Blog-ul s-a mutat.
Noua adresă este:
http://mihaipetrov.wordpress.com
sâmbătă, 19 mai 2007
vineri, 18 mai 2007
Axigen în topuri
Unul din lucrurile cu care ne putem mândri în România este ca, din când în când, facem performanţă în diverse domenii. Din ce în ce mai des facem performanţă în domeniul IT. Produse, companii, olimipade etc. Iată că după ce acum 4 ani a vândut tehnologie 100% românească către Microsoft, GeCAD conturează o recidivă a performanţei cu produsul Axigen - singur server email românesc Faptul ca a ajuns la maturitate este dovedit şi de bătălia pe care o dă cu greii din domeniu în cadrul ServerWatch 2007 Product Excellence Awards.
Utilizatorii "fericiţi" ai acestui produs pot să-şi exprime părerea în cadrul sondajului de la http://cp.jupiterweb.com/index.php/3681_default. Serverele de comunicaţii sunt la ultima categorie.
Utilizatorii "fericiţi" ai acestui produs pot să-şi exprime părerea în cadrul sondajului de la http://cp.jupiterweb.com/index.php/3681_default. Serverele de comunicaţii sunt la ultima categorie.
joi, 17 mai 2007
RFID: Identificarea prin unde radio
Se spune ca de la inventia microprocesorului in anii ’70 nu s-a mai intamplat nimic interesant in domeniul IT. Ultimele inventii in domeniu sunt de fapt tehnologii vechi exploatate la maximum si aplicate in domenii noi. Un exemplu este tehnologia RFID, extrem de simpla ca si principiu dar putin folosita la scara globala.
RFID (Radio Frequency Identification) este o tehnologie care permite identificarea automata bazata pe comunicarea (de la distanta, fara fir) intre un receptor si o eticheta RFID. Eticheta poate fi aplicata pe orice obiect – de la cartele de acces pana la baxuri de produse de pe paletii dintr-un Cash&Carry – iar receptorul traduce semnalul reflectat de eticheta intr-un obiect logic, de obicei prin interogarea unei baze de date. Cu alte cuvinte functioneaza ca un cod de bare, insa nu mai este nevoie de scanare ci identificarea se face de la distanta (limitata ce-i drept) prin intermediul undelor radio. Predecesorul acestei tehnologii a fost folosit prima oara in “industria” spionajului in anii ’40. Evident, nu era acelasi lucru cu ce putem vedea astazi, dar este prima referinta la folosirea unor astfel de metode.
RFID se poate implementa in doua variante: activ si pasiv, in functie de tipul etichetei folosite.
Etichetele pasive nu sunt alimentate de o sursa de curent. Etichetele sunt practic un fel de antene radio in miniatura care prin forma lor pot produce prin inductie, folosind undele radio, un curent slab dar suficient pentru a alimenta CMOS-ul inclus in eticheta si a emite un raspuns. Fara sa intram in detalii tehnice, etichetele pasive raspund cu un ID stocat intr-o mini-memorie nevolatila. Avantajul dispozitivelor pasive este ca pot fi foarte mici, pot ajunge sub o jumatate de milimetru patrat si mai subtiri decat o coala de hartie. Adaugind antena ajungem la o eticheta cat un timbru.
Etichetele active includ o sursa de energie (o baterie). Avantajul este ca raza de acoperire, in care o eticheta poate fi identificata, este mult mai mare iar intre identificator si eticheta pot exista medii de transmisie dificile: ziduri, apa (inclusiv oameni si animale, care contin un procent semnificativ de apa), conducte metalice etc. Raza de acoperire poate ajunge la sute de metri, au dimesiunea unei monede de 10 bani si au durata medie de viata de 10 ani (inclusiv bateria). De asemenea etichetele active pot transmite si alte informatii, cum ar fi unii parametrii monitorizati: temperatura, presiune, umiditatea, nivelul de radiatii, tensiunea arteriala (monitorizarea pacientilor) si asa mai departe. Etichetele active pot fi reprogramate si deci realocabile.
Aplicatiile RFID-ului pasiv sunt in primul rand in cadrul supermarketurilor mari si cash-and carry-urilor. Practic toate produsele au o astfel de eticheta iar marcarea la casa se face in mod automat si aproape instantaneu fara a fi nevoie de scoaterea acestora din cos. In felul acesta coada de la casa dispare iar clientul va poposi in dreptul caseritei doar sa plateasca, daca nu sunt deja implementate case automate cu plata prin card. In felul acesta si costurile etichetelor si a mecanismului in sine vor fi recuperate destul de usor, prin eficientizarea procesului de customer checkout. Evident, se poate merge mai departe, la cosurile de cumparaturi inteligente care ne pot sfatui unde este produsul de care avem nevoie, care este valoarea totala a cumparaturilor, produse cu data de expirare apropiata etc. Am participat de curand la o demonstratie tinuta de un mare lant german de magazine unde se prezenta, printre altele, frigiderul inteligent care realizeaza lista de cumparaturi in functie de ce produse sunt deja consumate sau de datele de expirare ale celor existente, transfera lista pe un card de cumparator care este apoi citita de catre caruciorul inteligent si asa mai departe. Evident, cardul era incarcat si cu date despre starea noastra de sanatate si astfel primeam si avertizare cu privire la continutul de colesterol, zahar sau E-uri al produselor din magazin. Putin utopic dar foarte la indemana, si deloc complicat!
Aplicatiile RFID-ului activ includ urmarirea echipamentelor in incinte bine delimitate, urmarirea miscarilor materialelor, monitorizarea pacientilor si asa mai departe.
In Romania, cea mai raspandita tehnica RFID, de fapt un fel de derivat de RFID, este folosita la mai toate magazinele – acele porti care ne verifica daca toate obiectele pe care le avem in sacosa au trecut si pe la casa de marcat.
Un sistem complet RFID este compus din etichete active sau pasive, cititoare de etichete si antene, si un middleware care interpreteaza si proceseaza informatiile traficate. In cazul exemplului cu magazinul inteligent, middleware-ul este softul care identifica produsele in baza de date, actualizeaza stocurile si calculeaza totalul.
Alte aplicatii pentru RFID sunt cardurile de acces in cladiri, abonamentele pentru transportul in comun, colectarea taxelor de autostrada/pod/tunel (exista deja cateva implementari de succes) – avantajul consta in scurtarea timpului de plata sau validare a tichetului/abonamentului, urmarirea materialelor in procesele de productie, urmarirea si inventarierea paletilor, identificarea si urmarirea animalelor si asa mai departe. In Statele Unite, Marea Britanie si in cateva alte tarii sunt incluse etichete RFID active in pasapoarte, continand aceleasi informatii care sunt tiparite in pasaport, coperta pasaportului protejand chipu-l impotriva citirii neautorizate cand acesta este inchis. Si exemplele pot continua.
Iata un exemplu de tehnologie care nu este nici foarte noua, nici revolutionara, dar care poate fi foarte folositoare in diverse domenii. Eu personal astept cu interes ziua in care nu voi mai sta la coada la casa de la supermarket mai mult de 20 de secunde, sau voi trece fara sa opresc si sa astept restul la punctul de taxare la pod, asa cum se intampla in din ce in ce mai multe locuri din UE (in care si Romania…)
RFID (Radio Frequency Identification) este o tehnologie care permite identificarea automata bazata pe comunicarea (de la distanta, fara fir) intre un receptor si o eticheta RFID. Eticheta poate fi aplicata pe orice obiect – de la cartele de acces pana la baxuri de produse de pe paletii dintr-un Cash&Carry – iar receptorul traduce semnalul reflectat de eticheta intr-un obiect logic, de obicei prin interogarea unei baze de date. Cu alte cuvinte functioneaza ca un cod de bare, insa nu mai este nevoie de scanare ci identificarea se face de la distanta (limitata ce-i drept) prin intermediul undelor radio. Predecesorul acestei tehnologii a fost folosit prima oara in “industria” spionajului in anii ’40. Evident, nu era acelasi lucru cu ce putem vedea astazi, dar este prima referinta la folosirea unor astfel de metode.
RFID se poate implementa in doua variante: activ si pasiv, in functie de tipul etichetei folosite.
Etichetele pasive nu sunt alimentate de o sursa de curent. Etichetele sunt practic un fel de antene radio in miniatura care prin forma lor pot produce prin inductie, folosind undele radio, un curent slab dar suficient pentru a alimenta CMOS-ul inclus in eticheta si a emite un raspuns. Fara sa intram in detalii tehnice, etichetele pasive raspund cu un ID stocat intr-o mini-memorie nevolatila. Avantajul dispozitivelor pasive este ca pot fi foarte mici, pot ajunge sub o jumatate de milimetru patrat si mai subtiri decat o coala de hartie. Adaugind antena ajungem la o eticheta cat un timbru.
Etichetele active includ o sursa de energie (o baterie). Avantajul este ca raza de acoperire, in care o eticheta poate fi identificata, este mult mai mare iar intre identificator si eticheta pot exista medii de transmisie dificile: ziduri, apa (inclusiv oameni si animale, care contin un procent semnificativ de apa), conducte metalice etc. Raza de acoperire poate ajunge la sute de metri, au dimesiunea unei monede de 10 bani si au durata medie de viata de 10 ani (inclusiv bateria). De asemenea etichetele active pot transmite si alte informatii, cum ar fi unii parametrii monitorizati: temperatura, presiune, umiditatea, nivelul de radiatii, tensiunea arteriala (monitorizarea pacientilor) si asa mai departe. Etichetele active pot fi reprogramate si deci realocabile.
Aplicatiile RFID-ului pasiv sunt in primul rand in cadrul supermarketurilor mari si cash-and carry-urilor. Practic toate produsele au o astfel de eticheta iar marcarea la casa se face in mod automat si aproape instantaneu fara a fi nevoie de scoaterea acestora din cos. In felul acesta coada de la casa dispare iar clientul va poposi in dreptul caseritei doar sa plateasca, daca nu sunt deja implementate case automate cu plata prin card. In felul acesta si costurile etichetelor si a mecanismului in sine vor fi recuperate destul de usor, prin eficientizarea procesului de customer checkout. Evident, se poate merge mai departe, la cosurile de cumparaturi inteligente care ne pot sfatui unde este produsul de care avem nevoie, care este valoarea totala a cumparaturilor, produse cu data de expirare apropiata etc. Am participat de curand la o demonstratie tinuta de un mare lant german de magazine unde se prezenta, printre altele, frigiderul inteligent care realizeaza lista de cumparaturi in functie de ce produse sunt deja consumate sau de datele de expirare ale celor existente, transfera lista pe un card de cumparator care este apoi citita de catre caruciorul inteligent si asa mai departe. Evident, cardul era incarcat si cu date despre starea noastra de sanatate si astfel primeam si avertizare cu privire la continutul de colesterol, zahar sau E-uri al produselor din magazin. Putin utopic dar foarte la indemana, si deloc complicat!
Aplicatiile RFID-ului activ includ urmarirea echipamentelor in incinte bine delimitate, urmarirea miscarilor materialelor, monitorizarea pacientilor si asa mai departe.
In Romania, cea mai raspandita tehnica RFID, de fapt un fel de derivat de RFID, este folosita la mai toate magazinele – acele porti care ne verifica daca toate obiectele pe care le avem in sacosa au trecut si pe la casa de marcat.
Un sistem complet RFID este compus din etichete active sau pasive, cititoare de etichete si antene, si un middleware care interpreteaza si proceseaza informatiile traficate. In cazul exemplului cu magazinul inteligent, middleware-ul este softul care identifica produsele in baza de date, actualizeaza stocurile si calculeaza totalul.
