Aktuality

28.12.2011 NetGuard a.s. dodával klíčové části projektu pro ČEZ ICT Services. Tento projekt se umístil na 2. místě v soutěži ITSM projekt roku 2011

www.itsmf.cz/cz/zdroje/soutez-itsm-projekt-roku/vysledky-souteze/
Zákazník: ČEZ ICT Services a.s.
Projekt: Integrace dohledových systémů a CMDB
Dodavatel: AutoCont CZ a.s. / NetGuard a.s / Datasys / HP / CA

Popis projektu a přínosy:
Centralizace událostí monitorovaných různými nástroji
Publikace katalogu služeb pro koncové zákazníky
Vytvoření jednotné CMDB se stromy služeb
Automatizace procesu poskytování IT služeb od objednání k vyhodnocení

Po sloučení ČEZDATA a ČEZNET vznikla rozsáhlá IT infrastruktura, která byla dohledována řadou nástrojů od různých výrobců. Cílem projektu bylo centralizovat události generované různými nástroji do jedné dohledové konzole, zajistit jejich obohacování o další informace potřebné pro jejich řešení a vybudování CMDB včetně procesní podpory. Dalším z cílů bylo vybudovat podporu pro publikaci katalogu služeb a sledování jejich plnění. Ve finále pak maximální automatizace celého procesu poskytování IT služeb od objednání po dodávku a následnou fakturaci. Projekt byl výjimečný svým rozsahem, komplexností a spojením procesní a technologické oblasti do jednoho řešení.

12.8.2011 Deset tipů proti kybernetické špionáži

S tím, jak roste naše závislost na informačních a komunikačních systémech, rostou také pokusy o jejich (a tím pádem naši) kompromitaci. Server Wikileaks nám dnes a denně ukazuje, že úniky dat v elektronické podobě jsou vlastně docela všední záležitostí. Abychom byli před kyberšpionáží dostatečně chráněni, je dobré zapamatovat si a aplikovat následujících deset rad.

1. Spolupracujte s bezpečnostními experty, abyste plně porozuměli rizikům v celé šíři. Jednou z nejhorších možných věcí (a zároveň nejčastějších) je, že nedokážeme podchytit celý záběr ICT, a že se věnujeme dokola stále stejným otázkám (ačkoliv se ICT mění). 2. Identifikujte, které informace by měly být chráněné a jaké jsou s nimi spojená operační rizika. Není třeba chránit všechno, ale je to třeba chránit důsledně. A to proti všem možným rizikům: je proto nutná jejich kvantifikace. 3. Poznejte své vlastní zranitelnosti. Najděte svá slabá místa dříve, než se to podaří útočníkům! Přitom si nic nenalhávejte – „tady se nemůže nic stát“. Děláte to jen a jen pro sebe, ovšem nikoliv s cílem ujistit se, jak jste vlastně dobří a dokonalí, ale s cílem zabránit budoucím útokům. 4. Odstraňte nebo zmírněte nebezpečí zranitelností zavedením několikastupňové obrany. Jedna zábrana může mít výpadek, selhat nebo být obejita. Vytvořte několikastupňový systém, kdy jsou jednotlivé bariéry schopné za sebe navzájem zaskočit. 5. Připravte se na možnou potřebu změny taktiky, techniky a procedury, které tvoří obranný val – v případě, že to bude nutné. Buďte operativní! Z hlediska útočníka je nejlepší cíl takový, který se nehýbe a nemění. Tím, že budete připraveni lépe než agresor, získáte nezanedbatelnou výhodu. 6. Mějte připravený krizový scénář a plán postupu. Buďte nachystáni operativně zastavit probíhající útok nebo na jeho následky reagovat tak rychle, jak je to jen možné. 7. Zatímco prevence je samozřejmě nejdůležitější, absolutní nezbytností je schopnost rychlé detekce a reakce. Opět: štěstí přeje připraveným. Čím rychlejší reakce, tím menší škody. Ale těžko budeme reagovat ve chvíli, kdy ani nejsme schopni incident detekovat. Právě monitoring musí být alfou a omegou. 8. Mějte připravený plán činnosti v případě, že se stanete obětí kybernetického útoku. Nespoléhejte na to, že „nám se nemůže nic stát“. Mějte jasně připravený plán pro případ problému. Protože jen tak máte jistotu, že tento plán vzniká s chladnou hlavou – a nikoliv jako bezprostřední emočně vypjatá reakce na právě proběhlý incident. 9. Zajistěte si, že kritičtí dodavatelé nebyli zkompromitováni a mějte nastavené mechanismy na zajištění integrity systémů jimi dodávaných. Jinými slovy: důvěřuj, ale prověřuj. Nespoléhejte na to, že ostatní jsou spolehliví – raději se o tom přímo přesvědčte. A nejlépe jim vůbec nedejte prostor k tomu, aby se nespolehlivými ukázali. 10. Kritická národní IT infrastruktura nesmí být absolutně závislá na internetu, ale má mít možnost operovat zcela nezávisle – pokud se objeví krize. Svěřit kritické služby infrastruktuře, na níž nemáme, a z principu nemůžeme mít, kontrolu, asi opravdu není nejlepší nápad. Je samozřejmě iluzorní představovat si, že celý svět bude plný „nových internetů“ – ale v případě kritické státní infrastruktury není možné jednat jinak.

12.8.2011 Průniky do velkých systémů raketově rostou

Více než dvě třetiny velkých společností už letos připustily, že zaznamenaly průniky do svých systémů. Za celý rok 2009 to přitom bylo jen 41 procent velkých organizací.

Konstatuje to alespoň šestá každoroční zpráva VanDyke Software s názvem „Annual Enterprise IT Security Survey“. Přitom v letech 2005 až 2008 se množství průniků pohybovalo v rozmezí 51 až 58 procent, takže letošních 67 procent představuje rekord ve sledovaném období (a velmi pravděpodobně i rekord historický). Mírný meziroční nárůst, ovšem nikoliv takto raketový, zaznamenaly také průniky mezi středně velkými společnostmi (pro účely průzkumu takové, které mají 1000 až 4999 zaměstnanců) a to z 57 na 59 procent. Malé organizace (100 až 999 zaměstnanců) naopak zaznamenaly pokles: ze 45 na 43 procenta. „Mikrospolečnosti“ (méně než sto zaměstnanců) si udržely stabilní podíl 25 procent. Pokud se podíváme na příčiny důsledků, pak 14 procent organizací uvedlo, že jdou na vrub hackerským nebo síťovým útokům. Dvanáct procent připustilo, že hlavním důvodem je neodpovídající bezpečnostní politika. Při dotázání na „největší riziko“ odpovědělo 25 procent, že za něj považují škodlivé kódy. Průniky externích útočníků (hackerů) pak 17 procent a „vnitřního nepřítele“ (lidská chyba nebo neopatrnost) 12 procent.

