دیوار بزرگ چین در فناوری اطلاعات سازمان

هرگاه مستقیماً درگیر یک سازمان اسم و رسم‌دار می‌شوم چیزهای آزار دهنده‌ای را می‌‌بینم که بعنوان یک نویسنده، فعال فناوری اطلاعات و مدرس ITIL قادر به چشم‌پوشی از آنها نیستم. هرچند همواره سعی‌ام بر این است بجای نقد، ارزیابی درستی داشته باشم تا اینکه با نگاهی از بیرون (Outlook) مجموعه‌ای از مشاهدات، تجربیات و پیشنهادات فنی را در نقلی داستان‌وار مطرح کنم تا شاید تلنگری باشد ابتدا به خودم، بعد به آن سازمان و در غایت به سازمان‌های مشابه، جهت یادگیری بیشتر و هماهنگ شدن با فرهنگ فناوری و مفهوم تحول دیجیتال و برای رسیدن به بهبود مستمر.

دیتاسنترها و زیرساخت فناوری

یک قاعده‌ی کلی در اکثر مراکز داده‌ی کشور، به شدت مشترک است: تکیه بر زیرساخت سخت‌افزاری با تنوع تجهیزات، هزینه‌های سنگین، تنوع برند، تنوع روش‌های نگهداری است. بجای تمرکز بر فرهنگ‌سازی، بهره‌گیری از روش‌های مهندسی خرید، استفاده از چارچوب‌های مدیریتی. این یعنی دیتاسنترها یا مراکز داده‌ای کشور، هر کدام‌ یک مخزن از هزینه‌های میلیاردی و تجهیزات گران‌قیمت‌اند اما بدون یک استراتژی نرم که تنها یادآور کننده‌ی روایت زیر است:

دیوار بزرگ چین، بزرگترین دیوار جهان است. دژی به طول ۲۱۰۰۰ کیلومتر همراه با ۲۵۰۰۰ برج نگهبانی با قدمت ۲۳۰۰ سال پیش. با بیشترین هزینه، بالاترین تعداد منابع انسانی بکار گرفته شده، بهترین مصالح و در مدت طولانی برای جلوگیری از حمله مغول‌ها. اما علیرغم همه‌ی اینها، مغول‌ها بارها به چین حمله کرده‌اند. هیچ‌کدام از پادشاهان با ساخت دیوار به هدف خود نرسیدند. چون دیوار در جاهای زیادی شکست و مغولها فرصت یورش به چین را پیدا کردند. از دیوار گذشتند بی‌آنکه از آن بالا بروند یا آنرا تخریب کنند. آنها با پرداخت رشوه به نگهبانان برج‌های نگهبانی این دیوارها، خیلی ساده به گنج‌های آنسوی دیوار، دست پیدا ‌کردند. این حکایت دقیقاً مصداق زیرساخت‌های مراکز داده و یا کلیه‌ی خریدهای اکثر سازمانهای کشور است که صرفاً متکی بر ابزار است.  با این تصور که چنین زیرساختی سازمان را به اهداف مورد نظر خواهد رساند. اما ناگفته پیداست که جدای از رانت‌هایی که این وسط برای خرید و تجهیز مراکز داده وجود دارد از هیچ روش مدیریتی برای نگهداشت و بهبود آن استفاده نمی‌شود و تماماً خریدها مقطعی و بدون برنامه‌ریزی  بلندمدت برای تامین نیازهای سازمان است و بخوبی روشن نیست اهمیت وجود آنها و ارزشی که قرار است تولید کنند چه هست!؟ بنابراین حلقه‌ی مفقود شده، همیشه فرهنگ‌‌سازی، تدوین سیاست‌ها، روش‌های استاندارد مدیریتی کارآمدست که سبب خلق نتیجه‌ی مطلوب می‌شود.

• اگر یک َرک بالا‌ بلند! با دهها سرور و سوییچ خریداری و پیاده‌سازی کرده‌اید اما ابزاری برای مدیریت امنیت آن، مدیریت دسترسی، گزارش‌گیری، کنترل و نظارت مستمر و دائم برای آن در نظر نگرفته‌اید یا موقت در نظر گرفته‌اید. همان داستان دیوار چین را تداعی کرده‌اید.
• اگر برای رشد سازمان یک ابزار گران‌قیمت ITIL‌ را خریده‌اید اما همچنان Business As Usual کار می‌کنید. داستان دیوار چین را تکرار کرده‌اید.
• تجهیزات، ابزارها و اتوماسیون‌ها همگی خوب هستند و گره‌گشای بسیاری از مشکلات. اما اگر قبل از اینکار و پشت بندش، تحول دیجیتال در نظم فکری مدیران و کارکنان نباشد و به همان شیوه‌ی مرسوم ادامه دهند و روش مدیریتی و حمایت انسانی را نداشته باشد باز دیوار چین را ساخته‌اید.
• دقت کنید ساخت دیوار چین یک خروجی است اما شکسته شدن یا نشدن آن نتیجه است! و نتیجه مهمتر از خروجی است.
• اگر هر سال بدنبال جذب یک پیمانکار با کمترین قیمت هستید اما کاری برای کاهش ترافیک خرابی‌ها و تلاشی برای بهبود نشده، فقط آجر رو آجر گذاشته‌اید! آنهم با کارگران ارزان و دستمزد کم.