Alte aplicatii pentru RFID sunt cardurile de acces in cladiri, abonamentele pentru transportul in comun, colectarea taxelor de autostrada/pod/tunel (exista deja cateva implementari de succes) – avantajul consta in scurtarea timpului de plata sau validare a tichetului/abonamentului, urmarirea materialelor in procesele de productie, urmarirea si inventarierea paletilor, identificarea si urmarirea animalelor si asa mai departe. In Statele Unite, Marea Britanie si in cateva alte tarii sunt incluse etichete RFID active in pasapoarte, continand aceleasi informatii care sunt tiparite in pasaport, coperta pasaportului protejand chipu-l impotriva citirii neautorizate cand acesta este inchis. Si exemplele pot continua.
Iata un exemplu de tehnologie care nu este nici foarte noua, nici revolutionara, dar care poate fi foarte folositoare in diverse domenii. Eu personal astept cu interes ziua in care nu voi mai sta la coada la casa de la supermarket mai mult de 20 de secunde, sau voi trece fara sa opresc si sa astept restul la punctul de taxare la pod, asa cum se intampla in din ce in ce mai multe locuri din UE (in care si Romania…)
Tastatura si mortarul
Principiile de etica profesionala, principiile de buna practica aplicate in timpul exercitarii unei meserii inseamna profesionalism. In majoritate a meseriilor exista un cod etic scris, iar in celelate exista unul folcloric, insa exista.
Am fost nefericitul beneficiar al unei lucrari lucrari de renovare a locuintei, de dimensiuni relativ reduse. Cine a trecut prin astfel de evenimente intelege ce inseamna “nefericit”. Nu am inteles niciodata de ce zidarul care trebuie sa inceapa lucrul la ora 8:00 apare la 11:30, de ce zidul care iese stramb nu ar fi putut nicicum sa iasa drept, de ce spre sfarsitul lucrarilor se angajeaza fata de alti clienti lasandu-l balta pe cel la care lucreaza, de ce pretul negociat initial se mareste spre final etc. Si astea sunt aspectele “light” ale problemei. Lucrurile se complica cand toti banii de la o plata partiala sunt metabolizati in organism sub forma de metanol provenit de la fluidele ingerate cu o noapte inainte. Din pacate asta se intampla si cu muncitorii angajati ai unor firme de decoratiuni interioare, ca si ei tot oameni sunt. Probabil ca asa spune codul etic nescris al ghildei zidarilor, faiantarilor, vopsitorilor si a celorlalte meserii generatoare de praf.
Ce legatura exista intre mortar si IT? In IT se construieste de la zero, se remodeleaza, se repara, se imbunatateste. La fel ca in constructii. Vine IT-istul, asculta absent ce doresti sa faci, nu intelege chiar tot, face ce stie cu 60% mai multe materiale si cel putin 40% mai mult timp, lasa lucrarea aproape functionala si multa mizerie in urma. Apoi te mai costa ceva bani si timp sa faci, eventual cu alt specialist, ce vroiai de fapt, sa repari greselile primului si sa faci si curatenie. Exact ca la zidari.
Dupa cativa ani m-am convins ca in codul etic al zidarilor scrie “ia banii, spoieste de mantuiala si apoi nu mai raspunde la telefon” dar de cand lucrez in IT nu am auzit de un cod similar si aici.
In IT lucrurile se simplifica. Toate programele, sistemele de operare, aplcatiile de larg consum sunt extrem de simplu de instalat, configurat si folosit. Un click aici, un wizard acolo si gata. Ca sa instalez un Windows nu mai am nevoie de specialist. Ca sa fac un site web la fel (desi ma incapatanez in continuare sa lucrez cu specialisti in acest domeniu, sper sa nu aibe cunostinte in domeniul constructiilor !!). Evident, pentru lucrari mai complexe avem nevoie de un specialist. Exact ca in constructii. O casa nu pot s-o fac de la zero singur.
In constructii insa mai am de invatat. Problema e ca aici lucrurile nu se simplifica in acelasi ritm cu IT-ul. Dar sunt nevoit sa o fac deoarece sunt satul de profesionalismul si codul etic al zidarului. De maine ma apuc sa invat sa gletuiesc si sa spoiesc. Si scap de mesteri.
Discutam curand cu un amic pe marginea scaderii cererii de servicii profesionale in forma lor clasica (instalari de sisteme de operare de exemplu). Nu cumva din cauza ca oamenilor le e frica de zidari? De exemplu, activitatea de crearea de situri web de dimensiuni reduse a fost in mare parte acaparata de «zonele industriale» Regie si Grozavesti, datorita pretului mult redus. Odata cu pretul redus, a venit si o responsabilitate si un profesionalism redus. Si daca pot sa-mi fac o pagina web cu un editor de text, de ce sa mai chem zidarul? Simplu nu?
Astept de cam o saptamana un semn de la un furnizor de IT de unde m-am aratat interesat sa achizitionez un serviciu. Nu tu mail, nu tu telefon, ba chiar nu raspunde la telefon si nici nu intoarce apelul. Imi aduce aminte de o replica pe care am primit-o: “Ma duc sa mai iau un sac de ciment” si s-a intors dupa o saptamana (evident lucrarea era terminata).
Oare serviciile profesionale din IT au inceput sa se transforme in zidarie? Acel serviciu de care are toata lumea nevoie dar se fereste ca de argint viu? Multi oameni cu o pregatire profesionala precara si care nu inteleg care sunt nevoile si asteptarile clientului? Poate ca da, poate ca nu, dar este rolul nostru, atat in calitate de clienti cat si in calitate de furnizori, sa respectam unele principii solide etice si de profesionalism, altfel avem cu totii de pierdut.
Ce ar fi ca in loc de notebook sa plimb in geanta o drişcă si un şpaclu? In fine, lasand gluma la o parte, sper ca acest cod etic nescris al zidarilor sa nu fie adoptat si de catre medici, profesori, politisti etc. Asta daca nu s-a intamplat deja.
PS: Evident am intalnit si zidari profesionisti, de obicei cei care lucreaza cu firme serioase de amenajari. Multa vreme am avut reticienta de a apela la firme de specialitate, gandindu-ma ca un mester “particular” face acelasi lucru mai ieftin. Si cunosc putina lume care nu are aceasta prejudecata. Este evident ca factura primita de la o firma de specialitate este putin mai mare decat estimarea unui mester (care in final poate sa se si dubleze mai ales daca se intampla sa ne lase balta sau sa faca peretii strambi) dar credeti-ma, ca in final iese mai bine, mai ieftin si cu mai putin stress. La fel ca in IT.
Am fost nefericitul beneficiar al unei lucrari lucrari de renovare a locuintei, de dimensiuni relativ reduse. Cine a trecut prin astfel de evenimente intelege ce inseamna “nefericit”. Nu am inteles niciodata de ce zidarul care trebuie sa inceapa lucrul la ora 8:00 apare la 11:30, de ce zidul care iese stramb nu ar fi putut nicicum sa iasa drept, de ce spre sfarsitul lucrarilor se angajeaza fata de alti clienti lasandu-l balta pe cel la care lucreaza, de ce pretul negociat initial se mareste spre final etc. Si astea sunt aspectele “light” ale problemei. Lucrurile se complica cand toti banii de la o plata partiala sunt metabolizati in organism sub forma de metanol provenit de la fluidele ingerate cu o noapte inainte. Din pacate asta se intampla si cu muncitorii angajati ai unor firme de decoratiuni interioare, ca si ei tot oameni sunt. Probabil ca asa spune codul etic nescris al ghildei zidarilor, faiantarilor, vopsitorilor si a celorlalte meserii generatoare de praf.
Ce legatura exista intre mortar si IT? In IT se construieste de la zero, se remodeleaza, se repara, se imbunatateste. La fel ca in constructii. Vine IT-istul, asculta absent ce doresti sa faci, nu intelege chiar tot, face ce stie cu 60% mai multe materiale si cel putin 40% mai mult timp, lasa lucrarea aproape functionala si multa mizerie in urma. Apoi te mai costa ceva bani si timp sa faci, eventual cu alt specialist, ce vroiai de fapt, sa repari greselile primului si sa faci si curatenie. Exact ca la zidari.
Dupa cativa ani m-am convins ca in codul etic al zidarilor scrie “ia banii, spoieste de mantuiala si apoi nu mai raspunde la telefon” dar de cand lucrez in IT nu am auzit de un cod similar si aici.
In IT lucrurile se simplifica. Toate programele, sistemele de operare, aplcatiile de larg consum sunt extrem de simplu de instalat, configurat si folosit. Un click aici, un wizard acolo si gata. Ca sa instalez un Windows nu mai am nevoie de specialist. Ca sa fac un site web la fel (desi ma incapatanez in continuare sa lucrez cu specialisti in acest domeniu, sper sa nu aibe cunostinte in domeniul constructiilor !!). Evident, pentru lucrari mai complexe avem nevoie de un specialist. Exact ca in constructii. O casa nu pot s-o fac de la zero singur.
In constructii insa mai am de invatat. Problema e ca aici lucrurile nu se simplifica in acelasi ritm cu IT-ul. Dar sunt nevoit sa o fac deoarece sunt satul de profesionalismul si codul etic al zidarului. De maine ma apuc sa invat sa gletuiesc si sa spoiesc. Si scap de mesteri.
Discutam curand cu un amic pe marginea scaderii cererii de servicii profesionale in forma lor clasica (instalari de sisteme de operare de exemplu). Nu cumva din cauza ca oamenilor le e frica de zidari? De exemplu, activitatea de crearea de situri web de dimensiuni reduse a fost in mare parte acaparata de «zonele industriale» Regie si Grozavesti, datorita pretului mult redus. Odata cu pretul redus, a venit si o responsabilitate si un profesionalism redus. Si daca pot sa-mi fac o pagina web cu un editor de text, de ce sa mai chem zidarul? Simplu nu?
Astept de cam o saptamana un semn de la un furnizor de IT de unde m-am aratat interesat sa achizitionez un serviciu. Nu tu mail, nu tu telefon, ba chiar nu raspunde la telefon si nici nu intoarce apelul. Imi aduce aminte de o replica pe care am primit-o: “Ma duc sa mai iau un sac de ciment” si s-a intors dupa o saptamana (evident lucrarea era terminata).
Oare serviciile profesionale din IT au inceput sa se transforme in zidarie? Acel serviciu de care are toata lumea nevoie dar se fereste ca de argint viu? Multi oameni cu o pregatire profesionala precara si care nu inteleg care sunt nevoile si asteptarile clientului? Poate ca da, poate ca nu, dar este rolul nostru, atat in calitate de clienti cat si in calitate de furnizori, sa respectam unele principii solide etice si de profesionalism, altfel avem cu totii de pierdut.
Ce ar fi ca in loc de notebook sa plimb in geanta o drişcă si un şpaclu? In fine, lasand gluma la o parte, sper ca acest cod etic nescris al zidarilor sa nu fie adoptat si de catre medici, profesori, politisti etc. Asta daca nu s-a intamplat deja.
PS: Evident am intalnit si zidari profesionisti, de obicei cei care lucreaza cu firme serioase de amenajari. Multa vreme am avut reticienta de a apela la firme de specialitate, gandindu-ma ca un mester “particular” face acelasi lucru mai ieftin. Si cunosc putina lume care nu are aceasta prejudecata. Este evident ca factura primita de la o firma de specialitate este putin mai mare decat estimarea unui mester (care in final poate sa se si dubleze mai ales daca se intampla sa ne lase balta sau sa faca peretii strambi) dar credeti-ma, ca in final iese mai bine, mai ieftin si cu mai putin stress. La fel ca in IT.