12.8.2011 Převezměte kontrolu do svých rukou – s nástrojem vyhodnocování software

Firma FrontRange Solutions, jejíž produkty distribuuje v České republice společnost NetGuard, představila novou verze své aplikace SAM Suite (Software Asset Management). Jedná se o software pro správu aktiv, který jde ovšem mnohem dále, než k běžné správě licencí.

Impulsem pro vytvoření SAM se pro FrontRange stala zpráva SANS Institute ze srpna 2009 nazvaná „Twenty Critical Controls for Effective Cyber Defense: Consensus Audit“. Přitom Consensus Audit Group (CAG) se sestává z minulých a současných CIO a CISO z amerických federálních agentur. Zpráva sumarizovala dvacet kritických oblastí z hlediska informační bezpečnosti. Na prvních dvou místech přitom byly body „mít seznam autorizovaných a neautorizovaných zařízení“ a „udělat inventuru autorizovaného a neautorizovaného software“. Zpráva celou problematiku rozebírala poněkud hlouběji, takže dle doporučení bylo zapotřebí pokrýt nejen všechna zařízení (servery, pracovní stanice nebo notebooky), ale také všechny aplikace (od operačních systémů po jednotlivé programy) včetně jejich verzí a úrovně záplatování/aktualizací. Kvalitní systém SAM může najednou vyřešit hned dva problémy. A to jednak otázky spojené s licenční politikou (co vlastně je instalováno vs. na co máme licence) stejně jako bezpečnostní aspekty (autorizovaný vs. neautorizovaný software). A jednak otázku inventury hardware: tedy jaké počítače a další zařízení (přepínače, směrovače, firewally, tiskárny, datové základy, IP telefony...) jsou připojeny k firemní síti. Každému, kdo se pohybuje v informačních technologiích, je toto víceméně jasné, ale zároveň dobře ví, že od teorie do praxe je v daném případě hodně daleká cesta. Ne všechna řešení z kategorie SAM pokrývají všechny operační systémy, stejně jako veškerý představitelný hardware. Mnohá z nich například nedetekují nový hardware nebo zařízení přidaná do systému mezi jednotlivými audity. Třeba organizace se sto počítači má měsíčně tři až deset nových zařízení. Ta jsou katalogizována mnohdy až za několik měsíců, než je provedený další běh pravidelného auditu, přičemž nová jsou nejzranitelnější. Mají základní nastavení, nejsou neaktualizovaná, nemají neinstalovaný veškerý software. SAM Suite od FrontRange se všemi těmito eventualitami počítá a přidává ještě něco navíc: představuje totiž i užitečný nástroj pro helpdesk, takže jeho pracovníci mají vždy po ruce příslušné informace.

12.8.2011 Mnoho IT oddělení nemá představu o skutečné ceně výpadků

V souvislosti s SLA (Service Level Agreements) nejčastěji hovoříme, pokud jde o služby dodávané druhými stranami. Často přitom zapomínáme, že určité SLA povinnosti máme i sami vůči sobě: ostatně, informační systémy provozujeme proto, aby nám usnadňovaly práci.

Průzkum provedený společností Stratus Technologies mezi třemi sty profesionály v oblasti informačních a komunikačních technologií přitom ukázal, že právě v této oblasti máme výrazné rezervy. Je to paradoxní situace, protože čím dál více podnikatelských záměrů nebo služeb je odkázáno na vysokou (až absolutní) dostupnost a kvalitu ICT řešení. Navíc schopnost definovat a měřit SLA umožňuje organizacím založit i další metriky – např. dobu přípustného výpadku. A jen přesným definováním parametrů je zajištěno, že jich také v praxi dosáhneme. Takže třeba formulace „maximální možná dostupnost“ je jen prázdný pojem, zatímco dostupnost „na čtyři devítky“ (99,99 procenta) už představuje konkrétnější a měřitelnou hodnotu (ve spojení s doplňujícími informacemi – týká se objemu nebo času?, jak dostupnost měřím?). Ruku v ruce s tím je možné sledovat spolehlivost a výkon, což se dále příznivě projevuje do nižší TCO (Total Cost of Ownership), rychlejšího návratu ROI (Return Of Investment) a minimalizace rizik. SLA je přitom nutné nejen ustanovit, ale pravidelně revidovat. Při průměrném meziročním nárůstu využívání ICT v řádu desítek procent tak rok staré nastavení SLA vůbec nemusí odpovídat realitě. Výše uvedený průzkum přitom zjistil, že méně než polovina z dotázaných společností (přesněji: 43 procent) pravidelně reviduje SLA. Naproti tomu stojí více těch, kteří SLA nerevidují vůbec. A zbývajících jedenáct procent? Odpovědělo, že neví, zdali k revizi dochází či nikoliv. S tím úzce souvisí i konstatování, že 51 procent společností netuší, na kolik je vlastně přijde hodinový výpadek kritických služeb. Výše uvedené má i další důsledek: společnosti, které nejsou schopné definovat vlastní SLA, nejsou schopné sledovat, zdali tuto hodnotu vůbec dodržují. Nemají tak představu o své vlastní úrovni spolehlivosti stejně jako o tom, zdali aktuální nastavení a parametry IT systémů odpovídá potřebám. Toto nedostatečné zajištění se pak dříve či později projeví – zpravidla v nejméně vhodnou chvíli a v nejhůře představitelných souvislostech.

16.11.2010 Největší problém z hlediska bezpečnosti: nevíme, co a jak nakonfigurovat

Průzkum s mnohoslibným názvem „Hacking Habits“ (zveřejnila jej organizace Tufin Technologies) kdovíjaká překvapení nepřinesl. Vlastně jen suše konstatoval, že naším největším nepřítelem jsme – my sami.

Cílem průzkumu přitom bylo sledovat trendy v hackerské komunitě, což by mělo „obráncům“ z řad profesionálů v ICT bezpečnosti usnadnit budoucí plánování a přípravu na aktuální hrozby. Jinými slovy, aby nedopadli jako mnozí vojenští stratégové, o kterých historie zaznamenala, že se vždy „připravovali na minulé války“. Průzkum ale ukázal, že útočníkům jejich pozici velmi usnadňujeme, když 73 procent z nich vstupuje do našich sítí a systémů díky tomu, že jsme je špatně nastavili. Hackeři jsou si toho dobře vědomi: 76 procent z nich tvrdí, že jde o nejsnadněji zneužitelný zdroj. Špatná konfigurace je přitom ve třech čtvrtinách případů způsobena nedostatečnou kvalifikací správců systému: ti zkrátka neví, co, jak a proč mají vlastně nastavit, aby nastavili bezpečnostní laťku na dostatečnou úroveň. Dalo by se také říci, že jsou spokojení se stavem, kdy vše funguje – a nějaká bezpečnost je pro ně silně podružná. Útočníci (průzkum se zaměřil jak na ně, tak na „obránce“, aby měl pohled z obou stran barikády) dále uvedli, že zárukou úspěchu je získání někoho „zevnitř“. Plných 58 procent respondentů uvedlo, že podle nich outsourcing bezpečnostních služeb snižuje riziko úspěšného útoku. A téměř stejný počet je přesvědčen, že outsourcing dospěl do takového stádia, kdy přínosy výrazně převažují nad negativy.

