Informationstandard.pl - wspomaganie decyzji - link do strony głównej
wyszukiwanie:
Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »


WDROŻENIA

Migracja po dwóch dekadach

Bank BGŻ wymienia - zainstalowany jeszcze w latach 90. - system BankStreet. Nowa aplikacja - Flexcube - wspomaga działania centrali.

Efekt gwarantowany

Narzędzia analityczne wydatnie poprawiają skuteczność bankowych kampanii marketingowych.

ANALIZY

Czwarta fala

Rodzaj medium będącego zarówno nośnikiem, jak i sposobem przekazywania informacji, definiuje cechy organizacji gospodarczych i ma wpływ na zarządzanie przedsiębiorstwami. W epoce multimedialnych sieci zasady powstawania i funkcjonowania tych struktur ulegają zmianie.

Do użytku służbowego

Zainstalowanie bez wiedzy pracownika oprogramowania monitorującego jego aktywność będzie naruszaniem przepisów prawa pracy.

PRODUKTY

Migracja dobrze policzona

Rozwój firmy wymaga zwiększania lub optymalizacji mocy obliczeniowej infrastruktury serwerowej. Jakimi narzędziami posługują się CIO, aby utrzymać koszty pod kontrolą?

Maszyna dla danych

Sun Oracle Database Machine v2 został oparty na sprzęcie Suna. Pierwsza wersja, która powstała jeszcze przed ogłoszeniem planów fuzji Oracle-Sun, była oparta na technologii HP.

popularne komentowane nowości

popularne

Najczęściej czytane

WYWIADY

EN FACE: Sebastian Ryszard Kruk...

... pracownik naukowy Digital Enterprise Research Institute na Narodowym Uniwersytecie Irlandzkim i wykładowca na Politechnice Gdańskiej, autor pracy doktorskiej na temat semantycznych bibliotek cyfrowych, twórca start-upu Knowledge Hives i Szkoły Web 3.0.

Coraz więcej inteligencji

Rozmowa z Nickiem Pachnosem, szefem działu rozwiązań na platformę mainframe w BMC Software.

Luksusowa analiza

Stephen Brobst, Chief Technology Officer w Teradata, rozmawiał z nami na temat rynku business intelligence.

powiększ tekst >
ARCHIWUM

Kosztowny brak kontroli

12 lutego 2008

Antoni Bielewicz
Straty poniesione przez Société Générale na skutek miliardowych transakcji jednego z maklerów ponownie zwracają uwagę na problem organizacji procesów nadzoru i kontroli działań podejmowanych przez pracowników firm (IT Compliance).


Od końca stycznia br. trwa prześwietlanie życiorysu Jerome'a Kerviela, maklera Société Générale, którego transakcje na rynku kontraktów terminowych spowodowały sięgające 5 mld euro straty. Media prześcigają się w domysłach na temat przyczyn nadużyć. Niedawno usłyszeliśmy, że dokonanie tak ryzykownych operacji było możliwe dzięki włamaniu do systemu. Dociekliwi dziennikarze odkryli, że Jerome Kerviel nie tylko znał Visual Basic, ale brał udział w specyfikacji niektórych funkcji platformy bankowej ClickOptions oraz w projektach automatyzacji procesów bankowych.

Próba odświeżenia mitu o genialnym komputerowcu-hakerze to jedynie "zasłona dymna", której celem jest odwrócenie uwagi od realnych przyczyn nadużyć, spychających na skraj bankructwa, trzeci pod względem wielkości, bank francuski. Szczegóły udostępniane nam przez światowe media pozwalają przypuszczać, że prawdopodobnie powodem monstrualnych strat był przede wszystkim brak nadzoru i klarownych zasad podziału obowiązków (segregation of duties) w Société Générale.

Nikt nie jest bez winy

Problem ten wciąż dotyczy sporej części największych światowych korporacji. Jak wynika z opublikowanego w połowie ubiegłego roku raportu IT Policy Compliance Group, kłopot z zapewnieniem zgodności organizacji z regulacjami zapobiegającymi nadużyciom i wyciekom informacji ma ponad 90% z 475 badanych światowych firm. Jedna trzecia z nich w ciągu roku od zakończenia badań odnotowała co najmniej sześć poważnych incydentów związanych z utratą lub kradzieżą informacji.

Nawet jeśli większość z tych firm zainwestowała już w specjalne rozwiązania do nadzoru i kontroli, wciąż nie zlikwidowano luk w używanych do tej pory systemach. "Uprawnienia dostępu do systemów nadal są konstruowane z perspektywy funkcjonalnej, a nie biznesowej. Bierze się pod uwagę to, czego użytkownik będzie być może potrzebował w przyszłości, a nie to, co jest mu faktycznie potrzebne" - mówi Aleksander Poniewierski, partnet w firmie Ernst & Young Advisory.

"Przy wdrożeniach systemów priorytetem jest prawidłowe i sprawne działanie procesów, a dopiero potem myśli o wykorzystaniu adekwatnych mechanizmów kontrolnych" - wtóruje mu Kazimierz Klonecki, dyrektor w zespole doradztwa informatycznego Ernst & Young. "Kiedyś typowy model zarządzania dostępem do aplikacji był oparty na pojedynczych funkcjach lub zbioriach funkcji systemu lub pojedynczych składowych uprawnień. Teraz bierze się pod uwagę role biznesowe, a więc funkcje, jakie każdy użytkownik pełni w organizacji. Przestawienie się z jednego modelu na drugi nie jest proste" - dodaje. Zwłaszcza jeśli weźmiemy pod uwagę stopień komplikacji nowoczesnych systemów. W ramach jednego profilu ten sam użytkownik może dokonać dziesiątek różnych operacji, z których część może pozostawać w konflikcie ról, a w rezultacie umożliwiać nadużycie.