P2P: De ce nu ne putem impotrivi inevitabilului
Traim intr-o tara guvernata de proverbul suntem prea saraci pentru a cumpara lucruri ieftine, o tara in care cheltuiala medie pentru bunuri IT este de 37 euro pe cap de locuitor, intr-o tara in care o buna parte a bugetului familiei este alocat abonamentului internet; sunt multe contraste, dar ce ne uneste pe toti in cuget si simtiri este ca toti avem un calculator sa punem pe masa si o “teava” internet. Si ce daca? La fel au si peste un miliard de oameni in toata lumea, numai ca, in lumea civilizata, gradul de penetrare este mult peste 23% al nostru.
Sa revenim. Avand un calculator pe masa sunt cam doua lucruri esentiale (as vrea sa zic inteligente) de facut: sa ne jucam sau sa stam de vorba cu vecinul de scara pe net. Cei mai avansati in cunostintele IT – discutia a ramas la nivelul mediei – vor trage niste muzica de la vecinul de la scara 3, eventual un videochat si de ce nu niste stiri la moda de pe net. La acest capitol stam bine fata de restul lumii, unde se observa o tendinta crescatoare in numarul de utilizatori ai serviciilor de tip P2P – Peer to Peer. Si va mai creste – se preconizeaza o crestere de aproape 2,5 ori a pietei de continut P2P la nivel mondial.
Daca acum cativa aveam tendinta sa ignoram acest segment, inevitabilul s-a produs, ne aflam in fata unui fenomen care acapareaza din ce in ce mai multi utilizatori, care la randul lor au nevoie de content P2P din ce in ce mai bogat, care va atrage si mai multi utilizatori si acest bulgare se va mai invarti ceva vreme. Sa nu mai vorbim de potentialul imens pe care il au aceste tehnologii in ceea ce priveste transmisiile voce, grid computing cu costuri scazute etc.
Este limpede ca troienii, viermii si alte “rautati” pot circula relativ nestingherite prin aceste retele si cum tot omul cu scaun la cap are deja un antivirus trecem repede de acest capitol.
Un risc semnificativ, dupa parerea mea, este riscul reputational la care se expune o companie din a carei retea este posibila accesarea resurselor online de unde se poate, de exemplu, descarca software pirat. Si aici fatetele monedei sunt doua: in primul rand un angajat poate downloada software pirat, eventual si folosi, ceea ce este nu numai ilegal dar ar pune compania intr-o lumina extrem de proasta. In al doilea rand, majoritatea sistemelor iti permit sa downloadezi numai daca partajezi o anumita cantitate de informatii de pe harddiskul tau. Si din acest motiv, si prin aceste sisteme, poti downloada fisiere de backup, date contabile etc. Si daca reputational nu suntem afectati ca toate informatiile noastre (cum am spus, fisiere backup) sunt pe net, atunci macar sa ne punem intrebarea cate date sunt confidentiale.
Inca de la inceputurile P2P-urilor, s-a pus problema asigurarii annonimitatii, in sensul de a proteja informatiile cu caracter privat. Si in unele cazuri s-a reusit atat de bine, incat nu intotdeauna se stie cine este la celalalt capat al firului. Asa ca mare atentie ce discutam, pentru ca de multe ori nu discutam cu cine credem. Situatia devine si mai grava atunci cand avem de-a face cu utilizatori-copii, ca sa nu zic minori. Acestia cad de multe ori in plasele interlocutorilor, rezultatul fiind de multe ori diverse tipuri de abuzuri. Copiii reprezinta un caz special si din acest motiv trebuie sa luam unele masuri care sa controleze cat de cat accesul acestora la P2P. Sa fim bine intelesi, sa controleze pentru a-i proteja, nu sa se restrictioneze (desi unii ar spune ca ar fi mai bine).
In concluzie: P2P-ul este un fenomen, o moda, o piatra care se va tot invarti la vale. Decat sa ne impotrivim fenomenului si sa-l ignoram, mai bine ne gandim cum putem convietui in siguranta.
Sa revenim. Avand un calculator pe masa sunt cam doua lucruri esentiale (as vrea sa zic inteligente) de facut: sa ne jucam sau sa stam de vorba cu vecinul de scara pe net. Cei mai avansati in cunostintele IT – discutia a ramas la nivelul mediei – vor trage niste muzica de la vecinul de la scara 3, eventual un videochat si de ce nu niste stiri la moda de pe net. La acest capitol stam bine fata de restul lumii, unde se observa o tendinta crescatoare in numarul de utilizatori ai serviciilor de tip P2P – Peer to Peer. Si va mai creste – se preconizeaza o crestere de aproape 2,5 ori a pietei de continut P2P la nivel mondial.
Daca acum cativa aveam tendinta sa ignoram acest segment, inevitabilul s-a produs, ne aflam in fata unui fenomen care acapareaza din ce in ce mai multi utilizatori, care la randul lor au nevoie de content P2P din ce in ce mai bogat, care va atrage si mai multi utilizatori si acest bulgare se va mai invarti ceva vreme. Sa nu mai vorbim de potentialul imens pe care il au aceste tehnologii in ceea ce priveste transmisiile voce, grid computing cu costuri scazute etc.
Este limpede ca troienii, viermii si alte “rautati” pot circula relativ nestingherite prin aceste retele si cum tot omul cu scaun la cap are deja un antivirus trecem repede de acest capitol.
Un risc semnificativ, dupa parerea mea, este riscul reputational la care se expune o companie din a carei retea este posibila accesarea resurselor online de unde se poate, de exemplu, descarca software pirat. Si aici fatetele monedei sunt doua: in primul rand un angajat poate downloada software pirat, eventual si folosi, ceea ce este nu numai ilegal dar ar pune compania intr-o lumina extrem de proasta. In al doilea rand, majoritatea sistemelor iti permit sa downloadezi numai daca partajezi o anumita cantitate de informatii de pe harddiskul tau. Si din acest motiv, si prin aceste sisteme, poti downloada fisiere de backup, date contabile etc. Si daca reputational nu suntem afectati ca toate informatiile noastre (cum am spus, fisiere backup) sunt pe net, atunci macar sa ne punem intrebarea cate date sunt confidentiale.
Inca de la inceputurile P2P-urilor, s-a pus problema asigurarii annonimitatii, in sensul de a proteja informatiile cu caracter privat. Si in unele cazuri s-a reusit atat de bine, incat nu intotdeauna se stie cine este la celalalt capat al firului. Asa ca mare atentie ce discutam, pentru ca de multe ori nu discutam cu cine credem. Situatia devine si mai grava atunci cand avem de-a face cu utilizatori-copii, ca sa nu zic minori. Acestia cad de multe ori in plasele interlocutorilor, rezultatul fiind de multe ori diverse tipuri de abuzuri. Copiii reprezinta un caz special si din acest motiv trebuie sa luam unele masuri care sa controleze cat de cat accesul acestora la P2P. Sa fim bine intelesi, sa controleze pentru a-i proteja, nu sa se restrictioneze (desi unii ar spune ca ar fi mai bine).
In concluzie: P2P-ul este un fenomen, o moda, o piatra care se va tot invarti la vale. Decat sa ne impotrivim fenomenului si sa-l ignoram, mai bine ne gandim cum putem convietui in siguranta.
Securitatea sistemelor document management
Traditional, un sistem de document management stocheaza documente in format electronic. Documentele pot ajunge in arhiva fie prin scanarea unor documente pe hartie, fie prin introducerea lor directa. Multe sisteme de document management incorporeaza alte module conexe, cum ar fi module pentru autentificare, pentru autorizarea accesului la arhiva, pentru intorducere/scanare documente, pentru modificarea documentelor sau pentru implementarea unui traseu de aprobare a documentelor.
Un sistem de document management, ca orice sistem informatic, are nevoie de masuri de securitate clasice, cum ar fi protectia firewall, backup, protectie antivirus, sisteme pentru detectarea intruziunilor, surse de curent etc. Mutlitudinea de functii pe care le aduce un sistem de document management induce nevoi sepcifice de securitate, cele mai importante fiind autentificarea si autorizarea. Autentificarea reprezinta identificarea ca si un utilizator autorizat in sistem. Autorizarea defineste drepturile pe care acest utilizator la are in sistem.
Autentificarea
Autentificarea se face fie prin clasica pereche username/password sau folosind sisteme biometrice, smartcad-uri etc. Nu cu ce facem autentificarea este insa cel mai important in selectia unei solutii de document management, ci cum se face autentificarea. Cu alte cuvinte, unde sunt verificate informatiile de autentificare primite de la utilizator. Fie sistemul incorporeaza propria baza de utilizatori, fie va folosi alt provider de autentificare. Primul mecanism este cel mai simplu de folosit, se vor defini utilizatorii in baza proprie a softului de document management. Insa aceasta metoda devine foarte greu de folosit, atunci cand utilzatorul trebuie sa foloseasca din ce in ce mai multe perechi username si parola pentru toate sistemele pe care le foloseste. Alternativa este folosirea unui mecanism de single sign-on – o interfata pentru autentificarea unica la mai multe sisteme, sau folosirea unui sistem de document management care poate fi integrat cu mecanime de managementul identitatii deja existente in organizatie compatibile LDAP, cum ar fi Microsoft Active Directory sau IBM Directory Server.
Autorizarea
Dupa ce un utilizator se prezinta in sistem, acesta primeste sau nu drepturi de access la informatie. Autorizarea se face folosind trei metode importante: bazata pe roluri, pe reguli sau pe continut. Autorizarea bazata pe rolrui implementeaza un mecanism prin care un utilizator detine unul sau mai multe roluri in sistem, cum ar fi editor – fiecare dintre aceste roluri are diverse drepturi de access la informatii. Folosind autorizarea bazata pe reguli, nivelul de accces al utilizatorului este determinat in urma executarii unui set de reguli introduse de administrator – de exemplu verificarea unor conditii. Autorizarea bazata pe continut foloseste liste de access discreta pe fiecare informatie sau colectie de informatii, de obicei definite chiar la introducerea acesteia in sistem. De multe ori gasim o combinatie de moduri de access, cum ar fi combinarea rolurilor si continutului: pentru un set de informatii se acorda drepturi discrete catre grupuri (roluri) iar utilizatorii vor face parte din unul sau mai multe grupuri.
Este evident ca un sistem de document management aduce evantaje intr-o organizatie. De multe ori la implementarea unui astfel de sistem se pune accentul pe functionalitatea si arhivarea eficienta, insa se omite faptul ca la acest moment se introduce un nou risc: accesului neautorizat la informatie.
Auditorul si auditatul
Prin definitie, auditul este un proces prin care o persoană (sau grup de persoane) independentă şi calificată, numită auditor, face o evaluare obiectivă a unui sistem informatic, de obicei în raport cu un standard sau un obiectiv propus. Există şi auditul intern, proces prin care se asigură o conformitate continuă cu standardele interne. Auditul intern poate fi verificat periodic prin auditul extern.
Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată reţeaua sau numai o parte, procedurile sau întreg planul de securitate) şi având un obiectiv bine definit (de exemplu conformitatea cu standardul ISO27001).
Independenta
Este binecunoscut ca nu se poate audita propria munca. Astfel, exista o incompatibilitate intre calitatea de auditor si cea de consultant sau de integrator de solutii. Nici macar auditul intern nu trebuie sa fie realizat de o persoana care este sau a fost recent implicata in implementarea sau intretinerea sistemului auditat.
Problema independentei se pune atat auditorului ca persoana dar mai ales auditorului ca si companie. In general independenta este o negare a oricaror interese financiare sau de imagine, sau oricand exista motive care ar putea impiedica un audit obiectiv.
Un auditor independent este acel auditor care nu a fost implicat in activitati de consultanta, de implementare sau de furnizare pentru solutiile informatice care compun sistemul auditat. Consideram ca un auditor poate fi considerat independent, perioada de timp care trebuie sa se scurga de la, de exemplu, un contract de consultanta, este de 3 ani in cazul in care au existat in trecut relatii de aceasta natura.