16.11.2010 Bezpečnost táhla, táhne a bude táhnout

O plných jedenáct procent má v letošním roce růst trh s bezpečnostními aplikacemi. Tvrdí to alespoň ve své nejnovější studii společnost Gartner, která zároveň oboru ICT security předpovídá světlou budoucnost.

Zatímco v loňském roce činil celosvětový objem trhu s bezpečnostními aplikacemi 14,8 mld. USD, na letošek předpovídá Gartner objem 16,5 mld. USD. Největší podíl přitom drží sektor domácích uživatelů, kteří do bezpečnosti letos investují 4,2 mld. USD. Tento zajímavý jev (domácí uživatelé investují více, než střední či velké podniky) je daný tím, že v přepočtu na jeden chráněný počítač mají domácnosti vysoké náklady. Naopak: firmy dosáhnout díky úspoře z objemu na výrazné slevy, takže reálně si mohou dovolit investovat méně. Přesto právě firemnímu sektoru předpovídá Gartner nejrychlejší růst: zatímco trh pro koncové uživatele má růst o sedm procent, firemní o téměř dvojnásobek. Důvod je prostý: organizace musí na bezpečnost klást větší důraz z důvodu legislativy, zajištění souladu nebo „jen“ z důvodu udržení si dobrého jména. Gartner ve své studii „Forecast Analysis: Security Software Markets, Worldwide, 2009-2014“ dále uvádí, že i v příštích letech očekává na poli bezpečnostního software růst. Trh se má ovšem podle něj více segmentovat: na úkor zavedených značek mají nastupovat noví výrobci a technologie, kteří dokážou lépe reagovat na potřeby současného ICT světa. Nejsilnější pak mají být dle Gartnera výrobci, kteří nabídnou flexibilitu v dodacích podmínkách, zajistí příjmy jak z prodeje, tak z obnovování smluv, nabídnou SaaS (Software as a Service, software jako službu) či open source a outsourcing. Právě model SaaS by měl v nejbližších dvanácti měsících dle Gartnera silně posilovat na úkor (nebo společně s) tradičními modely. Ze střednědobého hlediska se pak vyplatí vsadit na technologii IAM (Identity and Access Management, řízení identit a přístupu), která by měla do roku 2014 narůst na celosvětový objem 12 mld. USD.

16.11.2010 Pět smrtelných hříchů plánování obnovy dat

Že je „disaster recovery“ často více „disaster“ než „recovery“, je věc obecně známá. Přitom by stačilo tak málo: poučit se z chyb druhých a věnovat pozornost několika základním okruhům. Investice do obnovení provozu po výpadku by se tak mnohonásobně zhodnotily...

Hřích první: absence plánu Mnohé organizace nemají buď vůbec žádný plán nebo mají plán, který nepostihuje všechny možné situace, které mohou nastat. (Druhým extrémem je plán, který počítá s kdejakým nepravděpodobným scénářem včetně invaze mimozemšťanů – jeho objem a „nestravitelnost“ jsou pochopitelně také kontraproduktivní.) Absence dobrého plánu vede při reálné krizové situaci ke zmatkům a nejasnostem – a tím k časovým prodlevám i ztrátě schopnosti reagovat. Hřích druhý: absence dokumentace Velmi blízko variantě „absence plánu“ je existence pouze „myšlenkového“ plánu bez následného kvalitního zpracování v podobě papírové dokumentace. Neexistuje pak zastupitelnost, ztrácíme rychlost a čas, děláme zkrátka stejné chyby jako by žádný plán neexistoval. Hřích třetí: absence přípravy „Sedí tam nad manuálem, zoufale listuje a tváří se jako by ho měl poprvé v životě.“ Scéna, která v běžné situaci vyvolá letmý úsměv na tváři, dostává v situaci mimořádné úplně jiný nádech. Pokud není personál kvalitně připravený a až v okamžiku krize se začne svépomocí „proškolovat“, pak je to další z cest do záhuby. Jen připravenému totiž štěstí přeje. Hřích čtvrtý: absence komunikace Nesprávně nastavené nebo dokonce nenastavené komunikační kanály se také podepisují na naší akceschopnosti. „Pan Důležitý“ pak zkrátka není k dispozici ve správném čase – a celý pečlivě připravený plán se na této zdánlivé maličkosti rychle bortí jako domeček z karet. Hřích pátý: absence zájmu Není podstatné jen dobře naplánovat a vyškolit: toto vše je totiž nekončící proces, který je zapotřebí „vybrušovat“. Mění se podmínky, prostředí, lidé... Co fungovalo loni, nemusí fungovat v roce příštím. A jen neustálá kontrola připravenosti zajistí, že budeme skutečně připraveni ve chvíli, kdy nás bude čekat zkouška ohněm.

16.11.2010 Zaměstnanci připouštějí, že si při odchodu z práce odnesou „výslužku“

Největší nepřítel mnohdy nesedí na druhé straně planety – ale často jej najdete u vedlejšího stolu. Toto staré dobré bezpečnostní pravidlo potvrzuje i nejnovější průzkum organizace Harris Interactive, který byl provedený mezi 1594 zaměstnanci ve Spojených státech a Velké Británii.

Plných 49 procent amerických a 52 procent britských zaměstnanců (což jsou čísla plně srovnatelná v rámci statistické odchylky vlastně shodná) připustilo, že plánují odnést si při ukončení pracovního poměru „něco“ z vlastnictví společnosti. Plných 29 (resp. 23) procent plánuje „výslužku“ v podobě dat o zákaznících, a to včetně kontaktních informací. Dále 23 a 22 procent si chce zkopírovat některé elektronické soubory. O produktové informace včetně návrhů, plánů a technických detailů se hodlá při svém odchodu zajímat 15 a 17 procent respondentů. Jen 13 procent Američanů, ale 22 procent Britů se hodlá předzásobit drobným kancelářským materiálem... Co je zajímavé, zaměstnanci neuvádějí současný hospodářský útlum jako hlavní důvod svého konání (aby např. zvýšili svoji hodnotu na trhu práce). Polovina dotazovaných uvedla, že jejich úmysl nemá co do činění se současným celosvětovým klimatem – prostě s kopírováním dat či drobnými „dárečky“ počítají jaksi automaticky. Průzkum se ale zajímal i o jiné otázky: např. co by zaměstnanci dělali, kdyby se nedopatřením dostali k tajným firemním souborům (třeba s informacemi o mzdách, o propouštění apod.). Hned 45 procent respondentů v USA a 57 procent ve Velké Británii uvedlo, že by tato data důkladně prostudovalo. Jen 35 procent amerických a 27 procent britských zaměstnanců uvedlo, že by se do souborů nepodívalo a navíc by upozornilo svého nadřízeného. Jen necelé procento zaměstnanců ale připustilo, že by se pokusilo o další využití (např. prodej) takto neoprávněně získaných informací.

