PSZÁF – Informatikai Nap 2007. Január, 18.
NYILVÁNTARTÁSOK – Miért? Hogyan?
Kéringer József Informatikai Biztonsági Vezető Allianz Bank Zrt. Telefon: 301-8628,
[email protected]
Az előadás vázlata: •
Miért kellenek a nyilvántartások?
•
Történeti kitekintés
•
Példák a gyakorlatból
•
Szervezet és nyilvántartások
•
Nyilvántartások és technológiai platformok
•
Folyamatok nyilvántartása
•
Nyilvántartások konszolidálása
•
Nyilvántartások és informálás
•
Hozzáférés info-kommunikációs erőforrásokhoz
•
Valóban probléma - e ma a nyilvántartások készítése, , ha igen, akkor miért?
2
Miért kell az autóba a fék? / Miért kellenek a nyilvántartások?
Nyilvántartások
Mostanában a nyilvántartások készítését sokan a vállalatok fékjének, leginkább felesleges adminisztrációnak és munka terhelésnek tekintik. De ez nem volt mindig így …
!!!
3
A működés eszköztára / Történeti kitekintés • A föníciai kereskedők természetes módon, üzleti elemzők nélkül is elég jól működtek, biztonsági tanácsadót sem tartottak. A működés eszköztára: - nyilvántartás, -vasalt láda, - lakat, - fegyver, - esetleg fegyveres kísérő, - jó információk és helyismeret, hogy elkerüljék a bajt. 4
A működés eszköztára / Történeti kitekintés • A termelő vállalatok hagyományosan, természetes módon működtek és a szükséges mértékben védték értékeiket. A működés eszköztára: - nyilvántartották az értékeiket, a pénzt, az értékes anyagokat, berendezéseket, terveiket, fontos dokumentumaikat, - meghatározták a termelési és értékesítési folyamataikat, a személyes felelősségeket - igyekeztek megbízható embereket alkalmazni és csak megbízható partnerekkel üzletelni, - megbüntették, aki lopott, -folyamatosan figyelték a környezet változásait, hogy elkerüljék a bajt, a meglepetéseket.
5
A működés eszköztára / Történeti kitekintés A hagyományos (papíralapú) irodai munka működése is természetes módon alakult ki. A működés eszköztára: - nyilvántartották a dokumentumaikat, - iratkezelési szabályokat és folyamatokat határoztak meg, kijelölték a személyes felelősöket, - rendet tartattak a dolgozókkal az irodában, - a szükséges mértékben elzárva tárolták a dokumentumokat, - amikor változtatni akartak a vezetők a működésen, megtehették saját hatáskörben és a legjobb tudásuk szerint, - ésszerűen, folyamatosan, a környezet igénye szerint, optimalizálták a működésüket.
6
A működés eszköztára / Történeti kitekintés Közös elemek a működés eszköztáraiban: Nyilvántartás, Személyes felelősség, Folyamatok meghatározása, Figyelés és reagálás a környezet változásaira A működés „természetes” módon alakult ki.
Elődeinknek általában több generációnyi idejük volt rá, hogy a technológiákkal és a környezettel megtanuljanak biztonságosan együtt élni.
!!! 7
Két példa a legjobb gyakorlatból … Kétségtelenül sok minden változott az elmúlt években, de nyilvántartások dolgában, - talán nem elég a változás: (?) Jól szervezett vállalatok: SW Csomag
• Felelősök • Folyamatok • Nyilvántartások …
1979
(27 év)
2006
Egyiket sem sikerült egyszerűen nyilvántartásba venni … Pedig, volt nyilvántartás, személyes felelős, gyakorlat, folyamat
Mindig kerülhet homokszem a gépezetbe!
!!! 8
+ 1 példa a gyakorlatból … Valahol Európában egy üzemeltetés vezető szükségét érezte, hogy létrehozzon egy nyilvántartást …
Számítóközpont CMDB
Inhomogén országos hálózat 250 helyszínnel
Service Desk
Más valaki úgy érezte okkal, hogy meg kell azt szüntetni … Bármennyi energiát is fektetünk a nyilvántartásainkba, azok értéke viszonylagos!
!!! 9
Szervezet és a nyilvántartások
Ford Piramis
Lapos (Hammer & Champy)
Mátrix
Projekt
Területi felosztások 10
Mi a probléma a szervezeti modellekkel? Ugyanazon
• Ki legyen felelős az egyes nyilvántartásokért?
- térben, - időben,
• Ki készítse?
- szervezetben,
• Ki használja?
együtt léteznek.
Szervezeti felépítés
• Miről készítsünk egyáltalán és kinek…?
Készítsünk nyilvántartást a szervezeti felépítésről!
!!!
