IGÉNY- ÉS PORTFOLIÓMENEDZSMENT

INFORMÁCIÓMENEDZSMENT 6. HÉT (11. ÓRA)

IGÉNY- ÉS PORTFOLIÓMENEDZSMENT Dr. Danyi Pál Egyetemi docens, BME, [email protected]

2016-17 I. FÉLÉV

DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT

1

IT MENEDZSMENT MODELLJE IT Stratégia + Pénzügyi tervezés (Üzleti) Igény- és portfoliómenedzsment

(IT) Igény- és p.men.

IR TERVEZÉS

IR FEJLESZTÉS

IR MŰKÖDTETÉS

(PLAN)

(BUILD)

(RUN)

2016-17 I. FÉLÉV


2

IGÉNY Példa 1. (VÁLTOZTATÁS) Webshop rendszer illesztése a CRM rendszerhez Határidő: 4 hónap Fontosság (Prioritás): 3/5

Példa 2. (ÚJ BESZERZÉS) Adobe Illustrator beszerzése 20 felhasználónak Határidő: 1 hónap Fontosság (Prioritás): 2/5

2016-17 I. FÉLÉV


3

IGÉNYMENEDZSMENT ALAPFELADATA ÜZLETI IGÉNYEK

100 MFt RENDELKEZÉSRE ÁLLÓ PÜ FORRÁS 60 MFt

?

2016-17 I. FÉLÉV


4

IGÉNYEK PRIORIZÁLÁSA IT

ÜZLET

Key Account Manager

Üzleti vezető IGÉNY Üzleti szakértők

Igénymenedzser

Projekt vezető

Üzleti elemző

2016-17 I. FÉLÉV


5

IGÉNYMENEDZSMENT CÉLJA A különböző üzleti területek igényeit (akár több százat) összehasonlítani és sorrendezni, átlátható folyamat mentén. Eközben:  Az üzleti stratégiát, célokat, és prioritásokat figyelembe venni  Az üzleti területekkel egykapus kapcsolattartás (SPOC)  Üzleti elégedettség növelése  Azonosítani az üzleti és IT kockázatokat (nem készül el időben, prioritás szerint)

 Meglévő fejlesztési folyamatokhoz illesztés

2016-17 I. FÉLÉV


6

IGÉNYMENEDZSMENT TEVÉKENYSÉGE  Definiált igények összegyűjtése: leírás + ütemezés  Egyeztetés az üzleti területekkel (KAM: Key Account Manager)  Igények elemzése  Konszolidálása, harmonizálása  Első priorizálás: prioritás pontok meghatározása  Projekt indítás: projekt vezető kinevezés  Igény prioritás és végső elfogadás:  üzleti érték (BV) sorrend  vállalási határidő,  várható költség

2016-17 I. FÉLÉV


7

KIADÁSOK, VERZIÓK (RELEASE-EK) MENEDZSELÉSE Release: Szoftver módosítások összegyűjtött, csoportos, együttes fejlesztése és élesítése Miért?

 Komplex rendszerek együtt kell működjenek  Egyszerre tesztelni minden változtatást  Átlátható, ütemezhető menetrend

 Jogi megfelelés (pl. ügyfél tájékoztatás határidőre)

2016-17 I. FÉLÉV


8

PORTFOLIÓMENEDZSMENT CÉLJA  Futó projektek folyamatos menedzselése, monitorozása a legfontosabb szempontok szerint:  projektterv szerinti előrehaladás (időzítés szerint)  költségek felhasználása

 Jelentések készítése  Lemaradás esetén eszkaláció, okok feltárása, javaslat a korrekcióra  Átütemezések, transzferek az egyes projektek között

2016-17 I. FÉLÉV


9

INFORMÁCIÓMENEDZSMENT 6. HÉT (11. ÓRA)

BEVEZETÉS AZ INFORMÁCIÓBIZTONSÁGBA Dr. Danyi Pál Egyetemi docens, BME, [email protected]

