Sourcingdagarna, 8-9 Februari Teknisk Due Diligence En dubbelriktad process Mikael Simovits Simovits Consulting AB Institutet för Informationsteknologi Tel: 08-660 32 30 www.ifi.se info@ifi.se
Sourcing många saker Co-location: Datorhall med tillhörande infrastruktur (avbrottsfri kraft, kyla, externa kopplingar, övervakning mm.) Serverdrift: Datorhall samt hantering av operativsystem. (Samma som ovan, samt utökad övervakning, backup, patchning, felsökning mm.) Applikationsdrift: Allt. (Samma som ovan samt, drift och underhåll av applikationer, patchning och felsökning mm.) Klientdrift: Endast klienter och klientapplikationer hanteras.
Olika sätt att handla upp. Kravspecifikation (RFP/RFI) SLA Oftast en kombination av flera sätt att presentera kravställningarna. Teknisk Due Dilligence är en naturlig del i alla kravställningar.
Teknisk Due Diligence Normalt gör leverantören en Teknisk Due Diligence av varje ny kund. Sällan det genomförs av kunden gentemot leverantören. Leverantören svarar ja på krav för att få affären. Leverantören svarar ja på det krav de tror kunden har ställt. (Krav kan tolkas på olika sätt) Leverantören svarar ja på krav, som en del i ett medvetet risktagande.
En kunds mardröm?
Varför ska Beställaren göra Due Diligence av Leverantören? Har kraven tolkats på rätt sätt. Har leverantören möjlighet att leverera det som önskas. Befintlig infrastruktur Befintlig teknisk kompetens Vilken kvalitet kan man förvänta sig. En affär är kostsam att genomföra och långvarig. Måste finnas en tydlig fördel (ekonomisk eller teknisk) för att genomföra en outrsourcing.
Genomförande av TDD 1. Ta fram nyckelfaktorer för en lyckad outsourcing. 2. Ta fram en hypotes avseende hur den outsourcade miljön ska se ut. 3. Ta fram kontrollmål för TDD. 4. Ta fram hur kontrollmålen ska mätas. 5. Bestäm vilka avvikelser för varje kontrollmål som kan accepteras. Genomförs med olika ambitionsnivåer Fas 1: Long list Fas 2: Short list
1.) Nyckelfaktorer för en lyckad outsourcing Outsourcing sker av olika orsaker t.ex: Redundans RPO och RTO ska förbättras/bibehållas Utökning av drift till 24/7 Varje verksamhet har olika beroenden till sin IT t.ex: Hur miljön har fungerat historiskt Teknikstrategier Specifika verksamhetskrav
1.) Nyckelfaktorer för en lyckad outsourcing. Exempel på nyckelfaktorer: Lagkrav, avtalsvillkor 24/7 drift Två datorhallar Hög kompetens inom t.ex. IT-säkerhet, databaser, Windows etc. Övervakning av affärskritiska faktorer Koppling mot Internet Skalbarhet Osv.
2.) Ta fram drifthypotes Helt egen miljö eller delad miljö Vid delning: Vilken grad av delning (Backup, Övervakning, Katalogstruktur, Fysisk plattform, Katalogtjänster, säkerhetskomponenter.) Genomförander transission, transformation. Virtualiserade eller fysiska servrar Teknologival (SAN, Backup ) Kvalitet datorhall (kylning, drift reservkraft, elförsörjning) Utbyte av hårdvara, t.ex. vart 3:e år Organisation (Förväntningar 1st line, 2nd line mm.) Kompetensprofil på personal Certifieringar
3.) Ta fram kontrollmål Nyckelpersonsberoende för drift av system Ägandeförhållanden avseende hårdvara Kvalitet på systemdokumentation Ålder på hårdvara och inköpta system Beroenden till konsultföretag, samt dessa företags stabilitet, It-organisation och rapporteringsstruktur Finns det framtidsplaner/ roadmaps? Teknisk support ansvar och bemanning Säkerhet Arkitektur på lösningar avseende funktionalitet, skalbarhet och integration. Plattformsval Systemadministration
3.) Ta fram Kontrollmål Exempel: Har leverantören den infrastruktur vi behöver. Kan vi fördubbla vår verksamhet hos leverantören utan att denna måste göra förnyade investeringar. Har leverantören nödvändig kompetens och bemanning. Kommer vi att få tillräcklig kvalitet på leveransen?
4.) Mäta uppfyllnad av kontrollmål Exempel: Har leverantören nödvändig infrastruktur? Checklista kontrollera utifrån drifthypotes Kan leverantören hantera en expansion? Checklista kontrollera utifrån nuvarande leveranskapacitet hos leverantören. Har leverantören nödvändig kompetens? CV på personal. Personliga certifieringar. Organisationsbeskrivning för drift. Kommer vi att få tillräcklig kvalitet på leveransen? RS402 Typ B, SAS70 Type II, ISAE3402 Typ B)
5.) Vilka avvikelser kan accepteras Exempel: Har leverantören nödvändig infrastruktur? OK med ett driftställe, minst 2 datorhallar, 2 oberoende linor mot Internet. SAN måste fungera synkront. Kan leverantören hantera en expansion? OK om datorhallen är till 90% fylld men att nya servrar kan flyttas in i ny datorhall. Har leverantören nödvändig kompetens? Ok om leverantören utbildar sin personal kring Oracle, men måste vara Microsoft certifierade för serverdrift. Kommer vi att få tillräcklig kvalitet på leveransen? RS402 ska endast ha mindre avvikelser och leverantören måste visa på åtgärder för underkända kontroller.
Fas 1: TDD vid Longlist Övergripande frågor. Delge drifthypotes 10-20 frågor kring teknik som berör kontrollmålen. Ex: Kan en RS402 Typ B presenteras vid en förfrågan. Ex: Finns två datorhallar. Ägs båda dessa av företaget. Ex: Klarar leverantören att kunden bilagd drifthypotes.
Fas 2: TDD vid Shortlist Detaljerade frågor: Besök hos leverantören. Genomför alla mätningar! - Titta inte bara på en datorhall, titta på alla. Inte bara checklistor. Be att få träffa tekniker från de olika delarna av driftsorganisationen och diskutera drifthypotesen.
Slutord TDD förhindrar att man köper grisen i säcken. Särskilt viktig då man delar miljö med andra kunder till leverantören.
Kontakt Mikael Simovits Simovits Consulting AB www.simovits.com mikael@simovits.com 070-7415162 Institutet för Informationsteknologi Tel: 08-660 32 30 www.ifi.se info@ifi.se