29 kwietnia 2010

Key-man exposure

Pod terminem "key-man exposure" kryje się jedna z ważniejszych zasad zarządzania - uniezależnienie się od osób "niezastąpionych".
W wielu firmach spotyka się sytuacje w których całość wiedzy na jakiś temat (na przykład na temat funkcjonowania sieci wewnętrznej czy kluczowej aplikacji) jest w posiadaniu pojedynczego pracownika i nikt poza taką osobą nie potrafi nic zmodyfikować czy naprawić.
Jest to bardzo poważne zagrożenia dla bezpieczeństwa. Nie tylko chodzi o sytuacje w których pracownik postanowi zrobić coś brzydkiego, tak jak na przykład były administrator sieci w San Francisco. Często problemy mogą pojawić się w dużo bardziej prozaicznych sytuacjach: urlopu za granicą, nagłej choroby, wypadku czy nawet uczestnictwa w kilkudniowym weselu najlepszego kolegi.
Jeśli coś akurat wtedy stanie się niedobrego to cała organizacja poznaje na czym polega przerwa w ciągłości funkcjonowania.

Powyższym zagadnieniem powinny zajmować się plany ciągłości funkcjonowania, lecz lepiej nawet nie doprowadzać do takiej sytuacji. Dla świętego spokoju tak ważnych osób należy je przekonać do podzielenia się wiedzą. przynajmniej taką jej ilością jaka jest niezbędna do reagowania na awarie. Podstawowe parametry konfiguracyjne, niezbędne instrukcje oraz hasła nie mogą być w posiadaniu wyłącznie jednego pracownika. Albo musi on wyznaczyć zastępcę, który będzie w stanie wykonać prace w niezbędnym zakresie, albo musi je zdeponować w bezpiecznym miejscu (np. na zasadach umów escrow czy też w wirtualnych (bądź fizycznych) sejfach).
Nie wolno igrać z losem, tam gdzie się można wcześniej zabezpieczyć, należy to zrobić. Od razu

22 kwietnia 2010

Wolność słowa w intenecie

TVN podał dziś informację o problemach uczelni z kadrą pedagogiczną po opublikowaniu obraźliwego bloga. Jest to kolejny przykład na to, że publikując informacje należy stosować się do ustalonych norm społecznych. Są one definiowane artykułem 226 Kodeksu Karnego, na moje potrzeby stosuję inną listę. W Internecie nie należy:
- opluwać ludzi;
- obrażać przeciwników;
- zarzucać czynów bez posiadania właściwych dowodów;
- ukrywać się pod pozorną przykrywką anonimowości;
- przeszkadzać innym w komunikacji, zdobywaniu wiedzy czy dyskusjach.
Jednym słowem - nie należy w sieci trolować

Ponieważ jednak trollowanie niektórym wydaje się być fajne, ponieważ siedząc za klawiaturą myślą, że są zupełnie bezkarni i robią rzeczy, których nigdy nie odważyliby się zrobić w realu prędzej czy później spotka się to ze zdecydowaną reakcją.
Nie jest tajemnicą, że anonimowość w sieci zazwyczaj jest fikcją, ale jeśli opisane powyżej zachowania będą jeszcze częstsze to naprawdę obudzimy się pewnego dnia z internetowym dowodem tożsamości. Skończy się trollowanie, skończy się również nawet pozorna anonimowość czy prywatność.

21 kwietnia 2010

Tworzenie centrum danych

Centrum Danych to serce (i reszta krwiobiegu) firm.
Tam przetwarzane są najważniejsze z aktywów nowoczesnych organizacji - informacje. Stworzenie centrum danych jest żmudnym projektem wymagającym połączenia szeregu specjalistów z rozmaitych dziedzin. Celem jest posiadanie bezpiecznie funkcjonującej serwerowni (albo bardziej ogólnie właściwe zabezpieczenie dostępności, integralności i poufności posiadanych danych).

Projekt to przede wszystkim budowlanka czyli izolowanie pomieszczenia od niekorzystnych wpływów atmosferycznych, od ciągów wodnych wewnątrz budynków, podnoszone podłogi, podwieszane sufity...

Dalej mamy zapewnienie właściwych warunków środowiskowych - precyzyjne klimatyzacje, minimalizacja zanieczyszczeń wewnątrz pomieszczenia, tłumienie drgań, wilgotność i temperatura. Wszystko oczywiście musi być zależne od mocy jakie będą wykorzystywane w centrum danych. No i gwarantowane...

Mądrość ludowa mówi, że każde urządzenie elektryczne działa o 100% lepiej po podłączeniu go do zasilania. Tym samym trzeba zapewnić, że jest możliwość dostarczenia potrzebnych (wcześniej obliczonych) mocy, są gniazdka w potrzebnych ilościach i miejscach, jest redundancja linii zasilających, są baterie UPS pozwalające podtrzymać chwilowy zanik (do kilku minut), są generatory potrafiące dostarczać potrzebną moc spalając diesla (którego odpowiedni zapas musimy posiadać).