2016-17 I. FÉLÉV


10

VÁLLALATI INFORMATIKAI MŰKÖDTETÉSI TEVÉKENYSÉGEK A) Informatikai szolgáltatások  “Ügyfél”: Vállalat üzleti területei, alkalmazások felhasználói  Egyes rendszerekre, alkalmazásokra, felhasználókra külön-külön vonatkozik

B) Üzemeltetés, karbantartás  “Ügyfél”: Informatikai üzemeltetés szervezete  Az összes rendszerre, alkalmazásra (a teljes “informatikára”) egységesen vonatkozik

C) IT biztonság és üzembiztonság  “Ügyfél”: Egész vállalat összes szervezete  Az összes rendszerre, alkalmazásra egységesen és külön-külön is vonatkozik

2016-17 I. FÉLÉV


11

LEHALT A FÉL INTERNET http://index.hu/tech/2016/10/21/internet_hiba_kibertamadas/

A masszív túlterheléses - DDoS - támadás az egyik legnagyobb internetszolgáltató, a Dyn nevű vállalat ellen zajlik, ami miatt olyan oldalak elérhetetlenek, mint a Netflix, Amazon, Airbnb, Paypal, Github, Reddit, a Spotify, vagy a Twitter. Főleg azért különösen hatékony, mert a Dyn tartomány-névrendszerekkel (DNS) foglalkozik, melyek a tartománynevek IP címmé alakításáért felelősek. Gyakran használják az "internet telefonkönyve" hasonlatot, mert ennek segítségével lesznek a nehezen megjegyezhető számkupacokból egyszerű weblapcímek.

2016-17 I. FÉLÉV


12

C) ÜZEMBIZTONSÁGI TEVÉKENYSÉGEK Az üzembiztonsági tevékenységek célja és feladata kielégíteni az Üzlet (szervezet) biztonsági követelményeit: 1. Bizalmasság (Confidentiality) 2. Sértetlenség (Integrity) 3. Rendelkezésre állás (Availability)

2016-17 I. FÉLÉV


13

IT ERŐFORRÁSOK ÉS BIZTONSÁGI KÖVETELMÉNYEK Bizalmas.

1.

ADATOK

2.

ALKALMAZÁSOK (ALKALMAZÓI RENDSZEREK)

3.

TECHNOLÓGIA (INFRASTRUKTÚRA)

4.

LÉTESÍTMÉNYEK

5.

EMBEREK (HUMÁN ERŐFORRÁS)

2016-17 I. FÉLÉV

Sértetlen.

Rendelk.


14

BIZALMASSÁG MENEDZSMENTJE Célja: adat, információ ne kerülhessen illetéktelen kezekbe Megsértését nehéz érzékelni

Megvalósítás - Titokvédelem (erőforrások megfelelő titkossági osztályokba sorolása): Nyilvános, Bizalmas, Titkos, Szigorúan titkos

- Adatvédelem (Személyes adatok védelme) ≠ Adatbiztonság (információbiztonság)

- erőforrások biztonsági (védelmi) osztályba sorolása

- hozzáférési jogosultságrendszer kialakítása és működtetése - megfelelő erősségű titkosítási algoritmusok alkalmazása - megfelelő szintű szabályozás: tudatosság növelés, elrettentés 2016-17 I. FÉLÉV


15

SÉRTETLENSÉG (INTEGRITÁS) MENEDZSMENTJE Célja: adatok, információ tartalma ne sérülhessen, módosulhasson illetéktelenek által (hamisítás, módosítás, csonkítás, stb.) Megsértését nehéz érzékelni Megvalósítás:

- titokvédelem - adatvédelem - megfelelően védett adattovábbítási csatornák (hálózat biztonság) - megfelelően erős titkosítási algoritmusok - hitelesség biztosításai (digitalis aláírás) - hozzáférési jogosultságrendszer kialakítása és működtetése 2016-17 I. FÉLÉV


