Kategorie
BLOG Doświadczenie Wiedza

Biznesowe kryteria sukcesu w projektach cyberbezpieczeństwa

Aby nadążyć za zmieniającymi się zagrożeniami i narzędziami cyberbezpieczeństwa, należy przyjrzeć się obszarom, które należy wziąć pod uwagę przy definiowaniu rozwiązania, planowanego do zakupu.
Następnym krokiem jest zrozumienie, czym jest sukces. Możemy podzielić to na trzy obszary: biznesowe, bezpieczeństwa i operacyjne.
Rozważmy po kolei każdy zestaw kryteriów. Poniższa lista nie jest bynajmniej wyczerpująca. Może znaleźć się coś takiego czego wymaga Twoja organizacja, a czego tutaj nie omówiliśmy. Jeśli tak, powinieneś uwzględnić je podczas tworzenia własnej listy, a następnie przypisać każdemu wysoki, średni lub niski priorytet. To ważne, ponieważ produkt, który ma dużo cech z pudełka jest interesujący, ale jeśli te cechy są głównie Twoimi niskimi priorytetami, to produkt pomija niektóre ważne potrzeby.

Żadne narzędzie nie jest idealne, więc prawdopodobnie w jakimś obszarze konieczne pójście na kompromis. Mam nadzieje, że ten artykuł i kolejne pomoże aby ustalić, gdzie one mogą być. Zaczynamy od obszaru biznesowego.

Obszar biznesowy
  1. Czy rozwiązanie jest zgodne z wewnętrznymi regulacjami i politykami? Prawdopodobnie będzie to wysoki priorytet dla każdej organizacji i może wymagać głębszej analizy. Jeśli narzędzie, które oceniasz, wysyła jakieś dane na przykład do chmury, może być konieczne sprawdzenie, gdzie znajdują się serwery dostawcy. W niektórych regulowanych sektorach biznesu istnieją ścisłe kontrole czy – i jakiego rodzaju – dane mogą przekraczać granice.
  2. Produkt, który rozważasz, może dziś spełniać Twoje potrzeby, ale czy roadmapa produktu pasuje do Twoich potrzeb biznesowych i planów rozwoju w przyszłości? Roadmapa może informaować, że producent zamierza skupić się na obszarach produktu, które nie są istotne dla Twojego biznesu, albo być nie jasna. W świecie cyberbezpieczeństwa sytuacja zmienia się szybko, ale Ty potrzebujesz zastanowić się, jak rozwinie się produkt przez najbliższe pięć lat i czy ten produkt pasuje do Twojej wizji.
  3. Czy przewidujesz, że produkt, który testujesz, będzie produkować mniej alertów? Może to być spowodowane tym, że lepiej eliminuje false positive lub ponieważ jest bardziej zautomatyzowany i obsługuje określone rutynowe alerty według tej samej reguły. Tak czy inaczej, zapewni to lepsze wrażenia użytkownikom systemów bezpieczeństwa, co prawdopodobnie zwiększy satysfakcję z pracy, a nawet może mieć wpływ na utrzymanie pracowników.
  4. Czy nowy produkt pozwoli Ci uprościć system bezpieczeństwa poprzez konsolidację rozwiązania? Jeśli tak, czy jest to istotny czynnik? Niektóre organizacje nadają priorytet integracji produktów, a inni chętnie używają ich wiele, aby czuć się bezpiecznie. Większość jest gdzieś pomiędzy.
  5. Zasady licencjonowania i wprowadzania nowych funkcjonalności przez dostawcę będą miały wpływ na nowe funkcje na roadmapie. Nie należy zakładać, że otrzymamy automatycznie dostęp do każdej nowej funkcji w momencie jej wydania. Sprawdź, czy będziesz musiał czekać na nowe funkcje lub czy dostęp do nowych funkcji zależy od warunków twojej licencji. To, jak ważna jest ta odpowiedź, będzie zależeć od wagi, nadanej do punktu 2.
  6. Należy wziąć pod uwagę doświadczenie dostawcy. Jeśli to nowy dostawca, sprawdź referencje, opinie i czy analitycy ocenili produkt. Jeśli to wieloletni dostawca, rozważ osiągnięcia firmy w kategoriach sukcesu wdrożeń, stabilności firmy i obsługi klienta. Dobrze finansowany nowy startup, o którym wszyscy mówią, może mieć świetne rozwiązanie, ale może nie. Firmie może zabraknąć funduszy lub może zostać przejęta i zmienić kierunek.
  7. Jak wygląda świadczenie pomocy technicznej sprzedawcy i do jakiego podejścia SLA? To, jak dużą wagę do tego przyłożysz, będzie zależeć od takich czynników, jak wielkość twojego zespołu, krytyczność instalacji. Jeśli masz mały zespół, być może będziesz musiał na nim polegać więcej na serwisie.
  8. Jaka jest jakość dokumentacji produktu i czy jest regularnie aktualizowana? Jeszcze raz, Twoja waga będzie zależała od tego, czy Twój zespół będzie potrzebował do niej sięgać czy tylko podczas instalacji. To też będzie zależało od tego, czy Twój zespół jest już zaznajomiony z podobnymi produktami.
  9. Jakie czynniki finansowe stoją za Twoim zakupem? Czy jest presja na przykład skonsolidować narzędzia lub uwolnić zasoby ludzkie? Lub być może są obawy finansowe są drugorzędne w stosunku do uzyskania odpowiedniego produktu? Właściwie wyliczone ROI (retutn-of-investment) znacznie ułatwi określenie oczekiwań zamiast przypuszczeń.

