Phương pháp lập chiến lược ứng dụng CNTT

Giới công nghệ đang đối đầu với việc tốc độ xuất hiện và thay đổi công nghệ, phương thức khai thác mới trên nền tảng thứ ba làm ảnh hưởng rất nhiều tới định hướng đầu tư CNTT cho doanh nghiệp như điện toán đám mây, thiết bị di động, dữ liệu lớn (big data). Internet và các thiết bị đã tiến đến mức kết nối linh hoạt hơn, thân thiện hơn…

Bất cứ doanh nghiệp nào không ít thì nhiều cũng đã đầu tư ứng dụng CNTT tại đơn vị mình. Các hệ thống này đang được vận hành khai thác. Nhiều công ty trong quá trình tái cấu trúc thực hiện việc mua bán sát nhập dẫn đến có nhiều hệ thống ứng dụng khác nhau, hạ tầng và công nghệ sử dụng cũng khác nhau. Từ đó việc vậ hành khai thác cũng như tích hợp quy trình xử lý nghiệp vụ và dữ liệu trở nên rất phức tạp. Trong nhiều trường hợp cần đánh giá hệ thống cũ thế nào để quyết định giữ lại sử dụng hoặc loại bỏ các hệ thống vận hành phức tạp hoặc không phù hợp với vận hành của doanh nghiệp ..

Tất cả những điều này dẫn đến việc cần có một cách tiếp cận ứng dụng CNTT một cách khoa học và bài bản hơn nữa cho doanh nghiệp. Bài viết nhằm chia sẻ một phương thức tiếp cận nhằm xây dựng lộ trình đầu tư ứng dụng CNTT cho doanh nghiệp và các tổ chức.

Hình 1 Minh họa xử lý kết quả IT Audit theo từng lĩnh vực
Hình 2 Minh họa xử lý kết quả IT Audit theo từng lĩnh vực ứng với ISO 27000

Đánh giá lại hiện trạng ứng dụng CNTT

Doanh nghiệp có thể coi như một đối tượng tiếp nhận chuyển giao công nghệ (phần cứng, phần mềm) để vận hành và khai thác. Sau một thời gian cần đánh giá lại hiệu quả đầu tư, các chỉ tiêu kỹ thuật, các chỉ tiêu liên quan đến vận hành để bước vào chu kỳ nâng cấp và đầu tư mới. Các kết quả đánh giá này nếu đầy đủ, chính xác sẽ cung cấp cho chủ doanh nghiệp các thông tin giúp họ cải thiện nâng cao hiệu quả vận hành của hệ thống hiện có, đồng thời có những quyết định đầu tư mới đúng đắn hơn. Các công tác trên được gọi là kiểm toán (Audit) hệ thống CNTT của doanh nghiệp.

Thực tế hiện nay công tác kiểm toán CNTT trong các doanh nghiệp Việt Nam chưa được hình thành hoặc mới được số ít công ty áp dụng. Việc đánh giá hiện trạng, hiệu năng, hiệu quả của hệ thống mang tính định tính, chưa lượng hóa bằng các chỉ tiêu dạng KPI. Từ đó làm cho lãnh đạo không có các số liệu và luôn coi CNTT là nơi tiêu tiền nhưng không tính được hiệu quả đầu tư.

Đánh giá hiện trạng hệ thống CNTT cũng giúp cho bộ phận IT  đưa ra các giải pháp cải tiến vận hành hệ thống CNTT tốt hơn. Giúp cho xây dựng hoạch định định hướng phát triển, xây dựng kế hoạch tổng thể ứng dụng CNTT của doanh nghiệp chính xác.

Về kỹ thuật, một hệ thống CNTT trong doanh nghiệp có thể được xem xét phân loại theo các mảng sau:

  •     Hệ thống hạ tầng bao gồm: Trung tâm dữ liệu, hệ thống máy chủ, hệ thống network, các thiết bị máy tính và thiết bị ngoại vi, thiết bị lưu trữ
  •     Các phần mềm hệ thống: Hệ điều hành máy chủ, CSDL, hệ điều hành máy trạm, Email, phòng chống Virus, an toàn an ninh dữ liệu
  •     Các giải pháp ứng dụng: Các phần mềm, giải pháp ứng dụng đang vận hành khai thác
Dưới quan điểm vận hành, việc phân loại lại theo các góc nhìn sau:
  •     Các quy trình vận hành hệ thống, kiểm soát sự thay đổi
  •     Tính liên tục trong vận hành
  •     An toàn và an ninh dữ liệu
Ở quan điểm quản lý, các vấn đề cần được xem xét lại là:
  •     Quản lý tài sản CNTT
  •     Xây dựng tổ chức, bộ máy vận hành hệ thống CNTT của doanh nghiệp
  •     Xây dựng hệ thống quy trình cho điều hành bộ máy CNTT : Quy trình quản lý sự thay đổi, mua sắm, Quy trình quản trị dự án
  •     Công tác giám sát và kiểm tra.
Từ các cách tiếp cận trên, doanh nghiệp nên tập trung vào các phần sau để thực thi Audit hệ thống CNTT của mình:
  •     Trung tâm dữ liệu (Datacenter)
  •     Hạ tầng Network
  •     Hạ tầng máy chủ (Servers)
  •     Máy tính
  •     Thiết bị di động (Mobile Devices)
  •     An toàn, an ninh hệ thống (Security)
  •     Đề phòng thảm hoạc (Disater Recovery)
  •     Email
  •     Hệ thống ứng dụng
  •     Tuân thủ bản quyền (Software Licenses Compliance)
  •     Phòng chống virus
  •     Giám sát (Monitoring)
  •     Mua sắm (Purchasing)
  •     Quản trị thay đổi của ứng dụng (Application Change Management)
  •     Quản trị dự án (Project Management)
  •     Quản trị thay đổi của hạ tầng (Infrastructure Change Management)
  •     Xây dựng chính sách và quy trình (Policies & Procedures)
Việc Audit được thực hiện thông qua hệ thống các điểm kiểm soát (Control) cho từng lĩnh vực trên. Quá trình tiến hành thực hiện đánh giá phải thông qua chứng cứ (evident) được lưu trữ lại và được đánh giá bởi hai trạng thái kết quả: Đạt hoặc Không đạt. Ví dụ để đảm bảo vận hành liên tục của hệ thống máy chủ và thiết bị cần có nguồn điện dự  phòng, nguồn điện dự phòng cần chứng tỏ có đầy đủ nhiên liệu dự trữ sẵn trong máy, chứng tỏ đã được vận hành và vận hành đầy tải thiết bị máy chủ. Như vậy có ba điểm kiểm tra với ba chứng từ như sau: Độ sẵn sàng về nhiên liệu của máy phát dự phòng với biên bản kiểm tra mức nhiên liệu trong máy; Có chạy vận hành không tải định kỳ với sổ nhật ký vân  hành; Đã chạy đầy tải với sổ ghi chép thông số điện áp và cường độ dòng điện khi vận hành đầy tải.

Các số liệu Audit được tập hợp và xử lý cho ra các báo cáo cũng như các đồ thị phân tích kết quả trong đó có đối chiếu với tiêu chuẩn ISO 27000 – Ví dụ minh họa được thể hiện theo hình 1 và đối chiếu tương ứng với tiêu chuẩn ISO 2700 được minh họa trong hình 2.

Với trung tâm dữ liệu cần đánh giá các chỉ tiêu bố trí vật lý thiết bị máy chủ, network, thiết bị lưu trữ, bố trí khu vực làm việc. Đánh giá nguồn điện cung cấp bình thường, sự cố, nguồn điện một chiều chiếu sáng, hệ thống lạnh, phòng chống cháy nổ cũng như hệ thống anh ninh kiểm soát ra vào trung tâm dữ liệu.Tiêu chuẩn phục vụ đánh giá nên theo TIA dùng cho Data center.

Với các thiết bị hạ tầng mạng, máy chủ, máy tính cần đánh giá ghi nhận hệ thống thông số vận hành, Các hiệu năng khai thác hệ thống/công suất trang bị; Các quy trình kiểm soát ghi nhận cấu hình và các thay đổi thông số hệ thống. Các điểm kiểm tra liên quan đến quy trình. Các quy trình và thủ tục đến an toàn vận hành hệ thống, các vấn đề liên quan đến bảo hành và hỗ trợ của nhà cung cấp.