Evident, un auditor poate fi contractat de aceeasi organizatie si pentru activitati de consultanta, insa acesta nu mai poate realiza ulterior audituri pentru acelasi beneficiar.
Calificarea
Pentru a-si exprima o opinie sau a ajunge la un set de concluzii pertinente, un auditor trebuie sa aiba un bogat bagaj de cunostinte in domeniu, iar experienta anterioara in activitati de implementare si consultanta de solutii informatice este de neinlocuit. De asemenea, intotdeauna un auditor care are experienta bogata in audituri pe un anume segment, trebuie sa fie preferat in fata unor „generalisti”.
O echipa de auditori este formata din cel putin un auditor si unul sau mai multi experti in tehnologie, astfel incat opiniile sa poata fii obiective si sa aiba o baza solida.
Un auditor este considerat a fi calificat atunci cand are nu numai certificari de auditor, dar are si experienta tehnica necesara atat in unele tehnologii dar si pe partea de servicii, competente care trebuie reinoite continuu.
Autoritatea
Acest aspect are doua fatete. In primul rand se pune problema autoritatii opiniilor emise de un auditor. Aceasta problema este doar in parte rezolvata de calificarile auditorului/auditorilor. Este evident ca o certificare de auditor da valoare raportului care va rezulta. Insa in fata unei terte parti (opinia publica, o alta autoritate care cere un raport de audit) vor mai conta si alti factori: notorietatea, independenta, experienta, etc.
Alta fateta este autoritatea pe care o are auditorul fata de auditat. In primul rand auditorului trebuie sa i se permita accesul la informatiile necesare in desfasurarea auditului, iar aceste informatii trebuie sa fie reale, corecte si curente, in caz contrar rezultatul auditului nu va mai reflecta realitatea. In al doilea rand, rezultatul auditului trebuie sa produca un anumit ecou in randurile managementului, in caz contrar intregul proiect ar fi inutil.
Continuarea
De obicei un audit este urmat de un proces de corectare a nonconfirmatilor, etapa pentru care se poate apela la un consultant extern şi la un auditor intern. Auditul se repetă fie la cerere fie dupa un interval rezonabil, de exemplu un an, rezultand un proces continuu de evaluare si imbunatatire.
Calitatea costa!
Alegerea auditorului este foarte importanta. Calitatea auditorului influenteaza calitatea rezultatului, atat in ceea ce priveste relevanta si apropierea de realitate cat si aprecierea opiniilor de catre terti. Evident ca si costurile reprezinta un factor pentru alegerea unui auditor, dar sa nu uitam principiul care guverneaza viata de zi cu zi: calitatea costa!
Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată reţeaua sau numai o parte, procedurile sau întreg planul de securitate) şi având un obiectiv bine definit (de exemplu conformitatea cu standardul ISO27001).
Independenta
Este binecunoscut ca nu se poate audita propria munca. Astfel, exista o incompatibilitate intre calitatea de auditor si cea de consultant sau de integrator de solutii. Nici macar auditul intern nu trebuie sa fie realizat de o persoana care este sau a fost recent implicata in implementarea sau intretinerea sistemului auditat.
Problema independentei se pune atat auditorului ca persoana dar mai ales auditorului ca si companie. In general independenta este o negare a oricaror interese financiare sau de imagine, sau oricand exista motive care ar putea impiedica un audit obiectiv.
Un auditor independent este acel auditor care nu a fost implicat in activitati de consultanta, de implementare sau de furnizare pentru solutiile informatice care compun sistemul auditat. Consideram ca un auditor poate fi considerat independent, perioada de timp care trebuie sa se scurga de la, de exemplu, un contract de consultanta, este de 3 ani in cazul in care au existat in trecut relatii de aceasta natura.
Evident, un auditor poate fi contractat de aceeasi organizatie si pentru activitati de consultanta, insa acesta nu mai poate realiza ulterior audituri pentru acelasi beneficiar.
Calificarea
Pentru a-si exprima o opinie sau a ajunge la un set de concluzii pertinente, un auditor trebuie sa aiba un bogat bagaj de cunostinte in domeniu, iar experienta anterioara in activitati de implementare si consultanta de solutii informatice este de neinlocuit. De asemenea, intotdeauna un auditor care are experienta bogata in audituri pe un anume segment, trebuie sa fie preferat in fata unor „generalisti”.
O echipa de auditori este formata din cel putin un auditor si unul sau mai multi experti in tehnologie, astfel incat opiniile sa poata fii obiective si sa aiba o baza solida.
Un auditor este considerat a fi calificat atunci cand are nu numai certificari de auditor, dar are si experienta tehnica necesara atat in unele tehnologii dar si pe partea de servicii, competente care trebuie reinoite continuu.
Autoritatea
Acest aspect are doua fatete. In primul rand se pune problema autoritatii opiniilor emise de un auditor. Aceasta problema este doar in parte rezolvata de calificarile auditorului/auditorilor. Este evident ca o certificare de auditor da valoare raportului care va rezulta. Insa in fata unei terte parti (opinia publica, o alta autoritate care cere un raport de audit) vor mai conta si alti factori: notorietatea, independenta, experienta, etc.
Alta fateta este autoritatea pe care o are auditorul fata de auditat. In primul rand auditorului trebuie sa i se permita accesul la informatiile necesare in desfasurarea auditului, iar aceste informatii trebuie sa fie reale, corecte si curente, in caz contrar rezultatul auditului nu va mai reflecta realitatea. In al doilea rand, rezultatul auditului trebuie sa produca un anumit ecou in randurile managementului, in caz contrar intregul proiect ar fi inutil.
Continuarea
De obicei un audit este urmat de un proces de corectare a nonconfirmatilor, etapa pentru care se poate apela la un consultant extern şi la un auditor intern. Auditul se repetă fie la cerere fie dupa un interval rezonabil, de exemplu un an, rezultand un proces continuu de evaluare si imbunatatire.
Calitatea costa!
Alegerea auditorului este foarte importanta. Calitatea auditorului influenteaza calitatea rezultatului, atat in ceea ce priveste relevanta si apropierea de realitate cat si aprecierea opiniilor de catre terti. Evident ca si costurile reprezinta un factor pentru alegerea unui auditor, dar sa nu uitam principiul care guverneaza viata de zi cu zi: calitatea costa!
Auditul informatic
Auditul informatic este un proces prin care o persoană (sau grup de peroane) independentă şi calificată, numită auditor, face o evaluare obiectivă a unui sistem informatic, de obicei în raport cu un standard sau un obiectiv propus. Există şi auditul intern, proces prin care se asigură o conformitate continuă cu standardele interne. Auditul intern poate fi verificat periodic prin auditul extern.
Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată reţeaua sau numai o parte, procedurile sau întreg planul de securitate) şi având un obiectiv bine definit (de exemplu conformitatea cu standardul).
Auditul se compune din trei etape majore: strângerea de informaţii, evaluarea propriu-zisă şi raportarea.
Cercetarea
Este important ca informaţiile obţinute în această etapă să fie cât mai complete şi reale deoarece ele vor sta la baza tuturor activităţilor ulterioare de audit fiind folosite ca referinţă pentru paşii următori.
Tot acum trebuie documentat şi modul în care reţeaua noastră comunică cu alte reţele. În majoritatea cazurilor avem de-a face cu o conexiune la un ISP care este folosită pentru comunicare cu clienţi şi parteneri şi pentru a căuta informaţii pe internet. Este important să se identifice măsurile de control şi monitorizare a acestor conexiuni şi mai apoi a serviciilor care folosesc conexiunile pentru a putea mai apoi evalua eficienţa acestora.
Deşi la prima vedere pare un fapt bine cunoscut, trebuie identificat punctul unde se „termină” reţeaua locală şi de unde pornesc alte reţele (ISP, partener etc). Măsurile şi controalele, precum şi natura informaţiilor permise în aceste zone sunt diferite, precum şi riscurile asupra elementelor aflate de o parte sau alta a baricadei sunt altele, de aceea nu trebuie trecută cu vederea această informaţie „banală”.
Apoi trebuie să răspundem la întrebarea „care sunt cele mai importante bunuri care trebuie protejate”. În principiu este vorba de anumite informaţii care rezidă pe anumite sisteme (e-mail, ERP, baze de date etc.) sau sunt comunicate prin anumite dispozitive (routere, VPN), dar este foarte important ca acestea să fie identificate de la bun început. Strategiile şi măsurile de protecţie pot fi definite eficient în măsura în care riscurile asociate cu bunurile noastre sunt bine definite şi cuantificate.
După ce au fost identificare bunurile, trebuie văzut cine le poate accesa. Oricine are acces la reţea poate accesa şi acele informaţii confidenţiale? Dacă da, cine are acces la reţea? Cel mai important este să stabilim criteriile pe baza cărora cineva primeşte drept de acces, cum sunt impuse aceste politici şi cum se urmăreşte eficienţa politicilor? Este binecunoscut principiul on a need-to-know basis (are acces numai cine are cu adevărat nevoie), principiu care trebuie aplicat fără excepţie de către orice organizaţie.
În fine, trebuie enumerate şi revizuite metodele de protecţie folosite, inclusiv politici, proceduri şi controale.
Evaluarea
Odată ce informaţiile necesare au fost colectate, auditorul poate începe evaluarea securităţii sistemului informatic. Evident, sunt multe situaţii în care informaţiile colectate nu sunt suficiente sau apare necesitatea pentru un alt set de informaţii. Colectarea informaţiilor şi evaluarea nu trebuie privite ca procese seriale, ne putem întoarce la etapa anterioară în orice moment dacă este nevoie. De fapt, o bună parte din evaluare se face chiar în timpul strângerii informaţiilor.
Trebuie gândit dacă modul în care administratorii au proiectat şi configurat reţeaua şi componentele acesteia îndeplinesc obiectivele propuse (standardul propus, gradul de securitate cerut). De exemplu, un firewall este o considerat un element obligatoriu al unei reţele, şi considerat de către 90% din cazuri ca fiind tot ce e nevoie pentru a ne simţi în siguranţă. Din păcate însă un firewall nu ne protejează de exemplu de viruşi (nu vorbim de firewall-uri avansate care pot trimite spre scanare un email unui server antivirus) sau de „furtul” parolei scrise pe bileţelul de pe monitor. Apoi trebuie să găsim punctele slabe ale sistemului informatic, care nu sunt bine controlate sau chiar deloc, unde pot apărea vulnerabilităţi. De exemplu controlul accesului la modem-uri – una din principalele căi de compromitere a informaţiilor care de obicei nu este luată în seamă. Cheia succesului este să avem tot timpul în vedere cele trei elemente ale securităţii: confidenţialitate, integritate şi disponibilitate.
Raportarea
Dupa ce au fost colectate şi analizate informaţiile, trebuie emise o serie de concluzii. Exista un raport sumar, numita si opinie de audit, in care se mentionează pe scurt concluziile precum si un raport extins în care sunt detaliate toate rezultatele raportate la standardele de referinţă. Concluzile la care s-a ajuns trebuie discutate cu beneficiarul din două motive: intelegerea rezultatelor precum şi confirmarea şi asumarea lor.
De obicei un audit este urmat de un proces de corectare a nonconfirmatilor, etapa pentru care se poate apela la un consultant extern şi la un auditor intern. Auditul se repetă fie la cerere fie dupa un interval rezonabil, de exemplu un an.
Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată reţeaua sau numai o parte, procedurile sau întreg planul de securitate) şi având un obiectiv bine definit (de exemplu conformitatea cu standardul).
Auditul se compune din trei etape majore: strângerea de informaţii, evaluarea propriu-zisă şi raportarea.