Warto przygotować sobie odpowiedni arkusz excela z wypisanymi czynnikami, ich priorytetem, naszą oceną, aby łatwiej nam było zarządzać kryterium sukcesu projektu.

Kategorie
BLOG Doświadczenie Wiedza

Bezpieczna praca zdalna kontra COVID-19 czyli czego nauczyły nas ostatnie dwa miesiące…

COVID-19 w wielu obszarach życia zrobił nam stress test, sprawdzając nas jak poradzimy sobie w warunkach skrajnych, kryzysowych. Takie testy znane są z rynku finansowego, gdzie służą do określenia zdolności danej instytucji finansowej do radzenia sobie z nomen omen kryzysem gospodarczym.

Taki test przeszły w połowie marca działy IT i cyberbezpieczeństwa w prawie wszystkich organizacjach w Polsce i nie tylko oczywiście. Początki były dla wielu CIO i CISO były stresujące. Presja czasu nigdy nie działa na korzyść rozwiązań bezpieczeństwa i ciągłości działania. Dodatkowo skala działań była ogromna. Teraz kiedy kurz opadł można pokusić się o małe posumowania i obserwacje z punktu widzenia integratora i oursourcer’a usług IT:

  • VPN – usługa znana i wykorzystywana od lat stała się najbardziej krytyczną usługą IT. Bez niej nie istnieją inne usługi. Bezpieczny tunel pomiędzy komputerem a koncentratorem stał się jedyną droga do danych, aplikacji, jednym sposobem pracy. Dostępność usługi VPN w jednym momencie okazała się najważniejsza. To moment, w którym można sprawdzić architekturę styku z Internetem oraz zwymiarowanie jego elementów.
  • MFA – wielopoziomowe uwierzytelnienie w dostępie do zasobów też nie jest niczym nowym. Mimo, że jest krytycznym mechanizmem zapewniającym, że tylko osoby posiadające odpowiednie uprawnienia dostaną się z domu lub innego miejsca do zasobów organizacji, nie wszyscy go stosują.
  • FDE – to skrót oznaczający usługę szyfrowania dysku. Aby mieć pewność, że przetwarzane w domu na laptopie, komputerze lub smartfonie dane będą bezpieczne, dyski tych urządzeń muszą być zaszyfrowane.

Oprócz wspomnianych technologii kryjącej się za trzylitrowymi skrótami trzeba było dokonać zmian organizacyjnych:

  • Wsparcie użytkowników pracujących w domu to usługa, która, jeżeli w ogóle funkcjonowała, to była na niszową. W ekspresowym tempie trzeba było przestawić dział wsparcia do świadczenia tej usługi.
  • Wiele firm nie dopuszczała dostępu do wszystkich zasobów przez połączenia VPN, a „przeniesienie” wszystkich pracowników na home office wymusiło zmiany w polityce dostępu do kluczowych zasobów
  • Uruchomienie lub zmodyfikowanie programu szkoleń security awareness kreującej pozytywne zachowania użytkowników i budujące świadomość zagrożeń w nowej rzeczywistości – pracy zdalnej.

