Сообщения блогов сайта "CIO" (old.cio-world.ru) http://old.cio-world.ru ru http://backend.userland.com/rss2 Thu, 17 May 2012 11:06:14 +0400 Для эффективного управления рисками, связанными с использованием новых технологий в распределенных виртуализированных инфраструктурах ЦОДов, их владельцам приходится искать новые решения в области безопасности. Заключение: масштабируемая архитектура и производительность. А также - проблематика централизованного управления.




Заканчивая цикл публикаций об ИБ "в облаках", хотелось бы остановиться еще на двух немаловажных темах:

Высокая производительность, масштабируемая архитектура платформы

Необходимо чтобы сетевые устройства, предназначенные для защиты центров обработки данных, справлялись с разнородными и объемными потоками трафика, инициируемого приложениями. Внутренним брандмауэрам ЦОДов необходима высокая пропускная способность и возможность проверять и контролировать большие объемы трафика между различными внутренними доменами в локальных вычислительных сетях.

Кроме того, брандмауэры должны поддерживать быстрое соединение/ разъединение сессии для большого количества сессий одновременно. Когда большое количество пользователей постоянно подключается к определенному набору вычислительных ресурсов, брандмауэр должен быть в состоянии поддерживать стабильную работу миллионов текущих сессий, в то время как десятки тысяч новых и старых сессий открываются и завершаются.

Для передачи трафика и выполнения многочисленных ТСР сессий, а также учитывая большие размеры пакетов, связанные с использованием SOA/гибридной архитектуры, одним из основных требований к работе ЦОДов становится надежность – а значит, брандмауэры должны иметь специализированную аппаратную структуру, способную демонстрировать огромные производительные возможности. Кроме того, структура обеспечения безопасности в центрах обработки данных должна соответствовать принципу "pay-as-you-grow" (оплата по мере расширения), который позволяет добавить сервис для увеличения производительной мощности без физической или логической перестройки сети.

Централизованное управление

Учитывая комплексную и сильно распределенную структуру современных центров обработки данных, становится очень непросто последовательно применять политики безопасности для всей инфраструктуры центра. Выходом может быть глобальное решение в области безопасности, подразумевающее создание консолей управления способных централизованно управлять всеми функциями, включая определение единой политики безопасности и консолидирование соответствующей информации.

Устойчивая централизованная система управления дает возможность определять политики безопасности, достаточно детализированные для того, чтобы осуществлять подробный контроль работы пользователей, приложений и ресурсных доменов, и достаточно универсальные, чтобы не возникала необходимость адаптировать их для каждого объекта в отдельности. Создание централизованной политики дает возможность администраторам не заниматься определением политик безопасности для каждой из систем в рамках центра обработки данных, а также позволяет избежать появления уязвимых зон, причиной которых является неоднородность и несогласованность политик безопасности.

Помимо возможности определения единых политик безопасности, централизованное управление может привести к значительному снижению эксплуатационных расходов на обеспечение безопасности в других областях. В рамках центров обработки данных компании имеют в своем распоряжении большое количество аппаратного и программного обеспечения, такого как коммутационные устройства, роутеры, серверные платформы, операционные системы, платформы приложений и сами приложения. Крайне сложно поддерживать высокий уровень безопасности для всех этих систем, а также следить за их обновлением. Эту задачу можно значительно облегчить путем создания централизованной системы управления, которая автоматически получет обновления и исправления для различного оборудования и дает возможность системным администраторам распределять их вручную. Например, централизованная система управления может автоматически найти и скачать наиболее современные средства защиты, которые системные администраторы смогут установить на различные объекты по своему усмотрению в том режиме, который сочтут необходимым.

Наконец, централизованные средства управления, в том числе системы управления событиями и информацией о безопасности (Security Information and Event Management - SIEM), могут взаимодействовать с сетевыми устройствами безопасности с целью обеспечения возможности детального наблюдения за использованием приложений и схем доступа пользователей, как в реальном времени, так и постфактум. Эта консолидированная информация необходима для соответствующей передачи отчётов, осуществления контроля и других контрольно-регулировочных функций. Кроме того, централизованная SIEM-система предоставляет системным администраторам информацию, необходимую для оптимизации ресурсов и инфраструктуры центров обработки данных. SIEM-средства обладают возможностями подробного анализа, включая анализ контекстной информации и транзакций, что позволяет системным администраторам сочетать детализированные данные глубоких проверок с текущей информацией о сетевых потоках и создавать общую картину использования приложений в режиме реального времени.

Заключение: Применение централизованного подхода для обеспечения безопасности в центрах обработки данных

Современные компании все больше зависят в своей деятельности от функционирования центров обработки данных, которые продолжают развиваться по мере того, как компании накапливают ресурсы и внедряют новые технологии: виртуализация серверов, системы распределённых приложений сетевые хранилище данных, основанные на ΙP-технологии. Одним из побочных эффектов подобной модернизации становится растущая уязвимость ЦОДов перед все большим количеством разнообразных угроз безопасности.

Кроме того, ввиду увеличения количества случаев виртуального мошенничества и вредоносных программных средств, компании часто приходится самостоятельно противостоять угрозам, связанным с использованием современных технологий в центрах обработки данных.

Для того чтобы развиваться и получать преимущества в рамках подобной модернизации, администраторы центров обработки данных должны обратиться к наиболее совершенным технологиям и методам в области информационной безопасности и разработать подход, учитывающий все новые риски. Централизованный подход к защите виртуализированных центров «облачной» обработки данных предполагает ряд преимуществ, включая масштабируемость, возможность определения и применения единой политики безопасности и сокращение эксплуатационных расходов. При поиске решений для обеспечения безопасности в ЦОДах, компаниям следует ориентироваться на такие характеристики, как эффективность работы приложений, возможность применения политики безопасности на основе идентификационной информации, централизованное управление и наличие устройств с большой вычислительной мощностью.