Cercetarea
Este important ca informaţiile obţinute în această etapă să fie cât mai complete şi reale deoarece ele vor sta la baza tuturor activităţilor ulterioare de audit fiind folosite ca referinţă pentru paşii următori.
Tot acum trebuie documentat şi modul în care reţeaua noastră comunică cu alte reţele. În majoritatea cazurilor avem de-a face cu o conexiune la un ISP care este folosită pentru comunicare cu clienţi şi parteneri şi pentru a căuta informaţii pe internet. Este important să se identifice măsurile de control şi monitorizare a acestor conexiuni şi mai apoi a serviciilor care folosesc conexiunile pentru a putea mai apoi evalua eficienţa acestora.
Deşi la prima vedere pare un fapt bine cunoscut, trebuie identificat punctul unde se „termină” reţeaua locală şi de unde pornesc alte reţele (ISP, partener etc). Măsurile şi controalele, precum şi natura informaţiilor permise în aceste zone sunt diferite, precum şi riscurile asupra elementelor aflate de o parte sau alta a baricadei sunt altele, de aceea nu trebuie trecută cu vederea această informaţie „banală”.
Apoi trebuie să răspundem la întrebarea „care sunt cele mai importante bunuri care trebuie protejate”. În principiu este vorba de anumite informaţii care rezidă pe anumite sisteme (e-mail, ERP, baze de date etc.) sau sunt comunicate prin anumite dispozitive (routere, VPN), dar este foarte important ca acestea să fie identificate de la bun început. Strategiile şi măsurile de protecţie pot fi definite eficient în măsura în care riscurile asociate cu bunurile noastre sunt bine definite şi cuantificate.
După ce au fost identificare bunurile, trebuie văzut cine le poate accesa. Oricine are acces la reţea poate accesa şi acele informaţii confidenţiale? Dacă da, cine are acces la reţea? Cel mai important este să stabilim criteriile pe baza cărora cineva primeşte drept de acces, cum sunt impuse aceste politici şi cum se urmăreşte eficienţa politicilor? Este binecunoscut principiul on a need-to-know basis (are acces numai cine are cu adevărat nevoie), principiu care trebuie aplicat fără excepţie de către orice organizaţie.
În fine, trebuie enumerate şi revizuite metodele de protecţie folosite, inclusiv politici, proceduri şi controale.
Evaluarea
Odată ce informaţiile necesare au fost colectate, auditorul poate începe evaluarea securităţii sistemului informatic. Evident, sunt multe situaţii în care informaţiile colectate nu sunt suficiente sau apare necesitatea pentru un alt set de informaţii. Colectarea informaţiilor şi evaluarea nu trebuie privite ca procese seriale, ne putem întoarce la etapa anterioară în orice moment dacă este nevoie. De fapt, o bună parte din evaluare se face chiar în timpul strângerii informaţiilor.
Trebuie gândit dacă modul în care administratorii au proiectat şi configurat reţeaua şi componentele acesteia îndeplinesc obiectivele propuse (standardul propus, gradul de securitate cerut). De exemplu, un firewall este o considerat un element obligatoriu al unei reţele, şi considerat de către 90% din cazuri ca fiind tot ce e nevoie pentru a ne simţi în siguranţă. Din păcate însă un firewall nu ne protejează de exemplu de viruşi (nu vorbim de firewall-uri avansate care pot trimite spre scanare un email unui server antivirus) sau de „furtul” parolei scrise pe bileţelul de pe monitor. Apoi trebuie să găsim punctele slabe ale sistemului informatic, care nu sunt bine controlate sau chiar deloc, unde pot apărea vulnerabilităţi. De exemplu controlul accesului la modem-uri – una din principalele căi de compromitere a informaţiilor care de obicei nu este luată în seamă. Cheia succesului este să avem tot timpul în vedere cele trei elemente ale securităţii: confidenţialitate, integritate şi disponibilitate.
Raportarea
Dupa ce au fost colectate şi analizate informaţiile, trebuie emise o serie de concluzii. Exista un raport sumar, numita si opinie de audit, in care se mentionează pe scurt concluziile precum si un raport extins în care sunt detaliate toate rezultatele raportate la standardele de referinţă. Concluzile la care s-a ajuns trebuie discutate cu beneficiarul din două motive: intelegerea rezultatelor precum şi confirmarea şi asumarea lor.
De obicei un audit este urmat de un proces de corectare a nonconfirmatilor, etapa pentru care se poate apela la un consultant extern şi la un auditor intern. Auditul se repetă fie la cerere fie dupa un interval rezonabil, de exemplu un an.
Factorul Uman
Atentie la ţepe!
Hotii se folosesc de o sumedenie de metode pentru a intra in posesia unui bun care nu le apartine. Forteaza usa de la intrare, intra pe geam sau fura in tramvai.
Hotii nu fura neaparat bunuri fizice, cum ar fi bani sau televizoare. Uneori fura informatii din computerele noastre. Deseori ii numim hackeri. Ei ne sparg firewall-ul (forteaza usa), ne afla parolele (intra pe geam), captureaza traficul (fura in tramvai).
Una din cele mai folosite metode pentru a afla parole sau pentru a avea access la informatie este asa numitul “deception” (termen original in lb. Engleza; rom: inselaciune, pacalire, impersonare, falsificare, aburire). In principiu, toate aceste metode exploateaza factorul uman, incearca sa se foloseasca de credibilitatea si naivitatea persoanelor neavizate.
Este cunoscut cazul in care primim un email de la o celebra banca prin care ni se cere sa ne verificam datele personale prin completarea unui formular in care apar si numarul contului, numarul cartii de credit etc. Evident este un fals, o minciuna. Adresa web unde este formularul nu este data in clar (desi in campul din browser se poate vedea adresa exacta) iar pagina web seamana foarte mult cu cea a bancii. Victima chiar crede ca banca are nevoie de date pentru a le verifica, completeaza formularul astfel trimitand numarul cartii de credit direct hotului.
Sunt la fel de celebre cazurile in care o persoana este sunata de un asa-zis reprezentant al serviciilor de clienti al unei companii si, sub pretextul unei interventii, afla date personale sau chiar PIN-uri, parole etc. Este ca si cum am da unui necunoscut cheile de la masina.
Imaginati-va urmatorul scenariu: Contabila firmei dumneavoastra primeste un telefon. La capatul celalalt al firului o voce masculina placuta se prezinta ca fiind inginerul de suport tehnic si astazi este randul contabilitatii pentru verificarile periodice ale imprimantelor; pentru asta are nevoie sa stie la ce ora poate interveni la contabilitate, la ce imprimanta tipareste, daca este alb-negru sau color, cate pagini tipareste in medie pe saptamana, cu ce username si cu ce parola tipareste etc. A doua zi intregul sistem contabil este pe butuci (noroc ca exista backup…). De obicei presupunem ca “am fost sparti” si inlocuim firewall-ul dar nu inainte sa-l dam afara pe administratorul de securitate (daca avem unul).
Povestea nu este fictiva! Chair s-a intamplat unei companii, de fapt exista mii de astfel de cazuri.
Se spune ca in orice rau exista un bine. Dupa aflarea adevarului (adevarul a iesit la iveala din intamplare abia dupa o luna) a fost luata decizia de a implementa un set de politici de securitate si de a investi in instruirea si educarea utilizatorilor (care nu este o investitie mare nici ca bani nici ca timp). Acum acea companie are o politica de securitate care include raportarea si investigarea incindentelor de securitate, definirea rolurilor si responsabilitatilor precum si un plan coerent de training. Chiar daca reactiv sau putin tardiv, acea organizatie a invatat din propriile greseli, si a minimizat riscul ca, prin deceptie, sa fie tinta unor alte atacuri.
Lectia invatata este ca tehnologia nu este singurul factor pentru o buna securitate. Utilizatorii care nu stiu cum sa procedeze in anumite situatii, sau care pot fi usor pacaliti reprezinta o bresa la fel de importanta ca un antivirus neactualizat.
Hotii se folosesc de o sumedenie de metode pentru a intra in posesia unui bun care nu le apartine. Forteaza usa de la intrare, intra pe geam sau fura in tramvai.
Hotii nu fura neaparat bunuri fizice, cum ar fi bani sau televizoare. Uneori fura informatii din computerele noastre. Deseori ii numim hackeri. Ei ne sparg firewall-ul (forteaza usa), ne afla parolele (intra pe geam), captureaza traficul (fura in tramvai).
Una din cele mai folosite metode pentru a afla parole sau pentru a avea access la informatie este asa numitul “deception” (termen original in lb. Engleza; rom: inselaciune, pacalire, impersonare, falsificare, aburire). In principiu, toate aceste metode exploateaza factorul uman, incearca sa se foloseasca de credibilitatea si naivitatea persoanelor neavizate.
Este cunoscut cazul in care primim un email de la o celebra banca prin care ni se cere sa ne verificam datele personale prin completarea unui formular in care apar si numarul contului, numarul cartii de credit etc. Evident este un fals, o minciuna. Adresa web unde este formularul nu este data in clar (desi in campul din browser se poate vedea adresa exacta) iar pagina web seamana foarte mult cu cea a bancii. Victima chiar crede ca banca are nevoie de date pentru a le verifica, completeaza formularul astfel trimitand numarul cartii de credit direct hotului.
Sunt la fel de celebre cazurile in care o persoana este sunata de un asa-zis reprezentant al serviciilor de clienti al unei companii si, sub pretextul unei interventii, afla date personale sau chiar PIN-uri, parole etc. Este ca si cum am da unui necunoscut cheile de la masina.
Imaginati-va urmatorul scenariu: Contabila firmei dumneavoastra primeste un telefon. La capatul celalalt al firului o voce masculina placuta se prezinta ca fiind inginerul de suport tehnic si astazi este randul contabilitatii pentru verificarile periodice ale imprimantelor; pentru asta are nevoie sa stie la ce ora poate interveni la contabilitate, la ce imprimanta tipareste, daca este alb-negru sau color, cate pagini tipareste in medie pe saptamana, cu ce username si cu ce parola tipareste etc. A doua zi intregul sistem contabil este pe butuci (noroc ca exista backup…). De obicei presupunem ca “am fost sparti” si inlocuim firewall-ul dar nu inainte sa-l dam afara pe administratorul de securitate (daca avem unul).
Povestea nu este fictiva! Chair s-a intamplat unei companii, de fapt exista mii de astfel de cazuri.
Se spune ca in orice rau exista un bine. Dupa aflarea adevarului (adevarul a iesit la iveala din intamplare abia dupa o luna) a fost luata decizia de a implementa un set de politici de securitate si de a investi in instruirea si educarea utilizatorilor (care nu este o investitie mare nici ca bani nici ca timp). Acum acea companie are o politica de securitate care include raportarea si investigarea incindentelor de securitate, definirea rolurilor si responsabilitatilor precum si un plan coerent de training. Chiar daca reactiv sau putin tardiv, acea organizatie a invatat din propriile greseli, si a minimizat riscul ca, prin deceptie, sa fie tinta unor alte atacuri.
Lectia invatata este ca tehnologia nu este singurul factor pentru o buna securitate. Utilizatorii care nu stiu cum sa procedeze in anumite situatii, sau care pot fi usor pacaliti reprezinta o bresa la fel de importanta ca un antivirus neactualizat.
Cantitate, nu calitate
http://www.pcworld.ro/?page=node&id=10382
Ştire interesantă, nu zic nu. Însă mi se pare evident modul amatoristic în care generează conţinut editorii multor publicaţii online sau offline. Cititi sfârşitul celui de-al treilea paragraf şi veţi înţelege.
Dacă link-ul de ma mai sus nu funcţionează: se foloseşte expresia singurul serviciu sign-on...