19.7.2010 Kvůli špatným službám přicházejí firmy o zákazníky i peníze

Dvacet miliónů zákazníků a 3,4 mld. liber – to je podle profesora Merlina Stonea z Oxford Brookes University daň firem za to, že neposkytovaly dostatečně kvalitní služby. Jde přitom o součet ztrát jen za poslední dva roky.

Průzkum mezi dvěma tisíci respondenty ukázal, že tři ze čtyř osob změnily nejméně jednou poskytovatele nějakého produktu nebo služby. Přitom dvacet procent z nich uvedlo jako důvod změny poskytovatele špatné zákaznické služby. Nejvíce postižené jsou přitom, dle profesora Merlina Stonea, oblasti jako pojištění motorových vozidel, elektrorozvodné sítě a pojištění domácností. Profesor Merlin k tomu dodává: „Organizace musí věnovat svým nejlepším klientům mnohem větší péči. Zákazníci jsou čím dál náročnější a citlivější na jakékoliv nekorektnosti. Navíc jsou dnes lépe informováni než dříve a je pro ně mnohem snadnější srovnávat produkty či služby a přejít ke konkurenci.“ Jedním z možných pomocníků před úprkem nespokojených zákazníků je i software od společnosti FrontRange Solutions (v Česku zastupovaný společností NetGuard), jejíž špičkový software pro řízení vztahů se zákazníky pomůže předejít mnoha zbytečným problémům. Řešení FrontRage umožňuje v reálném čase zpracovávat data z různých aplikací (odpadají tak problémy s kompatibilitou dat nebo nutnost přeskakování do jiných programů), umožňují dle potřeby nastavit podobu zobrazovaných informací (buď pevně, nebo se tato podoba může v reakci na nějaké skutečnosti měnit) apod. Zkrátka: FrontRange Solutions zajistí, že vždy budete mít po ruce kompletní a správné informace – a Váš zákaznický servis tak poskočí nejméně o jednu úroveň výše. Zákazníci budou vždy odcházet od nekvalitních poskytovatelů zboží či služeb, ale vy mezi ně již rozhodně patřit nebudete.

19.7.2010 Síťová zařízení připomínají cedník

Tvrdí to alespoň zpráva společnost Dimension Data, která se zabývá hodnocením kvality zabezpečení síťového hardware. V loňském roce provedla 235 vyhodnocení řízení životních cyklů technických řešení (Technology Lifecycle Management) a zjištěné výsledky nyní zveřejnila.

V loňském roce specialisté společnosti Dimension Data konstatovali nebezpečnost „pouze“ u 38 procent síťových zařízení (jako jsou přepínače, směrovače, brány apod.) Ono zmíněné „pouze“ ve skutečnosti znamená dramatický pokles ve srovnání s předcházejícím rokem, kdy jich bylo zranitelných 73 procent. Stále to ale znamená, že čtyři z deseti síťových zařízení jsou náchylné k interním či externím útokům. Dalším zajímavým zjištěním je, že 35 procent síťových zařízení dosáhlo hranice životnosti nebo ji dokonce překročily. Hovoříme přitom o hranici životnosti z pohledu výrobců, což znamená, že z technického hlediska jsou sice stále funkční, ale již se nejedná o zařízení podporovaná, tedy nejsou k dispozici dostupné záplaty, aktualizace a opravy. Jinými slovy: zařízení jsou zranitelná vůči všem nově objeveným chybám. Případně je možnost zařízení pracně překonfigurovávat a chránit s pomocí dalších prvků, což ale celou situaci jen komplikuje. A jen pro zajímavost doplňujeme, že zpráva konstatovala u každého síťového zařízení v průměru 40,7 chyb v konfiguraci! Zpráva přinesla i tři zajímavá doporučení, jejichž implementace by do budoucna měla zvýšit bezpečnost síťových zařízení: • Mnoho zranitelností je známých a existují na ně opravy, ale informace o nich se ne vždy dostanou do správných rukou. Je třeba klást větší důraz na rychlou a správnou informovanost příslušných správců. • Organizace by měly klást větší důraz na „best practices“, ve kterých jsou přesně popsány nejlepší a nejbezpečnější konfigurace jednotlivých zařízení. • Je zapotřebí zvýšit disciplínu v oblasti plánování hardware, a to po celou dobu životního cyklu – tedy ošetřit i hardware, který již není ze strany výrobců podporován.

12.7.2010 GoldMine Premium Edition 9: lepší služby pro zákazníky

Společnost FrontRange Solutions, kterou v České republice zastupuje NetGuard, uvedla na trh řešení GoldMine Premium Edition 9 s vylepšenou zákaznickou podporou a novými funkcemi, jako je například lepší sdílení informací o jednotlivých klientech.

Nejnovější verze špičkového řešení nabízí poprvé plně uživatelsky předem definovatelné a v reálném čase aktualizované rozhraní. Díky tomu poskytuje značnou flexibilitu a hloubkový pohled, který umožňuje rychle reagovat na změny v podnikatelském prostředí. Řešení navíc umožňuje plnou integraci s rozšířenou aplikací MS Outlook, což zvyšuje úroveň propojení dat v jednotlivých částech podnikání a usnadňuje přístup k jednotlivým datům – i v případě, že některý subjekt je „na cestách“. „Recese je již za námi a podnikatelé dělají vše pro to, aby zůstali na špici konkurenčního boje. Čím dál tím důležitější jsou pro ně reakční časy a hlubší analýzy řešených problémů,“ vysvětluje Greg Anderson, globální manažer pro řešení GoldMine a manažer vztahů se zákazníky ve společnosti FrontRange. „Tato nová verze aplikace GoldMine Premium Edition rozšiřuje svůj záběr tak, že klíčové znalosti jsou vždy k dispozici, a že je možné je snadno sdílet – informace tak jsou vždy úplné, nikoliv polovičaté.“ Na rozdíl od jiných CRM řešení není ovládací obrazovka GoldMine PE9 statická, ale je možné ji jednak operativně měnit v závislosti na potřebách uživatele a jednak se může dle předdefinovaných priorit měnit průběžně sama. Tím je možné ještě rychleji reagovat na aktuální situaci: jak zákazníci uvažují, jednají a nakupují. Řešení umožňuje i propojení se systémy třetích stran, čímž odpadá potřeba přihlašovat se do různých aplikací kvůli získání doplňujících informací. Integrace s aplikací MS Outlook pak dále posouvá využití sdílení dat: již není nutné přecházet mezi jednotlivými aplikacemi, abychom viděli různá data. GoldMine umožňuje spojit všechna data do jednotné informace (např. přidávání e-mailů nebo položek z kalendáře k jednotlivým záznamům o klientovi). GoldMine je nyní navíc k dispozici i uživatelům „chytrých telefonů“ (SmartPhones), a to právě skrze integraci s MS Outlookem.

12.7.2010 Společnost CA oznámila podporu pro podnikové nasazení a řízení Windows 7

Společnost CA Inc. oznámila plnou podporu nasazení a následném řízení provozu operačního systému Windows 7. Jedná se o novou a zcela automatizovanou vlastnost poskytovanou skrze řešení CA Client Management.