16

RENDELKEZÉSRE ÁLLÁS MENEDZSMENTJE Célja: erőforrások rendelkezésre állásának elvárás szerinti biztosítása Hiányát minden felhasználó egyénileg érzékeli Rendelkezésre állási % = rendelkezésre állás / elfogadott szolgáltatási időszak, pl. 4 kilences: 99.99%, 1 évben 52,5 perc kimaradás, 3 kilences: 8 óra 46 perc Megvalósítás: - Fizikai biztonság: védett objektumok, beléptető rendszerek, védett emberi erőforrás - Redundáns rendszerek - Optimalizálni az arányt a megelőző és javító jellegű karbantartás és a hibák okozta költségek között

2016-17 I. FÉLÉV


17

RENDELKEZÉSRE ÁLLÁS SZINTJEI Az adatközpontok megbízhatósága, a rendelkezésre állás szintje szerint az ANSI-TIA942 szabvány Tier-osztályokat definiál. A négy Tier-osztály a rendelkezésre állás négy fokozatát definiálja, a legfontosabb összehasonlító adatok:

Áramellátás, hűtés Tartalékok (alap: N) Kivitelezési idő (hónap) Karbantartás

TIER 1

TIER 2

TIER 3

TIER 4

Alap (nincsenek tartalékok)

Tartalékokkal

Egyidejűleg fenntartható

Hiba toleráns

Általános

Általános

1 aktív+1 tartalék

2 aktív

N+1

N+1

2x(N+1)

6

15-20

15-20

N (nincs tartalék) 3 Leállással

Leállással

Relatív létesítési költség

1,00

1,50

2,00

2,50

Üzemszünet (óra/év)

28,8

22

1,6

0,4

99,671

99,749

99,982

99,995

Rendelkezésre állás %

2016-17 I. FÉLÉV

Leállás nélkül Leállás nélkül


18

IT ERŐFORRÁSOK ÉS BIZTONSÁGI KÖVETELMÉNYEK 1.

ADATOK

2.

ALKALMAZÁSOK (ALKALMAZÓI RENDSZEREK)

3.

TECHNOLÓGIA (INFRASTRUKTÚRA)

4. 5.

Bizalmas.

Sértetlen.

X

X X

2016-17 I. FÉLÉV

X X X

LÉTESÍTMÉNYEK EMBEREK (HUMÁN ERŐFORRÁS)

Rendelk.

X

X


19

BIZTONSÁGI OSZTÁLY ÉS BIZTONSÁGI SZINT A 38/2011 korm. rendelet szerint az egységes szociális nyilvántartás, a nyugdíjbiztosítási és egészségbiztosítási nyilvántartások a NEMZETI ADATVAGYON körébe tartoznak. A 2013. évi L. törvény alapján  A szervezet elektronikus IR-it - adatszintű megközelítéssel - a bizalmasság, sértetlenség és rendelkezésre állás elve szerint 1től 5-ig terjedő skálán biztonsági osztályba sorolja.  A fejlesztést végző, üzemeltetést végző, üzemeltetésért felelős és információbiztonságért felelős szervezeti egységeket - ha ezek az érintett szervezetnél léteznek - 1-től 5-ig terjedő skálán külön biztonsági szintbe sorolja.

2016-17 I. FÉLÉV


21

IT BIZTONSÁG – FENYEGETETTSÉG Olyan állapot, amelyben az erőforrások biztonsági követelményeinek (C, I, A) biztosítása (akár egyenként, akár együtt) veszélybe kerül vagy nem tartható fenn

Példák:  Fennakadás az adatszolgáltatásban  Nem megfelelő megelőző karbantartás  Rosszindulatú, tudatos károkozás  Egyéb (szabályozatlanság, mulasztás, mentés hiánya, stb.)  Katasztrófa

2016-17 I. FÉLÉV


22

IT BIZTONSÁG – FENYEGETETTSÉG A fenyegetettség mértékét a teljes biztonsági rendszer együttesen szabja meg

C

I

A

HR IT

Veszélyforrás

2016-17 I. FÉLÉV

KövetkezBekövetkezés Más mény (Támadás) Erőforrások védelme (Hatás) biztonsági követelmények szerint (Sebezhetőség + Védekezés)