Ввиду того, что сеть объединяет работу всех устройств ЦОДа, она является идеальной средой для применения целостного комплекса инструментов обеспечения безопасности. С развитием современных технологий стало возможным физически подсоединять устройства для обеспечения безопасности к сети всего в нескольких точках и логически распространять их деятельность на многочисленные сетевые сегменты. Применение централизованного подхода облегчает введение единой политики безопасности в распределенной среде и позволяет сделать доступными сервисы центров обработки данных практически для любого пользователя вне зависимости от его месторасположения.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=anton_minakov&post_id=197 http://old.cio-world.ru/blog/index.php?page=post&blog=anton_minakov&post_id=197 Mon, 20 Dec 2010 12:40:20 +0400 Сегодня услуги управляемых инфраструктур, в том числе для финансового сектора, предоставляют различные организации, включая локальных и международных телекомов, поставщиков extranet-услуг и поставщиков услуг, которые имеют свои собственные сети. Крупнейшими игроками являются те организации, которые развивают собственные сети.


Управляемая инфраструктура предлагает полностью управляемое решение для быстрого и защищенного соединения и хостинга. Лучшие решения объединяют все внешние соединения клиента, что может составлять десятки или даже сотни линий, в единое, резервированное соединение, и тем самым экономит деньги и время клиента, снижает расходы на линии, оборудование, эксплуатацию, ремонт и управление.


Около десяти лет назад компания Radianz была основана как мировой поставщик решений в области сетевых инфраструктур, предлагающий услуги по сетевому взаимодействию для финансовых структур через один защищённый канал. Примерно в то же время BT также играла одну из ключевых ролей в торговом мире благодаря платформе BT ITS.Netrix. В 2005 г. Radianz была приобретена BT, и мы смогли совместить решения Radianz со многочисленными возможностями BT в финансовом секторе, чтобы создать подразделение, которое сейчас называется Global Banking & Financial Markets. Это было началом нового этапа в нашем развитии.


Услуги BT Radianz предоставляются на базе глобальной MPLS-сети BT, которая объединяет более 170 стран. Конфигурация системы на объекте клиента подразумевает использование медных или оптоволоконных кабелей и соответствующих коммутаторов или маршрутизаторов (роутеров), в зависимости от требований клиента и условий подписки.


Сервисное подключение предоставляется клиенту на базе инфраструктуры Ethernet LAN либо через порт(ы) СЕ-роутера или порт(ы) каскадного LAN-коммутатора. В большинстве случаев BT обеспечивает дуальную цепь, которая соединяется с объектами клиента через резервированные роутеры (или коммутаторы). На другом конце соединения установлены отдельные ЦОД или точки присутствия BT. Это гарантирует, что единая точка отказа на приведет к прекращению предоставления услуг. Система преобразования сетевых адресов (NAT) используется для того, чтобы сеть клиента была надежно изолирована от других членов сети BT Radianz.


Если банк, страховая компания или биржевая площадка подключены к международной платформе предоставления финансовых услуг, то они имеют более удобный доступ к портфелю услуг и могут получать быстрые отклики на запросы, следовательно, к ним охотнее идут новые клиенты. Обычно такие платформы полностью отлажены с точки зрения ИТ-инфраструктуры, и трейдерам не надо задумываться о технической части, они могут спокойно заниматься торговыми операциями.


Исследование, проведенное Yankee Group, показало, что фирмы могут сэкономить до 50% от общей стоимости владения (TCO) благодаря использованию ежемесячной подписки на BT Radianz вместо создания и эксплуатации своей собственной системы. Экономия принимает форму сокращения количества требуемых оборудования, места в ЦОДах и персонала для управления и эксплуатации сети, а также в форме возможности перенести расходы на внешнее соединение из бюджета капиталовложений в бюджет расходов.


Благодаря поставщикам услуг, количество которых превышает 400, мы предоставляем клиентам доступ к пре-трейдинговым, трейдинговым и пост-трейдинговым приложениям на всем цикле электронной торговли и по различным классам активов. Платформа BT Radianz объединяет свыше 14 тыс. компаний в финансовом секторе по всему миру, предоставляя финансовым учреждениям необходимый доступ к клиентам и торговым партнерам. Из наших клиентов в России можно назвать «Прайм-ТАСС», «РИА Новости», РТС, ММВБ.


Все банки и другие финансовые компании в мире предъявляют одинаково высокие требования к безопасности – для них очень важны высокая доступность и защищённость. Поэтому вполне логично интересоваться, насколько поставщик услуг соответствует этим требованиям, регулярно ли проходит необходимые сертификации, в том числе в России, гарантирует ли высочайший уровень защиты систем, в том числе от DoS-атак. Привычная на сегодня схема: поставщик гарантирует защиту своей инфраструктуры, а клиенты, в свою очередь, должны отвечать за защиту своих приложений. В нынешнем мире каждый должен отвечать за свою часть инфраструктуры. При этом безопасная система не должна мешать скорости работы системы – оперативность доставки той или иной информации играет решающую роль для клиентов.


По мере того как растут объемы финансовых операций, а на российском рынке активно развиваются стратегии электронного трейдинга, скорость и качество передачи данных приобретают для клиентов первостепенное значение. Заказчики заинтересованы в предоставлении оптимального сервиса для широкого круга инвесторов, и использование лучших практик управления делает российский рынок более доступным для глобальных инвесторов.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=Mark_Akass&post_id=196 http://old.cio-world.ru/blog/index.php?page=post&blog=Mark_Akass&post_id=196 Wed, 15 Dec 2010 22:25:55 +0400 Для эффективного управления рисками, связанными с использованием новых технологий в распределенных виртуализированных инфраструктурах ЦОДов, их владельцам приходится искать новые решения в области обеспечения безопасности. Часть 2: Предоставления доступа на основе идентификационной информации

Продолжая тему ИБ "в облаках", необходимо обязательно остановиться на вопросах предоставления доступа на основе идентификационной информации.
Еще одна важная деталь – контроль доступа к приложениям и ресурсам на основе идентификации пользователя, а не только его IP-адреса. Учитывая мобильную и динамичную рабочую среду в современной компании, когда сотрудники постоянно подключается к элементам приложений, которые находятся на различных серверах в рамках одного ЦОДа, компании больше не могут предоставлять привилегии доступа, основываясь на легко контролируемом и определяемом месторасположении пользователя, получаемом по IP-адресу. Скорее, системный администратор должен иметь возможность обеспечить доступ к ЦОДу для любого пользователя, будь то сотрудник, подрядчик, поставщик (или пользователь в рамках другой, определенной заранее, учетной записи) из любого места и в любое время на основе типа учетной записи.