Využití řešení CA Client Management při migraci a následném využívání Windows 7 umožňuje zvýšit produktivitu, snížit riziko bezpečnostních incidentů (včetně incidentů na pracovních stanicích), díky automatizaci mnoha úkonů a trvalé kontrole provozu přináší méně zásahů a v neposlední řadě snižuje náklady na nasazení Windows 7. Microsoft již dříve oznámil postupné ukončování podpory operačního systému Windows XP, takže je správný čas začít přecházet na Windows 7 nebo o přechodu začít alespoň výhledově uvažovat. Řešení CA Client Management od CA přitom nabízí naprosto hladký a zcela automatický přechod mezi operačními systémy Windows XP a Windows 7. Abychom svá tvrzení podložili i konkrétními čísly: jedním z pilotních projektů migrace na Windows 7 byl projekt přechodu ve firmě Baker Tilly. Zde byly na migraci dvou tisíc počítačů vyhrazeny čtyři týdny. Nakonec se to při použití řešení CA Client Management a CA Desktop Migration Manager podařilo za 2,5 týdne. To představuje snížení nákladů na přechod, menší výpadky, zvýšení produktivity práce a mnoho dalších pozitivních ekonomických ukazatelů. Mezi důležité vlastnosti řešení CA Client Management patří: • Plánování projektů a hodnocení infrastruktury. • Sledování inventáře PC. • Vytváření a správa obrazů disků. • Nasazení podpůrných aplikací. • Migrace dat i nastavení. • Řízení a obsluha celých automatických procesů. • Podpora pokročilých technologií jako je VMware ThinApp and Microsoft App-V.

20.4.2010 Organizace nejsou schopné čelit útokům zevnitř

Nový průzkum společnosti SailPoint Technologies ukázal nepoměr mezi požadavky na regulaci ICT bezpečnosti a proaktivním řízením rizik. Cílem průzkumu bylo zjistit, jak se organizace vypořádávají s ekonomickým poklesem a s tím spojeným nárůstem „vnitřních hrozeb“.

Je celkem pochopitelné, že plných 86 procent organizací (dle výše uvedeného průzkumu) se vnitřních hrozeb obává. Jenomže většina z nich zároveň jedním dechem dodává, že nemůže adekvátně řídit bezpečnost, protože nemají přehled o tom, kteří pracovníci vlastně mají přístup ke kritickým aplikacím a datům. To je dáno jednak dlouhodobým živelným rozvojem IT, jednak aktuálním stavem. Na jedné straně jsou tu různá masivní propouštění ve snaze ušetřit náklady, na straně druhé jsou tu stejným důvodem motivované restrukturalizace (spojování, akvizice, odštěpování...).

Rozsah tohoto fenoménu v globálním měřítku společně s tlakem na snižování ICT nákladů (často doslova „za každou cenu“) vyústil v takřka ideální prostředí pro úniky dat, podvody apod. organizované zaměstnanci „zevnitř“. Organizace jsou si této skutečnosti vědomy, a tak plných 77 procent z nich zavedlo v nějaké podobě funkci „risk manager“. Smutným konstatováním je ale fakt, že často jde o funkci pohříchu čestnou, protože třicet procent organizací na ni nemá vyčleněný žádný rozpočet...

28.1.2010 Ztráta dat a informací

Ztráta dat a informací je velmi rozšířeným problémem

Konzultační firma Kroll Ontrack provedla celosvětový průzkum, jehož cílem bylo zmapovat oblast ztráty dat (data loss) v informačních technologiích. Z něj vyplývá, že plných 74 procent společností zaznamenalo během uplynulých dvou let alespoň jeden incident spojený se ztrátou dat.

Ztráta dat byla pro účely tohoto průzkumu definována jako „nepředpokládaná ztráta dat nebo informací vlivem činnosti počítačových virů, přírodních katastrof, nezáměrného smazání, pádu systému, poškození nebo selhání hardware“.

Ztráta dat přitom není pouze problém, který se objevuje pravidelně, ale který se také pravidelně vrací – a z něhož se málokdy adekvátně vzpamatujeme. Průzkum totiž ukázal, že plných 41 procent organizací má reakci na incident hodnocenou jako „velmi špatnou“. Za zmínku stojí také skutečnost, že 32 procent organizací se z incidentu vzpamatovává několik dní a 16 procent musí data rovnou odepsat, protože je prostě obnovit nedokáže.

Co se obnovy dat týká, pak k tomuto úkonu používá 32 procent organizací specializovaný software a 29 procent spoléhá na „manuální“ obnovu. Jen 21 procent uvádí obnovování ze záloh. Což je poněkud zvláštní zjištění, protože 44 procent organizací zálohuje data denně a více než polovina testuje tyto zálohy nejméně jednou měsíčně. Tedy – alespoň to tvrdí.

Průzkum také ukázal, že organizace nestíhají držet krok s vývojem (pohříchu vlastním). Takže jen 48 procent z nich provedlo změnu v plánech disaster recovery a business continuity v uplynulých dvanácti měsících. Zkrátka: považují tyto plány (bez ohledu na aktuální stav a vývoj informačního systému) za jednou dané a neměnné.

28.1.2010 FrontRange pomáhá šetřit čas a práci při přechodu na Windows 7

Firma FrontRange Solutions, jejíž produkty distribuuje v České republice společnost NetGuard, oznámila uvedení vylepšené verze svého řešení Client Management Suite. To se nyní vyznačuje plnou podporou operačního systému Windows 7: tedy od distribuce přes nasazení až po následný management.

Popularita Windows 7 je již nyní nepopiratelná a mnoho organizací tento systém nasazuje dříve, než bylo jejich původním záměrem. Ruku v ruce s touto zvýšenou rychlostí ovšem často dochází k situaci, kdy na přechod nejsou nachystané další části informačního systému. Existuje tak zvýšená poptávka po produktech „Windows 7 Ready“ – a právě do tohoto segmentu trhu vylepšená verze Client Management Suite míří. Kromě Windows 7 podporuje FrontRange Client Management Suite nově také Windows Server 2008 (včetně částečné podpory R2) stejně jako Citrix XenApp 5 a 64bitová prostředí. Pro nasazení Windows 7 používá nejnovější technologii Windows Preinstallation Environment (WinPE) 3.0, což garantuje rychlé a spolehlivé nasazení operačního systému.

4.1.2010 Škodlivé kódy mají jepičí život

Zapomeňte na reaktivní řešení a služby, současným trendem je proaktivita. Vynutily si to dnešní škodlivé kódy: než se je podařilo „rozpitvat“ a vydat příslušné aktualizace, už bylo většinou po epidemii.