Dwa miesiące to wystarczająco dużo czasu aby rozwiązać problemy lub może ładniej będzie brzmiało stawić czoła wyzwaniom jakie z dnia na dzień przez zespołami IT oraz cyberbezpieczeństwa postawił COVID-19. Myślę, że to dobry moment na zatrzymanie się na chwilę i spokojne przeanalizowanie stanu obecnego zdalnego dostępu. Teraz już można na spokojnie podejmować decyzje i planować kolejne działania.

Kategorie
BLOG Doświadczenie Wiedza

Przestaw myślenie na zarządzanie ryzykiem

Wczoraj zadzwonił do mnie kolega z zaprzyjaźnionej firmy i zaczął opowiadać o wspólnym przedsięwzięciu, którego mielibyśmy się razem podjąć. Szybko przedstawił swój pomysł i już w drugim zdaniu zaczął snuć opowieść o zyskach jakie spłyną na obie nasze firmy. Układałem sobie całą jego historie w głowie i w końcu odezwałem się: Jakie są ryzyka tego projektu?
Przytoczyłem tę krótką historię dlatego, że każdy dobry biznes, dobry biznesplan musi mieć oprócz pomysłowości, kreatywności i energii także analizę ryzyka i na tym chciałbym się dziś chwilę zatrzymać.
Zarządzanie ryzykiem to proces identyfikacji, oszacowania ryzyka oraz ograniczenia go do akceptowalnego poziomu i zapewnienia, że na tym poziomie pozostanie. Nie ma środowiska IT w 100% zabezpieczonego. W każdym można znaleźć podatności i zagrożenia. Wyzwaniem jest ich identyfikacja, oszacowanie prawdopodobieństwa ich wystąpienia i szkód jakie mogą spowodować, a następnie podjęcie właściwych kroków aby zredukować poziom ryzyka wystąpienia do poziomu akceptowalnego przez organizacje. Ryzyka w świecie IT możemy podzielić na:

Rodzaje ryzyka IT

Transformacja cyfrowa ujawniła wiele obszarów, na których powinny się skupiać zespoły ds. ryzyka i cyberbezpieczeństwa. Realizując inicjatywy cyfrowe, organizacje zwracają uwagę na wyniki finansowe, reputacje firmy i relacji z klientami jako najbardziej negatywne konsekwencje związane z ryzykiem cyfrowym.
Decydując się na zwiększenie przetwarzania w chmurze, budowę nowych aplikacji dla klientów, aplikacji mobilnych, szukając zaawansowanej analityki czy też automatyzacji procesów, organizacje mogą mieć trudności ze określeniem, na czym polega konkretne zagrożenie.
W związku z tym firmy powinny podjąć działania, które pozwolą zminimalizować prawdopodobieństwo negatywnego scenariusza:

5 kroków do zarządzania ryzykiem

O tym, że warto podejmować wszystkie działania związane z minimalizacją ryzyka niech świadczą następujące informacje. Według raportu firmy RSA z 2018 roku „Current State of Cybercrime” 60% fraudów finansowych ma miejsce przez aplikacje mobilne. Natomiast z raportu firmy Positive Technologies „Vulnerabilities and threats in mobile applications” wynika, że 76% aplikacji mobilnych ma wady pozwalające hakerom na kradzież haseł, pieniędzy lub informacji.

Takich smutnych statystyk można by przytaczać wiele. Dodam może jeszcze na zakończenie jedną informacje z Positive Technologies: 60% ataków w roku 2019 to były ataki kierowane. Zarządzanie ryzykiem i cyberbezpieczeństwo powinny iść w parze. Nigdy nie wiem kiedy trafimy na celownik hakerów!

Kategorie
BLOG Doświadczenie Wiedza

Transformacja cyfrowa dostępna dla każdego!