پس مهم داشتن تجهیزات صرف نیست مهم ابزارهای گرانقیمت نیست مهم یکپارچگی است مهم یکدست شدن و مهم فرهنگ‌های مدیریت و روش‌های نظارتی است. بنابراین به تعداد سرویس‌ها و تجهیزاتی که خریداری شده باید به همان اندازه نیروهای انسانی بهتری را با روش‌های مدیریتی برای نگهداشت آنها تربیت کرد.

نباید هر سال هزینه‌ی نگهداری خدمات افزایش یابد! بلکه برعکس باید کمتر شود حتی اگر حداقل دستمزدها افزایش کرده باشد این یعنی شما با بهره‌گیری از بهترین تمرینات و بهبود مستمر، هزینه‌های انجام خدمت را باید توانسته باشید کاهش دهید. بدون داشتن برنامه‌ی خلق ارزش، خرید و تجهیز مراکز داده، فقط آجر روی آجر گذاشتن است برای بالا رفتن یک دیوار بلند دور خودمان!

هر سرویسی دارای چرخه‌ی حیات است حیاتش باید تضمین شود(ITIL3) اما هر سرویس دارای زنجیره‌ی ارزش خدمت است یعنی باید ارزشی را تولید کند تا بقای کسب و کار رقم بزند!(ITIL4)

نگهداری از یک سرویس یعنی گارانتی حیات و سلامت آن. جدای از اینکه سازمان‌ها بدنبال چه ارزشی هستند بیشتر تمرکزشان روی حیات سرویس متمرکز است یعنی همینکه زنده بماند و خاموش نشود کفایت می‌کند! برای این مهم حضور برخی کارشناسان خودی و یا پیمانکار را الزامی می‌دانند تا شبیه پرستارانی روی بالین بیمار حضور داشته باشند تا اگر تب و لرزی اتفاق افتاد دستمال نمناک مرطوبی را روی سرش بگذارند!

پیشتر هم گفتم ارایه‌ی خدمات فناوری اطلاعات دیگر چندان نیازی به حضور فیزیکی افراد سازمان یا پیمانکاران ندارد. امروزه با مباحث اینترنت اشیا و ابزارهای مانیتورینگ مجهز به گردشکارهای متنوع و خودکارسازی روالها، به راحتی می‌توان وضعیت یک سرویس را در یک شرایط بحرانی، به حالت نرمال رساند. و این فرایند بطور خودکار با ارایه راهکارهای بسیاری شدنی است و البته به شدت توصیه می‌شود.

بالاخره در دنیای کسب و کار همه به این نتیجه خواهیم رسید تا تعریف درستی از واژه‌ی “حضور” ارایه کنیم و “حضور در کار “را با “حضور در محل کار” از هم تمیز دهیم. خیلی‌ها در محل کار هستند و دست به‌هیچ کاری نمی‌زنند و برخی بی‌آنکه در محل باشند حضور چشمگیرتری دارند. ورود و خروج پرسنل فقط یک خروجی بی‌فایده است. شکی نیست از این خروجی، نتیجه‌ای حاصل نمی‌شود جز تلف‌کردن زمان برای اندازه‌گیری زمانِ تلف‌شده! کرونا فرصتی برای محک زدن این تمرین است! اما هنوز بسیارند سازمان‌هایی که فیزیک حضور یک فرد را تمام قدرت، کنترل، در دسترس‌پذیری می‌بینند. سرویس، یک موجود زنده است دارای چرخه‌ی حیات و برای خلق ارزش است با چندین ذی‌نفع. نگهداشت سرویس از هر طریقی ممکن است. نگاه سنتی به حضور دائم، نگاه زنگ‌زده و بیهوده‌ای است. خب با ریسک‌های خرابی‌ها چه کنیم؟

