Ovih dana formaliziraju se finalne aktivnosti oko sudjelovanja na INFOSEK 2009 konferenciji u Novoj Gorici u Sloveniji.
Prvo predavanje trebao bih održati prvi konferencijski dan, 19.11.2009, s naslovom “Intricacies of integral security in upstream oil and gas sector” a drugo 20.11.2009 s naslovom “Forensic computer crime proceedings of ICT court experts and legislative requirements - Croatian experience”. Još se čeka predložak za izradu PowerPoint prezentacije, a kao i inače, poslije konferencije, bit će objavljeni na ovim stranicama u sekciji pod “Radovi“.
Apple iPhone nije baš “preopterećen” naprednim sigurnosnim rješenjima. Propusti u sigurnosnim značajkama i korištenje jednostavnih tehničkih rješenja u neku ruku olakšavaju rad forenzičkim istražiteljima. Ovaj video koji traje oko 10 minuta objašnjava postupak forenzičke analize iPhonea koji je zaštićen lozinkom a bez crackiranja iste - sve tehnike koje se na video isječku koriste definitivno spadaju u tzv. etičko hakiranje. Iste metode koje koristi istražitelj može koristiti i maliciozni hacker ili osoba koja ima fizički pristup iPhoneu, a djelomično i preko WiFi mreže. Zanimljivo je da se niz podataka nalazi na iPhoneu u nekriptiranom string obliku što olakšava dalju analizu. U svakom slučaju, ovakav nepotpuni pristup informacijskoj sigurnosti od strane proizvođača olakšava rad i forenzičarima i hakerima. Na samom kraju video clipa, forenzičar iznosi tvrdnju kako po njegovom mišljenju iPhone definitivno nije “enterprise grade” uređaj koji bi bio podesan za uporabu od strane vladinih tijela ili u korporativnom okruženju sa čime se može u potpunosti složiti.
“Trećina kompanija u sektoru tehnologije, medija i telekomunikacija (TMT) na globalnoj razini značajno je smanjila svoja ulaganja u informacijsku sigurnost, a čak 60 posto tek “hvata korak” s rastućim prijetnjama po sigurnost, ističe treće globalno istraživanje o sigurnosti u TMT tvrtkama konzultantsko-revizorske tvrtka Deloitte.
S druge strane, čak 41 posto tvrtki u proteklih je godinu dana doživjelo interno kršenje informacijske sigurnosti. Ovogodišnji rezultati pokazuju da razina IT sigurnosti u svijetu značajno zaostaje za prošlogodišnjom, navodi se u Deloittovom priopćenju. Samo mali dio (6 posto) ispitanika obuhvaćenih istraživanjem posvećuje oko 7 posto ukupnog budžeta za IT sigurnost. Riječ je o značajnom smanjenju u odnosu na prošlu godinu, kad je takav postotak izdvajalo čak 36 posto kompanija.
Istraživanje ističe da pad ulaganja u sigurnost usporava prihvaćanje novih sigurnosnih tehnologija. Tvrtke se danas radije koncentriraju na optimiziranje već postojećih rješenja nego da investiraju u najsuvremeniju tehnologiju od
koje će imati koristi tek tijekom očekivanog ekonomskog oporavka.
Deloitte je, usporedo s globalnim, proveo i analizu IT sigurnosti u hrvatskom TMT sektoru. “Jedan od problema hrvatskog TMT sektora jest u tome što ne postoji struktura i organizacija upravljanja IT sigurnošću. Većina tvrtki nije uspostavila funkciju voditelja sigurnosti. Osobe zadužene za informacijsku sigurnost još uvijek često odgovaraju voditelju IT odjela, dok je u svijetu trend da takvi stručnjaci odgovaraju direktno upravi tvrtke. Informacijska i fizička sigurnost nisu prošle kroz proces konvergencije, odnosno ne postoji centralizirano upravljanje sigurnošću koje bi objedinjavalo ova dva procesa. U Hrvatskom TMT sektoru, također za razliku od svjetskih trendova, upravljanje sigurnošću još je uvijek uglavnom decentralizirano”, ističe Hrvoje Somun, viši menadžer u Odjelu za upravljanje rizicima u Deloitteu.
