Як ми в черговий раз проходили золоту сертифікацію Cisco: особливості, пара байок і підводні камені



В ідеалі модель виглядає так: сертифікація від виробника потрібна нам для підтвердження рівня експертизи, плюс це дозволяє отримати знижку від вендора, щоб бути конкурентоспроможними на тендерах. Виробник сертифікує своїх партнерів — впевненість у якості робіт і професіоналізмі інтегратора насамперед. Сертифікат видається раз на рік.

Ключова умова для проходження аудиту — наявність навчених сертифікованих фахівців і зданих спеціалізацій — архітектур, а також наявність проектів, реалізованих з використанням технологій вендора. У Cisco саме так: щоб отримати золото, потрібно реально рухати ринок: з цього року вимоги досить сильно змінилися і посилилися.

Виходячи з мого досвіду, з нуля підготуватися до аудиту на «золото» — складно. Але, на щастя, ми проходимо цю історію вже з 2002 року, плюс у нас є аудити по ISO, німецької TÜV SÜD та іншим нормативам.

Аудит ми проходили на цей раз з проектами інфраструктури залізничної пасажирської і великої енергетичної компаній, державної корпорації і т. п. Аудитор іноді нервово здригався, коли ми показували документи з інфобезпеки.

Що потрібно, щоб пройти аудит

  • Мати в штаті 20 фахівців з відповідною освітою і особистими сертифікатами.
  • Зробити не менше трьох великих проектів за останні два роки з використанням технологій вендора.
  • Показати компетенції по 4 різних областях: наприклад, по корпоративного зв'язку, мереж та інфраструктури дата-центру, аварійного відновлення і віртуалізації. І окремо менеджмент приблизно на такому рівні, як потрібно по ISO 9001. По факту це означає, що у вас або повинна бути розгорнута власна дата-центрова інфраструктура Cisco, або вам доведеться продавати клієнтам партнерську. У нас розгорнуте плече дата-центру на VCE Vblock (там мережева інфраструктура передачі і зберігання даних — Cisco Nexus), обчислювальні ресурси (Cisco UCS), віртуалізація на VMware vSphere, зберігання на EMC VNX і управління Cisco UCS Director.
Найскладніше – показати сервіси. Ми показували в цьому році віртуальні робочі місця, віртуальні файрволли і віртуальні маршрутизатори, плюс аварійне відновлення ЦОДа як сервіс на базі рішення Zerto (вони авторизовані Cisco). По кожному з сервісів є набір вимог — і до документів, і до опису процесів (як це має бути збудовано), і до техніки. Необхідно наявність сертифікованих спеціалістів саме з даним рішенням, причому не менше 4 чоловік на сервіс.

Потрібна готовність компанії реально надавати ці послуги. По факту це означає дуже детальне оформлення всіх бізнес-процесів. Наприклад, потрібно мати прописані регламенти ескалації тікетів підтримки і регламены розробки маркетингових матеріалів для просування. Процеси будуються на базі ITIL — потрібні специ і відповідність вимогам. Коротше кажучи, готувати папери — та ще веселуха.

Частину своїх процесів довелося підточити під бізнес-вимоги, прийняті на Заході і включені в аудит. Наприклад, є вимоги, що обов'язково повинні бути описані стандартні і нестандартні зміни — і по кожному процес. Зроблено це спочатку для того, щоб адміни не накосячили з їх залізом. Тому що, наприклад, накотити нову прошивку на банківський комутатор — це пригода, і якщо щось піде не так, банк запам'ятає не адміна Петрова, а компанію Cisco.

Отже, в процесі є SLA — там описані стандартні зміни, які обов'язково протягом доби повинні бути проведені з моменту звернення. Стандартне — це те, що часто повторюється: заклад нового користувача, зміна номера телефону, встановлення переадресації. Нестандартні — зміна маршрутизації, схеми проходження трафіку, того, що вимагає тестування нового функціоналу типу правил форвардів (зразок перемикань між інтернет-каналами). У нестандартних регламентах треба попереджати інші підрозділи, перевіряти, чи не завалиш ти мережа замовника, погоджувати, складати папери і підписувати їх, тільки потім робити. Циска хоче знати, що ти подумав і попередив всіх. Ще обов'язково робиться план відкат до попередньої версії і критерії застосування цього плану.

Аудитора цікавить звітність, наприклад, що буде бачити замовник по потужності використання сервісу, скільки фильтровано атак і скільки трафіку відкинуто. Все це треба підготувати і показати.

Підготовка і здача

Починається підготовка з отримання правил проходження аудиту з сайту вендора. Там перераховані всі актуальні вимоги англійською. В той момент, коли планується аудит, фіксується з боку аудитора версія, за якою він буде проводитися (це щоб в момент оновлення не було сюрпризів). Правила проходження аудиту змінюються постійно, але досить плавно.