Tính toán di động đang phát triển mạnh mẽ cả phần cứng, phần  mềm và ứng dụng, mang lại nhiều tiện ích cho người dùng và hiệu quả cho doanh nghiệp, nhưng cần được chú ý đánh giá về các chính sách bảo mật dữ liệu và thông tin trong quá trình khai thác cũng như các chỉ tiêu hiệu suất khai thác của thiết bị. Các điểm kiểm tra đánh giá này cũng được thực hiện trong quá trình đánh giá hệ thống chống virus, hệ thống Email …

Các quy trình quy định, hoạch định liên quan dến vận hành quản lý hệ thống sẽ được tham chiếu trong các đánh giá liên quan đến việc trang bị, mua sắm

Trong các đánh giá thì đánh giá các ứng dụng đang sử dụng đóng vai trò quan trọng – Các hệ thống điểm kiểm soát cần thực hiện để từ đó có các kết luận về công nghệ sử dụng, tính năng sử dụng để hỗ trợ đưa ra các quyết định mua sắm, mới, nâng cấp về công nghệ hoặc tính năng  – Kết quả minh họa được thể hiện trong hình 3 – Đánh gía hệ thống ứng dụng.

Mức độ trưởng thành ứng dụng CNTT với công tác hoạch định

Vai trò của công tác hoạch định cũng như xây dựng kế hoạch tổng thể ứng dụng CNTT trong doanh nghiệp luôn phải được đặt lên vị trí hàng đầu, sao cho:

  •     Kế hoạch chiến lược CNTT có tác dụng định hướng và quản lý tất cả các nguồn lực CNTT đi theo chiến lược kinh doanh và các điểm ưu tiên của doanh nghiệp.
  •     Chức năng CNTT và các bên nghiệp vụ có liên quan phải có trách nhiệm đảm bảo các dự án cũng như danh mục dịch vụ (service portfolios) mang lại giá trị tối ưu khi đầu tư.
  •     Kế hoạch chiến lược CNTT giúp các bên liên quan hiểu rõ hơn về các cơ hội mà CNTT mang lại, cũng như hạn chế của CNTT của doanh nghiệp mình, đánh giá được hiệu năng hiện tại, nhận diện được khả năng cũng như các yêu cầu đối với nguồn nhân lực, và làm rõ được mức độ đầu tư cần thiết cho CNTT.
  •     Chiến lược kinh doanh cũng như các điểm trọng tâm của doanh nghiệp cần phải được thể hiện trong danh mục dịch vụ và được thi hành bởi các kế hoạch chiến thuật CNTT. Trong các kế hoạch chiến thuật CNTT này, các mục tiêu chi tiết, các kế hoạch hành động và các tác vụ cụ thể được định rõ và được hiểu thấu bởi cả 2 phía, nghiệp vụ kinh doanh và bộ phận CNTT
Việc đánh giá mức độ trưởng thành ứng dụng CNTT theo COBIT thông qua bốn mảng lớn với 34 quy trình cụ thể gồm:
a.    Công tác lập kế hoạch và tổ chức (PO1 – PO10: Plan & Organization)
b.    Công tác mua sắm và triển khai (AI1 – AI7: Aquire & Implement)
c.    Công tác chuyển giao và hỗ trợ (DS1 – DS13:  Delivery & Support)
d.    Công tác giám sát và đánh giá (EM1 – EM4:  Evaluation & Monitoring)  
Căn cứ trên các đánh giá mức độ trưởng thành  hiện trạng (AS-IS) bộ phận IT sẽ xây dựng mong muốn trưởng thành ngắn hạn, trung hạn (TO-BE) để từ đó đưa ra được các kế hoạch triển khai cụ thể và được minh họa như sau:

Các mức trưởng thành ứng dụng CNTT


Với việc đánh giá mức trưởng thành một cách chi tiết theo khung phương pháp luận như trên kết hợp với kết quả Audit hệ thống CNTT doanh nghiệp sẽ giúp cho chủ đầu tư hoạch định được chiến lược ứng dụng CNTT cũng như xây dựng được kế hoạch triển khai tổng thể ứng dung CNTT tại doanh nghiệp

Một trong những điểm mạnh của phương pháp tiếp cận này là doanh nghiệp luôn có những đánh giá định kỳ theo theo quý, nửa năm và năm. Điều này cho phép doanh nghiệp kiểm soát và nhìn nhận được các tiến bộ, các cải thiện về vận hành hệ thống CNTT – Đây cũng chính là điểm mạnh của phương án tiếp cận ứng dụng CNTT cho doanh nghiệp so với trước đây.