Iako društvene mreže na internetu i blogovi mogu biti korisni alati, oni povećavaju opasnost po internu sigurnost kompanija, nadalje se navodi u priopćenju. Čak 80 posto ispitanika smatra da je njihova tvrtka podložnija narušavanju informacijske sigurnosti zbog korištenja Weba 2.0, ali i tehnologija kao što su pretexting i phishing. Nadalje, generacijske razlike znatno utječu i na percepciju privatnosti. Mlađe generacije rado razmjenjuju razne vrste informacija, čime mogu nehotično odati osjetljive informacije o vlastitoj tvrtki. Zbog toga se danas svega 28 posto ispitanika smatra “vrlo sigurnim” u vezi internih prijetnji po informacijsku sigurnost, za razliku od prošlogodišnjih 51 posto, pokazalo je istraživanje. Tvrtke u TMT sektoru suočene su i s porastom regulatornih zahtjeva u vezi informacijske sigurnosti, čije nepoštivanje može tvrtku skupo stajati. Međutim, 67 posto ispitanika smatra da su regulatorni sigurnosni zahtjevi tek “donekle učinkoviti” te da i dalje nedostaje podrška višeg menadžmenta u njihovu provođenju. (pd)
“
Analiza financijskih pokazatelja vodećih hrvatskih tvrtki na području fizičke, logičke i integralne sigurnosti - ako se tako može reći s obzirom na izrazito malo tržište, cjelokupnost sektora i ukupni prihod čitavog sektora - pokazuje kako je ostvareni prihod u 2008 godini bio 20 do 60 % veći nego 2007 godine, pri čemu su manje tvrtke uglavnom zahvaljujući pozicioniranju ostvarile veće stope rasta.
Međutim, s obzirom na rečeno u članku i subjektivni osjećaj pri promatranju tržišta, zasigurno će biti zanimljivo sljedeće godine u ovo doba analizirati iste pokazatelje.
Ovdje možete vidjeti dvije datoteke koje na vrlo jednostavan i pristupačan način objašnjavaju metodološki pristup analize i upravljanja rizikom u ICT projektima. Iako mnogi konzultanti predstavljaju problematiku vrlo kompleksnom, ona to u svojoj suštini nije. No, činjenica je da je prava umjetnost u složenim sustavima adekvatno popisati nomenklaturu svih rizika i naći osobu u organizaciji koja želi prihvatiti taj rizik, prenijeti ga na treću stranku ili financirati (sponzorirati) uklanjanje rizika, uključujući i one situacije kada te iste osobe naručuju studiju analize rizika (sama Uprava!). Nadalje, upravljanje rizikom nije inherentno kvantitativna metoda, no rezultat bi trebao biti kvantitativno iskaziv. Samo iskustvo implementatora i dobra baza statističkih podataka pondera i težinskih faktora omogućit će i adekvatne numeričke rezultate ove aktivnosti.
Naposlijetku, u skladu s poznatom izrekom kako u svakoj opasnosti leži nova prilika, rizici osim negativnih mogu imati i pozitivne ishode. Stoga se u metodologiji upravljanja rizikom promatraju ne samo aspekti nastupa događaja koji mogu imati negativan utjecaj na izvođenje projekta i postizanje cilja već i oni koji predstavljaju novu priliku ili neočekivano poboljšanje ili lakše/brže/kvalitetnije/jeftinije dostizanje zadanog cilja.
Da li je korporativna kultura u Vašim organizacijama organizirana na sličnim principima kao u Netflix-u? Prezentacija je poduža no isplati se pogledati svima koji aktivno upravljaju svojom karijerom a osobito profesionalcima iz HR službi.
Moram priznati da ne poznajem niti jednu organizaciju (poduzeće, instituciju) u Republici Hrvatskoj koja bi bila na tragu ovakvog sustava odnosa prema ljudskim resursima, eventualno jedna ili dvije tvrtke u Zagrebu u stranom vlasništvu su u nekim elementima razvoja korporativne kulture i identiteta nešto naprednije od ostalih.