در برخی سازمان‌ها مدیران مربوطه به شدت نگران حضور افراد هستند تا در سر خدمات پشتیبانی همیشه کپسول بدست آماده باشند تا اگر جایی آتش گرفت آنرا خاموش کنند! این تمام تصور مدیران سازمان‌ها از کارکنان و پیمانکاران فناوری اطلاعات است. اما چه کنیم که این نگاه سنتی و غلط را از بین ببریم؟ به نحوی که سرویس خوبی را پشتیبانی کنیم و در غایت در  بی‌حضوری، حضور داشته باشیم!؟

• هر سرویسی باید خوب ارزیابی شود و تمام خطرات و مشکلات جاری و یا بالقوه شناسایی گردد.
• راهکارهای بهبود خطرات و یا مشکلات فعلی بر اساس داده‌های گذشته و فعلی ارایه و انجام گردد.
• سامانه‌های نظارتی دقیق باید پیاده سازی شود.
• در هر سامانه انواع آستانه‌های تحمل خرابی تعریف شود. مثلاً اگر میزان پردازش یک سرور به آستانه ۹۰% رسید یک اعلان ارسال شود تا پیش از وقوع هر گونه خرابی امکان رفع آن بصورت حضوری (بدون هیچ عجله‌ای و یا ریموت میسر گردد.
• تمهیدات خودکار رفع مشکل اندیشیده شود. مثلاً اگر فلان روتر از کار افتاد و لینک ارتباطی قطع شد بطور خودکار روی روتر دیگری تنظیم گردد Spanning tree
• بازدیدهای منسجم و برنامه‌ریزی شده در دستور کار باشد نه فقط در حد دیدار بلکه بر اساس چک‌لیست‌های دقیق، ارزیابی وضعیت آنها کنترل گردد.
• بهبود مستمر همیشه پیشنهاد و پیاده‌سازی شود. هر بهبودی تغییری به همراه دارد تغییرات اگر خوب سنجیده شده باشد و دارای حداقل ریسک باشد پس از تایید کمیته CAB ولو با تحمیل هزینه به کارفرما، لازم الاجراست.
• سیستم‌های اطلاع رسانی قوی و گسترده‌ای داشته باشید. مثلاً ایمیلی، پیامکی و …

با تمام موارد فوق کمتر نیازی به یک اتاق فرمان برای حضور افراد و کارشناسان NOC خواهید داشت اما متاسفانه همچنان سازمان‌ها مصر به حضور بیهوده‌ی افراد در محل هستند.

حتی یکی گفت:”با همه‌ی مواردی که گفتید باز من میخوام حضور داشته باشید. ممکنه برق قطع بشه و کل سرویس‌ها بره رو هوا اون موقع نه مانیتورینگ کار می‌کنه نه سیستم اطلاع‌رسانی. حضور دیرهنگام کارشناسان افاقه نمی‌کنه! افراد باید همیشه باشند”

گفتم:”دیتاسنتری که فاقد چاه ارت باشد، فاقد UPS و یا ژانراتور برق اضطراری باشد فرقی نمی‌کنه کارشناس NOC حضور داشته باشه یا نه!”

مدیران خسته و فرسوده‌ای که هنوز در بسیاری سازمان‌ها جا خوش کرده‌اند دست بردار ایده‌های قدیمی نیستند با اینکه در فناوری اطلاعات هستند اما همان سیستم دستوری، قدیمی را در دستور کار دارند. با این کار به خیال اینکه هزینه‌ی ارایه‌ی خدمات را کاهش می‌دهند بیشتر از آن طرف شیپور هزینه‌ها می‌دمند! دلیل آن نیز مشخص است نگاه آنها Incident Management خالی است! یعنی مدیریت خرابی.

رفع خرابی یا سالم‌تر بودن!؟

اکثر خدمات پشتیبانی مورد نظر سازمانها این است که چیزی خراب نشود وگرنه فلان و بسان جریمه در انتظار پیمانکار است! اگر هم خرابی رخ بدهد در سریعترین زمان باید به حالت اول بازگردد. اما آیا این تمام هدف سازمان است!؟ اینکه منتظر خرابی باشیم و آنرا رفع کنیم خوب است یا اینکه نگذاریم چیزی بدی اتفاق بیفتد؟ اینکه در نهایت مقصری را بیابیم و او را بازخواست کنیم و از صورت وضعیت‌هایش درصدی کم کنیم توانسته‌ایم ارزشی برای سازمان خلق کنیم؟ یا اینکه بجای معطوف کردن ذهن به خرابی‌ها، یک سرویس جدیدتر ارایه کرده‌ایم!؟

