Kategorie
BLOG Wiedza

Transformacja cyfrowa

Transformacja cyfrowa to hasło, które od kilku lat jest obecne, ale szczególnie często pojawia się obecnie. Wcześniej transformacja była kojarzona z nowymi trendami takimi jak Internet Wszechrzeczy (IoT), Przemysł 4.0 lub chmura.
Ale największa transformacja cyfrowa odbyła się w naszych głowach a sprawcą jest mały, niewidzialny dla wirus. COVID-19, bo o nim mowa, dokonał więcej w dziedzinie globalnej transformacji cyfrowej naszego życia niż wszystkie działania IT razem wzięte. Jedni znieśli to lepiej inni trochę gorzej, jednak nikt nie oponował bo nie było takiej opcji. Trzeba się było dostosować.

Usiadłem do tego artykułu po zakończeniu spotkania w którym wzięło udział ponad 30 firm. Normalnie takie spotkanie miałoby miejsce w sali konferencyjnej. Uczestnicy z całej polski zjechaliby się w jedno miejsce. Teraz też byliśmy w jednym miejscu tyko wirtualnie. Razem, omawiając sukcesy pierwszego kwartału i wyzwania związane z pandemią. Na twarzach widać było uśmiech towarzyszący spotkaniom w realu.
Ta transformacja odbyła się w naszych głowach. I pomyślałem sobie, że musimy iść za ciosem, transformować cyfrowo nasz biznes. Aby te działania zakończyły się pozytywnym wynikiem musimy być do tego przekonani, znowu musi się to w pierwszej kolejności dokonać w nas.
Ale jak to zrobić? Co nas może do tego przekonać?

Ludzie, procesy, narzędzia
Transformacje cyfrowa

Dla właściciela firmy przekonującym argumentem może być większy zysk, możliwość lepszego planowania, predykcja, ciągłość działania, automatyzacja dające możliwość rozwoju. Dla pracownika ważnym powodem stanie się możliwość pracy w nowoczesnej firmie, realizacja ciekawych zadań, obsługa zaawansowanych narzędzi zamiast mozolnej i często nużącej pracy.
Aby transformacja cyfrowa się powiodła muszą zaistnieć trze elementy razem:

  • Ludzie, przekonani do kierunku działań.
  • Procesy, które zostaną uproszczone lub usprawnione.
  • Narzędzia, które zautomatyzują działanie firmy.

Ludzie

Kolejność nie jest przypadkowa ponieważ tak jak wspomniałem wcześniej, najpierw ta transformacja musi dokonać się w głowach ludzi. W firmach to oni są kapitałem, to oni dobrze poprowadzeni przez lidera transformacji pomogą przygotować kolejne dwa elementy tej układanki.
Zmiana jednym przychodzi łatwiej innym trudniej. Najważniejsze jest aby zespół szybko zobaczył cel i zaczął się z nim utożsamiać. Temu mogą służyć warsztaty, których celem będzie modyfikacja lub opracowanie nowej strategii albo optymalizacja działania firmy. W efekcie zostaną określone priorytety i zadania. Każdy członek zespołu otrzyma swoje miejsce w transformacji. To moment, w którym zacznie się ewolucja a może nawet rewolucja w stronę cyfrowego świata.

Procesy

Zmotywowany zespół i uzupełniony doświadczonymi konsultantami będzie mógł zrobić skuteczny przegląd procesów. Ich celem może być:

  • Optymalizacja kosztowa.
  • Zwiększenie efektywności.
  • Podniesienie bezpieczeństwa.

Narzędzia

Kiedy już wiadomo kto i wiadomo jak to można zdefiniować czym będzie realizować założone cele. Wydaje się, że jesteśmy już blisko, jednak nie można stracić czujności. Przełożenie wymagań teoretycznych na praktyczną implementacje to bardzo trudy moment. Wybór narzędzi, technologii sposobu implementacji procesów jest kluczowym i krytycznym momentem transformacji!

