O bezpieczeństwie napisano już wszystko, a będzie napisane jeszcze kilka razy więcej. Samo bezpieczeństwo też nie jest prostym i jednoznacznym terminem, tak jak już nie jest nim "informatyka". Wyróżnijmy sobie rodzaje tego "bezpieczeństwa". Pierwszym niech będzie bezpieczeństwo dla takiego zwykłego użytkownika komputera - wiecie: antywirus, włączony firewall, niezostawianie haseł na żółtych karteczkach i siec bezprzewodowa zabezpieczona przez WPA1 - taki użytkownik to zbawienie dla branży. Mamy też bezpieczeństwo na poziomie instytucji z .gov w nazwie oraz innych korporacji - nazwijmy je uzasadnienie bardzo silnym. Na tym pokrótce wykreślonym schemacie, mamy szeroką, bliżej niezbadaną strefe bezpieczeństwa dla takich np MSP. Spokojnie można ją nazwać szarą strefą.
Absolutnie niezbadana, niedefiniowalna i całkowicie rozłożona na łopatki. Każdy średnio ogarnięty administrator znajdzie w necie wskazówki jak zabezpieczać sieci, ustawiać polisy, szkolić użytkowników, stawiać firewalle - jest tego masa. Nawet jak sobie podrażamy takiego ITIL'a albo zwyczajne procedury z centrali - wszystko napisane. Pojawia sie tylko jedno, wielkie ALE.
ALE po co.
W większości przypadków będzie to albo wylewanie dziecka z kąpielą, gdzie twardy dział informatyki tak ustali procedury, że ludzie pozabijają sie, nim dostaną do danych. To jednak nie najgorsza sytuacja, bo w sumie ludzie się kształcą, a i dane bezpieczne - i tak po zmianie administratora, albo kierownika IT, drugi to uprości, bo nie ma po co - zabezpieczymy sie tylko przed jakimś dzieckiem skryptu, albo przypadkowym atakiem. Jak będę kradł dane, to najpierw ukradnę laptopa prezentacyjnego, albo torebkę kierowniczki z pendrivem - jak juz musiałbym te dane kraść. Ta sytuacja za silnych polityk bezpieczeństwa i tak nie jest najgorsza, najgorsza jest taka, gdy dział IT, chce cos zrobić, ale nikt inny nie chce. Po co wypasiony firewall, gdy każdy ma nagrywarkę, a pracowników zwalnia się w trybie "nieprzyjaznym", każdy zdąży sobie nagrać co mu tam potrzebne Gdy ciało kierownicze nie ma pojęcia o informatyce i chce tylko aby to wszystko „jakoś działało”, to możemy dojść do śmiesznych paradoksów, wiecie: alufelgi do malucha. Samemu udało mi się znaleźć właśnie w takiej sytuacji, gdy jeden z elementów infrastruktury IT, delikatnie mówiąc, okazał się trochę na wyrost.
Przeprowadziłem ostatnio eksperyment myślowy z jednym z administratorów.
Pytam: Panie kolego, proszę mi wytłumaczyć dlaczego mamy wypasione firewalle, produkty jednej z topowych firm od spraw bezpieczeństwa, które wymagają oddzielnego serwera, licencji za kilkadziesiąt tysięcy, szkoleń po 4600 pln netto (3 dni) i 800 euro obsługi miesięcznie w centrali w jakimś pogańskim kraju? Bo widzi pa, ja tu mam takie urządzenie co sie wkręca w szafę, 1U zajmuje, jest jakaś nazwa firmy, ale to i tak pewnie jakiś Linux przykrojony przez magika, grunt, że jest support. Ono, to urządzenie, tez jest takim firewallem, dodatkowo ma opcje równoważenia obciążenia przez dwa łącza, statystki, qos, blokowanie p2p - czyli funkcje których nasze rozwiązanie nie posiada (bo nie wywaliliśmy kilkudziesięciu tysięcy na licencje i wdrożenie), dodatkowo, ono, to urządzenie będzie potrafił obsłużyć każdy student, którego przyjmę na praktyki (bez szkolenia, za przypomnę, 4600 pln netto trzy dni) i ono, to urządzenia kosztuje 3000 pln netto i przywiozą je jutro.
Administrator: Ale nasz firewall ma statefull packet inspection – Bóg wie, co tam jeszcze robi, logów, co nie miara, ledwo to ogarniam po szkoleniu...
Ja: To dobrze, niech pan broń boże do tych logów nie siada, pentagonu tu nie mamy, a robota stygnie, niech się pan czym pożytecznym zajmie..