Ez az alapja sok más nyilvántartásnak. 11
Nyilvántartások és technológiai platformok Ötlet született
Valaki befektetett
Termék, készítettek
Eladták
A piac korlátos, verseny van, sok cég kínál hasonló szolgáltatást, mindenkinek van már beszállítója, eladás a meglévő ügyfeleknek, …
12
Nyilvántartások és technológiai platformok Ötlet született
Valaki befektetett
Termék, készítettek
Eladták
Informatikával támogatott szolgáltatás: Kiszolgálás meglévő Vásárlót találnak
Célszerű ezekről is nyilvántartást készíteni, hogy tudjuk mi van a folyamatainkban
rendszerekkel (Core & Satellites) Kiszolgálás olcsó EUC megoldásokkal
FOLYAMATOK
Kiszolgálás papír alapon
!!!
13
Folyamatok nyilvántartása
Nyersanyag
Cipész, Fodrász, Kórház, … A szolgáltató hozott anyagból
Termelő vállalat
Késztermék
Szolgáltató vállalat
Szolgáltatás
dolgozik …
i
BANK
Banki Szolgáltatás
A bank sem pénzt kiadni, sem befogadni nem tud addig, amíg az ügyfelek személyes adatait meg nem kapja. 14
Folyamatok nyilvántartása
i Környezeti változások Ügyfél személyes adatok
BANK
Banki Szolgáltatás
Tranzakciók indítása
15
Folyamatok nyilvántartása
i Környezeti változások Ügyfél személyes adatok
BANK
Banki Szolgáltatás
Tranzakciók indítása
Nem szabad „túl magasról” nézni a problémákat, ha használható nyilvántartást akarunk!
!!! 16
Folyamatok nyilvántartása a gyakorlatban Osztály 1. Osztály 2. Osztály 3.
+ Külső (adat)kapcsolatok
Osztály 4. Alkalmazás EUC Papír doc.
17
Folyamatok nyilvántartása a gyakorlatban Osztály 1. Osztály 2. Osztály 3.
Termékfelelős 5 perc, osztályvezető 30 perc, más kollégák + 2-3 óra intenzív… + Külső (adat)kapcsolatok
Osztály 4. Alkalmazás EUC Papír doc. A „Sales”-nek is a „Legal”-nek is van folyamata! ☺
!!!
18
Folyamatok nyilvántartása a gyakorlatban Üzleti v, támogató folyamat neve: Felelős tulajdonosa: Alkalmazás EUC Papír doc. IT - alkalmazás leltár EUC felmérés Konszolidáció ?
…
!
Dokumentum megőrzés Kockázatelemzés Üzleti folytonossági terv
Ne örüljünk korán azért, mert van egy jó nyilvántartásunk! Ha, több hasonló is van, - melyiket mutassuk meg a PSZÁF-nak?
!!!
19
Folyamatok nyilvántartása a gyakorlatban
Folyamatok támogatása IT - alkalmazás leltár EUC felmérés Konszolidáció ?
…
!
Dokumentum megőrzés Kockázatelemzés Üzleti folytonossági terv
Ahány ház, annyi szokás … A helyi igények és lehetőségek szerint praktikusan konszolidáljunk.
!!!
20
A nyilvántartások konszolidálása
Folyamatok támogatása IT - alkalmazás leltár A különböző nyilvántartásokat; EUC felmérés
• Különböző emberek, Konszolidáció • Különböző célra, ? • Különböző időben,
…
!
Dokumentum megőrzés
Kockázatelemzés • Különböző szervezeti egységekben, készítik és használják. Üzleti folytonossági terv
Ahány ház, annyi szokás … A helyi igények és lehetőségek szerint praktikusan konszolidáljunk és központosítsunk.
!!!
21
A nyilvántartások és kockázatelemzés Criticality rating <$1M
Low
< $ 10 M
Low
$ 1 00M
Low
10000 M
Low
1 000 000
Low
Sok munkával elkészített felmérések, nyilvántartások eredménye is lehet gyenge.
A nyilvántartás elsősorban azt szolgálja aki számára készül. Mennyiségi elemzéseknél a skálázás nekünk dolgozzon!
!!! 22
Nyilvántartások és informálás • Az IT architektúra rajz és leltár nem az Intranetre való! • A hatékony változáskezeléshez a kommunikáció is hozzátartozik. Környezetek frissítése és a tesztelés összehangolása (frissítés, verziókezelés, minőségbiztosítás, …) • Biztonsági javítások állapotáról (, ha van ilyen nyilvántartás:-) csak szűk kör tudhat. • Szabályzatok – az érintettek köre … • Incidenskezelés – mit hova jelenteni / reagáló eljárás • Üzleti folytonosság (BCP,DRP) – az érintettek köre … Az érintetteket informálni kell, és használni kell az információ megosztás elvét ! „Need to know!” –, de semmi többet.
!!! 23
Hozzáférés info-kommunikációs erőforrásokhoz • Eltároljuk, hogy ki és mit tett. • Nyilvántartjuk, hogy ki mihez kapott engedélyt.