Usługi ITCH
Usługi IT Challenge


IT Challenge to zespół ludzi, którzy nie boją się takich wyzwań. Mogą przeprowadzić taką transformacje od początku do końca. Od szkoleń i konsultacji, przez optymalizację procesów, i na wdrożeniu narządzi kończąc. Będziemy też wspierać w kolejnych jej etapach bo transformacja cyfrowa to początek a nie koniec!

Kategorie
BLOG Wiedza

6 zasad bezpieczeństwa danych

Każde przedsiębiorstwo przetwarza w swoich zasobach wiele danych – o pracownikach, klientach, transakcjach, produktach. Wartość tych informacji przeliczamy dziś na pieniądze. Co zatem zrobić, aby ten majątek był bezpieczny?

Przedstawiciele strony biznesowej w organizacji oczywiście oczekują, że dane będą dostępne dla wszystkich systemów produkcyjnych IT oraz aplikacji internetowych B2B i B2C przygotowanych dla klientów. Dostępność danych w reżimie 24×7 to wymóg każdej branży. Business first! Taka sytuacja stanowi duże wyzwanie dla wewnętrznego działu bezpieczeństwa, który zasoby firmowe postrzega przez pryzmat doniesień o cyber włamaniach i wyciekach danych. Wdrożenie poniższych, wydawałoby się, prostych zasad pomoże organizacji w zminimalizowaniu zagrożenia dotyczącego utraty danych.


1. Zidentyfikuj dane wrażliwe oraz krytyczne

Większość projektów związana z bezpieczeństwem danych rozpoczyna się od wyszukania informacji wrażliwych oraz krytycznych. Wiele projektów kończy się porażką już na tym etapie. Zadanie, choć wydaje się proste to przysparza firmom sporych problemów. Dlaczego? Punkt widzenia zależy od punktu siedzenia. Inaczej o istocie danych mówi ich właściciel biznesowy, inaczej postrzega je dział IT, a regulacje wewnętrzne i zewnętrzne to kolejny kamyczek do ogródka. Doświadczenie mówi, że nawet najlepiej opracowana ankieta nie wyłoni kluczowych dla przedsiębiorstwa danych za pierwszym razem. Jednak, prowadząc konsultacje ze wszystkimi zainteresowanymi stronami, można wypracować właściwą listę danych, które będą podlegały ochronie. Pamiętajmy, że nie wszystkie dane wymagają ochrony i nie warto tracić czasu ani pieniędzy na opracowywanie i wdrażanie metod ich zabezpieczenia.
Od jakości wykonania tego działania będzie zależała skuteczność podjętych środków ochrony.

2. Kontroluj dostęp do danych

Polityka dostępu do danych powinna powstać zanim baza wejdzie w fazę produkcyjną. To jeden z podstawowych etapów w fazie projektowania aplikacji i repozytorium danych. Do polityki powinny zostać przygotowane akty wykonawcze czyli procesy i procedury. Tworząc reguły dostępu do danych, warto kierować się zasadą „minimalnych uprawnień”, czyli przydzielać minimalne dostępy i uprawnienia, które są konieczne do wykonania danej procedury. Szczególnym ograniczeniom powinny być poddane uprawnienia do danych wrażliwych i krytycznych, które zostały zidentyfikowane w pierwszym etapie. Tylko określona grupa użytkowników oraz wybrane procedury danych powinny mieć dostęp do kluczowych i wymagających ochrony informacji. Według danych z raportu Ponemon Institut, powodem większości wycieków danych, w pierwszej kolejności są ataki na tle kryminalnym (48%), następnie błędy ludzkie (27%) i błędy i usterki systemu (25%).

Wdrożone w ten sposób uprawnienia, przydzielone konkretnym osobom muszą być zawsze aktualne! To spore wyzwanie dla wielu organizacji. Tym niemniej proces certyfikacji uprawnień, czyli weryfikacji zasadności nadanych uprawnień w cyklicznych odstępach, jest konieczny dla utrzymania poprawnego stanu uprawnień w bazie danych. Może w tym pomóc integracja z systemem klasy IAM (Identity Access Management), który posiada wbudowane narzędzia do sprawnego wykonywania recertyfikacji oraz umożliwi efektywne zarządzanie uprawnieniami day-by-day. Równie ważnym elementem jest monitorowanie dostępu do wrażliwych danych przez użytkowników uprzywilejowanych. W tym przypadku bardzo dobrze sprawdzają się narządzie typu PAM (Privilige Access Management) jak np. Wallix uzupełniony o narzędzie audytujące dostęp do danych plikowych w środowisku Microsoft: ManageEngine ADAudit.
Innym, ważnym elementem kontroli dostępu jest polityka haseł. Mimo iż wielu użytkowników tego nie lubi, wykorzystywane hasła muszą mieć odpowiednią złożoność i być okresowo zmieniane.