مهم رفع خرابی نیست مهم سالم‌تر شدن است این یعنی بجای اینکه تمرکزمان بر این باشد که اتفاقی بیفتد و شبیه آتش‌نشان منتظر آتش سوزی باشیم و آنرا فورا خاموش کنیم هنری نکردیم! هدف باید سالم ماندن و سالم‌تر شدن باشد. کسی که سلامتی خود را نادیده می‌گیرد، بیمار می‌شود بعد از آن تمام فکرش درمان خواهد شد. در این حالت هم هزینه‌ی بیشتری می‌کند هم درد بیشتری می‌کشد و مدت درمانش طولانی خواهد شد. اما کسی که دائم به سلامتی خود اهمیت می‌دهد، هر روز ورزش می‌کند، غذای خوب می‌خورد، مرتب چکاپ می‌دهد، پرهیز بجا می‌کند، تردیدی نیست بیمار هم نخواهد شد حتی اگر با احتمال کمی هم، بیمار شود با تمام توان و بنیه‌ای که دارد از پس آن برخواهد آمد.

در فناوری اطلاعات هم داستان سرویس‌ها به همین شکل است. خدماتی که کجدار و مریز توسط سازمان تا به اینجا رسیده‌اند و آنقدر به سلامتی‌اشان اهمیت داده نشده، پیش از وقوع خرابی چکاپ نشده‌اند، مسائل امنیتی مخرب را رعایت نکرده‌اند از هزار ابزار و روش متعدد و پراکنده استفاده شده و مملو از تجهیزات و  برندهای متفرقه است که به این یقین خواهید رسید که این سازمان فاقد برنامه‌ی مدون و پلان جامع ICT Master PLAN‌ است. پس شکی نیست به هر مرضی دچار خواهد شد و وقوع هر نوع خرابی و بیماری در هر لحظه انتظارش را خواهد کشید.

خروجی یا نتیجه؟

در جلسات مکرر آموزشی بارها اذعان کرده‌ام خروجی با نتیجه متفاوت است درک این دو کمک زیادی به حل مسئله می‌کند. باید بدانیم از سرویس‌ها چه چیزی بیرون می‌آید. اینکه یک سرور در طول سال فقط ۳ بار خاموش شده یک خروجی است. اما اینکه با هر بار خاموشی که اتفاقی در پی آن رخ داده یعنی نتیجه! بنابراین مهم است بدانید که ۳ بار خاموشی یک سرور بخاطر ارتقا و افزایش سطح ایمنی بوده اما ۳ بار خاموشی یک سرور دیگر بخاطر هنگی یا قطعی برق بوده! در هر دوی این موارد، خروجی” خاموشی سرور” بود آنهم به مقدار ۳ مرتبه. اما نتیجه در یکی ناشی از وجود یک نقض مهلک است اما در یکی بهبود مستمر. پس سازمانها باید به این مهم توجه کنند که وقتی دیتاسنتر جایی را دست پیمانکاری می‌دهند روی حاصل تعداد خروجی متمرکز نشوند بلکه روی نتیجه توجه داشته باشند زمانی که نتیجه‌گرا باشیم دنبال بهبودیم اما خروجی‌گرا باشیم صرفاً آمار سازی و حل و فصل موقت در کار خواهد بود.

خدمات پشتیبانی از مراکز داده در بسیاری از سازمان‌های بزرگ کشور، شبیه تمامی سرویس‌ها و دیتاسنترهای حساس دنیا دارای چالش‌هایی است که متاسفانه در مناقصات، انتخاب درست پیمانکار مورد توجه قرار نمی‌گیرد:

فحوای تمامی RFP ها درج نگرانی از وقوع حوادث است و با هزار SLA و جریمه و تعهد همراه است. اما بجای این حجم از نگرانی‌، آنها باید نگاهی به مدیریت فناوری اطلاعات بر پایه‌ی چارچوب ITIL داشته باشند و بویژه مدیریت مشکل و مدیریت تغییر. تا بصورت پیشگیرانه از وقوع خرابی جلوگیری گردد. حتی در RFP یکی از سازمان‌های بزرگ کشور چیز جالبی قید شده بود”پیمانکار خود موظف به ارایه و پیاده‌سازی هرگونه سیستم مدیریتی، نظارتی و مانیتورینگ مختص به خود است!” علت را جویا شدم گفتند:” اول اینکه نمی‌خوایم هزینه خرید نرم‌افزار و سامانه‌های مدیریتی بکنیم دوم اینکه اگه یه ابزاری رو بخریم ممکنه با تغییر پیمانکار اون تسلط به این ابزار رو نداشته باشه!”