$ Kár


23

VÉDELMI INTÉZKEDÉSEK (VÉDEKEZÉS) Fizikai + logikai komponensekre + adminisztrációra

A kialakítandó védelmi rendszer legyen:     

A jogszabályban foglalt védelmi előírásokkal összhangban Adatvédelmi Törvénnyel összhangban Legyen felderíthető az illetéktelen hozzáférés (loggolás) Az adatbiztonsághoz köthető költségek legyenek arányban azok értékeivel Olyan eljárásra van szükség, ahol egy adott folyamat kiesése esetén is működőképes marad a rendszer  A védelmi rendszer minimális pluszterhet jelentsen a felhasználók számára

2016-17 I. FÉLÉV


24

NULLADIK NAPI (0-DAY) TÁMADÁS ILL. SEBEZHETŐSÉG Hacker (Szakértő)

Felfedezi a hibát és kiszivárogtatja

Hacker (Támadó)

Támadást tervez és indít (exploit) Sebezhetőségi ablak

Fejlesztő

2016-17 I. FÉLÉV

Sebezhetőség (bizt. rés) detektálva Javít, foltoz (patch)

Kitudódik a sebezhetőség (valaki által)

0. nap vége

Patch elkészül és közzéteszi


25

IT BIZTONSÁG DOKUMENTUMAI Üzletmenet Folytonossági Terv (BCP – Business Continuity Plan) Informatikai Katasztrófaterv (DRP - Disaster Recovery Plan)

Informatikai Biztonsági Politika (IBP) Az IT biztonsággal kapcsolatos vezérelveket tartalmazza. Deklarálja azokat az irányelveket, amelyek alkalmazása biztosítja a szervezet hosszú távú elégséges informatikai biztonságának elérését és fenntartását.

Informatikai Biztonsági Szabályzat (IBSZ)  Védelem általános követelményei és intézkedéstervek

   

Általános jelszóvédelem Biztonsági tudatosság elemei (awareness) Adatnyilvántartásra vonatkozó előírások Felelősök, szankciók, tárgyi feltételek, stb.

Adatvédelmi és Információszabadsági Szabályzat  Adatvédelem: személyes adatok védelme  Információszabadság: közérdekű adatok nyilvánossága

Rendszerszintű Informatikai Biztonsági Szabályzat (RIBSZ)

 IT rendszerek, kritikus alkalmazások biztonságos működtetésének konkrét követelményei

2016-17 I. FÉLÉV


26

BCP ÉS DRP ÖSSZEHASONLÍTÁSA BCP

DRP

Közös, harmonizált HATÁSELEMZÉS és KOCKÁZATELEMZÉS elkészítése előzi meg Üzleti jellegű

Informatikai jellegű

CEO felel érte

CIO felel érte

Összes kritikus folyamatra kiterjed

IT folyamatokra és eszközökre főleg

Folyamati tesztelés

Technikai tesztelés

Évente-kétévente tesztelendő

Évente tesztelendő

2016-17 I. FÉLÉV


27

IT KATASZTRÓFATERVEZÉS Megelőzési terv (felkészülés): Hatáselemzés: milyen esemény, milyen mértékű, milyen hatás Kockázatelemzés: bekövetkezési valószínűség és hatás együttes vizsgálata Megelőzés: adatmentés, biztonságos helyen, pótgépek, bekövetkezés valószínűségének csökkentése

Informatikai Katasztrófaterv (DRP - Disaster Recovery Plan) 1. Követelmények 2. Katasztrófaterv akciótervei a) Visszaállítási terv: szolgáltatásokat a háttér felhasználásával újra kell indítani (esetleg korlátozottan) b) Helyreállítási terv: a szolgáltatásokat az eredeti helyen kell újraindítani (teljes értékűen) ÉVENTE TESZTELENDŐ!

2016-17 I. FÉLÉV


28

Köszönöm a figyelmet!

2016-17 I. FÉLÉV


29

IGÉNY- ÉS PORTFOLIÓMENEDZSMENT

Recommend Documents