You are currently browsing the archives for August, 2009.

INFOSEK 2009 – letak i poziv na sudjelovanje

August 27, 2009 // Posted in Ostalo, Članci/konferencije/predavanja  |  No Comments

Ovih dana formaliziraju se finalne aktivnosti oko sudjelovanja na INFOSEK 2009 konferenciji u Novoj Gorici u Sloveniji.

Prvo predavanje trebao bih održati prvi konferencijski dan, 19.11.2009, s naslovom “Intricacies of integral security in upstream oil and gas sector” a drugo 20.11.2009 s naslovom “Forensic computer crime proceedings of ICT court experts and legislative requirements – Croatian experience”. Još se čeka predložak za izradu PowerPoint prezentacije, a kao i inače, poslije konferencije, bit će objavljeni na ovim stranicama u sekciji pod “Radovi“.

Popis predavača možete naći ovdje.

Cjelokupni program koji je još u izradi se nalazi na ovoj poveznici.

Pozivam sve kolege da se pridruže radu konferencije.

Službeni letak konferencije (kliknuti za skidanje):

Infosek 2009 letak strana 1

Infosek 2009 letak strana 1

Infosek 2009 letak strana 2

Infosek 2009 letak strana 2

Forenzika iPhonea 3G

August 24, 2009 // Posted in ICT forenzika  |  No Comments

Apple iPhone nije baš “preopterećen” naprednim sigurnosnim rješenjima. Propusti u sigurnosnim značajkama i korištenje jednostavnih tehničkih rješenja u neku ruku olakšavaju rad forenzičkim istražiteljima. Ovaj video koji traje oko 10 minuta objašnjava postupak forenzičke analize iPhonea koji je zaštićen lozinkom a bez crackiranja iste – sve tehnike koje se na video isječku koriste definitivno spadaju u tzv. etičko hakiranje. Iste metode koje koristi istražitelj može koristiti i maliciozni hacker ili osoba koja ima fizički pristup iPhoneu, a djelomično i preko WiFi mreže. Zanimljivo je da se niz podataka nalazi na iPhoneu u nekriptiranom string obliku što olakšava dalju analizu. U svakom slučaju, ovakav nepotpuni pristup informacijskoj sigurnosti od strane proizvođača olakšava rad i forenzičarima i hakerima. Na samom kraju video clipa, forenzičar iznosi tvrdnju kako po njegovom mišljenju iPhone definitivno nije “enterprise grade” uređaj koji bi bio podesan za uporabu od strane vladinih tijela ili u korporativnom okruženju sa čime se može u potpunosti složiti.

Tvrtke smanjuju ulaganja u informacijsku sigurnost

August 20, 2009 // Posted in ICT sigurnost  |  No Comments

Jedan stariji tekst prenesen s Poslovni.hr.

“Trećina kompanija u sektoru tehnologije, medija i telekomunikacija (TMT) na globalnoj razini značajno je smanjila svoja ulaganja u informacijsku sigurnost, a čak 60 posto tek “hvata korak” s rastućim prijetnjama po sigurnost, ističe treće globalno istraživanje o sigurnosti u TMT tvrtkama konzultantsko-revizorske tvrtka Deloitte.
S druge strane, čak 41 posto tvrtki u proteklih je godinu dana doživjelo interno kršenje informacijske sigurnosti. Ovogodišnji rezultati pokazuju da razina IT sigurnosti u svijetu značajno zaostaje za prošlogodišnjom, navodi se u Deloittovom priopćenju. Samo mali dio (6 posto) ispitanika obuhvaćenih istraživanjem posvećuje oko 7 posto ukupnog budžeta za IT sigurnost. Riječ je o značajnom smanjenju u odnosu na prošlu godinu, kad je takav postotak izdvajalo čak 36 posto kompanija.

Istraživanje ističe da pad ulaganja u sigurnost usporava prihvaćanje novih sigurnosnih tehnologija. Tvrtke se danas radije koncentriraju na optimiziranje već postojećih rješenja nego da investiraju u najsuvremeniju tehnologiju od
koje će imati koristi tek tijekom očekivanog ekonomskog oporavka.