No i co nam to daje, tak biznesowo, poza tym, że jesteśmy „dobrze zabezpieczeni” (czytaj: mamy drogiego firewalla). No co daje? Nic nie daje. To ja wole ten szmelc za 3000 zł, a za zaoszczędzoną kasę, kupie ludziom laptopy i większe łącze, a działowi informatyki nowy serwer.
Jak myślicie - co w realnym (i idealnym życiu, gdzie zarząd wie do jest czego informatyka) wybierze ciało kierownicze?
O to chodzi, ze połowa rozwiązań od bezpieczeństwa, jest o kant stołu potłuc, bo nie przekładają się w ŻADEN sposób na prawidłowe funkcjonowanie firmy, kosztują pieniądze, masę pieniędzy, nie są w pełni wykorzystywane i w efekcie utrudniają życie ludziom. Taniej i lepiej jest inwestować w pracowników i procedury bezpieczeństwa - efekt może nie natychmiastowy, ale długofalowy i pozostanie w firmie, a administrator (przypominam: 4600 - 3 dni) zawsze może odejść.
Uwaga dla komentujących - nie chodzi mi o bagatelizowania bezpieczeństwa w firmach i stawiania firewalli na ipchansach, chodzi o inwestycje z głową, oraz, co nie mniej ważne – kompleksowe podchodzenie do spraw bezpieczeństwa IT, tzn. przy współpracy i zrozumieniu zarządu…, a że często jest to niemożliwe? Cóż, ktoś musi zacząć to robić.
I takiej informatyki życzę Wam i sobie w nowym roku.
sobota, grudnia 29, 2007
piątek, grudnia 14, 2007
Informatyka 2.0
Witajcie zwolennicy nowych technologi, web 2.0, office Communicatorów, blututów w zegarku, gigabitowych łącz, serwerów blade, zwirutalizowanych systemów.
Czy wszyscy informatycy mają już najnowszą dostępną technologie i są przekonani, ze dzięki temu wykonują dobrze swoją prace?
Doskonale.
Teraz każdy bierze duże kartonowe pudło, kartkę papieru i ołówek. W kartonowe pudło chowa tą całą nową technologie, pisze na nim: "na później", siada z kartką papieru i ołówkiem, przy biurku. Nie cyfrowym biurku, tylko drewnianym, takim zwykłym. I bierze sie do pracy.
Nie wiem kto, doprawdy nie wiem kto w nas wmówił, że jak będzie gigabitowe łącze i serwer blade to nie trzeba utrzymywać porządku, prowadzić dokumentacji, zwyczajnie dbać o infrastrukturę, aby był w niej utrzymany porządek.
Przez 9 lat pracy, widziałem już tyle pierdolnika w serwerowniach, w serwerach, na miejscach pracy, że mogę z całą odpowiedzialnością stwierdzić że lepiej funkcjonującą jest infrastruktura, w której nie ma nowinek technicznych, umów SLA, najnowszych rozwiązań programowych, za to ktoś stworzył dokumentacje, poukładał i opisał wszystko tak, ze po pierwsze: połowa problemów nie występuje, bo nie ma jak (kable nie wypadają z gniazdek, wiadomo co do czego i gdzie zadzwonić), po drugie, jak coś sie dzieje, to czas rozwiązania problemu jest zminimalizowany, a zbędne rzeczy nie utrudniają diagnozy.
Przy obecnym poziomie informatyki nie jest sztuką stworzyć dowolną, wypasioną konfiguracje. Sztuką jest stworzyć konfigurację, która będzie trwała, niezależnie od zmiany personelu, bez ciągłej asysty "magika" który to wszystko skonfigurował.
Ludzie! Spędzamy połowę czasu pracy na ogarnianiu burdelu, który sami stworzyliśmy, wpierdalając na pałę rozwiązania stworzone "na kolanie", krosując wszystko ręcznie robionymi kablami, nie tworząc przy tym nawet kawałka dokumentu, który by to wspomniał co autor miał na myśli.
Po co komu w firmie ergonomiczny office 2007, jak ludzie nie wiedzą, gdzie i jak trzymać dokumenty, po co umowa SLA i 150 Mbitowe łącze, jeśli nie ma na wierzchu telefonu do zgłoszenia awarii.
Przypominam, tym, którzy zapomnieli, technologia jest dla ludzi, będzie działać jak będzie miała stworzone warunki. Ona nie wykona naszej pracy, która polega na zaplanowaniu tego wszystkiego. To za to nam płacą (a przynajmniej powinni).