Пользователю не может быть разрешен или запрещен доступ исключительно на основе его месторасположения, так как данный IP-адрес может использоваться пользователем временно, например, если он движется и, соответственно, меняет свое местоположение. С другой стороны, существует большое количество сетевых адресов, преобразованных с помощью NAT (Network Address Translation) и адресов прокси-серверов, которые могут обслуживать различных пользователей под различными учетными записями, и не привязаны, таким образом, к конкретному пользователю.

Для контроля над доступом пользователя к определенным группам приложений компаниям необходимы сетевые решения, которые способны поддерживать политики безопасности на основе идентификации пользователя и типа учетной записи. Это помогает «привязать» идентификационную информацию пользователя к информации о доступе к приложению и принимать соответствующие решения о разрешении доступа или отказе в нем. Кроме того, чтобы вместить растущее использование инструментов для коллективной работы в рамках ЦОД, требуются сетевые решения безопасности с возможностями консолидации идентификационной информации, которые обеспечивают эффективную интеграцию сервисов из внешней среды без ущерба для безопасности ЦОДов.

В отрасли уже был создан ряд стандартных технологий, способствующих обмену между разрозненными сетями информацией об идентификации, привилегиях доступа и данными об общих характеристиках определенных пользователей, такие как SAML (Security Assertion Markup Language), XACML (Extensible Access Control Markup Language) и IF-MAP (Interface for Metadata Access Point). Они облегчают сетевым устройствам для обеспечения безопасности проведение политик безопасности, основанных на идентификации.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=anton_minakov&post_id=195 http://old.cio-world.ru/blog/index.php?page=post&blog=anton_minakov&post_id=195 Mon, 13 Dec 2010 10:45:33 +0400 Для эффективного управления рисками, связанными с использованием новых технологий в распределенных виртуализированных инфраструктурах современных центров обработки данных, их владельцам приходится искать и внедрять новые решения в области обеспечения безопасности.

Большинство таких решений сосредоточены на серверном уровне и представляют собой хостовую систему обнаружения вторжений, систему идентификации, антивирусы и другие программные приложения. Однако подобный подход не предполагает масштабируемости, не подходит для ряда сетевых устройств и создает значительные трудности для работы системы.

Важным преимуществом в вопросах безопасности является централизация систем защиты в неоднородных и постоянно меняющихся инфраструктурах центров обработки данных. Сеть – идеальный вариант для обеспечения прозрачности трафика, инициируемого приложениями, и подключения устройств, определяющих политики безопасности.


Эффективная работа консолидированных решений в области обеспечения безопасности сегодня обуславливается следующими характеристиками:

Быстродействие приложений

Для защиты ресурсов ЦОДов сетевые продукты для обеспечения безопасности, такие как шлюзы безопасности, брандмауэры и системы слежения должны быть достаточно «умными», чтобы распознавать контекст приложений и каналы обмена данных между ними. С точки зрения определения политик безопасности и перспектив их поддержания, обычная TCP/IP сессия больше не может отвечать требованиям к безопасности в современной бизнес-среде.

Необходимо внедрять высокоэффективные продукты для обеспечения безопасности, которые позволяют четко определять, какие действия разрешены в рамках определенных экземпляров приложений. Кроме того, подобные решения должны обеспечивать контроль инфраструктуры приложений, позволяя устанавливать профили использования приложений и другую важную информацию на уровне приложений.

В современных центрах обработки данных приложения могут работать на общем хосте или пуле ресурсов. Чтобы разграничить их, кто-то запускает их на разных ТСР портах или на разных виртуальных IP-адресах. Такая схема не совсем удобна с точки зрения быстродействия, так как каждый новый экземпляр приложения требует внесения изменений в сетевые политики безопасности для добавления номера необходимого ТСР-порта или виртуального IP-адреса.

Более современные приложения используют специфические контекстные данные, такие как стоящие перед НТТР-адресом или SQL-запросом значения, предназначенные для того, чтобы направить запрос на обработку соответствующему экземпляру приложения. Но в результате системные администраторы не могут определить, как используется та или иная сессия (для личных или для деловых целей), просто подсоединившись к IP-адресу сервера приложения через 80-й порт (то есть при подсоединении к Google.com через 80-й порт).

Таким образом, становятся необходимы новые инструменты обеспечения безопасности, которые могут быстро идентифицировать экземпляры приложений, транзакции и действия приложений, не основываясь исключительно на информации в заголовке запроса TCP/IP-протокола. Возможность идентифицировать приложения, основываясь на внутренней характеристике, такой как атрибуты протокола, крайне важна; без подобной детальной видимости невозможно обеспечить тот уровень безопасности, который должен поддерживаться в соответствии с нормативными требованиями и потребностями бизнес-процессов.

Следующий пост будет посвящён предоставлению доступа на основе идентификационной информации.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=anton_minakov&post_id=194 http://old.cio-world.ru/blog/index.php?page=post&blog=anton_minakov&post_id=194 Tue, 07 Dec 2010 21:35:02 +0400 «Конкурентный прорыв в посткризисный период. Идеи для руководителя» - так в нынешнем году сформулирована тема ежегодного Форума «IT-ЛИДЕР», проходившего в конце октября 2010 года в городе Москва.