• Ellenőrizzük, hogy engedély nélküli tevékenység vagy próbálkozás történt-e.
• Ilyen feladat a papíralapú világban nem volt! • A számítógépes rendszerek pedig még nem támogatják kielégítő mértékben a „cégműködést”. • Pedig a RACF fejlesztése 1973-ban indult, és mégis … • Csak most alakul ki a kultúrája és hatékony technológiája a megoldásoknak. Tipikus tévedés a feladatok fontosságának alábecslése, a ráfordítások alulméretezése. Ez egyfajta csodavárás.
!!!
24
Hozzáférés info-kommunikációs erőforrásokhoz • Eltároljuk, hogy ki és mit tett. • Nyilvántartjuk, hogy ki mihez kapott engedélyt.
• Ellenőrizzük, hogy engedély nélküli tevékenység vagy próbálkozás történt-e.
• Ilyen feladat a papíralapú világban nem volt! • A számítógépes rendszerek pedig még nem támogatják kielégítő mértékben a „cégműködést”.
Előző előadások tárgya volt
• Pedig a RACF fejlesztése 1973-ban indult, és mégis … • Csak most alakul ki a kultúrája és hatékony technológiája a megoldásoknak. Tipikus tévedés a feladatok fontosságának alábecslése, a ráfordítások alulméretezése. Ez egyfajta csodavárás.
!!!
25
Együttműködések biztonsága és a nyilvántartások A kooperáció és rugalmasság egyre inkább a siker kulcsa: • Kiszervezés • Partnerkapcsolatok (+ keresztértékesítés) • Külső szakértők • Ideiglenes alkalmazottak Nyilvántartjuk mert; • a kiszervezés begyűrűző kockázata - és a periodikus ellenőrzések csökkentik azt, • külső adatkapcsolatok, szerződések, titoktartási megállapodások, képzések … A külső erőforrások használata kockázatnövelő, ezért tartsuk, illetve tartassuk nyilván ezeket. Már csupán azért is, hogy számba tudjuk venni a sok kapcsolódó teendőt. ☺
!!! 26
Valóban probléma-e ma a nyilvántartások készítése? Régen: Fokozatosan kialakult az igény
Kialakultak a követelmény rendszerek és szabványok
A emberek elégedetten alkalmazták
Szakértők által a törvények, és szabványok…
Az emberek lassabban változnak
Ma: Túl gyorsan változtak a dolgok
?
Úgy tűnik; most „túl gyorsan” zajlanak a változások, a követelményrendszer késve, csak lassan válik gyakorlattá.
? !!! 27
Miért probléma ma a nyilvántartások készítése? (kis kitérő)
Túlélés
Élelem szerzése
Utódok nemzése
Felülkerekedés
„… mi emberek soha nem az látjuk amit látunk és nem azt halljuk amit hallunk … ; … Ez a „szemüveg” fizikailag nem más, mint a saját agyunk egyéni, mindenki másétól különböző szerkezete, - amit az egyéni módon rögzülő emlékek sora folyamatosan és állandóan alakít. …” (274. oldal) 28
Miért probléma ma a nyilvántartások készítése? (kis kitérő) Nem spekulatív úton, hanem kísérletek sokaságával bizonyították: • Elsődlegesen nem objektíven gondolkodunk. • Előbb vélekedünk a tanultak alapján, ez alapján cselekszünk (vagy nem), majd pedig „gondolkodunk” a dolgok valódiságáról.
- Vélekedésünk alapján menekülünk el a veszély elől. Nem elemezzük a kockázatot, nem számolunk optimális megoldást, hatékonyak vagyunk! - De, ragaszkodunk is hiedelmeinkhez, vélekedéseinkhez. 29
Miért probléma ma a nyilvántartások készítése? Nehezen adjuk fel vélekedéseinket, hiedelmeinket: • Lapos-e a föld vagy gömbölyű? • Hosszú házasság alatt úgy véljük mindig kitaláljuk párunk gondolatát … • Úgy véljük, hogy könnyedén kézben tartjuk a számítógépekkel támogatott működést … Csak az, aki elég sok megerősítést kapott a nyilvántartások fontosságára vonatkozóan, az nem kételkedik a szükségességükben. (A működés szerves részének tekinti tapasztalatból; erre nevelték; auditor vizsgára megtanulta; megvonták többször a prémiumát a hiányosságok miatt, …stb.) A nyilvántartások készítését el kell rendelni és számon kell kérni.
!!! 30
Összefoglalás
A nyilvántartások az objektív gondolkodásukat segítik a vélekedéseinkkel szemben. A nyilvántartások készítése és használata szerves része egy cég működésének, a gyorsan változó környezetben is.
!!! 31
KÖSZÖNÖM SZÉPEN A FIGYELMET!
KÉRDÉSEK? / Válaszok
Kéringer József Informatikai Biztonsági Vezető Allianz Bank Zrt. Phone: 301-8628,
[email protected] 32