Što se zapravo može kupiti u IT svijetu (i periferiji istoga) s 10 milijuna EUR? Da li je to puno novca?
u Hrvatskoj se prodavaču u trgovini ICT hardverom obično ponudi plaća oko 4000 Kn bruto ili 3000 Kn neto. Dakle, godišnje oko 6600 EUR. Za 10 milijuna EUR moguće je angažirati 1515 man-yearova ICT prodavača
ICT tehničar opće namjene obično ima plaću oko 6400 Kn bruto ili 4500 Kn neto. Godišnje se radi o 10500 EUR. Za 10 milijuna EUR moguće je angažirati 952 man-yeara ICT tehničara
ICT specijalist s desetljetnim stažem, interni konzultant ili specijalist ICT grane s magisterijem može se angažirati već za 12000 Kn bruto ili 8000 Kn neto, odnosno godišnje oko 20.000 EUR. Za 10 milijuna EUR moguće je angažirati 500 man-yearova magistara ICTa
ICT manager ili direktor ICT poslova varira u plaći, no ako se radi o velikim sustavima i dioničkim društvima, obično se radi o iznosu do 15.000 Kn neto ili oko 25.000 Kn bruto, tj. godišnje 41.000 EUR. U 10 milijuna EUR “stane” 243 direktor-godina ICT poslova
18180 sudskih vještačenja prosječne kompleksnosti iz područja informatike i telekomunikacija
godišnji proračun za ICT u neracionalno vođenim ICT odjelima drugog, trećeg ili četvrtog grada po veličini u Republici Hrvatskoj lako bi mogao dostići oko 1,000.000 EUR, dakle, za 10 milijuna EUR moguće je pokriti kapitalne i operativne troškove na rok od oko deset godina
s milijun EUR godišnje moguće je pokriti godinu do dvije kapitalnih i operativnih troškova te troškova plaća ICT odjela u business unitu korporacije koja obavlja svoj posao na globalnom tržištu i ima 400-500 zaposlenih. Dakle, s deset milijuna EUR moguće je to činiti pet do deset godina
cijena ISO 27001 certifikacije za veće sustave lokalne samouprave te srednje korporativne sustave u manjem opsegu u globalu se u Hrvatskoj danas naplaćuje od 100 do 500.000 Kn. Dakle, za 10 milijuna EUR moguće je certificirati od 150 do 700 takvih sustava
neke od najpoznatijih manjih hrvatskih tvrtki na području logičke ICT sigurnosti s jednim do deset zaposlenih imaju ukupni godišnji promet koji se kreće od 500.000 Kn do 1,000.000 Kn. Deset milijuna EUR pokriva 70 do 150 godina prometa jedne takve tvrtke
veće hrvatske tvrtke koje se bave integralnom sigurnošću s više desetaka zaposlenih i imaju lukrativne ugovore s državom imaju ukupni promet do 10 milijuna kuna godišnje, u deset milijuna EUR stane 6-7 godina njihovog ukupnog prometa
jedan cloud data center s milijun jezgri košta oko 1 milijun EUR, dakle moglo bi ih se nekako nabaviti desetak
Prema tome, 10 milijuna EUR može se smatrati malom, osrednjom ili većom količinom novca, no u svakom slučaju, olakotnu okolnost, ukoliko se smatra većom količinom novca, čini činjenica kako se financira iz sredstava koja se u Republici Hrvatskoj smatraju ničijima, odnosno iz sredstava poreznih obveznika.
U zadnjih nekoliko godina došlo je do zanimljive pojave da zadaće uobičajene kućne i uredske uporabe računala dobro obavljaju gotovo sva računala proizvedena u zadnjih 6-7 godina ukoliko su redovito održavana u softverskom i hardverskom smislu,te ako su primijenjene zadnje sigurnosne zakrpe i ako se na računalu nalaze adekvatan antivirusni, antispyware i antitrojan softver. Devedesetih godina prošlog stoljeća to nije bilo tako i gotovo svake godine trebalo je značajno nadograđivati računala ili kupovati druga jer je krivulja razvoja tehnologije i pronalaženja novih primjena bila daleko strmija.