Директор по информационным технологиям дивизиона «Генерация Центра»* Виталий Данильчук, приглашенный на форум в качестве эксперта, представил на нем комплексную программу повышения эффективности производственной и трейдинговой деятельности, над воплощением которой трудятся сегодня ИТ-специалисты.

г-н Данильчук любезно согласился ответить на несколько вопросов журналистов нашего портала:

- Виталий Александрович, что сейчас в фокусе внимания ИТ-специалистов дивизиона «Генерация Центра»?

[Виталий Данильчук] - В настоящее время в дивизионе реализуется проект по созданию центра сбора технологической информации (ЦСТИ). Реализация этого большого и сложного проекта позволит обеспечить консолидацию и представление технологических параметров работы генерирующих предприятий дивизиона в единой системе, практически в режиме реального времени и передачу их на любой уровень управления.

Потребителями данной системы станут производственные, сбытовые и другие подразделения, которые получат прозрачный, гибкий и удобный инструмент для отслеживания, анализа и моделирования режимов выработки электричества и тепла.

На основании информации, представленной в ЦСТИ, дополнительно применив аналитические и инженерные инструменты, можно будет, в частности, анализировать текущее состояние оборудования и косвенно судить о качестве проведенных ремонтов, выявлять «узкие места», где у нас могут быть потери.

Т.е., ЦСТИ - это мощная информационная база, на основании которой можно делать выводы. Все это обеспечит возможность повысить оперативность процессов управления, а кроме того, избавит от многих рутинных операций, например, по вводу данных вручную.

В создании ЦСТИ заинтересованы специалисты дивизиона «Трейдинг» КЭС-Холдинга, задача которого - оптимизировать производственные процессы и соответственно увеличить доходы компании. В целом проект направлен на повышение эффективности генерации. В этой работе мы являемся первопроходцами, в дальнейшем ЦСТИ планируется внедрить в общехолдинговом масштабе.

- Образно говоря, речь идет о создании некоего единого «центра управления полетами»?

- Я бы сказал так: система ЦСТИ должна объединить работу всех центров ответственности (генерация, трейдинг, тепловой сбыт и т.д.) в едином информационном поле, на основании унифицированных данных.

- Имеются ли уже какие-то практические результаты?

- Первый этап проекта уже реализован – в дивизионе «Генерация Центра» внедрена и используется в практической работе система ЦСТИ ТЭ (центр сбора технологической информации тепловой энергии), охватившая все наши станции и котельные. Она позволяет в режиме онлайн отслеживать температуру и давление сетевой воды и пара, следить за тем, выдерживается ли температурный график тем или иным тепловым источником, и оперативно реагировать на его нарушения.

Хочу отметить, что ЦСТИ ТЭ создан на основе имеющегося «полевого» оборудования, что позволило минимизировать затраты на его внедрение.

- А в какие сроки в масштабах дивизиона может быть создан «глобальный» ЦСТИ, учитывающий все технологические параметры?

- Та модель, к которой мы стремимся, будет воплощена в следующем году.

- Возвращаясь к форуму ИТ-технологий в Москве, вызвала ли ваша презентация интерес у ваших коллег?

- Да, в первую очередь у специалистов, работающих в производственных компаниях. Во всяком случае, вопросов (а я выступал в рамках одного из круглых столов форума) задавали много. Это действительно перспективное направление работы, на котором ИТ-специалисты смогут внести существенный вклад в оптимизацию работы компании.

* Дивизион «Генерация Центра» КЭС-Холдинга создан для управления генерирующими и теплосетевыми активами ОАО «ТГК-6» на территории Владимирской, Ивановской, Нижегородской, Пензенской областей и Республики Мордовия. В состав дивизиона входят 14 ТЭЦ, 1 ГРЭС, 3 котельные общей установленной электрической мощностью 3 112,5 МВт, тепловой мощностью – 10 688,8 Гкал/ч.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=vit_dan&post_id=193 http://old.cio-world.ru/blog/index.php?page=post&blog=vit_dan&post_id=193 Fri, 03 Dec 2010 10:04:34 +0400 В «Примсоцбанке» (г. Владивосток) и банке «Левобережный» (г. Новосибирск) началось создание единой системы класса BPM (Business Performance Management – управление эффективностью бизнеса).

Акционеры «Примсоцбанка» владеют 85% акций Банка «Левобережный». Оба банка являются универсальными, предлагают продукты и услуги для частных и корпоративных клиентов, малого бизнеса, оказывают полный спектр валютного обслуживания для бизнеса и физических лиц. Учитывая, что у банков есть общие акционеры, внедрение системы позволит, во-первых, применять единые принципы и подходы в управлении эффективностью бизнес-процессов, во-вторых, в одном формате осуществлять контроль за результатами деятельности.

В двух банках будут проведены работы по унификации методологий подготовки обязательной и управленческой отчетности. Выработанная в результате общая методическая модель станет основой для построения ВРМ-системы на основе единого хранилища данных.

В банке «Левобережный» будет развернуто хранилище данных «Контур» от компании Intersoft Lab на СУБД Oracle – основа единой BPM-системы. Для интеграции данных АБС и прочих учетных систем обоих банков с единым хранилищем принято решение использовать интеграционную платформу Informatica PowerCenter.
Учитывая масштаб решаемой задачи, в проекте выделили бизнес-значимые этапы, каждый из которых позволит банку запускать в эксплуатацию готовый набор функциональности, в частности, актуальные пакеты отчетности для Банка России. Это поможет последовательно снижать трудозатраты на формирование отчетности и повышать ее качество. От внедрения мы ожидаем, в том числе, возможности гибкого и оперативного изменения форматов как управленческой, так и обязательной отчетностей в соответствии с требованиями ЦБ РФ. Для работы с внутрибанковскими отчетами сотрудники банков будут пользоваться аналитической платформой Oracle BI.