Jak już mowa o spalaniu to trzeba zapewnić właściwy system wykrywania pożaru oraz gaszenia. Podział serwerowni na strefy, wybór środka gaśniczego, możliwość ręcznego włączania/wyłączania systemów (niezbędny podczas pewnych prac), oświetlenie awaryjne, współpraca z klimatyzacją (wyłączanie nawiewów, sterowania klapami pożarowymi, wytrzymałość ścian, przebić, drzwi. To kolejne z potężnych zadań

Gdy już się tak napracujemy to chcemy mieć pewność, że poza tym, że serwery (biblioteki itp, urządzani aktywne itp) będą mały dobre warunki pracy to nikt ich nam nie zniszczy czy nie wyniesie. Do tego służą systemy sygnalizacji włamania i napadu, śluzy, systemy kamer przemysłowych CCTV, alarmy, systemy kontroli dostępu dowolnego typu: karty dostępu, czytniki kodów biometryka, klucze fizyczne...(oczywiście wszystko współpracujące z systemami p.poż).

Nagle widzimy, że to wszystko jest naprawdę skomplikowane, że jest masa ważnych parametrów do ogarnięcia. Coś musi tym zarządzać. Tym czymś jest BMS czyli Building Management System. w ramach tego systemu można zintegrować informacje płynące z systemów zasilania, klimatyzacji, p.poż, WiN, CCTV, namieść czujki na plany pomieszczeń i tym samym mieć jedną (lub klika tematycznych) konsolę zarządzającą tym co się dzieje w centrum danych. Innymi słowy do tego krwiobiegu potrzebujemy mózgu, który odpowiednio będzie zarządzał wszystkimi komponentami.

Temat jest naprawdę fajny, przyjemnie jest widzieć jak coś fajnego powstaje na Twoich oczach. Polecam poczytać więcej na ten temat. Na przykład mój artykuł dla CSO o tworzeniu bezpiecznych centrów danych dla CSO sprzed 3 lat oraz materiał reklamowy Qumak-Sekom dotyczący tworzenia centrum przetwarzania danych onet.pl (fakt - reklamówka ale za to fajnie napisana)

20 kwietnia 2010

Just in Time

Koncepcja JiT (Just in Time) zaczęła zdobywać popularność od lat 70' ubiegłego wieku. Celem koncepcji jest optymalizacja produkcji - zapewnienie stałej dostępności niezbędnych zasobów przy jednoczesnym ograniczeniu wielości zapasów magazynowych. Jest często stosowana, choć niekoniecznie w pełni wdrożona.
Koncepcja ze wszech miar poprawna... Tyle, ze nierealna.
Świat niestety nie jest idealny, to, że założymy, że akcja będzie mieć miejsce w danym momencie zależy od zbyt wielu czynników by naprawdę móc w polegać na przygotowanych zestawieniach w arkuszach kalkulacyjnych. Na opóźnienia mogą mieć wpływ czynności lub zaniechania naszych partnerów, ich dostawców lub partnerów biznesowych, organizacje zewnętrzne (regulatorzy, organizacje społeczne, przedstawiciele prawa, firmy transportowe, związki zawodowe górników czy pielęgniarek...).
Planując ciągłość - w tym wypadku dostaw, zawsze trzeba wyjść z założenia, że nie znasz dnia ani godziny.
Mimo szczerych chęci, mimo zaplanowania wszystkiego co do sekundy niespodziewanie setki kilometrów od fabryki może mieć miejsce wybuch wulkanu paraliżujący transport powietrzny....
A w jaki sposób transportuje się bardzo często krytyczne podzespoły?
Jaka jest najszybsza metoda transportu niewielkich lecz drogich podzespołów?

Aż przykro się czyta tego typu artykuły jak ten o zaprzestaniu produkcji przez BMW. W sumie BMW chciało dobrze, chciało oszczędzać. Miało jednak pecha.

Właściwe zarządzanie ciągłością funkcjonowania pozwala jednak przygotować się nawet na tego typu zagrożenia. Dywersyfikacja dostawców, alternatywne metody dostaw i przede wszystkim stałe monitorowanie tego co się dzieje na świecie pozwala zminimalizować ryzyko. Aż chcę się tu przypomnieć sytuację z rynku telefonów komórkowych sprzed 10 lat zwaną sprawą Nokia-Ericsson lub przypadkiem Albuquerque .

10 kwietnia 2010

Dostęp do informacji

10 kwietnia 2010

Dzisiejszy dzień przejdzie do historii Polski, a pewnie i odniesie trwałe skutki dla przyszłości Europy i pewnie świata (o czym napiszę innym razem).