Podle statistik bezpečnostních firem (různí se podle použité metodiky) se denně objevuje dvacet až čtyřicet tisíc vzorků nových škodlivých kódů. (Často spíše „nových“, protože mnohdy jde jen o nepatrně upravené starší verze.) Ale méně než polovina z nich „přežije“ (tedy je reálně používána) déle než jeden den. Poté jsou nahrazovány novými variantami. Důvod je prostý: útočníci dobře vědí, že bezpečnostní firmy reagují velmi svižně. Proto se snaží přicházet se stále novými kódy, jen aby se vyhnuli svému odhalení.
To ale není všechno: dle statistik organizace AV-test.org překročil počet škodlivých kódů třicet miliónů. Přitom v poslední době jejich množství roste rychlostí vyšší než jeden milión kusů měsíčně. Není možné se zaměřovat na vyhledávání takovéhoto obrovského množství marastu, mnohem lepší je orientovat se na principy jejich činnost. Tedy na proaktivní řešení. V neposlední řadě si musíme uvědomit, že škodlivé kódy jsou čím dál častěji dělané v malých sériích nebo přímo „na míru“. Tyto se následně vůbec nedostávají k bezpečnostním firmám (nebo až s velkým zpožděním), takže na ně aktualizace nejsou k dispozici tehdy, když jsou nejvíce potřeba. A nakonec: studie provedená společností Damballa tvrdí, že stávající antivirové systémy jsou schopné odhalit v průměru jen asi padesát procent škodlivých kódů. A že zhruba patnáct procent virů nejsou schopné podchytit vůbec. Takže se opět potvrzuje staré dobré pravidlo informační bezpečnosti o tom, že nejlepší problém je takový, který vůbec nevznikne.

4.1.2010 Společnost CA certifikována na všech čtrnáct procesů ITIL v3

  Společnost CA oznámila, že se svou řadou produktů CA Service Desk Manager r12 dosáhla úrovně PinkVERIFY ve všech čtrnácti dostupných procesech ITIL v3. Je tak jednou z několika málo organizací, které dosáhly takovéhoto „uznání“ za implementaci doporučení ITIL do své softwarové architektury.

  Úroveň PinkVERIFY je velmi respektována celým odvětvím ITSM (IT Service Management). Toto certifikační schéma přišlo s novou normou ITIL v3 Pink Elephant, přičemž reflektuje podporu čtrnácti procesů během celého životního cyklu služby. Certifikace ve všech čtrnácti procesech je přitom tím nejlepším důkazem, že CA bere kvalitu svých procesů a efektivitu vážně.

  „Jako globální poskytovatel IT outsourcingových služeb bereme normu ITIL pro zajištění vysoké kvality služeb kdekoliv na světě velmi vážně. Nástroje CA pak přinášejí ITIL kvalitu do všech našich procesů a služeb,“ komentuje Vicki Neville, konzultant ITIL v CA. „Řadu produktů CA Service Desk Manager r12 totiž používáme jak pro vlastní byznys, tak pro outsourcování helpdesků svých klientů.“

  Čtrnáct procesů pokrývá celé spektrum IT projektů (Service Portfolio, Financial a Capacity Management, Incident, Problem, Knowledge, Change, Service Level, Availability, Event Management, Request Fulfillment, Release & Deployment, Service Asset & Configuration a Service Catalog). CA je přitom jediným významným poskytovatelem, který dokázal procesy takto vysoké úrovně úspěšně zakomponovat v celé jejich šíři.

4.11.2009 Zachování shody ve virtualizaci

Pět základních kroků pro zachování shody ve virtualizaci

Virtualizuje dnes kdekdo a kdeco – přitom si ale často neuvědomuje, že virtualizace s sebou přináší zcela nové výzvy. Třeba v oblasti „compliance“ – souladu (s legislativou, bezpečnostní politikou apod.). Většina pravidel byla totiž vytvořená s předpokladem, že systémy jsou fyzické.

Jenomže co když je systém virtuální – se všemi z toho plynoucími důsledky? Pak některá pravidla fyzického světa přestávají platit – a naopak na jejich místo nastupují pravidla virtuální říše. A to už nemluvíme o skutečnosti, že průnik virtuálních a reálných systémů přináší zase jinou sadu pravidel a zákonitostí.

Následujících pět kroků shrnuje v podstatě vše, na co si musíme dát pozor, pokud chceme zajistit soulad s legislativou, normami či předpisy. Jen připomínáme, že zajištění souladu ne vždy znamená zajištění bezpečnosti – a naopak, zajištění bezpečnosti neznamená zajištění souladu. Jinými slovy: můžete mít soulad bez bezpečnosti a bezpečnost bez souladu.

První krok: opevnit platformu
Především je zapotřebí správně nakonfigurovat virtualizační platformu. A to jak hypervizor, tak administrativní úroveň. Stejně tak je zapotřebí věnovat pozornost bezpečnému nastavení systému: např. eliminaci nežádoucích komponent nebo pravidelnému záplatování. Nesmíme zapomínat, že virtualizace přináší nové výzvy v oblasti řízení reálného i virtualizovaného prostředí.

Druhý krok: řízení konfigurací a změn
Aby se virtualizované prostředí nestalo naší noční můrou, je zapotřebí rozšířit dnešní systém řízení změn a konfigurací i do virtualizovaného prostředí: často s pomocí nových nástrojů. Speciální pozornost je přitom třeba věnovat změnám, které vyplývají z rychlého rozvoje virtualizace, její mobility a skutečnost, že off-line systémy přecházejí do on-line prostředí. A také skutečnosti, aby řízení aktualizací pokrývalo i virtualizační software.

Třetí krok: řídit kontrolu přístupu
Špatné nastavení virtuálních serverů a síťových práv může ve virtuálním prostředí způsobit nemalé komplikace: správci by si toho měli být vědomi a mít odpovídající znalosti. Pečlivé oddělení služeb a řízení práv je nesmírně důležitým úkolem pro snížení rizik plynoucích z neoprávněného přístupu.

Čtvrtý krok: síťová bezpečnost a segmentace
Nasaďte virtuální přepínače a virtuální firewally do jednotlivých segmentů virtuální sítě. Ujistěte se, že stroje pracující s chráněnými daty jsou izolované a nasaďte virtuální systémy IDS/IPS. Je zapotřebí prostředí vhodně rozdělit na samostatné segmenty, a ty následně řešit samostatně.

Pátý krok: vyhodnocujte logy
I v reálném světě se nebezpečně často setkáváme s tím, že se pouze loguje – ale už se tyto výstupy nezpracovávají nebo nekorelují. Ve virtualizovaném prostředí jsou logy a jejich vyhodnocování ještě důležitější otázkou. Umožňují nám totiž získat jasný obrázek o zranitelnostech a rizicích, kterým jsme vystaveni. Automatické nástroje a vyhodnocovací systémy jsou přitom k dispozici: nejde tedy o nemožný úkol.

4.11.2009 Obavy v oblasti cloud computingu

Průzkum ukazuje největší obavy v oblasti cloud computingu

Už patnáct procent IT manažerů nasazuje projekty z oblasti cloud computingu. Většímu rozšíření této čím dál populárnější technologie přitom brání pochybnosti o její spolehlivosti, otázkách zálohování či toleranci k chybám. Ostatně, tyto oblasti hodnotí jako kritické a často neřešené i ti, kdo se pro cloud computing již rozhodli.