Руководство банка ставит цель максимально вовлечь персонал в работы по внедрению решения, чтобы процесс «вживления» новых инструментов и методологий прошел в короткие сроки и с наибольшим эффектом. В частности, в ближайшее время намечено обучение сотрудников банка работе с интеграционными инструментами Informatica, позднее – с прикладными интерфейсами ПО «Контур». Обучение сотрудников работе в системе будет проходить на территории банков и в компании-исполнителе. Сам процесс поделен на 2 этапа: обучение ИТ-специалистов для настройки и сопровождения BPM-системы; обучение пользователей, преимущественно аналитиков и экономистов, чья работа связана с построением отчетности.

В будущем BPM-система станет доступной базой для автоматизации отчетности по требованиям МСФО, налоговой отчетности, управления активами и пассивами, управления рисками и других задач управления эффективностью.

Мы прогнозируем существенное сокращение временных трудозатрат на подготовку всех форм отчетности. Кроме того, преследуются цели централизации функций бэк-офиса, с тем чтобы снизить нагрузку на сотрудников филиалов и других бизнес-подразделений, которые сосредоточены на обслуживании и сопровождении клиентов.
Хочу подчеркнуть, что проблема непонимания и саботажа для нас неактуальна. Заинтересованные стороны единогласно поддерживают эксплуатацию BPM-системы ввиду ее очевидных выгод и преимуществ.

Внедрение BPM-системы говорит о качественно новом уровне организации управления эффективностью. Это постепенный переход от автоматизации оперативных бизнес-процессов к автоматизации стратегии управления бизнесом, который дает нам возможность непрерывно совершенствовать свою деятельность.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=mari123_001&post_id=192 http://old.cio-world.ru/blog/index.php?page=post&blog=mari123_001&post_id=192 Tue, 16 Nov 2010 12:05:51 +0400 Если говорить о практике и о том, какая система CRM в сети клиник МЕДСИ… В полноценном виде в МЕДСИ пока ее нет, идет процедура выбора. Сейчас рассматриваются пока две платформы – Oracle и Microsoft, локализованные в России.

В МЕДСИ процесс сортировки клиентской информации еще не закончен – пока входящие звонки в call-центре временно сведены к одному номеру. Позвонив в call-центр, человек далее будет переадресован в регистратуру, либо в отдел продаж.

Несмотря на все это, здесь уже есть чем гордиться. Ибо что же в других клиниках? - Почти ничего. Разовые внедрения, которыми машут производители ПО, и полное равнодушие рынка. Несмотря на то, что, как я говорил ранее, именно CRM закрывает самую «больную» тему в медицине – сервис пациентов. Да и систем на рынке почти нет. Из крупных локализованных медицинских CRM-систем, я назову, пожалуй, только Oracle и Microsoft, причем, количество их внедрений в России очень небольшое.

И дело не в том что это «дорого». Дело не в этом. Мне кажется, хотя я и могу ошибаться, что дело скорее в том, что задачи качественного обслуживания пациента во многих учреждениях не стоят. В России почти 300 медицинских информационных систем, в которых большая часть имеет 1-2-3 внедрения, они написаны местными специалистами в клиниках. Отечественные системы – они, по большей части, одномодульные, на модули не разделены. Большая часть из них решают одну маленькую задачу из обширного спектра функционала CRM – биллинг услуг. Для ее решения мы должны:

1. учесть услуги, которые мы оказываем пациенту,
2. распознать эти услуги в плане страхового – не страхового участия,
3. выставить за страховые услуги счёта в страховые компании и согласовать их,
4. если это наличные – то принять деньги через кассу, выдать чек, и т.д.

Фактически, это задача «очень умного 1C», в котором реализована медицинская специфика. И наши отечественные системы даже эту примитивную мини-задачу и то полностью не решают. Просто есть разница между Тойотой, и машиной, сваренной в гараже. Здесь та же разница.

Большая часть медицинских учреждений считает биллинг услуг единственно нужной функцией. Потому что у них задача не в работе с клиентской базой, то есть с нами, с клиентами, а в учёте услуг, которые они дали клиентам.

То есть, у нас довольно примитивный медицинский рынок: он думает не о клиенте, а о том, как учесть деньги от него. Большая часть потребностей в области ИТ идет не от медиков в обычных компаниях, а от финансистов. И, уж конечно, не от отдела продаж или отдела маркетинга. Отсутствие внедренного CRM – это и есть признание, что пациенты твои тебе до лампочки. Только пациенты уже становятся умными, и это понимают.

В противовес Microsoft и Oracle как платформам для CRM-решений, часто приходится слышать про модные ныне Open Source Systems, Linux – и т.п. Мол систему можно написать и самим. Мое мнение: это не имеет никакого смысла. Разумные люди думают о совокупной стоимости владения. Они оценивают не то, сколько будет купить и внедрить систему, а то, сколько мы потратим на нее за время ее жизни – 7 – 10 лет – вместе с внедрением и закупкой.

Если оценивать деньги, то можно увидеть следующее.

Во-первых, да, закупочная стоимость решений с открытым кодом меньше, чем брендованных. Но их поддержка намного дороже. Поэтому в результате потратишь денег больше.

Во-вторых, решения с открытым кодом не принадлежат какой-то конкретной компании, а значит, в случае сбоев системы, поддержку получить не от кого и спросить не с кого.

В-третьих, решения на открытом коде настраиваются в широком диапазоне, что привязывает тебя к конкретным людям, которые это делают, в большей степени, чем это происходит при внедрении проприетарных систем. Если с системой на базе Microsoft или Oracle накосячили программисты – можно взять с рынка других. Если то же самое произошло с системой, написанной своими программистами на базе открытого ПО – идти больше некуда.

В-четвертых, медицина должна заниматься медициной, клиника – это не ИТ компания, там не должно работать много компьютерщиков, а в случае систем с открытым кодом медицинскому учреждению придется держать огромный штат людей, которые не участвуют в процессе оказания ключевых услуг пациентам – медицинских услуг. Клиника, это место, где работают врачи, а компьютерщики их обслуживают, в случае систем с открытым кодом даже для средних клиник ситуация меняется на обратную: врачи кормят ораву программистов.