Często firmy zapominają, że nawet najlepszy system informatyczny musi być jeszcze odpowiednio monitorowany i podlegać okresowej kontroli. "Część użytkowników, zwłaszcza tych z rozszerzonymi uprawnieniami, dochodzi do wniosku, że sami nie muszą podlegać tym ograniczeniom. Okresowa kontrola pozwala wykryć takie sytuacje" - doradza Kazimierz Klonecki.

Ryzykanci

Wiele firm wciąż jeszcze godzi się z tego typu ryzykiem biznesowym. Dlaczego? Często decydują o tym względy operacyjne, takie jak chociażby brak odpowiednich kadr. W niewielkich oddziałach firm ten sam pracownik musi pełnić co najmniej kilka różnych funkcji i dokonywać wynikających z nich operacji w systemach. "Działy IT są w tej sytuacji pod silnym ostrzałem. Albo przyjmą restrykcyjne reguły, które sprawią, że zaleje ich fala telefonów od użytkowników, którzy nie są w stanie czegoś zrobić, albo pozostawią użytkownikom dużą swobodę, co może się jednak źle skończyć" - twierdzi Paweł Pomarański, konsultant ds. rozwiązania SAP GRC (Governance, Risk and Compliance) w firmie SAP.

Konfliktom sprzyja także struktura macierzowa dzisiejszych organizacji. Jedna osoba musi pełnić wiele różnych ról. W związku z tym otrzymuje stosunkowo szerokie uprawnienia, o których odebraniu się potem zapomina, często w imię obopólnej wygody. W dużych przedsiębiorstwach liczba ról sięga kilkuset. Oczywiście, każdy użytkownik pełni równocześnie po kilka ról. Im ich więcej, tym wyższe ryzyko nadużyć.

Jest to także wynik wielu operacji związanych z fuzjami, przejęciami, podziałami przedsiębiorstw oraz wydzielaniem w ich strukturach specjalizowanych centrów obsługi. Następstwem tych zmian jest namnożenie funkcji, podczas gdy liczba pracowników pozostaje ta sama lub wręcz ulega zmniejszeniu. Fuzje i przejęcia to także konieczność integracji systemów. Dołączenie każdej nowej aplikacji sprawia, że ryzyko konfliktu w dostępie do różnych systemów rośnie w sposób wykładniczy.

Poważnym wyzwaniem przy tego typu operacjach jest stworzenie spójnego "konceptu autoryzacyjnego", a więc planu autoryzacji i uwierzytelniania użytkowników w systemach. "W przypadku fuzji i przejęć można spróbować integrować różne koncepcje w ramach jednego rozwiązania, stworzyć zupełnie nowy koncept lub utrzymać dotychczasowy stan, godząc się na to, że wraz z postępującą integracją firm konflikt ról może narastać" - mówi Paweł Pomarański, konsultant ds. rozwiązania SAP GRC (Governance, Risk & Compliance) w firmie SAP.

Wiele konfliktów ról i uprawnień jest następstwem archaicznej architektury. "Producenci systemów ERP dostrzegli ten problem już kilka lat temu, stąd fala rozwiązań do nadzoru i kontroli, dostarczanych przez SAP, Oracle lub inne specjalistyczne firmy. Problemem jest duża liczba specjalizowanych aplikacji, np. bankowych, w których ten problem nie został rozwiązany" - wyjaśnia Aleksander Poniewierski. To wyzwanie także dla dotychczasowych modeli udostępniania systemów, które by w pełni uwzględnić złożony problem dostępu do systemów i uczynić go opłacalnym, musiałyby być jeszcze bardziej złożone i skomplikowane.
12 dalej »
Wystaw ocenę:
    Średnia ocena (liczba głosów: 1)
AudioBot - odsłuchaj materiałAudioBot - odsłuchaj materiał wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja Informationstandard.pl - wspomaganie decyzji nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

zelinski

  • ocena: 5
  • IP: 91.94.184.80
  • 13-02-2008, 09:23

Świetny artykuł. Pewnie nic nowego nie powiem jeżeli zwrócę uwagę, na to że wiele firm, nawet dużych, mimo tego że ma plany nie ma żadnej strategii. Nie jest żadna strategią napisanie „dążymy do corocznego zdwojenia przychodów poprzez wdrażanie innowacyjnych technologii”. To takie gadanie pod publikę (nagminne na stronach WWW nawet największych firm). Strategia to konkretne reguły biznesowe sterujące planem osiągnięcia celu. W jednym z wydać Harvard Business Review ukazał się kiedyś artykuł „Strategia jako zbiór prostych reguł”. Kwintesencja prostoty, polecam (tu nie ma miejsca na cytaty).
Jako analityk zajmujący się opracowywaniem wymagań na systemy IT zaczynam od „Proszę mi opisać Państwa plany i strategie ich osiągania”. I co? I cisza! Jak można zaprojektować system wspierający strategię firmy (no bo po co innego miał by on być?) skoro firma nie ma strategii! Artykuł opisuje moim zdaniem główną bolączkę wielu firm i małych i wielkich: brak pomysłu leczony ściąganiem z innych czyli najlepsze praktyki, benchmarking itp. Opisane zdarzenie moim zdaniem jest efektem nie tyle błędów w systemie IT co brakiem strategii i ustalenia reguł biznesowych. Te ostatnie sa kluczem do wymagań na system IT a nie odwrotnie: moim zdaniem system nie może wyznaczać reguł.