Transformacja cyfrowa to jedno z tych buzzword’ów, które każdy rozumie lekko inaczej, a może właśnie dlatego, że jest to „modne” określenie, każdy naciąga je do swoich potrzeb. Z jednej strony to dobrze jeżeli wpływa na rozwój biznesu, staje się lokomotywą rozwoju firmy, ale znacznie gorzej jeżeli mylnie wprowadza pojęcia transformacji, jako czegoś osiągalnego tylko dla największych przedsiębiorstw i instytucji. Bo każda organizacja myśląca o rozwoju powinna transformacje cyfrową wziąć jako jeden ze strategicznych kierunków działania. „Digital Risk Raport” z stycznia 2020 firmy RSA z przedstawia rodzaje inicjatyw w ramach transformacji cyfrowej w Ameryce Północnej, Europie Zachodniej oraz Australii:

Działania podjęte w ramach transformacji cyfrowej w ostatnich 2 latachProcent respondentów
Przeniesienie części usług i zasobów do chmury61%
Rozbudowa aplikacji dla klientów49%
Rozbudowa mobilbych aplikacji47%
Praca zdalna, mobilność46%
Zaawansowana analityka44%
Automatyzacja procesów43%
Aplikacje wspierające współpracę z partnerami42%
IoT36%
Wykorzystanie agile’owego dewelopmentu36%
Robotyka33%
Sensory i technologie lokalizacji29%
Źródło: Digital RIsk Raport firmy RSA z 2020 r.

Dlaczego każda firma? Ponieważ jest to element samodoskonalenia się organizacji. Wejście na drogę transformacji to moment zdefiniowania i rozwiązywania problemów oraz rozwoju i optymalizacji. Ważne aby wybrać właściwą drogę ku doskonałości.
Skupmy się na jednej z wymienionych w raporcie inicjatyw – zaawansowanej analityce. Wiele przedsiębiorstw dobrze prosperujących nie ma czasu przeglądnąć się swojej organizacji, sposobowi przebiegu procesów wewnątrz firmy. Czasem procesy są narysowane ale narzędzia, a co za tym idzie dane, nie nadążają lub wręcz odbiegają od kierunku wyznaczonego procesami. To jest moment, w którym warto się rozglądnąć za kimś kto jest w stanie z boku nie tylko przyglądnąć się wyzwaniom zarządczym, ale również może doradzić najlepsze (nie znaczy najdroższe) rozwiązanie. To musi być doradca, który chce wejść razem z Wami na drogę transformacji, dzielić się swoją wiedzą, doświadczeniami i zmieniać Wasze organizacje ewolucyjnie lub rewolucyjnie na cyfrowe.

Narzędzie dobrane do potrzeb

Znany chyba wszystkim produkt firmy z Redmond – MS Excel – jest bardzo zaawansowanym narzędziem, które niejedną firmę scyfryzowało i na pewno jeszcze nie jedna firmę scyfryzuje. Bo narzędzie jest tak dobre jak ręce w które jest oddane. Tabele, funkcje, makra, moduły Visual Basic mogą uczynić cuda. Jest to pierwszy krok to analizy potrzeb. Raporty, tabele z zanegowanymi danymi, zaawansowane wyszukiwania z baz danych i elastyczna prezentacja danych. To wszystko możemy uzyskać mając w rękach arkusz kalkulacyjny. Dzięki temu możemy uruchomić procesy zarządzania i kontrolingu.
Nowe wyzwania biznesu wymagają szybkiego wsparcia ze strony IT, do których możemy wykorzystać dedykowane aplikacje zbudowane w oparciu o platformę niskokodową (low-code) na smartfon, tablet lub komputer z wykorzystaniem szeroko dostępnych narzędzi firmy Microsoft takich jak: PowerApps, Power Automate, Sharepoint i Office.365. Otrzymamy mobilność danych i wszech dostęp. Wielką zaletą platformy niskokodowej jest agile’owe tworzenie aplikacji, dzięki czemu bardzo szybko otrzymujemy pierwsze efekty cyfryzacji i możemy je rozwijać.

Gdy narzędzia ogólnego zastosowania nie wystarczą.

Sukces bardziej zaawansowanych cyfrowo organizacji zależy od świadomego uczestnictwa wszystkich pracowników w projektowaniu zmian w procesach, zrozumienia jak procesy firmy funkcjonują i jakie są powiązania pomiędzy działaniami poszczególnych pracowników z różnych komórek organizacyjnych w jednym m procesie.