جالب و قابل تامل! چون اینها از تمام تجهیزات بومی غیراستاندارد استفاده می‌کنند اما از ابزارهای مدیریتی استاندارد جهان استفاده نمی‌کنند! پیمانکاری که قادر به استفاده از ابزارهای رایج و استاندارد بین‌المللی نباشد، صلاحیت لازم را برای راهبری سرویس نخواهد داشت و کارفرمایی که هرگونه تجهیزی را خریداری می‌کند اما در لحظه‌ی تهیه‌ی مهمترین ابزار مدیریتی و نظارتی می‌رسد شانه خالی می‌کند هم صلاحیت لازم را ندارد. تصور کنید یک مرکز داده، بین چندین پیمانکار هر سال دست بدست شده و هرکدام سیستم و فرهنگ خود را طی یک سال قرارداد پیاده‌ کرده‌اند و با رفتنشان میراث ماندگار خود را هم برده‌اند با این وضع چطور می‌توان فهمید بیشترین مشکلات، بیشترین خرابی‌ها و بیشترین تغییرات مربوط به چه تجهیزاتی بوده!؟ اصلاٌ مگر داده‌ای برای ارزیابی باقی مانده!؟

همین می‌شود که هر سال، تکرار و تکرار! و عاقبت هم نتیجه می‌شود یک مرکز داده‌ی وصل و پینه‌ای، با یک پیمانکار موقتی که سیستم مورد علاقه‌ی خود را پیاده‌سازی کرده و صرفاً در پی نقد کردن فاکتور و رفع خرابی در مدت قرارداد بوده. در حالی که در تمام دنیا ابزارها، سیستم‌ها و روش‌های بین‌المللی تحت یک استاندارد در بازار فناوری بخوبی نتیجه داده است و اینکه پیمانکاری نتواند با یک استاندارد کار کند مشکل اوست نه ابزار!‌

مشکلات پیاده‌سازی ابزارهای متفرقه و موقت پیمانکاران متعدد در سازمان سبب:

• عدم پکپارچگی سیستم‌ها و روش‌ها در مدیریت خدمات فناوری اطلاعات می‌شود.
• سطح آسیب‌پذیری در سطح شبکه بجهت استفاده از ابزارهای متعدد افزایش خواهد یافت.
• بجای اینکه پیمانکار خود را با استاندارد کارفرما منطبق کند، کارفرما با سیستمهای پیمانکار منطبق می‌شود!
• داد‌ه‌ها و سوابق اطلاعات با رفتن یک پیمانکار و حذف نرم‌افزار سفارشی خود، از بین خواهد رفت. و یا بصورت پراکنده تقسیم خواهد شد. تردیدی نیست که داشتن سوابق اطلاعات کمک می‌کند داده‌کاوی بهتری داشته باشیم و بر اساس نرخ خرابی‌های گذشته از وقوع دوباره‌ی آنها جلوگیری کنیم.
• هیچ ابزار و هیچ روشی به بلوغ نخواهد رسید زیرا با آمدن پیمانکار جدید و رفتن پیمانکار قبلی هرچه رشته شده بود، پنبه خواهد شد.
• هرگز بهبود مستمر حاصل نمی‌شود زیرا بدون مشاهده‌ی سوابق، هر بار باید وضعیت موجود ارزیابی شود وضعیتی که سابقه‌ی درستی از آنها موجود نیست زمان بهبودش هم طولانی خواهد شد.

متاسفانه سازمان‌هایی از این دست هنوز تفاوت بین خرابی و درخواست خدمت را از هم تمیز نداده‌اند و هنوز هم خرابی را با مشکل یکسان می بینند. فاقد چارچوب به‌روش ITIL هستند. برخوردها و تجربیات شخصی را بهترین جایگزین تمرینات بین‌المللی می‌دانند. هیچ مستند وضعیت موجود آنلاینی در دسترس‌اشان نیست و فاقد سند بلوغ فناوری‌اند. این یعنی یا چشم انداز ندارند یا دارند اما  فقط در هیبت عناوین دهان‌ پُرکن باقی مانده بدون کنترل پروژه و بدون برنامه‌ای برای رسیدن به آن. تا وقتی نگاهمان سنتی است حتی اگر سِمَت مدیریت فناوری اطلاعات داشته باشیم حتی اگر زیر دستمان کلی متخصص و کلی تجهیزات به روز به کار برده‌ باشیم آش همین و آش و کاسه همین کاسه است! فناوری و زیرساختش همان دیوار چین است کارکنان، کارگران سازنده‌ی دیوار و مدیران، حاکمان مستبد و دستور دهنده‌ی ساخت دیوار.

هادی احمدی