Ukazuje to alespoň průzkum „IT Performance Trends Survey“, který proběhl na celém světě mezi třemi sty IT profesionály. Ti reprezentovali různá odvětví: od finančních služeb po zdravotnictví. Ti v naprosté většině vyjádřili své obavy o integritu dat v prostředí cluod computingu stejně jako o přístup k datům. Zkrátka: nemají velkou důvěru k technologii, nad kterou nemají plnou kontrolu.

Plných 83 procent respondentů se v oblasti cloud computingu obává o integritu dat. Dalším důležitým blokovacím faktorem spojené s cloud computingem zůstávají otázky bezpečnosti. A dalších 63 procent respondentů se obává o reakční časy v prostředí cloudů.

Důvodem je totiž fakt, že firmy si svých elektronických komodit začaly velmi považovat a není jim vůbec lhostejné, do jakého prostředí svěřují své nejcennější zdroje. IT manažeři zkrátka chtějí mít jistotu ohledně spolehlivosti systému a jeho odolnosti vůči chybám předtím, než mu svěří svá strategická data a vlastně i budoucnost své organizace. Protože 52 procent respondentů průzkumu nehodlá akceptovat výpadky v nasmlouvaných službách – a 43 procent chce postihy a pokuty, aby se výpadků zbavily.

Inu, nová či moderní technologie je jedna věc – ale jistota a dostupnost je věc druhá.

23.9.2009 Pět věcí, které je radno brát v potaz při nasazení business kontinuity

    Chystáte-li se nasadit nástroje z kategorie „business continuity“ (volně by se dalo přeložit jako „zachování činnosti v případě problémů“) nebo přemýšlíte o změně systémů či řešení, které používáte, mohly by vám přijít k dobru některé z následujících tipů.

  •     Požadavky, požadavky, požadavky
Ač tento bod vypadá velmi jednoduše až lacině, jedná se nade vší pochybnost o nejdůležitější věc, kolem které se celá otázka business continuity točí. Protože pokud víte, co chcete, můžete to dostat – a naopak, pokud nevíte, těžko to dostanete. Představa zkrátka musí být co nejjasnější a nejpřesněji definovatelná: éra „něco a nějak“ už je dávno v propadlišti dějin. Takže je zapotřebí co nejpřesněji stanovit požadavky co řešit, jakými zdroji, jakým způsobem. Pozor, není zapotřebí přijít za dodavatelem a jen mu nadiktovat svoji představu, ale je nutné ji společně dokázat definovat. Pokud to nedokážeme, nebudeme mít v ruce nástroj a utopíme se v moři nekonečných změn, změn, změn.

  • Nehledáte ten nejlepší nástroj

Trh s nástroji business continuity je nesmírně dynamický a neustále se vyvíjí. Takže se zcela běžně stane, že se rozhlédneme kolem sebe a smutně konstatujeme „mohli jsme si vybrat lepší řešení“. Jenomže srovnávání produktů není nejšťastnějším úkonem, protože často srovnáváme nesrovnatelné. Nezapomínejme, že pro sebe nevybíráme „ten nejlepší“ produkt, ale ten, který v danou chvíli nejlépe odpovídá našim představám a potřebám.
Hledejte reference
Když si vybíráme řešení, je zapotřebí provést hodnocení nejen software, ale také dodavatele. Chcete produkt, ale kde je jistota o jeho spolehlivosti, podpoře nebo podobných aspektech. Hledejte reference: tedy další organizace, které mají zkušenosti, které nám chybí. Tedy zkušenosti s praktickým nasazením a provozem.

  • Zvažte své politiky změn a řízení identit
Uchraňte se budoucí frustrace a představte si, že implementace nikdy nebude perfektní, a to i když nadefinujete všechny požadavky atd. Třeba proto, že se požadavky časem mění, protože dnešní byznys je ve stavu trvalé změny. Mění se organizační jednotky, politiky, systém – což vše má vliv na business continuity a softwarové nástroje, které používá.

  • Výcvik a podpora
Mnoho dobrých projektů končí na tom, že je lidé odmítají používat. Protože nový software vždy znamená, že se mění to, co uživatelé mají navyklé a zažité. Často nechtějí používat software komplikovanější, protože z jejich pohledu jsou jednodušší produktivní programy jako Word či Excel. Jenomže si neuvědomují, že business continuity představuje přínos pro celou firmu – a že tak dávají přednost osobnímu pohodlí před společným zájmem.

23.9.2009 Řízení zdrojů a obnova po incidentu

Řízení zdrojů a obnova po incidentu

Máloco dokáže srazit vaz plánům na obnovu po katastrofě tak, jako špatné řízení zdrojů. Proč?

   Vzhledem k rostoucím kybernetickým rizikům a s nim souvisejícím požadavkům s bojem proti nim řeší čím dál více organizací otázky týkající se „disaster recovery“ – tedy návratu do normálního stavu po mimořádné situaci. Jenomže to není vždy ta nejlepší investice: respektive se může nejlepší investicí stát, ale tomu musíme něco podřídit.

   Je totiž zapotřebí správně provést vyhodnocení komodit: co potřebujeme obnovovat, jak zálohovat, jak řídit, jak klasifikovat data apod. V praxi se lze bohužel setkat spíše se stavem, kdy se tyto věci řeší intuitivně než podle skutečného vlivu na hodnotu společnosti a dopad na její provoz či kapitalizaci. V lepším případě se za bernou minci považuje cena na počátku procesu a zapomíná se, že hodnota elektronických dat se v čase velmi rychle mění.

   Důsledek? Typická organizace má popsáno a zhodnoceno jen 40 procent všech zdrojů. Dalších 40 až 50 procent zdrojů pravděpodobně existuje: ale protože jsou aktuálně nepoužívané, nikdo neví, kde jsou. A zbytek? Ten bývá dobře popsaný, ale nikdo neví, kde tyto zdroje jsou a zdali vůbec existují.

Jak by asi tato statistika vypadala ve Vaší organizaci?

17.8.2009 CA přináší osm nových a vylepšených řešení pro management

Snížit náklady a rizika – to je hlavní úkol osmi nových a vylepšených řešení, která představuje společnost CA. Řešení umožňují spravovat, řídit a zajišťovat IT prostředí.

Pět z nových CA řešení zlepšuje řízení rizik organizací tím, že zajišťují soulad jak s externími požadavky (legislativou), tak s interními předpisy. Řešení od CA umožňují redukovat náklady a implementovat best practices pro identifikaci, měření, analýzu a vyvážení rizika. Řešení jsou navrhována pro shodu se SoX (Sarbanes-Oxley Act), standardem PCI, HIPAA, COBIT a dalšími důležitými normami.

Jedná se o následující řešení: CA GRC Manager r1.5 (centrální řízení rizik a souladu v celém podnikání), CA Security Compliance Manager (zvýšení bezpečnosti a zajištění souladu s legislativou i firemními či vládními požadavky), CA Access Control Premium (vytěžení maxima z jiných aplikací jejich propojením skrze platformy či jinak heterogenní prostředí), CA Identity Manager r12 (řízení životního cyklu identit) a CA Software Compliance Manager (snížení rizika řízením licencí software).