QPR to rozwiązanie dzięki któremu Twoja organizacja może zbudować spójne rozwiązanie do zarządzania procesami biznesowymi. Obejmuje to jedną platformę do modelowania procesów w całej firmie, dokumentowania, planowania i komunikacji procesów. Wszystko to z istotnym skupieniem na realizacji strategii. Siła rozwiązani ujawnia się w momencie gdy w organizacji funkcjonują obok siebie i niezależnie: system zarządzania procesami, ryzykiem, wynikami, ciągłością działania, jakością. Wszystkie one wymagają zastosowania podejścia procesowego, a często robią to oddzielnie, generując nadmierne koszty zaprojektowania, analizy i utrzymania systemów oraz komunikacji wewnątrz danego podsystemu.

Partner transformacji

Najważniejsze to znaleźć właściwego doradcę, partnera i towarzysza w drodze do cyfrowego sukcesu.

Dzięki niemu narzędzia cyfrowej transformacji będą uszyte na miarę Waszych potrzeb i oczekiwań.

Do napisania artykułu wykorzystano materiały partnera – firmy QPR Software (www.qpr.com).

Kategorie
BLOG Doświadczenie Technologia Wiedza

Zarządzanie firmą z pomocą PowerApps i PowerAutomate

Początki każdej firmy są sporym wyzwaniem. Podobnie było z IT Challenge co zdradza jej nazwa 😊. Od pomysłu do zorganizowania firmy droga wydaje się daleka. Do zrobienia jest totalnie wszystko: od biura zaczynając, formalności, kadry, księgowość itd. I kiedy wydaje się że można zaczynać, zatrudniamy pierwszych pracowników i…


I wystartowaliśmy. Praktycznie, każdy krok generował nową potrzebę. Po miesiącu działania firmy mieliśmy już listę życzeń:

  1. system poczty elektronicznej
  2. pakiet biurowy
  3. system komunikacji audio-wideo
  4. zarządzania projektami sprzedażowymi i realizacyjnymi (CRM),
  5. system zarządzania dokumentami
  6. system zarządzania zgłoszeniami (ITSM)
  7. system zarządzania zadaniami
  8. system rozliczania czasu pracy
  9. system akceptacji nieobecności (urlopy)

Systemy powinny być dostępne w firmie, podczas delegacji, w czasie pracy w domu, na laptopie, na urządzeniach mobilnych.


Wydawało się, że powstała lista nieosiągalnych marzeń. Jednak szybka analiza naszych kompetencji oraz dostępnych narzędzi pozwoliła na nieśmiały ruch – idziemy w infrastrukturę O365. Z pudełka dostaliśmy co prawda tylko trzy pierwsze systemy, ale wybrane licencje E3 dały nam dostęp do platformy niskokodowej (low-code) PowerApps, przebiegów (flows) Power Automate i aplikacji Sharepoint.
Tworzenie aplikacji za pomocą usługi Microsoft Power Apps ułatwia ich twórcom bardziej wydajną pracę. Pozwala rozwiązywać problemy biznesowe przy użyciu intuicyjnych narzędzi wizualnych, które nie wymagają pisania kodu. Umożliwia szybszą pracę dzięki platformie zapewniającej integrację i dystrybucję danych. Aplikacje natywnie są dostępne na smartfonie, tablecie lub komputerze. Dodatkowo narzędzia Microsoft Power Automate usprawniają powtarzające się zadania i procesy biznesowe za pomocą automatyzacji procesów mechanicznych (RPA).

Dwa miesiące tworzenia aplikacji w środowisku PowerApps i Power Automate i powstały wszystkie potrzebne ITCH aplikacje. Kluczem do sukcesu była szybka analiza biznesowa (wiedzieliśmy czego potrzebujemy) oraz doświadczenie w efektywnym pisaniu (klikaniu) w środowisku low-code firmy Microsoft. Sześć aplikacji w 60 dni kalendarzowych to bardzo dobry wynik.

Zapraszamy do kontaktu: sales@itch.pl

Chętnie podzielimy się naszymi doświadczeniami!