Deloitte je, usporedo s globalnim, proveo i analizu IT sigurnosti u hrvatskom TMT sektoru. “Jedan od problema hrvatskog TMT sektora jest u tome što ne postoji struktura i organizacija upravljanja IT sigurnošću. Većina tvrtki nije uspostavila funkciju voditelja sigurnosti. Osobe zadužene za informacijsku sigurnost još uvijek često odgovaraju voditelju IT odjela, dok je u svijetu trend da takvi stručnjaci odgovaraju direktno upravi tvrtke. Informacijska i fizička sigurnost nisu prošle kroz proces konvergencije, odnosno ne postoji centralizirano upravljanje sigurnošću koje bi objedinjavalo ova dva procesa. U Hrvatskom TMT sektoru, također za razliku od svjetskih trendova, upravljanje sigurnošću još je uvijek uglavnom decentralizirano”, ističe Hrvoje Somun, viši menadžer u Odjelu za upravljanje rizicima u Deloitteu.

Iako društvene mreže na internetu i blogovi mogu biti korisni alati, oni povećavaju opasnost po internu sigurnost kompanija, nadalje se navodi u priopćenju. Čak 80 posto ispitanika smatra da je njihova tvrtka podložnija narušavanju informacijske sigurnosti zbog korištenja Weba 2.0, ali i tehnologija kao što su pretexting i phishing. Nadalje, generacijske razlike znatno utječu i na percepciju privatnosti. Mlađe generacije rado razmjenjuju razne vrste informacija, čime mogu nehotično odati osjetljive informacije o vlastitoj tvrtki. Zbog toga se danas svega 28 posto ispitanika smatra “vrlo sigurnim” u vezi internih prijetnji po informacijsku sigurnost, za razliku od prošlogodišnjih 51 posto, pokazalo je istraživanje. Tvrtke u TMT sektoru suočene su i s porastom regulatornih zahtjeva u vezi informacijske sigurnosti, čije nepoštivanje može tvrtku skupo stajati. Međutim, 67 posto ispitanika smatra da su regulatorni sigurnosni zahtjevi tek “donekle učinkoviti” te da i dalje nedostaje podrška višeg menadžmenta u njihovu provođenju. (pd)

Analiza financijskih pokazatelja vodećih hrvatskih tvrtki  na području fizičke, logičke i integralne sigurnosti – ako se tako može reći s obzirom na izrazito malo tržište, cjelokupnost sektora i ukupni prihod čitavog sektora – pokazuje kako je ostvareni prihod u 2008 godini bio 20 do 60 % veći nego 2007 godine, pri čemu su manje tvrtke uglavnom zahvaljujući pozicioniranju ostvarile veće stope rasta.

Međutim, s obzirom na rečeno u članku i subjektivni osjećaj pri promatranju tržišta, zasigurno će biti zanimljivo sljedeće godine u ovo doba analizirati iste pokazatelje.

Upravljanje rizikom

August 18, 2009 // Posted in ICT sigurnost  |  No Comments

Ovdje možete vidjeti dvije datoteke koje na vrlo jednostavan i pristupačan način objašnjavaju metodološki pristup analize i upravljanja rizikom u ICT projektima. Iako mnogi konzultanti predstavljaju problematiku vrlo kompleksnom, ona to u svojoj suštini nije. No, činjenica je da je prava umjetnost u složenim sustavima adekvatno popisati nomenklaturu svih rizika i naći osobu u organizaciji koja želi prihvatiti taj rizik, prenijeti ga na treću stranku ili financirati (sponzorirati) uklanjanje rizika, uključujući i one situacije kada te iste osobe naručuju studiju analize rizika (sama Uprava!). Nadalje, upravljanje rizikom nije inherentno kvantitativna metoda, no rezultat bi trebao biti kvantitativno iskaziv. Samo iskustvo implementatora i dobra baza statističkih podataka pondera i težinskih faktora omogućit će i adekvatne numeričke rezultate ove aktivnosti.

Naposlijetku, u skladu s poznatom izrekom kako u svakoj opasnosti leži nova prilika, rizici osim negativnih mogu imati i pozitivne ishode. Stoga se u metodologiji upravljanja rizikom promatraju ne samo aspekti nastupa događaja koji mogu imati negativan utjecaj na izvođenje projekta i postizanje cilja već i oni koji predstavljaju novu priliku ili neočekivano poboljšanje ili lakše/brže/kvalitetnije/jeftinije dostizanje zadanog cilja.

Risk management for ICT project management

PROJECT RISK MANAGEMENT

Korporativna kultura (primjer Netflixa)

August 11, 2009 // Posted in ICT governance, Ostalo  |  No Comments

Da li je korporativna kultura u Vašim organizacijama organizirana na sličnim principima kao u Netflix-u? Prezentacija je poduža no isplati se pogledati svima koji aktivno upravljaju svojom karijerom a osobito profesionalcima iz HR službi.
Moram priznati da ne poznajem niti jednu organizaciju (poduzeće, instituciju) u Republici Hrvatskoj koja bi bila na tragu ovakvog sustava odnosa prema ljudskim resursima, eventualno jedna ili dvije tvrtke u Zagrebu u stranom vlasništvu su u nekim elementima razvoja korporativne kulture i identiteta nešto naprednije od ostalih.
View more presentations from reed2001.