И последнее. Если мы сами пишем программы, то, в любом случае, мы напишем их менее профессионально, чем это сделал за 20 лет Microsoft или Oracle.

Говорят, что для снижения операционных издержек есть вариант сдавать всё на аутсорс. Какие сложности возникают при этом у работников ИТ в медицинских учреждениях?

На мой взгляд, здесь ситуация зависит от нескольких факторов. Первое - это закон «О персональных данных», ФЗ 152, согласно которому медицинская информация является информацией высшей категорией секретности. К этому относится не только, собственно, медицинская информация о здоровье человеке, но и сам факт обращения человека за медицинской помощью. Следовательно, не всякая компания, оказывающая услуги аутсорсинга, может оказывать их в медицинском учреждении. Пока на рынке я не видел таких прецедентов, которые бы позволили мне с уверенностью говорить о примерах аутсорсинга в медицинских учреждениях, тем более, мне трудно представить, что Роскомнадзор спокойно это пропустит.

Вторая причина неразвитости ИТ аутсорсинга связана с состоянием аутсорсинга в России вообще. Не побоюсь сказать, что это безобразное состояние.

Смысл в том, что клиентов аутсорсинговых компаний мало – он зачастую выходит дороже для заказчика, при том, что аутсорсер фактически ничего не делает. Кроме того, аутсорсинговые компании сейчас в основном инсорсинговые, т.е. в России это не самостоятельные ИТ компании, а отпочковавшиеся в отдельное юридическое лицо ИТ отделы каких-то крупных структур, которые и обслуживают эти структуры, но не работают на открытом рынке. Такие компании нельзя назвать профессиональными аутсорерами.

Почему живет аутсорсинг в Америке – потому, что для компаний он дешевле. В России никто не аутсорсит потому, что нормального предложения нет, аутсорсинг в России получается дороже, чем содержание внутреннего ИТ. Внутренний ИТ выходит дешевле, чем аутсорс. В этом и странность, мягко говоря, ценообразования в России, когда ИТ- аутсорсинг стоит столько же денег, сколько тратится на внутренний отдел ИТ, плюс ещё «Мерседес» для аутсорсера. Пока в России нет нормального менеджмента в ИТ-компаниях, которые бы профессионально раскрутили услуги аутсорсинга.

При этом на вопрос, «а нужен ли аутсорсинг в медицинском ИТ вообще», я отвечу однозначно утвердительно. Да! Аутсорсинг – это то, что мы хотим, и чего хотят многие. Дело в том, что в медицине, как и в любой другой отрасли, есть «core» бизнес-процессы – они внедрены в медицинские системы, CRM системы и финансовые системы – то, что является ключевой компетенцией медицинской компании. Знание этих процессов и систем – ключевая компетенция, которая не может быть отдана на аутсорсинг.

Но есть и неосновные процессы, которые уже везде стали одинаковыми, и от управления которыми бизнес не сильно зависит. Это поддержка компьютеров, поддержка серверов, управление каналами связи, организация ЦОД – Центра Обработки Данных, итд. Их совершенно спокойно можно отдать на аутсорсинг за разумные деньги. Было бы кому.

Обычные компьютеры, не медицинские, везде работают одинаково, каналы связи собираются одинаково, поэтому в выборе здесь нет какого-то явного преимущества, и это всё спокойно можно отдать на аутсорс. Если бы была компания, которая дала бы предложение по аутсорсингу дешевле, чем внутренняя IT служба, при том же качестве, при этом, естественно, обладая каким-то кредитом доверия и возможностью обеспечить хороший уровень защиты информации – многие медицинские учреждения серьезно бы рассмотрели это предложение, но пока таких предложений не видно.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=mpli&post_id=188 http://old.cio-world.ru/blog/index.php?page=post&blog=mpli&post_id=188 Sun, 31 Oct 2010 12:30:58 +0400
Начнем с основ. Во-первых, клиника – это место для людей, которым нужна различная помощь. Если вам нечего предложить людям – можете увольняться и закрывать клинику. Либо у вас неквалифицированные врачи, либо неопытные некреативные менеджеры. Людям надо предлагать то, что им нужно, что сделает лучше их жизнь, что решит их проблемы.

Предположим, у человека плохое состояние зубов: ему убрали один кариес, обнаружили начало второго. При этом желательно напомнить пациенту о профилактических посещениях, потому что, если их не будет, то через год у пациента разовьется второй кариес и, возможно, зуб придется удалять.

Или, например, у пациента было какое-то заболевание, которое вылечили. Но по базе понятно, что у него есть, например, трое детей. И один из этих детей в этом году пойдёт в школу или поедет отдыхать в лагерь, в этих случаях нужно как-то подготовиться, например, сделать прививки, собрать в дорогу необходимые лекарства. Об этом ему тоже можно напомнить и предложить свои услуги.

Какие-то услуги, например – флюорографию, человек может получить в рамках страховых программ, какие-то – например, высокотехнологическое комплексное обследование или прививка современной дорогой вакциной высокой очистки, от которой нет вредных последствий – за деньги. Он может помнить об этом, может забыть, или считать эти услуги слишком дорогими и не покупать их, хотя цены на них упали. И хорошо бы эти услуги предложить, будет человек это делать или нет – это его выбор.

Сейчас существует неоднозначное мнение, что предложения медицинских услуг по телефону раздражает клиента или потенциального клиента. Да, есть такая тенденция. Сейчас CRM системы поставили себе многие, и в связи с воровством информации – базы мобильников на перекрестках Москвы стали уже притчей во языцех – пациенту могут позвонить за день разные компании много раз (я имею в виду не медицинские), и предлагать пылесосы, путевки, членство в сектах и услуги путан. Конечно, это людям надоедает. Но здесь есть два момента.

Первый – это по-разному надоедает людям разных категорий. Домохозяйки, пенсионеры, люди, ведущие более размеренный образ жизни, рабочие и служащие с небольшой зарплатой слушают звонки достаточно хорошо, и, если им предлагать то, что им нужно, они с большей лояльностью отнесутся к вашим звонкам, чем к прочим.