3. Szyfruj dane

Szyfrowanie danych pozwoli chronić informacje przed kradzieżą, gdy niepowołana osoba uzyska dostęp do serwera lub systemu, wykorzystując podatność systemu operacyjnego. Istotne jest aby rozwiązanie, które realizuje operacje szyfrowania i deszyfrowania w minimalnym stopniu wpływało na wydajność środowiska IT. Mechanizmy i narzędzia wybrane do szyfrowania, powinny chronić informacje przechowywane w lokalnych plikach i bazach danych przed nadużyciami. Szyfrowanie danych pomoże przedsiębiorstwu spełnić wymagania wynikające z norm branżowych i przepisów prawa, takich jak PCI DSS (Payment Card Industry Data Security Strndard) czy RODO.
Jeżeli wrażliwe dane są przechowywane na komputerach to pamiętajmy również o szyfrowaniu ich dysków.

4. Anonimizuj dane nieprodukcyjne

Środowiska deweloperskie zawierają często kopie danych produkcyjnych. Z tego powodu również w tym obszarze należy zadbać o ochronę danych. To komplikuje i zwiększa koszt systemu bezpieczeństwa – tego typu środowiska są bardziej podatne na zagrożenia związane z wyciekiem informacji – jednak nie można pominąć tego obszaru w podjętych działaniach.
Proces tworzenia środowisk deweloperskich i testowych powinien zawierać opis procedury zasilania ich w dane, uwzględniający maskowanie importowanych informacji. Maskowanie jest procesem zapewniającym tworzenie zawartości bazy danych o takiej samej strukturze jak produkcyjna, ale ze zmodyfikowanymi danymi wrażliwymi w sposób uniemożliwiający odtworzenie danych oryginalnych. Istnieje kilka technik zmiany danych: tablice translacji, „starzenie”/„odmładzanie” dat, szyfrowanie z zachowaniem formatu, częściowe maskowanie pól czy generacja fikcyjnych danych.

5. Zarządzaj podatnościami

Wprowadzenie efektywnego procesu zarządzania podatnościami to kolejny krok ku bezpieczeństwu danych. Regularne audyty środowiska przetwarzania danych pozwolą utrzymać aktualną wiedzę o brakujących łatach w systemie operacyjnym, aplikacji, bazie danych, jak również nieautoryzowanych zmianach czy źle skonfigurowanych uprawnieniach. Jest to działanie cykliczne więc warto wykorzystać narzędzie umożliwiające automatyzację tego procesu.