Până şi firmele de treduceri au învăţat că single sign on este o expresie care nu se traduce parţial şi mot-a-mot iar video stream nu înseamnă repeziş video. De la editorii unei reviste de specialitate, cu părere de rău, dar am pretenţii mai mari.
Ştire interesantă, nu zic nu. Însă mi se pare evident modul amatoristic în care generează conţinut editorii multor publicaţii online sau offline. Cititi sfârşitul celui de-al treilea paragraf şi veţi înţelege.
Dacă link-ul de ma mai sus nu funcţionează: se foloseşte expresia singurul serviciu sign-on...
Până şi firmele de treduceri au învăţat că single sign on este o expresie care nu se traduce parţial şi mot-a-mot iar video stream nu înseamnă repeziş video. De la editorii unei reviste de specialitate, cu părere de rău, dar am pretenţii mai mari.
Liber la PayPal
Hip-hip ura!
S-a discutat ani de zile pe forumuri, s-au semnat petiţi, s-au scris tone de întrebări la customer support... Iată, PayPal permite utilizatorilor din România accesul la serviciul de plăţi online. deocamdată, românii nu pot decât să trimtă bani, nu să şi primească. Dar este un pas mare înainte, practic de acum ne este mult mai uşor să facem cumpăraturi de pe eBay. Plăţi nu vom putea primi în conturile PayPal, dar nu vă fie ciuda, mai sunt câteva ţari din U.E. care nu pot.
Acoperirea în presa locală: http://www.romanialibera.ro/a95348/romanii-pot-avea-cont-paypal.html
S-a discutat ani de zile pe forumuri, s-au semnat petiţi, s-au scris tone de întrebări la customer support... Iată, PayPal permite utilizatorilor din România accesul la serviciul de plăţi online. deocamdată, românii nu pot decât să trimtă bani, nu să şi primească. Dar este un pas mare înainte, practic de acum ne este mult mai uşor să facem cumpăraturi de pe eBay. Plăţi nu vom putea primi în conturile PayPal, dar nu vă fie ciuda, mai sunt câteva ţari din U.E. care nu pot.
Acoperirea în presa locală: http://www.romanialibera.ro/a95348/romanii-pot-avea-cont-paypal.html
2 kilograme de firewall, vă rog
Securitatea este un termen vehiculat atât de mult în ultimii ani, încât a devenit un termen demonetizat. Orice butic din colţul blocului vinde securitate, ba cu mac, ba cu susan, ba cu gem, astfel încât sărmanul consumator nu mai ştie ce-i aia. Nu va aşteptaţi sa găsiţi mai jos o definiţie, căci vorbim de un termen atât de complex încât nu m-aş hazarda sa ofer una.
Dacă ne uitam într-un dicţionar, vom găsi următoarele definiţii: faptul de a fi la adăpost de orice pericol; sentiment de încredere şi de linişte pe care îl da cuiva absenţa oricărui pericol; protecţie; apărare. Dacă vorbim de securitatea informatică, nu noi trebuie de fapt să fim la adăpost. Cel mai valoros obiect pe care-l putem proteja este informaţia, care este seva oricărei organizaţii. Pe aceasta trebuie să o protejăm, să o punem la adăpost.
Termenul securitate nu are sens scos din context. Informaţiile la care ne referim sunt stocate pe o componentă a unui sistem informatic; acest sistem informatic este de obicei conectat la o reţea; foarte probabil că această reţea să fie conectată la altă reţea sau la internet. Şi de aici pot apărea pericolele: viruşi, DoS/sabotaj , intruziuni etc. Sunt şi pericole care nu au neapărat legătură cu conectivitatea: abuz sau fraudă folosind liniile telefonice, vandalism, furt de laptop-uri sau chiar servere, furt de informaţii de către angajaţi sau scurgeri accidentale de informaţii. Pierderile pot fi considerabile, dar de multe ori nici nu pot fi măsurate, ca de exemplu pierderea credibilităţii unei companii pe piaţă.
Ce înseamnă, de fapt, să protejăm informaţia? Înseamnă să avem grijă ca aceasta să nu încapă pe mâinile unor persoane neautorizate (de exemplu planurile de marketing sau patente/reţete de fabricaţie în mâna concurenţei). Mai înseamnă să avem grijă ca acele informaţii să nu fie distruse sau alterate – deliberat sau nu (de exemplu sa nu fie modificate ştatele de plată de către o persoană neautorizată). Şi nu în ultimul rând trebuie să ne asigurăm ca informaţia este accesibilă la orice oră (de exemplu bazele de date ale contabilităţii). Pe scurt, securitatea informaţiilor este un cumul de măsuri care asigură confidenţialitatea, integritatea şi disponibilitatea informaţiilor.
Însă poate un antivirus (program de securitate, nu?), de unul singur, să ne asigure toate cele 3 principii de mai sus? Mai adăugăm un firewall – e mai bine, dar nu e încă de ajuns... Acestea două nu vor împiedica niciodată un utilizator neinstruit să şteargă – din greşeală – o bază de date pentru care a primit prea multe drepturi.
Am putea spune acum ce nu este securitatea: nu este un antivirus, nu este un firewall, nu este o parola complicată. Este de fapt ceva care conţine toate acestea, dar şi multe altele.
Dacă privim dintr-un alt unghi, securitatea poate fi definită ca un proces care încearcă să pună la adăpost un sistem complex format din trei componente: tehnologia (computere, reţele, servere etc.), procese (modul în care le operăm şi administrăm), şi oamenii (cei care le exploatează). Aceste trei componente pot interacţiona în diverse moduri, de multe ori imprevizibil – atunci apar cele mai mari probleme de securitate.
Tehnologia – aici nu trebuie să ne lansăm in dezbateri aberante, gen Windows vs. Linux, IBM vs. HP etc. Nu exista, nu s-a inventat produsul perfect sau care să facă ce vrem noi. Tehnologia sau produsele pe care le vom folosi trebuie să le alegem în funcţie de ce vrem sa realizăm, de cum (acest cum trebuie să aibă şi un iz de securitate) ne ajută să ne realizăm obiectivele. Nimeni nu o să cumpere un tractor ca şi automobil pentru concediu, oricât de avansat tehnologic este acel tractor. Cum nu există o maşinărie care să fie bună în orice situaţie, nici în IT nu există un panaceu!
Procesele... degeaba avem cel mai performante tehnologii la dispoziţie, dacă nu le exploatăm eficient. Lipsa unei proceduri de management al schimbărilor pentru configuraţii poate transofrma un firewall performant în scurt timp într-un firewall inoperabil. Configurările greşite sau netestate pot de asemenea să facă eforturile noastre inutile. La capitolul procese se încadrează un ISMS (Information Security Management System) – un set de practici, norme, proceduri etc. menite sa conducă la exploatarea cu eficienţă maximă, şi în condiţii de securitate, un sistem informatic.
Oamenii... aici este vorba de cultura oamenilor, de cum sunt ei învăţaţi să preţuiască un bun. Tot aici se încadrează şi educarea personalului, atât în ceea ce priveşte folosirea unui sistem informatic, cât şi despre noţiuni de bază de securitate. O vulnerabilitate comună:utilizatorii scriu parolele pe bileţele lipite pe monitor – acest aspect ţine de cultură, dar care poate fi îndreptat prin educare.
O abordare coerenta a problemei „securitate” trebuie să aibă ca obiectiv asigurarea confidenţialităţii, integrităţii şi disponibilităţii informaţiei, ţinând cont de toate cele trei componente: tehnologie, procese, oameni; dacă abordăm numai una (de obicei tehnologia prin implementarea unor firewall-uri sau IDS-uri), de obicei toată lucrarea este sortită, mai devreme sau mai târziu, eşecului.
În loc de concluzie: securitatea informatică nu se poate cumpăra de la magazin, nu se naşte de la sine – ci trebuie sprijinită în special de către managementul organizaţiei, nu rezistă din inerţie – ci trebuie întreţinută continuu.
Dacă ne uitam într-un dicţionar, vom găsi următoarele definiţii: faptul de a fi la adăpost de orice pericol; sentiment de încredere şi de linişte pe care îl da cuiva absenţa oricărui pericol; protecţie; apărare. Dacă vorbim de securitatea informatică, nu noi trebuie de fapt să fim la adăpost. Cel mai valoros obiect pe care-l putem proteja este informaţia, care este seva oricărei organizaţii. Pe aceasta trebuie să o protejăm, să o punem la adăpost.
Termenul securitate nu are sens scos din context. Informaţiile la care ne referim sunt stocate pe o componentă a unui sistem informatic; acest sistem informatic este de obicei conectat la o reţea; foarte probabil că această reţea să fie conectată la altă reţea sau la internet. Şi de aici pot apărea pericolele: viruşi, DoS/sabotaj , intruziuni etc. Sunt şi pericole care nu au neapărat legătură cu conectivitatea: abuz sau fraudă folosind liniile telefonice, vandalism, furt de laptop-uri sau chiar servere, furt de informaţii de către angajaţi sau scurgeri accidentale de informaţii. Pierderile pot fi considerabile, dar de multe ori nici nu pot fi măsurate, ca de exemplu pierderea credibilităţii unei companii pe piaţă.
Ce înseamnă, de fapt, să protejăm informaţia? Înseamnă să avem grijă ca aceasta să nu încapă pe mâinile unor persoane neautorizate (de exemplu planurile de marketing sau patente/reţete de fabricaţie în mâna concurenţei). Mai înseamnă să avem grijă ca acele informaţii să nu fie distruse sau alterate – deliberat sau nu (de exemplu sa nu fie modificate ştatele de plată de către o persoană neautorizată). Şi nu în ultimul rând trebuie să ne asigurăm ca informaţia este accesibilă la orice oră (de exemplu bazele de date ale contabilităţii). Pe scurt, securitatea informaţiilor este un cumul de măsuri care asigură confidenţialitatea, integritatea şi disponibilitatea informaţiilor.
Însă poate un antivirus (program de securitate, nu?), de unul singur, să ne asigure toate cele 3 principii de mai sus? Mai adăugăm un firewall – e mai bine, dar nu e încă de ajuns... Acestea două nu vor împiedica niciodată un utilizator neinstruit să şteargă – din greşeală – o bază de date pentru care a primit prea multe drepturi.
Am putea spune acum ce nu este securitatea: nu este un antivirus, nu este un firewall, nu este o parola complicată. Este de fapt ceva care conţine toate acestea, dar şi multe altele.
Dacă privim dintr-un alt unghi, securitatea poate fi definită ca un proces care încearcă să pună la adăpost un sistem complex format din trei componente: tehnologia (computere, reţele, servere etc.), procese (modul în care le operăm şi administrăm), şi oamenii (cei care le exploatează). Aceste trei componente pot interacţiona în diverse moduri, de multe ori imprevizibil – atunci apar cele mai mari probleme de securitate.
Tehnologia – aici nu trebuie să ne lansăm in dezbateri aberante, gen Windows vs. Linux, IBM vs. HP etc. Nu exista, nu s-a inventat produsul perfect sau care să facă ce vrem noi. Tehnologia sau produsele pe care le vom folosi trebuie să le alegem în funcţie de ce vrem sa realizăm, de cum (acest cum trebuie să aibă şi un iz de securitate) ne ajută să ne realizăm obiectivele. Nimeni nu o să cumpere un tractor ca şi automobil pentru concediu, oricât de avansat tehnologic este acel tractor. Cum nu există o maşinărie care să fie bună în orice situaţie, nici în IT nu există un panaceu!
Procesele... degeaba avem cel mai performante tehnologii la dispoziţie, dacă nu le exploatăm eficient. Lipsa unei proceduri de management al schimbărilor pentru configuraţii poate transofrma un firewall performant în scurt timp într-un firewall inoperabil. Configurările greşite sau netestate pot de asemenea să facă eforturile noastre inutile. La capitolul procese se încadrează un ISMS (Information Security Management System) – un set de practici, norme, proceduri etc. menite sa conducă la exploatarea cu eficienţă maximă, şi în condiţii de securitate, un sistem informatic.