Второй – CRM тоже развивается, и современные CRM системы интегрируются и с другими каналами информации – электронной почтой, личном кабинете на сайте, сервером факсов, SMS – сообщениями. Если CRM внедрена правильно – каждый пациент найдет для себя удобный канал связи.

Дизайн веб-сайта для медицины и связь его с CRM – тоже отдельная интересная тема. На Западе в клинику до 44% пациентов попадает через веб-сайт, и более 50% из этого числа продолжает пользоваться услугами клиники, если в ней активно работает личный кабинет, а информация в личный кабинет попадает из CRM системы. В Москве пока данный процент – около 20%, но, в общем, это почти 1/5 всей выручки, что тоже очень немало.

Тут тоже очень много тонких моментов, которые нарабатываются шишками и опытом. Например, нельзя давать возможность первой записи на прием в CRM через веб-сайт – до 40% пациентов в России считают это необязательным, и не приходят на прием.

Можно возразить: если предложить то, что нужно – люди отнесутся к предложению позитивно. А как же определить, что кому нужно? - Но ведь это и есть самая главная работа в CRM. Данная работа состоит из трех основных направлений и должна вестись сотрудниками с квалификацией аналитиков ФСБ или ГРУ (шучу). Реально это самое важное во всем CRM, без постановки этой работы его можно не внедрять.

Первое направление – сбор первичной информации. Надо таким образом продумать анкеты, списки вопросов, формы карточки пациента, которые задает кол-центр, регистратура и врачи первичного приема – терапевты, чтобы, с одной стороны, собрать максимально подробную информацию, с другой – не вызвать у пациента недовольство временем на сбор этой информации, сложностью заполнения анкеты итд.

Второе направление – это, так называемый «разогрев» клиентской базы. Когда база клиентов есть, но по ней непонятно, кому, что и почем предлагать, такую базу называют «холодной». Стандартная ситуация почти во всех клиниках. Если база рабочая, и по ней можно сочинять «акции» - базу называют «горячей». Разогрев базы – это составление в CRM акций на валидацию и заполнение информационных дыр в клиентской информации, обзвон с дополнительными вопросами, включение вопросов в личный кабинет на сайте итд. После процедуры «разгона» или «разогрева» клиентской базы она становится «теплой», и с ней можно работать. Проще говоря, необходима постоянная вежливая кропотливая работа, чтобы поддерживать базу в актуальном состоянии, узнавать, не поменялись ли телефоны, жив ли пациент, что у него случилось, женат он или развелся, работает или нет итд.

Третье направление – анализ валидной «горячей» базы и целенаправленное предложение различным группам пациентов необходимых им сервисов. Тем, у кого есть дети – детские лекарства для профилактики, мужчинам за 40 – программы профилактики импотенции, нерожавшим женщинам после 30 – услуги гинекологов и ЭКО, итд.
В следующем посте мы поговорим о конкретных практических решениях.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=mpli&post_id=185 http://old.cio-world.ru/blog/index.php?page=post&blog=mpli&post_id=185 Tue, 26 Oct 2010 22:05:42 +0400 Перевод на аутсорсинг непрофильных направлений деятельности обычно связывают с достижением большей прозрачности основного бизнеса и с повышением его эффективности. Аутсорсинг дает возможность реально оценить непрофильные затраты.

Тема ИТ-аутсорсинга в СМИ дискутируется довольно часто, а вот информационная безопасность (ИБ) как услуга – явление относительно новое. Особенно это проявляется в том случае, когда на аутсорсинг передается значительная часть процессов обеспечения информационной безопасности компании. Такая схема, например, реализована в группе компаний «Лукойл» и группе компаний «Открытие». Однако в каждом случае имеются свои особенности реализации этих схем. В 1-м случае аутсорсинг ИБ и ИТ обеспечивается одной компанией - аутсорсером. Во 2-м – эти функции обеспечиваются разными компаниями. Перевести на аутсорсинг ИБ оказалось значительно проще, чем ИТ.

Различные подходы возможны и при организации процедуры заказа аутсорсеру услуг. Для этого, обычно, у компании – заказчика имеется ответственный специалист, который и является основным заказчиком услуг. Однако бывают схемы, при которых такой специалист - заказчик отсутствует, и реальным заказчиком является руководитель компании. В этом случае аутсорсеру нужно уметь объяснять на языке «бизнеса» необходимость той или иной услуги и он должен понимать практическую ценность и значимость услуг ИБ для компании - заказчика. Некоторые опции ИБ можно легко объяснить бизнес - руководителю. К ним относятся, в частности, услуги, связанные с:

• обеспечением выполнения законодательства и требований регуляторов в области ИБ,
  
• представлением интересов заказчика при решении вопросов с 3-ми лицами,
  
• обеспечением непрерывности бизнеса,
  
• обеспечением защиты от вредоносных программ,
  
• обеспечением защиты от инсайдеров,
  
• обеспечением предусмотренной договорами защиты клиентских операций,
  
• обеспечением выполнения обязательных стандартов ИБ и т.д.
  

Объяснять необходимость заказа некоторых другие опций – сложная и интересная задача. От аутсорсера, в этом, случае требуется большой опыт и знания, умение оценивать информационные риски и говорить с руководителями на их языке.

Основные регуляторы рассматриваемой области - ФСТЭК и ФСБ допускают привлечение внешних компаний для реализации опций ИБ. Сходная позиция и у отраслевых регуляторов, в частности Банка России. Этот вывод отражен в ряде регламентирующих документах этих регуляторов.

В связи с возрастанием ИТ рисков, усилением регулятивных функций государственных органов обеспечение ИБ предприятия становится делом все более квалифицированных профессионалов. В такой ситуации резко возрастает потребность в аутсорсинге ИБ, так как специалистов для практически всех предприятий, являющихся в той или иной степени операторами персональных данных, не хватит. Небольшая организация не может позволить себе содержать в штате высококвалифицированных специалистов.