6. Monitoruj aktywność na danych

Uzyskanie odpowiedniego poziomu bezpieczeństwa danych wymaga stałej obserwacji tego co się z nimi dzieje. Monitorowanie dostępu i zachowania użytkowników umożliwia wychwycenie ich nieodpowiednich zachowań, które mogą świadczyć o wycieku informacji. Przykładem może być sprawdzanie nieznanych adresów IP, z których użytkownicy łączą się do bazy, w celu pozyskania danych wrażliwych. Każde, nietypowe zachowanie powinno być zweryfikowane, w kontekście możliwego przejęcia hasła przez osobę nieuprawnioną.
Większość użytkowników wykonuje powtarzalne czynności zgodnie z pewnym wzorcem zachowań. Wychwycenie tych wzorców behawioralnych umożliwi ochronę tabel i kolumn zawierających kluczowe informacje. Każde odchylenie od typowego zachowania (baseline’u) powinno zaalarmować zespół zarządzania bezpieczeństwem. Dodatkowo, analizując informacje wychodzące z bazy danych warto wyszukiwać charakterystyczne wzorce, takie jak numery kart kredytowych czy numery PESEL. Monitorując bazę w czasie rzeczywistym, otrzymujemy bieżące informacje o każdej próbie dostępu do danych, wszystkich zmianach i każdej aktywności użytkownika. W ten sposób mamy możliwość wprowadzenia w życie przyjętej polityki dostępu do informacji. W tym przypadku ponowie bardzo dobrze sprawdzają się narządzia typu PAM (Privilige Access Management) jak np. Wallix i narzędzie audytujące dostęp do danych plikowych w środowisku Microsoft: ManageEngine ADAudit.
Poziom monitorowania wszystkich danych w organizacji (pliki, poczta, bazy danych, hurtowne danych i cloud) powinien podlegać spójnej polityce bezpieczeństwa i zapewniać zintegrowane raporty z całego środowiska. Narzędzia monitorujące powinny być „w rękach” działu bezpieczeństwa. Takie podejście umożliwi także realizację innej, ważnej zasady w bezpieczeństwie – Seperation of Duties czyli rozdzielenia uprawnień administracyjnych i kontrolnych.

Powyższe zasady należy traktować jako dobre praktyki, które warto skonfrontować z sytuacją w danej organizacji i dostosować do przyjętej polityki bezpieczeństwa oraz wartości przetwarzanych informacji. Sposób realizacji zasad może być różny, jednak szczególną uwagę należy położyć na prawidłowe zdefiniowanie ryzyka związanego z utratą danych. Żyjemy w czasach kiedy o wyciekach informacji i kradzieżach danych czytamy codziennie. Lepiej nie trafić na pierwsze strony gazet z tego powodu…

Kategorie
Aktualności Partnerzy Technologia Wiedza

IT Challenge Gold Partnerem ManageEngine

Miło nam poinformować, że certyfikaty i kompetencje naszych inżynierów pozwoliły firmie IT Challenge Sp. z o.o. uzyskać status ManageEngine Gold Partner.

ITCH od roku z sukcesem dostarcza i wdraża wspomniane rozwiązania.

ManageEngine to oprogramowanie do zarządzania IT
w firmach i instytucjach. Jego modularna konstrukcja umożliwia zbudowanie kompletnego i łatwego w obsłudze rozwiązania nawet dla bardzo złożonych wyzwań zarządzania IT w obszarach:

  • Active Directory
  • Pomoc techniczna
  • Komputery stacjonarne
  • Urządzenia mobilne
  • Sieć
  • Serwer
  • Aplikacja
  • Bezpieczeństwo IT
  • Analityka
  • Chmura
Kategorie
Aktualności Kontrakt

IT Challenge rozbuduje system bezpieczeństwa w Grupa Kęty SA

Z przyjemnością informujemy, że firma IT Challenge wspólnie z Euvic Sp. z o.o. wygrała postępowanie na rozbudowę oraz odnowienie wsparcia dla systemów bezpieczeństwa w Grupa Kęty SA.

Kategorie
Aktualności Kontrakt Wiedza

Migracja systemu zarządzania firmy QPR Software dla UMWŁ

Konsorcjum IT Challenge oraz Agencja Konsultingowa ISO QUALITAS zrealizowało projekt dla Urzędu Marszałkowskiego Województwa Łódzkiego polegający na aktualizacji posiadanych przez Województwo Łódzkie licencji na oprogramowanie firmy QPR Software do najnowszej wersji wraz z instalacją oprogramowania i migracją danych. W ramach zamówienia dostarczone zostały następujące licencje na oprogramowanie:

  • QPR Serwer
  • QPR EnterpriseArchitect
  • QPR Metrics

Konsorcjum w ramach realizacji przedmiotu zamówienia zapewnia 6-miesięczne wsparcie i asystę techniczną dla dostarczonego oprogramowania QPR.

Kategorie
Aktualności Marketing

Nowa strona WWW

Z początkiem maja opublikowaliśmy nową stronę WWW. Mamy nadzieje, że znajdziecie tu ciekawe informacje dotyczące działalności naszej firmy.

Życzymy miłego korzystania. Dziękujemy za wszystkie uwagi 🙂

www.itch.pl