Oamenii... aici este vorba de cultura oamenilor, de cum sunt ei învăţaţi să preţuiască un bun. Tot aici se încadrează şi educarea personalului, atât în ceea ce priveşte folosirea unui sistem informatic, cât şi despre noţiuni de bază de securitate. O vulnerabilitate comună:utilizatorii scriu parolele pe bileţele lipite pe monitor – acest aspect ţine de cultură, dar care poate fi îndreptat prin educare.
O abordare coerenta a problemei „securitate” trebuie să aibă ca obiectiv asigurarea confidenţialităţii, integrităţii şi disponibilităţii informaţiei, ţinând cont de toate cele trei componente: tehnologie, procese, oameni; dacă abordăm numai una (de obicei tehnologia prin implementarea unor firewall-uri sau IDS-uri), de obicei toată lucrarea este sortită, mai devreme sau mai târziu, eşecului.
În loc de concluzie: securitatea informatică nu se poate cumpăra de la magazin, nu se naşte de la sine – ci trebuie sprijinită în special de către managementul organizaţiei, nu rezistă din inerţie – ci trebuie întreţinută continuu.
miercuri, 16 mai 2007
Solutii integrate: ce integram?
Sunt indiscutabile avantajele pe care le aduce unei companii o solutie integrata. Cat de mari sunt avantajele ? - depinde de modelul de integrare, sau mai bine zis integram pe cine cu ce?
Traditional se integreaza serviciile esentiale unei companii : gestiunea si contabiltatea, resursele umane, productia si stocurile etc. Insa sunt si alte entitati cu care putem integra sistemul nostru: partenerii, furnizorii, clientii etc.
Este benefic ca un distribuitor al unui depozit sa poata face comenzile on-line, prin intermediul propriului sistem ERP. Clientii vor fi mai atrasi daca pot consulta situatia politelor de asigurare si primele datorate unei companii de asigurari prin intermediul internetului.
Nu in ultimul rand trebuie luate in considerare posibilele schimbari care pot aparea in structura unei companii: fuziunile sau achizitiile.
Scenariul clasic este fuziunea intre doua companii, fie acestea banci sau giganti industriali. Pe parcursul fuziunii trebuie integrate si sistemele informatice, cu precadere sistemele care suporta business-ul – de exemplu doua ERP-uri. In practica, acest lucru este atat de dificil incat este catalogat drept imposibil. In cazul acesta se poate recurge la asimilare proceselor in unul din sisteme sau la o solutie de integrare. Care dintre solutii este mai buna? Depinde de la caz la caz.
Cazul 1: itegrarea directa. Este cel mai putin probabil scenariu. Se poate atunci cand cele doua sisteme informatice sunt 100% compatibile unul cu celalalt, adica sa fie practic produs de acelasi furnizor. Avand in vedere pleiada de solutii existente si gradul de customizare, aceste situatii sunt cu adevarat rara avis.
Cazul 2: integrare prin remodelarea implementarii. Adica unul din sisteme este mulat pe principiul de functionare al celui de-al doilea. Trebuie facuta o analiza serioasa a costurilor acestei remodelari, va trebui sa ne asteptam la ordine de marime similare unei implementari.
Cazul 3: integrare interna. Cele doua solutii sunt facute sa comunice prin modificarea interfetelor de comunicare, adica una din ele este “convinsa” sa vorbeasca limbajul celeilalte. Costurile sunt mai mici decat la remodelare, insa overheadul si dependenta de un furnizor de servicii de programare este mult mai mare, aici fiind vorba de cate un miniproiect de dezvoltare pentru fiecare tip de tranzactie. Un caz particular al acestei solutii este cand avem de-aface cu solutii open-source, cu interfete standardizate si accesibile.
Cazul 4: integrarea prin intermediul unei solutii dedicate. Practic, intre cele doua sisteme se introduce un al treilea, cu rol de translator. Sistemul de integrare va avea interfete cu fiecare sistem, pentru fiecare tip de tranzactie, iar prin intermediul unei logici pe care o definim tranzactiile vor fi rutate de la un sistem la altul. Avantajul acestei solutii este ca nu trebuie sa aducem nici o modifcare nici unui sistem si nici utilizatorii nu vor simti nici o schimbare. Dezavantajul este ca se maresc costurile de intretinere si operare prin introducerea sistemului de integrare.
Cazul radical: se elimina unul din sisteme. Este un caz radical, se poate aplica cand nici o alta solutie nu va functiona. Dar este si cel mai greu de planificat, din cauza impactului asupra business-ului si a timpilor de preluare.
Evident, ficare modalitate are propriile costuri. Trebuie acordata o atentie sporita costurilor mai putin directe, cum ar fi costurile cu instruirea utilizatorilor pentru a folosi o solutie noua, costurile de securizare sau costurile de extindere/scalare sau implementare facilitati noi.
Este normal ca in timpul procesului se selectie, sa se incline balanta catre o optiune, apoi catre cealalata si asa mai departe. Un caz recent este cel al unei companii din sectorul financiar care a decis sa implementeze un sistem integrat. Initial a dezvoltat intern unele aplicatii componente, pe langa cele de tip ERP deja existente, apoi a decis implementarea unui nou sistem de la zero, dupa care a dorit sa implementeze un sistem de integrare care sa “lege” multitudinea de aplicatii, pentru ca in final sa revina la implementarea de la zero. Este un traseu oarecum normal avand in vedere importanta deciziei si impactul rezultatului. Consultantul va juca aici un rol hotarator, putandu-se aborda o solutie eficienta numai dupa o analiza coerenta asupra situatiei existente si asupra rezultatelor dorite.
Traditional se integreaza serviciile esentiale unei companii : gestiunea si contabiltatea, resursele umane, productia si stocurile etc. Insa sunt si alte entitati cu care putem integra sistemul nostru: partenerii, furnizorii, clientii etc.
Este benefic ca un distribuitor al unui depozit sa poata face comenzile on-line, prin intermediul propriului sistem ERP. Clientii vor fi mai atrasi daca pot consulta situatia politelor de asigurare si primele datorate unei companii de asigurari prin intermediul internetului.
Nu in ultimul rand trebuie luate in considerare posibilele schimbari care pot aparea in structura unei companii: fuziunile sau achizitiile.
Scenariul clasic este fuziunea intre doua companii, fie acestea banci sau giganti industriali. Pe parcursul fuziunii trebuie integrate si sistemele informatice, cu precadere sistemele care suporta business-ul – de exemplu doua ERP-uri. In practica, acest lucru este atat de dificil incat este catalogat drept imposibil. In cazul acesta se poate recurge la asimilare proceselor in unul din sisteme sau la o solutie de integrare. Care dintre solutii este mai buna? Depinde de la caz la caz.
Cazul 1: itegrarea directa. Este cel mai putin probabil scenariu. Se poate atunci cand cele doua sisteme informatice sunt 100% compatibile unul cu celalalt, adica sa fie practic produs de acelasi furnizor. Avand in vedere pleiada de solutii existente si gradul de customizare, aceste situatii sunt cu adevarat rara avis.
Cazul 2: integrare prin remodelarea implementarii. Adica unul din sisteme este mulat pe principiul de functionare al celui de-al doilea. Trebuie facuta o analiza serioasa a costurilor acestei remodelari, va trebui sa ne asteptam la ordine de marime similare unei implementari.
Cazul 3: integrare interna. Cele doua solutii sunt facute sa comunice prin modificarea interfetelor de comunicare, adica una din ele este “convinsa” sa vorbeasca limbajul celeilalte. Costurile sunt mai mici decat la remodelare, insa overheadul si dependenta de un furnizor de servicii de programare este mult mai mare, aici fiind vorba de cate un miniproiect de dezvoltare pentru fiecare tip de tranzactie. Un caz particular al acestei solutii este cand avem de-aface cu solutii open-source, cu interfete standardizate si accesibile.
Cazul 4: integrarea prin intermediul unei solutii dedicate. Practic, intre cele doua sisteme se introduce un al treilea, cu rol de translator. Sistemul de integrare va avea interfete cu fiecare sistem, pentru fiecare tip de tranzactie, iar prin intermediul unei logici pe care o definim tranzactiile vor fi rutate de la un sistem la altul. Avantajul acestei solutii este ca nu trebuie sa aducem nici o modifcare nici unui sistem si nici utilizatorii nu vor simti nici o schimbare. Dezavantajul este ca se maresc costurile de intretinere si operare prin introducerea sistemului de integrare.
Cazul radical: se elimina unul din sisteme. Este un caz radical, se poate aplica cand nici o alta solutie nu va functiona. Dar este si cel mai greu de planificat, din cauza impactului asupra business-ului si a timpilor de preluare.
Evident, ficare modalitate are propriile costuri. Trebuie acordata o atentie sporita costurilor mai putin directe, cum ar fi costurile cu instruirea utilizatorilor pentru a folosi o solutie noua, costurile de securizare sau costurile de extindere/scalare sau implementare facilitati noi.
Este normal ca in timpul procesului se selectie, sa se incline balanta catre o optiune, apoi catre cealalata si asa mai departe. Un caz recent este cel al unei companii din sectorul financiar care a decis sa implementeze un sistem integrat. Initial a dezvoltat intern unele aplicatii componente, pe langa cele de tip ERP deja existente, apoi a decis implementarea unui nou sistem de la zero, dupa care a dorit sa implementeze un sistem de integrare care sa “lege” multitudinea de aplicatii, pentru ca in final sa revina la implementarea de la zero. Este un traseu oarecum normal avand in vedere importanta deciziei si impactul rezultatului. Consultantul va juca aici un rol hotarator, putandu-se aborda o solutie eficienta numai dupa o analiza coerenta asupra situatiei existente si asupra rezultatelor dorite.
De ce ar trebui sa facem ceea ce nu facem
1. Nu facem backup
Pentru ca se intampla. Se intampla sa se defecteze HDD-ul, se intampla sa se fure laptop-uri, se intampla sa suprascriem fisiere. De fapt, cel mai des restaurez de pe backup pentru ca am suprascris din greseala un fisier….
Backup-ul putem sa-l facem pe CD, DVD, alt computer din retea etc. Nu trebuie sa ne cramponam ca nu avem unitate de banda. Bine, pentru retele mari, unde volumul dedate este mare si nu putem intrerupe munca in timpul zilei atunci o solutie profesionala este obligatorie, insa pentu retele mici (1-5, chiar si pana in 10) si cu buget mic putem folosi orice mediu disponibil. Nu uitati, backup-ul este OBLIGATORIU!
2. Ok, dar chiar dace facem backup, nu il testam. Nicodata
Si pe urma ne trezim cand facem restore ca nu s-a scris, ca nu copiat si log-urile Exchange, ca nu am inclus system restore sau pur si simplu ceva nu e OK. Nu numai integritatea fisierelor trebuie testata, ci modul cum se restaureaza datele. Daca facem backup la Exchange de exemplu, este obligatoriu sa testam procedura de backup, de cele mai multe ori teoria pe care o stim nu se aplica in practica. Este valabil pentru orice sistem la care facem backup.
3. Nu verificam daca s-a facut update la antivirus
Teoretic el se face. Dar daca nu s-a facut. Ne permitem o infectie? Stiu, si eu urasc sa fac treaba asta, mai ales ca folosesc un notebook care nu este tot timpul conectat la reteaua companiei, si fac update din internet. In implementarile corporate, update-ul se face centralizat, acolo ne putem baza intr-o oarecare masura pe administratorul solutie AV. Eu unul verific cam de doua ori pe saptamana cand s-a facut ultimul update. Daca nu s-a facut nici unul in ultimele (max) 2 zile atunci il fac obligatoriu manual.