Потім ми збираємося на настановної зустрічі: розподіляємо, хто за які пункти відповідає. В цьому році було цілих три інженерних команди з різних підрозділів.

Починається все з преквалификейшна: щоб призначити дату аудиту, треба завантажити купу документів на людей і проекти. Вони дивляться, кажуть: «так, ви умовно підходите», призначають дату аудиту.

Потім ми раз у тиждень зустрічаємось і дивимося, хто що зробив. Відповідальні за певні пункти розповідають, що як і які проблеми, які шляхи їх вирішення. До дати аудиту частота зустрічей збільшується, з'являються прогони — це по частині демонстрації рішень. Загалом, бета-тести. Взагалі, буває так, що в якому-небудь пункті опису аудиту додається одне слово, яке радикально змінює зміст. Начебто ти вже 10 раз це робив, а в новому році — ні, не так, вимоги на порядок вище. Спрощуючи, наприклад, до пункту може додатися фраза «в реальному часі» — і все, треба перекроювати інфраструктуру.

Взагалі, в останні два тижні перед аудитом ніхто не спить. Начебто й за 3-4 місяці починали готуватися, і все робили за графіком, і все одно кожен раз так виходить, що спливають нежданчики.

На аудит приїжджає гуру особисто. Все йде англійською. Як показує практика, самі аудитори теж з роками прокачуються і розуміють, де і як серйозніше докопатися. Крім того, вони, поїздивши по іншим компаніям по світу, починають використовувати це як додаткове знання і запитують фічі, які є десь ще.

Наприклад, в цьому році пройшли експлуатацію дата-центру за Tier III (всі три сертифіката Аптайма тепер) — і в аудиті Циска використовували купу документації звідти, особливо, процесів і кадрів. ISO, німці та інші нормативи — теж все дуже допомагає. Там багато чого описано, залишається доточити свої процеси вузькоспеціалізовані. До речі, аудит підстьобує компанію приводити процеси до кращим світовим стандартам. Може, звичайно, закрастися ідея підробити документацію і відобразити на папері те, чого немає в реальності, але це майже так само складно, як реально впровадити процеси.

В цьому році аудитор ще гуляв по офісу, заходив в наш мережевий операційний центр (техпідтримку по-російськи), розмовляв з людьми, переконувався, що на місці все дійсно є. Ми за добу до його приїзду провели генеральне прибирання в кімнаті, зняли плакати, в сатиричній манері описують деякі дірки в прошивках. Саппорт приходив, лякався і думав, що переплутав кабінет.

Аудит планується на 2 дні. В цьому році ми показали основне за перший день, на другий залишили дрібні формальності, фактично, один розділ з звітністю. Цього разу наш аудитор був родом з фінансової сфери, але сам, як виявилось, щось админил по молодості, тому був прошарен і в техніці теж досить добряче. Для них ще головний офіс проводить спеціальні техтренинги, тому до нас аудитори приїжджають більш ніж підготовленими.

Задумали сценарій: приходить велика роздріб до нас, приносить портфель проблем з безпекою, зі стабільністю сервісів, з плинністю сертифікованих кадрів, з недоступністю віддалених офісів, коли не те що по телефону інформацію не донести — на всюдиході не дістатися, загалом, максимально наближений до життя по потребам замовлення. І у фарбах розписуємо, як ми одну проблему за іншою вирішуємо, впроваджуємо бізнес-комунікації, беремо все на аутсорс і техпідтримку. Загалом, радикальним хвороб — радикальне рішення. Причому у нас схоже було, правда, не на їх технологіях. Вендор, а потім і аудитор дивляться, слухають, потім хитають головами: «Та ну, ви що, не буває такого, щоб бізнес жив з ІТ-інфраструктурою з 90-х, це ж дичину якась. Занадто комплексне у вас».
Щастить їм там на Заході, у них не буває. Не стали ми їм розповідати, як вихідні канали у декого в Сибіру нещодавно робили телефонами, примотанными до швабр ізолентою, тому що інакше сигнал до БС не пробивався.

Ще важливо, що за роки роботи аудитори починають розуміти російську мову. За якихось непередбачених одвірках ми говоримо по-російськи, а вони палять. У документах вони вже знають, які розділи як по-російськи називаються. Так, наш аудитор сам постійно записував нові слова. У нього є програмка, де він по кожному пункту з вимог має поставити галочку, прозвучало чи ні. Так, потрібно було вказати на root cause в одному з розділів, показуємо, він киває:
«Йес, йес, ай ноу, корнэвая прычына».

У документах з управління сервісним каталогом він чомусь злякався слова «ліквідація» (де старі сервіси певні критеріям прибираються з каталогу), сказав, що у нього це слово асоціюється тільки з кілерами

Посилання

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.