Очень сложный вопрос - уровень доверия к ИБ аутсорсеру. На наш взгляд такое доверие может быть обеспечено работой специалистов по экономической безопасности, а также степенью доверия и репутацией, которой сам аутсорсер пользуется на рынке.
1
Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=mlev&post_id=187 http://old.cio-world.ru/blog/index.php?page=post&blog=mlev&post_id=187 Tue, 26 Oct 2010 22:02:10 +0400 Что же представляет собой CRM в медицине, как он выглядит, кто им пользуется, какой он бывает?

У CRM, как и у любой другой программы, есть рабочие места сотрудников, которые в ней работают. Давайте подумаем о том, кто и зачем может обратиться в клинику? Есть пациенты, которые к нам уже обращались, и есть те, кто пришли в первый раз, есть клиенты, которые ещё не стали пациентами – пришли посмотреть. Есть врачи, которые хотят устроиться к нам на работу, есть страховые компании, которые хотят заключить с нами договор. Куда все они могут обратиться? Давайте сведём это к базовым случаям: они могут обратиться в регистратуру в клинику, в приемную или в отдел продаж в офис, дозвониться в call-центр, или попасть в отдел кадров. Во всех этих местах должны стоять рабочие места CRM. Даже в отделе кадров, ведь даже те, кто не попал к нам на работу – это потенциальные пациенты.

Сотрудники данных подразделений выполняют разные функции, у них разные роли в медицине – и, соответственно, разный функционал рабочих мест. Но базовым функционалом на всех рабочих местах являются две вещи: карточки клиентов/пациентов и расписание приема кабинетов. В карточку сотрудник либо вносит нового пациента, либо смотрит на историю взаимоотношений с существующим. Расписание же нужно для того, чтобы назначить человека на прием в свободное время в нужный кабинет к нужному врачу или менеджеру.

Как мы уже говорили выше, человек может придти в клинику или позвонить. Самым грамотным решением является консолидация всех телефонных входящих и исходящих коммуникаций в кол-центре. Рабочее место оператора кол-центра – самое ответственное и самое сложное в системе CRM.

Сделать правильный кол-центр – очень тяжело, при этом приходится совмещать совершенно противоречивые требования. С одной стороны – максимальный функционал. В кол-центр звонят по любому вопросу – узнать об услугах, забыли, когда записались, узнать о стоимости итд. И до всей этой информации необходимо добраться максимально быстро – люди по телефону не любят ждать, кроме того, часто они ожидают немедленной помощи, а не информации. С другой стороны, операторы кол-центра – это не врачи, это не высокооплачиваемая категория, часто они плохо умеют работать с компьютером, в кол-центре обычно большая текучка кадров. То есть огромное количество функций и информации надо организовать так, чтобы ими эффективно и просто умел пользоваться необразованный низкооплачиваемый сотрудник, и при этом вся система в целом обслуживала пациентов с высоким качеством. Не всем внедренцам это удается.

Что касается того, какие бывают программы CRM, я бы сказал так: бывают плохие и хорошие, бывают дорогие и не очень (дешевых, к сожалению, нет), бывают хорошо внедренные и плохо. Что касается производителей, широкую известность в России имеют медицинские CRM решения двух вендоров – Microsoft и Oracle. О других я пока знаю меньше. Сами по себе программы отличные, и при правильном внедрении решают многие проблемы клиники, однако на рынке очень мало людей, которые в медицине способны правильно внедрить CRM. В коммерции, производстве, ритейле – уже много, в медицине – еще мало.

Можно задать резонный вопрос – вот, как выше говорилось, сотрудники в кол-центре - низкооплачиваемые и часто увольняются. А что, они все видят, чем болеет клиент? - Конечно нет! Они должны видеть только коды и наименования услуг, которые вы получали, и историю финансовых взаимоотношений. Никакой клинической информации они видеть не должны. Это должны видеть только врачи, причем только те, кому непосредственно доверено вас лечить. Кстати, это одна из причин, почему нельзя в компании обходиться одной только медицинской системой. В медицинской системе должно работать только медицинское производство, а весь сервис должен общаться с клиентом с помощью CRM программы, где нет никакой клинической информации.

Должны ли пациенту, как некоторые делают, при дозвоне в кол-центр, сразу начнут предлагать какие-то услуги? - Тоже нет. Нельзя ни в коем случае. Человек звонит в медицинский кол-центр со своей болью, своими потребностями, предлагать ему в этот момент купить что-то – бесполезно с точки зрения коммерческой и вызывает очень много вопросов с точки зрения моральной. Для того, чтобы предлагать новые услуги, кол-центр делится на две части. На самом деле – на больше, но некоторые секреты я раскрывать не буду. Эти две части – прием звонков и телемаркетинг. Основной функционал группы приема входящих – это запись в расписание и выдача информации. Самый сложный момент здесь – организация деревьев сценариев разговора, оператор по ключевым ответам должен выбрать верный сценарий и читать его с экрана, не задумываясь. Это – еще одна важнейшая функция CRM.

В группе телемаркетинга – другая ключевая функция. Она называется «акции». По определенным алгоритмам делается выборка пациентов, которым делается звонок с вопросом, напоминанием или предложением. Эта выборка и называется «акцией». Пример – напомнить пациентам о том, в какое время они записаны и узнать, смогут ли они быть. Или предложить новую услугу. Или спросить о том, как их обслужили. Выборку делает менеджер, превращая акцию в набор сценариев, по которым операторы, также не задумываясь, ведут обзвон по базе.

Прием и обзвон – два разных процесса в кол-центре, они требуют разных рабочих мест, разных навыков сотрудников, разного найма и обучения.

Подробнее...]]> http://old.cio-world.ru/blog/index.php?page=post&blog=mpli&post_id=184 http://old.cio-world.ru/blog/index.php?page=post&blog=mpli&post_id=184 Mon, 25 Oct 2010 11:29:37 +0400