Koliko je zapravo novca 10 milijuna EUR?

August 10, 2009 // Posted in ICT governance  |  No Comments

Hrvatske željezniceŠto se zapravo može kupiti u IT svijetu (i periferiji istoga) s 10 milijuna EUR? Da li je to puno novca?

  • u Hrvatskoj se prodavaču u trgovini ICT hardverom obično ponudi plaća oko 4000 Kn bruto ili 3000 Kn neto. Dakle, godišnje oko 6600 EUR. Za 10 milijuna EUR moguće je angažirati 1515 man-yearova ICT prodavača
  • ICT tehničar opće namjene obično ima plaću oko 6400 Kn bruto ili 4500 Kn neto. Godišnje se radi o 10500 EUR. Za 10 milijuna EUR moguće je angažirati 952 man-yeara ICT tehničara
  • ICT specijalist s desetljetnim stažem, interni konzultant ili specijalist ICT grane s magisterijem može se angažirati već za 12000 Kn bruto ili 8000 Kn neto, odnosno godišnje oko 20.000 EUR. Za 10 milijuna EUR moguće je angažirati 500 man-yearova magistara ICTa
  • ICT manager ili direktor ICT poslova varira u plaći, no ako se radi o velikim sustavima i dioničkim društvima, obično se radi o iznosu do 15.000 Kn neto ili oko 25.000 Kn bruto, tj. godišnje 41.000 EUR. U 10 milijuna EUR “stane” 243 direktor-godina ICT poslova
  • 18180 sudskih vještačenja prosječne kompleksnosti iz područja informatike i telekomunikacija
  • godišnji proračun za ICT u neracionalno vođenim ICT odjelima drugog, trećeg ili četvrtog grada po veličini u Republici Hrvatskoj lako bi mogao dostići oko 1,000.000 EUR, dakle, za 10 milijuna EUR moguće je pokriti kapitalne i operativne troškove na rok od oko deset godina
  • s milijun EUR godišnje moguće je pokriti godinu do dvije kapitalnih i operativnih troškova te troškova plaća ICT odjela u business unitu korporacije koja obavlja svoj posao na globalnom tržištu i ima 400-500 zaposlenih. Dakle, s deset milijuna EUR moguće je to činiti pet do deset godina
  • cijena ISO 27001 certifikacije za veće sustave lokalne samouprave te srednje korporativne sustave u manjem opsegu u globalu se u Hrvatskoj danas naplaćuje od 100 do 500.000 Kn. Dakle, za 10 milijuna EUR moguće je certificirati od 150 do 700 takvih sustava
  • neke od najpoznatijih manjih hrvatskih tvrtki na području logičke ICT sigurnosti s jednim do deset zaposlenih imaju ukupni godišnji promet koji se kreće od 500.000 Kn do 1,000.000 Kn. Deset milijuna EUR pokriva 70 do 150 godina prometa jedne takve tvrtke
  • veće hrvatske tvrtke koje se bave integralnom sigurnošću s više desetaka zaposlenih i imaju lukrativne ugovore s državom imaju ukupni promet do 10 milijuna kuna godišnje, u deset milijuna EUR stane 6-7 godina njihovog ukupnog prometa
  • jedan cloud data center s milijun jezgri košta oko 1 milijun EUR, dakle moglo bi ih se nekako nabaviti desetak
  • dvadeset Pagani Zonda F
  • SunSeeker Predator 108 opremljen po želji K. Raikkonena

Prema tome, 10 milijuna EUR može se smatrati malom, osrednjom ili većom količinom novca, no u svakom slučaju, olakotnu okolnost, ukoliko se smatra većom količinom novca, čini činjenica kako se financira iz sredstava koja se u Republici Hrvatskoj smatraju ničijima, odnosno iz sredstava poreznih obveznika.

Ubrzavanje i optimizacija osobnog računala

August 10, 2009 // Posted in ICT tehnologije  |  No Comments

U zadnjih nekoliko godina došlo je do zanimljive pojave da zadaće uobičajene kućne i uredske uporabe računala dobro obavljaju gotovo sva računala proizvedena u zadnjih 6-7 godina ukoliko su redovito održavana u softverskom i hardverskom smislu,te ako su primijenjene zadnje sigurnosne zakrpe i ako se na računalu nalaze adekvatan antivirusni, antispyware i antitrojan softver. Devedesetih godina prošlog stoljeća to nije bilo tako i gotovo svake godine trebalo je značajno nadograđivati računala ili kupovati druga jer je krivulja razvoja tehnologije i pronalaženja novih primjena bila daleko strmija.