Przypomnimy sobie te chwile...(cytaty za portalem gazeta.pl)
8.56 czasu polskiego - rządowa maszyna z prezydentem na pokładzie rozbiła się na lotnisku z Smoleńsku
9.23 Pierwsza pilna informacja - samolot z prezydentem Lechem Kaczyńskim rozbił się przy lądowaniu na lotnisku w Smoleńsku.
9. 28 Gazecie.pl rzecznik MSZ Piotr Paszkowski mówi, że samolot przy lądowaniu zahaczył o drzewa. - Wygląda to bardzo źle - powiedział rzecznik MSZ. - Przy podchodzeniu do lądowania samolot najprawdopodobniej zahaczył o drzewo. Pożar jest już ugaszony - powiedział PAP Paszkowski
10.12 Najprawdopodobniej nikt nie przeżył katastrofy prezydenckiego samolotu - poinformował rzecznik MSZ Piotr Paszkowski. W resorcie organizuje się sztab kryzysowy.
10.19 Zgodnie z Konstytucją władzę w Państwie przejmuje Marszałek Bronisław Komorowski.
...
17.48 Zawiesiła się strona prezydent.pl


Tak to się zaczęło.
To o czym chciałbym w tym momencie napisać to refleksja nad dostępem mediów do wiedzy.
Pierwsze wzmianki nie były jasne, wszyscy byli żądni szczegółów, wiedzy. Jesteśmy przyzwyczajeni przez google, że wiedzę dostajemy natychmiast, informacja jest tworzona a ułamek sekundy później jest dostępna. W tym przypadku było inaczej. Długi czas nie było wiadomo co tak naprawdę się stało, jaki jest rozmiar tragedii. TVN24 podobno wiedział (takie są komentarze) prawie bezzwłocznie, ale czekał na potwierdzenie. zresztą nie ma co się dziwić. podawanie informacji o śmierci głowy Państwa wraz z szeregiem wybitnych postaci nie może  być robione pochopnie. Czekając na informacje śledziłem doniesienia telewizyjne, radio, przeglądałem strony internetowe.
I okazało się, że Internet działał najwolniej.
Nie dość, że gwałtowne zainteresowanie praktycznie wyłączyło główne serwisy jak onet, wp, pap czy gazeta to informacje wcześniej były podawane przez telewizję i radio. Właśnie w tej kolejności.
wydawać by się mogło, że radio jako prostsza forma przekazu będzie wszędzie pierwsza, będzie mieć najświeższe informacje, jednak to TV wygrała wyścig z czasem.
Czemu?...Popularność? Wszędobylstwo? Nos? Pogoń za sensacją? Nie wiem - może wszystkie, ale gdy w radiu jeszcze leciały wesołe melodyjki telewizje z pełną mocą informowały o zdarzeniu. Przypominają mi się słowa Jack'a Welscha, który pisał, że jedną z głównych zasad zarządzania sytuacją kryzysową jest potraktowanie jej od razu jako najgorszej rzeczy, która mogła nam się wydarzyć. Jeśli się sprawdzi - będziemy w pełni przygotowani, jeśli nie będziemy wiedzieli, że jesteśmy przygotowani na podobne sytuacje i że potraktowaliśmy sytuację z należnym szacunkiem.
Telewizje bardzo dobrze odrobiły dziś tę lekcję.


To co również zwracało moją uwagę to sam fakt dostępu do informacji przedstawianych przez media. Rano wyraźnie widać było na które media można liczyć w sytuacji kryzysowej. Portale informacyjne padły pod naporem żądnych wiedzy internautów. Dołączenie się do przekazów strumieniowych było praktycznie niemożliwe.
Jednak brodcasting w wykonaniu telewizji czy radia sprawdzał się doskonale. Komunikaty były dostarczane niezależnie od ilości słuchaczy.
O tym koniecznie trzeba pamiętać przygotowując się na sprostanie sytuacjom kryzysowym - tradycyjnych mediów nie należy spisywać na straty.
Internet czy nawet telefonia komórkowa (i coraz częściej tradycyjna) mają wielką wadę - padają pod naporem ilości użytkowników.

9 kwietnia 2010

Security Superstart 2010: Visionaries

Tym razem bez żadnego złosliwego komentarza, a wręcz z szacunkiem.
Portal Channel Web opublikował listę 11 gwiazd - wizjonerów bezpieczeństwa.
Zachęcam do analizy nazwisk, trendów - warto znać te osoby, warto znać te nazwiska...



eee... w sumie - nie mogę się powstrzymać od małej złośliwości - a gdzie jest Howard? Cybercar nie zasłużył na miejsce w galerii - aż dziwne