4. Nu folosim anti-spyware.
Dupa parerea mea probabilitatea sa ne molipsim cu o astfel de „dracovenie” este mult mai mare decat infectia cu un virus. Acest fapt este verificat, nu dureaza mai mult de 30 minute de navigare de pe un sistem proaspat instalat si vom avea 3-4 astfel de spyware, ne tot dau peste mana cand ne e lumea mai draga.
5. Nu testam update-urile inainte sa le punem pe servere. Asta daca le punem
Sa presupunem ca totusi le punem. Am vazut nenumarate cazuri in care din cauza unui patch nu a mai functionat o aplicatie critica. La fel in cazul service pack-urilor. Este adevarat ca testarea lor amana aplicarea, insa trebuie decis ce este mai important: prelungirea expunerii la acea vulnerabilitate (a se lua in calcul probabilitatea si impactul) sau buna functionarea a sistemului informatic. Cel mai indicat este ca in cazul sistemelor critice, testarea sa fie facuta impreuna cu producatorul/furnizorul, care poate ajuta si in cazul in care exista incompatibilitati.
6. Nu cerem ajutor
Trebuie sa recunoastem, nu suntem cei mai destepti. De multe ori insa orgoliul este prea mare si pierdem timp pretios sapand dupa posibile rezolvari. Este foarte probabil ca o problema aparent complicata sa aiba o solutie extrem de simpla iar noi sa nu vedem copacii din cauza padurii. Eu de multe ori am economisit o gramada te timp doar pentru ca unul din amicii mei fie mai daduse peste aceeasi problema, fie a gasit solutia in 2 timpi si trei miscari pentru ca nu era ingropat in context, putea sa vada asamblul.
7. Nu citim eroarea sau mesajul inainte sa dam OK
Chiar trebuie sa explic? Ok, in afara de motivele clasice, mi s-a intamplat de cateva ori ca in situatii aparent identice, mesajele sa fie diferite. Textul erorii, si o interpretare corecta, ne duce cu doi pasi mai aproape de solutie.
8. Nu ne schimbam parola
De fapt cel mai rau este sa avem aceeasi parola pentru logon la reteaua de la servici, la calculatorul de acasa, la Yahoo si la situl de job-uri. Este faoarte usor de compromis o parola, de exemplu din cache-ul lasat de Yahoo sau din bazele de date ale unui site unde parola este in clar. Deci, nu folositi aceeasi parola, schimbati-o periodic (cred ca 2 luni este un interval rezonabil).
9. Nu folosim HELP
In help gasim instructiuni, exemple, raspunsuri la mai mult de jumatate din problemele pe care le intalnim in timpul exploatarii normale ale unui program. Si mai multe informatii ne sunt puse la dispozitie de alte resurse: Knowledge Base, Resource Kit-uri, forum-uri, comunitati de specialisti etc. Help-ul unei aplicatii este primul loc unde caut informatii cand am nevoie, este cel mai la indemana si cel mai rapid.
10. Nu ne informam
Trebuie sa o facem pentru ca altfel ramanem in urma, „pe dinafara”, nu mai intelegem subiectele discutate la diverse intalniri etc. Trebuie sa fim la curent cu noutatile in domeniu, de la tehnologii la produse, trend-uri si chiar si preturi. Resursele sunt teoretic infinite pe Internet, care pentru multi din noi este teoretic gratis.
Pentru ca se intampla. Se intampla sa se defecteze HDD-ul, se intampla sa se fure laptop-uri, se intampla sa suprascriem fisiere. De fapt, cel mai des restaurez de pe backup pentru ca am suprascris din greseala un fisier….
Backup-ul putem sa-l facem pe CD, DVD, alt computer din retea etc. Nu trebuie sa ne cramponam ca nu avem unitate de banda. Bine, pentru retele mari, unde volumul dedate este mare si nu putem intrerupe munca in timpul zilei atunci o solutie profesionala este obligatorie, insa pentu retele mici (1-5, chiar si pana in 10) si cu buget mic putem folosi orice mediu disponibil. Nu uitati, backup-ul este OBLIGATORIU!
2. Ok, dar chiar dace facem backup, nu il testam. Nicodata
Si pe urma ne trezim cand facem restore ca nu s-a scris, ca nu copiat si log-urile Exchange, ca nu am inclus system restore sau pur si simplu ceva nu e OK. Nu numai integritatea fisierelor trebuie testata, ci modul cum se restaureaza datele. Daca facem backup la Exchange de exemplu, este obligatoriu sa testam procedura de backup, de cele mai multe ori teoria pe care o stim nu se aplica in practica. Este valabil pentru orice sistem la care facem backup.
3. Nu verificam daca s-a facut update la antivirus
Teoretic el se face. Dar daca nu s-a facut. Ne permitem o infectie? Stiu, si eu urasc sa fac treaba asta, mai ales ca folosesc un notebook care nu este tot timpul conectat la reteaua companiei, si fac update din internet. In implementarile corporate, update-ul se face centralizat, acolo ne putem baza intr-o oarecare masura pe administratorul solutie AV. Eu unul verific cam de doua ori pe saptamana cand s-a facut ultimul update. Daca nu s-a facut nici unul in ultimele (max) 2 zile atunci il fac obligatoriu manual.
4. Nu folosim anti-spyware.
Dupa parerea mea probabilitatea sa ne molipsim cu o astfel de „dracovenie” este mult mai mare decat infectia cu un virus. Acest fapt este verificat, nu dureaza mai mult de 30 minute de navigare de pe un sistem proaspat instalat si vom avea 3-4 astfel de spyware, ne tot dau peste mana cand ne e lumea mai draga.
5. Nu testam update-urile inainte sa le punem pe servere. Asta daca le punem
Sa presupunem ca totusi le punem. Am vazut nenumarate cazuri in care din cauza unui patch nu a mai functionat o aplicatie critica. La fel in cazul service pack-urilor. Este adevarat ca testarea lor amana aplicarea, insa trebuie decis ce este mai important: prelungirea expunerii la acea vulnerabilitate (a se lua in calcul probabilitatea si impactul) sau buna functionarea a sistemului informatic. Cel mai indicat este ca in cazul sistemelor critice, testarea sa fie facuta impreuna cu producatorul/furnizorul, care poate ajuta si in cazul in care exista incompatibilitati.
6. Nu cerem ajutor
Trebuie sa recunoastem, nu suntem cei mai destepti. De multe ori insa orgoliul este prea mare si pierdem timp pretios sapand dupa posibile rezolvari. Este foarte probabil ca o problema aparent complicata sa aiba o solutie extrem de simpla iar noi sa nu vedem copacii din cauza padurii. Eu de multe ori am economisit o gramada te timp doar pentru ca unul din amicii mei fie mai daduse peste aceeasi problema, fie a gasit solutia in 2 timpi si trei miscari pentru ca nu era ingropat in context, putea sa vada asamblul.
7. Nu citim eroarea sau mesajul inainte sa dam OK
Chiar trebuie sa explic? Ok, in afara de motivele clasice, mi s-a intamplat de cateva ori ca in situatii aparent identice, mesajele sa fie diferite. Textul erorii, si o interpretare corecta, ne duce cu doi pasi mai aproape de solutie.
8. Nu ne schimbam parola
De fapt cel mai rau este sa avem aceeasi parola pentru logon la reteaua de la servici, la calculatorul de acasa, la Yahoo si la situl de job-uri. Este faoarte usor de compromis o parola, de exemplu din cache-ul lasat de Yahoo sau din bazele de date ale unui site unde parola este in clar. Deci, nu folositi aceeasi parola, schimbati-o periodic (cred ca 2 luni este un interval rezonabil).
9. Nu folosim HELP
In help gasim instructiuni, exemple, raspunsuri la mai mult de jumatate din problemele pe care le intalnim in timpul exploatarii normale ale unui program. Si mai multe informatii ne sunt puse la dispozitie de alte resurse: Knowledge Base, Resource Kit-uri, forum-uri, comunitati de specialisti etc. Help-ul unei aplicatii este primul loc unde caut informatii cand am nevoie, este cel mai la indemana si cel mai rapid.
10. Nu ne informam
Trebuie sa o facem pentru ca altfel ramanem in urma, „pe dinafara”, nu mai intelegem subiectele discutate la diverse intalniri etc. Trebuie sa fim la curent cu noutatile in domeniu, de la tehnologii la produse, trend-uri si chiar si preturi. Resursele sunt teoretic infinite pe Internet, care pentru multi din noi este teoretic gratis.
Hop şi eu
Eu de ce nu? Adică toată lumea poate şi eu nu? De fapt nu ştiu dacă toată lumea poate. Dar eu pot! Pot să blog.
Mă plimbam pe internet şi mă distram citind tot felul de articole, în general prost scrise, despre evenimente stupide legate de referendum (demiterea preşedintelui Traian Băsescu). Şi am ajuns pe situl PSD. Ce să vezi, d-l Mircea Geoană are blog! Conţinutul acestuia este limpede. Nu sunt un fan al personalităţilor politice aşa că nu am să copiez adresa aici.
Brusc mă întreb cât de mult timp îşi ocupa d-l Geoană cu acest blog. Încerc să mi-l imaginez de M.G. cum, între două întâlniri privind un nou proiect de lege şi strategia partidului, scoţându-şi notebook-ul, tastând grăbit un nou post, rugând şoferul sa treacă pe lângă o cafenea care are hotspot şi bang! - spaţiul internet beneiciază de încă o bucată de conţinut original.
Hmmm... ceva nu se leagă. O altă posibilitate: http://www.dilbert.com/comics/dilbert/archive/dilbert-20070426.html (nu va fi diponibil după 2 iulie 2007).
Bun. Să-l lăsăm pe M.G. la o parte.
Deci vreau să-mi fac şi eu blog. Ce o să scriu oare... Tema majoră va fi securitatea informaţiilor, domeniu în care am acumulat ceva experienţă. Dacă aveţi un subiect pe care doriţi să îl dezvolt, scrieţi-mi la mihai.petrov@gmail.com
Dar iată că deja am scris un prim post. Aha.... am blog! Pam-pam!
Mă plimbam pe internet şi mă distram citind tot felul de articole, în general prost scrise, despre evenimente stupide legate de referendum (demiterea preşedintelui Traian Băsescu). Şi am ajuns pe situl PSD. Ce să vezi, d-l Mircea Geoană are blog! Conţinutul acestuia este limpede. Nu sunt un fan al personalităţilor politice aşa că nu am să copiez adresa aici.
Brusc mă întreb cât de mult timp îşi ocupa d-l Geoană cu acest blog. Încerc să mi-l imaginez de M.G. cum, între două întâlniri privind un nou proiect de lege şi strategia partidului, scoţându-şi notebook-ul, tastând grăbit un nou post, rugând şoferul sa treacă pe lângă o cafenea care are hotspot şi bang! - spaţiul internet beneiciază de încă o bucată de conţinut original.
Hmmm... ceva nu se leagă. O altă posibilitate: http://www.dilbert.com/comics/dilbert/archive/dilbert-20070426.html (nu va fi diponibil după 2 iulie 2007).
Bun. Să-l lăsăm pe M.G. la o parte.
Deci vreau să-mi fac şi eu blog. Ce o să scriu oare... Tema majoră va fi securitatea informaţiilor, domeniu în care am acumulat ceva experienţă. Dacă aveţi un subiect pe care doriţi să îl dezvolt, scrieţi-mi la mihai.petrov@gmail.com
Dar iată că deja am scris un prim post. Aha.... am blog! Pam-pam!
Abonați-vă la:
Postări (Atom)