Na Internetu je moguće pronaći niz savjeta u vezi postupka optimizacija osobnih računala te programa koji omogućuju analizu u tom smislu. Na sljedeće dvije poveznice nalaze se članci u kojima se detaljno opisuju postupci i provjere koje gotovo svatko tko sebe smatra “power userom” može učiniti nad vlastitim računalom sa ciljem optimizacije i ubrzavanja rada, a prije donošenja odluke o investiciji u novo računalo ili nadogradnju postojećeg.
Rebalans, kriza i recesija u zadnje vrijeme su postali najviše ponavljani pojmovi u hrvatskim medijima. Međutim, u korporativnom svijetu, posve je normalno nekoliko puta godišnje revidirati proračun odjela (ili funkcije, u kontekstu ovih stranica - IT funkcije). Model koji osobno koristim je inicijalni proračun za sljedeću godinu u mjesecu listopadu, prva revizija proračuna oko veljače, druga revizija u svibnju i treća revizija u kolovozu. Cilj inicijalnog proračuna je jasan a cilj revizija je usklađivanje kapitalnih ulaganja, operativnih troškova i plaća djelatnika s kretanjima u organizaciji i na tržištu, odnosno njihovo usklađivanje s tržištem na kojemu se odvija poslovna aktivnost.
Sama struktura IT proračuna u koherentnom modelu IT upravljanja (ICT governance) ovisi o više čimbenika, među kojima su najvažniji dostignuti stupanj razvoja IT funkcije u organizaciji, strateško pozicioniranje iste, tržišna niša u kojoj se odvija poslovna aktivnost poduzeća, stanje informatičkih i komunikacijskih resursa te raspoloživa financijska sredstva. U većini slučajeva, u recesijsko doba kapitalna ulaganja se smanjuju a veća pozornost pruža se obuzdavanju operativnih troškova. Zbog kretanja na tržištima i konkurencije među pružateljima usluga, postoji samoregulatorni mehanizam koji ICT manageru olakšava posao - cijene ICT proizvoda i usluga na srednji rok uglavnom padaju. No, s druge strane, zahtjevi korisnika za razinama i vrstama pruženih usluga su sve veći tako da ono što se “uštedi” na ime razvoja tehnologije i konkurentskog natjecanja lako bude “pojedeno” zbog novog projekta koji sponzorira ili traži netko s vrhova organizacije ili je jednostavno nužnost.
Razgovarajući s kolegom o tome kako sam ove godine uspio smanjiti operativne troškove za 26 % u odnosu na plan internim restrukturiranjem portfelja usluga, sustava kvalitete u dijelu koji se odnosi na ICT i suradnjom s ostalom funkcijama u poduzeću ustanovio sam kako se s druge strane zemaljske kugle (radi se o regiji Azija-Pacifik-Australija) događa otprilike isto, a bio je znakovit i komentar kolege - “Možda mi netko kaže hvala.”
Recesija ili ne, sustavno praćenje troškova, trendova, suradnja s ostalim organizacijskim cjelinama poduzeća, upravljanje ljudskim resursima, odnosi s dobavljačima, izrada strategija i politika i rad na proračunu odjela trebali bi oduzimati većinu vremena ICT managera. Nažalost, u našim uvjetima gdje je ICT odjel skupina ljudi koji uglavnom mijenjaju tonere i reinstaliraju Windowse često proračun priprema ili “dodjeljuje” neka “važnija” funkcija u poduzeću i konkretna ulaganja u trajna informatička dobra ili plaćanje usluga ne korespondiraju s konkretnim tehnološkim razvojem i stvarnim potrebama organizacije nego s nečijim političkim idejama, netočnim predodžbama o tome što bi bilo potrebno, ukratko - stihijom.
Tor je mreža virtualnih tunela koja omogućuje visok stupanj zaštite osobnih podataka u komunikacijskom kanalu, a onima koji se bave razvojem omogućuje razvoj novih alata s ugrađenim sigurnosnim mjerama.
Evo i kratkog shematskog objašnjenja kako Tor radi.
Sudski vještak-ekspert
vrhunski stručnjak kojega odabire sud kako bi mu pomogao neovisnim i stručnim mišljenjem u skladu sa zadatkom vještačenja. Zainteresiranim strankama može pružati usluge vansudskih i preliminarnih vještačenja te konzultantske usluge.
