться электронной почтой, SMS, голосовой связью, видеозвонками и т. п. Связь в комплекте с GPS-навигацией обеспечивает существование технологии дополненной реальности, позволяющей получать из интернета информацию о месте, в котором находишься.
Но что интересно, каждые несколько лет появляются новые виды коммуникаций. Например, пару лет назад произошел взрыв популярности социальных сетей. С точки зрения аппаратного обеспечения социальную сеть можно было создать и 10 лет назад, однако понадобилось какое-то время для того, чтобы эта технология стала востребованной. Я уверен, что большинство людей могли бы прожить счастливо и без Facebook, но если его забрать, человек ощутит неудовлетворенность.
PCWeek/UE: Что сегодня представляет собой ИT-инфраструктура МТС? Сколько вы используете датацентров, какую роль выполняет каждый из них?
А.К.: В настоящий момент МТС использует один основной датацентр и несколько периферийных. Кроме того, мы сейчас строим второй крупный базовый ЦОД.
А.К.: В регионах у нас находятся только специалисты по обслуживанию сотрудников компании. В основном эти люди нужны для решения специфических вопросов, связанных с обслуживанием персональных компьютеров пользователей. Большинство сервисных запросов обслуживаются удаленно из центрального офиса в Киеве. В случае если произошел сбой жесткого диска или сгорел компьютер, сотрудник выполняет его замену в своем регионе, но потом настройку техники все равно осуществляют из центра.
PCWeek/UE: В каком ключе приходилось работать в течение 2009—10 кризисных лет — свертывать запланированные ранее проекты или наоборот?
А.К.: Кризис очень сильно чувствовался в ИТ. Не всегда удавалось четко и ясно показать, как ИT-затраты в перспективе повлияют на доходы, потому что часто новые проекты лежат в области рисков. Приходилось заметно урезать инвестиции там, где необходимость их вложения обоснована рисками. Например в вопросах резервирования ИT-систем — как раз в 2009—2010 годах финансирование в этой области сильно сократилось. Уменьшилось также выделение денег на внедрения новых сервисных платформ: обычно у нас внедряется до десятка новых видов VAS-сервисов каждый год, но в 2009— 2010 гг. никаких серьезных проектов не было. Но в целом я считаю, что мы пережили кризис очень хорошо.
PCWeek/UE: Какие проекты были реализованы в 2010 году и что вы планируете на нынешний год?
А.К.: В 2010 году мы обновили нашу ERP, внедрили систему предбиллинга от НР, а также новый комплекс, который позволяет более эффективно обнаруживать мошенническое использование услуг связи, предоставляемых нашей компанией. Текущий и следующий 2012-й год я могу назвать временем двух проектов: построение нового ЦОД и внедрение нового аппаратного комплекса для биллинговой системы с реализацией технологии disaster recovery согласно в соответствии с лучшими мировыми стандартами.
А.К.: Как пользователь я прибегаю к услугам «облаков» и понимаю важность этого направления и неизбежность его популяризации. Но как
ИT-менеджер телекоммуникационного оператора могу сказать, что в большинстве случаев применение облачных вычислений в бизнесе нашей компании в настоящее время является рискованным. «Облако» на данном этапе развития ИT не обеспечивает требуемую надежность и скорее всего не сможет обеспечить в ближайшем будущем. Безопасность облачных систем тоже под сомнением, что подтверждается недавними событиями в индустрии.
PCWeek/UE: Как осуществляется сотрудничество специалистов ИT-отдела в Украине с коллегами из других компаний, которые входят в состав ОАО «Мобильные Телесистемы»?
А.К.: Взаимодействие состоит из общения. В группе компаний МТС есть подразделение Корпоративный Центр (КЦ) МТС, которое занимается вопросами стратегии и архитектуры для группы компаний в целом. Дальше, на уровне директив их решения приходят к нам, где мы оцениваем их реализуемость и целесообразность.
А.К.: Поскольку наша компания ставит основной целью успешное ведение бизнеса, то каждое решение принимается на основе целесообразности. МТС не занимается стандартизацией всех ИT-функций в рамках всех компаний. Но если унификация, стандартизация, замена платформы, какое-либо содействие со стороны ИT помогает более успешно вести бизнес, мы делаем все необходимое.
А.К: Мы используем PDCA-модель управления для поддержания в актуальном состоянии ИБ нашей компании. Ее этапы перечислены ниже.
- Во-первых, мы планируем мероприятия и проекты по направлениям:
- защита конфиденциальной информации и персональных данных сотрудников и абонентов;
- активная работа с сотрудниками компании по повышению осведомленности в вопросах информационной безопасности;
- защита компьютерной системы компании от внешних и внутренних угроз;
- анализ новых тенденций в области компьютерного мошенничества с целью создания проактивных мер противодействия;
- мониторинг украинского и международного законодательства в области защиты информации, иных общих и специализированных источников.
В заключение мы согласовываем с бизнесом наши предложения, предварительно оценив состоятельность и достаточность запланированных мероприятий с точки зрения риск-менеджмента. Далее следует фаза реализации согласованных мероприятий, с участием всех имеющих отношение к этому подразделений компании. Третий этап — контроль результатов реализованных мероприятий и проектов, оценка их эффективности. На финальном четвертом этапе следует внесение необходимых корректировок в процессы и мероприятия, дальнейшая их реализация, после чего — возврат к первому этапу на новом уровне. Данная модель зарекомендовала себя как устойчивый, самодостаточный и высокоэффективный принцип управления процессами.
PCWeek/UE: Назовите наиболее актуальные, с вашей точки зрения, системы защиты.
А.К: Что касается автоматизированных систем защиты, то наиболее актуальными мы сегодня считаем те решения, которые, помимо выполнения типовых задач по информационной безопасности, позволят удовлетворить требованиям Закона Украины о защите персональных данных, вступившего в силу с 1 января 2011 года. Для МТС как телекоммуникационного оператора, предоставляющего услуги связи, а значит хранящего и обрабатывающего большие массивы персональных данных, это достаточно важный критерий. По этой причине мы считаем, что наиболее приоритетными сейчас и в ближайшей перспективе являются:
• DLP-решения, препятствующие несанкционированному разглашению конфиденциальной информации нашей компании;
• IDSи IPS-решения, препятствующие промышленному шпионажу и иной негативной активности, которые могут повлечь за собой утечку информации о персональных данных или иной информации, являющейся коммерческой ценностью нашей компании;
• комплексные системы логгирования и корреляции событий в компьютерной информационной системе, способной оказать важную и своевременную помощь в установлении и блокировании инцидента.
Надо понимать, что задача поддержания ИБ в актуальном состоянии совершенно не ограничивается автоматизированными системами безопасности. Если посмотреть в целом на историю и практику их развития, то «человеческий фактор» был и остается ключевым моментом с точки зрения защиты таких систем.
В этом разрезе МТС уделяет особое внимание корректности и адекватности действий сотрудников компании, для чего разработана и эксплуатируется отдельная методика противодействия методам «социальной инженерии». В нее входят такие пункты как профилактическая работа с пользователями компьютерных систем компании; регулярное информирование об элементарных принципах безопасности при работе с компьютером; обучение основным принципам противостояния компьютерным мошенникам; регулярное тестирование по этим вопросам; донесение до сведения пользователей степени уголовной и административной ответственности за «проступки»; различные программы поощрения.