Na Internetu je moguće pronaći niz savjeta u vezi postupka optimizacija osobnih računala te programa koji omogućuju analizu u tom smislu. Na sljedeće dvije poveznice nalaze se članci u kojima se detaljno opisuju postupci i provjere koje gotovo svatko tko sebe smatra “power userom” može učiniti nad vlastitim računalom sa ciljem optimizacije i ubrzavanja rada, a prije donošenja odluke o investiciji u novo računalo ili nadogradnju postojećeg.

poveznica1

poveznica2

Rebalans (IT proračuna!)

August 7, 2009 // Posted in ICT governance  |  No Comments

Rebalans, kriza i recesija u zadnje vrijeme su postali najviše ponavljani pojmovi u hrvatskim medijima. Međutim, u korporativnom svijetu, posve je normalno nekoliko puta godišnje revidirati proračun odjela (ili funkcije, u kontekstu ovih stranica – IT funkcije). Model koji osobno koristim je inicijalni proračun za sljedeću godinu u mjesecu listopadu, prva revizija proračuna oko veljače, druga revizija u svibnju i treća revizija u kolovozu. Cilj inicijalnog proračuna je jasan a cilj revizija je usklađivanje kapitalnih ulaganja, operativnih troškova i plaća djelatnika s kretanjima u organizaciji i na tržištu, odnosno njihovo usklađivanje s tržištem na kojemu se odvija poslovna aktivnost.

Sama struktura IT proračuna u koherentnom modelu IT upravljanja (ICT governance) ovisi o više čimbenika, među kojima su najvažniji dostignuti stupanj razvoja IT funkcije u organizaciji, strateško pozicioniranje iste, tržišna niša u kojoj se odvija poslovna aktivnost poduzeća, stanje informatičkih i komunikacijskih resursa te raspoloživa financijska sredstva. U većini slučajeva, u recesijsko doba kapitalna ulaganja se smanjuju a veća pozornost pruža se obuzdavanju operativnih troškova. Zbog kretanja na tržištima i konkurencije među pružateljima usluga, postoji samoregulatorni mehanizam koji ICT manageru olakšava posao – cijene ICT proizvoda i usluga na srednji rok uglavnom padaju. No, s druge strane, zahtjevi korisnika za razinama i vrstama pruženih usluga su sve veći tako da ono što se “uštedi” na ime razvoja tehnologije i konkurentskog natjecanja lako bude “pojedeno” zbog novog projekta koji sponzorira ili traži netko s vrhova organizacije ili je jednostavno nužnost.

Razgovarajući s kolegom o tome kako sam ove godine uspio smanjiti operativne troškove za 26 % u odnosu na plan internim restrukturiranjem portfelja usluga, sustava kvalitete u dijelu koji se odnosi na ICT i suradnjom s ostalom funkcijama u poduzeću ustanovio sam kako se s druge strane zemaljske kugle (radi se o regiji Azija-Pacifik-Australija) događa otprilike isto, a bio je znakovit i komentar kolege – “Možda mi netko kaže hvala.”

Recesija ili ne, sustavno praćenje troškova, trendova, suradnja s ostalim organizacijskim cjelinama poduzeća, upravljanje ljudskim resursima, odnosi s dobavljačima, izrada strategija i politika i rad na proračunu odjela trebali bi oduzimati većinu vremena ICT managera. Nažalost, u našim uvjetima gdje je ICT odjel skupina ljudi koji uglavnom mijenjaju tonere i reinstaliraju Windowse često proračun priprema ili “dodjeljuje” neka “važnija” funkcija u poduzeću i konkretna ulaganja u trajna informatička dobra ili plaćanje usluga ne korespondiraju s konkretnim tehnološkim razvojem i stvarnim potrebama organizacije nego s nečijim političkim idejama, netočnim predodžbama o tome što bi bilo potrebno, ukratko – stihijom.

Anonimni pristup Internetu

August 3, 2009 // Posted in ICT sigurnost  |  No Comments

Tor je mreža virtualnih tunela koja omogućuje visok stupanj zaštite osobnih podataka u komunikacijskom kanalu, a onima koji se bave razvojem omogućuje razvoj novih alata s ugrađenim sigurnosnim mjerama.

Evo i kratkog shematskog objašnjenja kako Tor radi.

Tor circuit step one

Tor circuit step one

Tor circuit step one