Że przygotowanie takiej idealnej infrastruktury jest czasochłonne i kosztowne? Jasne, w perspektywie dwóch miesięcy oczywiście, ale jeśli mamy to potem utrzymywać przez 7 lat to proporcje się trochę zmieniają.
Niech każdy odpowie sobie na pytania:
- kiedy ostatni raz był akutalizowany plan sieci i gdzie on jest? (bo, że zrobiony w visio 2007, to na pewno, ale nie wiem czy nie został na laptopie w domu)
- czy jak będę na urlopie i coś padnie, to osoba zastępująca połapie się gdzie co jest? (czy też może będę z nią wisiał na telefonie, i odmrażał ucho na stoku)
- czy podczas ostatniej awarii byłem skupiony na jej usuwaniu, czy na szukaniu kartki z ostatnim telefonem do supportu?
Do roboty, wszyscy! ale to już! Żadna technologia nie zastąpi profesjonalizmu w robocie.
Czy wszyscy informatycy mają już najnowszą dostępną technologie i są przekonani, ze dzięki temu wykonują dobrze swoją prace?
Doskonale.
Teraz każdy bierze duże kartonowe pudło, kartkę papieru i ołówek. W kartonowe pudło chowa tą całą nową technologie, pisze na nim: "na później", siada z kartką papieru i ołówkiem, przy biurku. Nie cyfrowym biurku, tylko drewnianym, takim zwykłym. I bierze sie do pracy.
Nie wiem kto, doprawdy nie wiem kto w nas wmówił, że jak będzie gigabitowe łącze i serwer blade to nie trzeba utrzymywać porządku, prowadzić dokumentacji, zwyczajnie dbać o infrastrukturę, aby był w niej utrzymany porządek.
Przez 9 lat pracy, widziałem już tyle pierdolnika w serwerowniach, w serwerach, na miejscach pracy, że mogę z całą odpowiedzialnością stwierdzić że lepiej funkcjonującą jest infrastruktura, w której nie ma nowinek technicznych, umów SLA, najnowszych rozwiązań programowych, za to ktoś stworzył dokumentacje, poukładał i opisał wszystko tak, ze po pierwsze: połowa problemów nie występuje, bo nie ma jak (kable nie wypadają z gniazdek, wiadomo co do czego i gdzie zadzwonić), po drugie, jak coś sie dzieje, to czas rozwiązania problemu jest zminimalizowany, a zbędne rzeczy nie utrudniają diagnozy.
Przy obecnym poziomie informatyki nie jest sztuką stworzyć dowolną, wypasioną konfiguracje. Sztuką jest stworzyć konfigurację, która będzie trwała, niezależnie od zmiany personelu, bez ciągłej asysty "magika" który to wszystko skonfigurował.
Ludzie! Spędzamy połowę czasu pracy na ogarnianiu burdelu, który sami stworzyliśmy, wpierdalając na pałę rozwiązania stworzone "na kolanie", krosując wszystko ręcznie robionymi kablami, nie tworząc przy tym nawet kawałka dokumentu, który by to wspomniał co autor miał na myśli.
Po co komu w firmie ergonomiczny office 2007, jak ludzie nie wiedzą, gdzie i jak trzymać dokumenty, po co umowa SLA i 150 Mbitowe łącze, jeśli nie ma na wierzchu telefonu do zgłoszenia awarii.
Przypominam, tym, którzy zapomnieli, technologia jest dla ludzi, będzie działać jak będzie miała stworzone warunki. Ona nie wykona naszej pracy, która polega na zaplanowaniu tego wszystkiego. To za to nam płacą (a przynajmniej powinni).
Że przygotowanie takiej idealnej infrastruktury jest czasochłonne i kosztowne? Jasne, w perspektywie dwóch miesięcy oczywiście, ale jeśli mamy to potem utrzymywać przez 7 lat to proporcje się trochę zmieniają.
Niech każdy odpowie sobie na pytania:
- kiedy ostatni raz był akutalizowany plan sieci i gdzie on jest? (bo, że zrobiony w visio 2007, to na pewno, ale nie wiem czy nie został na laptopie w domu)
- czy jak będę na urlopie i coś padnie, to osoba zastępująca połapie się gdzie co jest? (czy też może będę z nią wisiał na telefonie, i odmrażał ucho na stoku)
- czy podczas ostatniej awarii byłem skupiony na jej usuwaniu, czy na szukaniu kartki z ostatnim telefonem do supportu?
Do roboty, wszyscy! ale to już! Żadna technologia nie zastąpi profesjonalizmu w robocie.
Subskrybuj:
Posty (Atom)