Další tři nové produkty se orientují na zvýšení efektivity kontrolou (založenou na automatických i definovaných pravidlech): CA IT Process Manager (automatizace IT procesů), CA Advanced Systems Management r11.2 (dodavatelsky a platformově nezávislé řešení pro řízení fyzických i virtuálních serverů) a CA OPS/MVS Event Management and Automation r11.6 (automatizace řízení systémových zdrojů).

17.8.2009 Symantec definuje novou generaci managementu koncových zařízení

  • Ihned po vydání se řešení Endpoint Management Suite od Symantecu okamžitě stalo lídrem trhu v segmentu kontroly koncových zařízení. Je přitom zapojeno do architektury Symantec Open Collaborative Architecture, přičemž jeho hlavním úkolem je ochrana investic schopností rychle určovat aktuální potřeby zařízení.

  • Statistické průzkumy ukazují, že více než 90 procent zranitelností systémů může být eliminováno správnou konfigurací systému a nasazováním aktualizací. Zbývající zranitelnosti ale vyžadují několikastupňovou ochranu – a pro všechny případy i silný zálohovací plus obnovovací nástroj. A právě tyto schopnosti řešení Endpoint Management Suite nabízí.

  • Symantec Endpoint Management Suite zajišťuje koncová zařízení špičkovou technologií ve třech klíčových oblastech: řízení, bezpečnost a obnova. Obsahuje Symantec Endpoint Protection 11.0, Altiris Client Management Suite 6 a Backup Exec System Recovery 8 Desktop Edition. Kromě toho řešení využívá architekturu Symantec Open Collaborative založenou na technologii Altiris a konfigurační řídící databázi (CMDB) pro větší konvergenci řízení bezpečnosti a systému.

  • Architektura Symantec Open Collaborative vytváří větší interoperabilitu mezi řešeními od Symantecu a nabízí partnerům i zákazníkům schopnost integrovat svá řešení právě s platformou Symantec. Architektura je webově orientovaná a poskytuje sdílení dat stejně jako automatizaci IT k zajištění plynulosti výkonu a redukce nákladů.

20.7.2009 Deset největších ICT hrozeb letošního roku

Bezpečnostní expertka Debra Shinderová sestavila seznam deseti bezpečnostních hrozeb, na které bychom si letos měli dát pozor. Ještě stále je čas položit si otázku, jak jsme před nimi chráněni právě v naši organizaci...

  1. Společenské (sociální) sítě jsou cestou k útokům – ač se korporátní sektor v oblasti společenských sítí příliš nepohybuje, jejich čím dál větší obliba mezi zaměstnanci představuje riziko. Společenské sítě se stávají zdrojem informací stejně jako prostředím, v němž se vesele šíří škodlivé kódy (které po otevření příslušné webové stránky pochopitelně představují problém).
  2. Více útoků se bude týkat integrity dat (modifikace dat) – dosud byla datům v případě útoků věnována pozornost jako celku. Šlo vlastně o nepřímé poškozování vybraného subjektu (např. stažením klientských dat a pokusy o jejich následné přetahování). Ovšem případná modifikace dat znamená přímé poškození subjektu, který se sám de facto „znemožní“.
  3. Útoky na mobilní zařízení – s narůstající mobilitou v ICT světě rostou i rizika, která tato skutečnost představuje. Např. data na cestách jsou vystavena většímu množství rizik, než ta v kanceláři, připojování přes „pochybné“ poskytovatele internetu zase přináší riziko odposlechu, mobilní zařízení se hůře kontroluje z hlediska vynucování bezpečnostní politiky - a takto bychom mohli pokračovat.
  4. Virtualizace – technologie, která se vyvíjí rychleji, než naše schopnost kvalitně zajistit bezpečnost a bezpečí ve virtuálním a virtualizovaném prostředí. Naše stávající bezpečnostní mechanismy zkrátka nejsou připravené na virtualizace systémů, aplikací, hardware...
  5. Cloud computing – největší nebezpečí v této oblasti představuje jakási „mlhavost“, která oblaka (cloudy) halí. Přenesení služby či data „nevímkam“ je sice někdy užitečné a praktické, ale nikoliv v případě citlivých dat. Kde moje data jsou? Co se s nimi děje? Kdo a jak k nim má přístup? To jsou jen některé z výzev, před nimiž dnešní dodavatelé cloud computingu stojí.
  6. Bude více útoků na ostatní (ne-Windows) aplikace – trend, který pozorujeme již delší dobu. Microsoftu se téměř po deseti letech začíná vyplácet jeho taktika „Secure Computing“, takže agresoři volí útoky na zranitelnější části systémů. Namátkou: útoky na pdf soubory, internetovou telefonii či bezpečnostní programy.
  7. Útoky na slabě zabezpečené aplikace třetích stran (např. freeware) – velký problém představují aplikace, nad kterými nemáme kontrolu. Kromě různých jednoduchých programů jde třeba o různé plug-iny nebo toolbary, které si uživatelé přidávají do internetových prohlížečů. Nad nimi nemá kontrolu ani správce sítě, ani výrobce prohlížeče. Mohou se tak snadno stát noční můrou bezpečnosti.
  8. Boční dopady zelené IT – Green IT je moderní pojem, kterému se kdekdo chce zavděčit. Jenomže může mít i své „vedlejší důsledky“. Třeba recyklace pevných disků může při nesprávném smazání dat způsobit jejich únik do nepovolaných rukou.
  9. IP konvergence (nové technologie) – spojování a propojování systémů nám umožňuje provádět věci, které byly před deseti lety absolutně nemyslitelné. Kdejaké zařízení se dnes může připojovat k internetu nebo jiným přístrojům. Což ale zároveň vytváří prostředí, které je značně neprůhledné a špatně řiditelné.
  10. Přílišná důvěra v naše bezpečnostní řešení – bezpečnost někdy vnímáme mylně. Není o tom, že se nemůže nic stát, ale také o tom, že se musíme připravit na nejhorší možnou variantu – na to, že se přes všechnu opatrnost něco stát může. Od toho tu máme zálohování, business continuity a další nedílné složky bezpečnosti

14.7.2009 Průzkum CA: Globální ekonomické zpomalení zvýší výdaje na ICT bezpečnost

Globální ekonomická recese má kromě jiných za následky snižování nákladů a finanční restrukturalizace, nicméně toto by se nemělo projevit ve výdajích na ICT bezpečnost. Ukázal to nejnovější průzkum sponzorovaný společností CA.

Průzkum byl provedený mezi čtyřmi sty firmami na čtyřech kontinentech. Jedním z jeho výstupů je konstatování, že plných 42 procent organizací očekává nárůst rozpočtu vynakládaného na zajištění bezpečnosti. A dalších padesát procent očekává jeho udržení na stávající úrovni.

Důvody tohoto stavu jsou dva. Prvním jsou nové regulace a očekávání přísnějších kontrol a dohledů. Z nich vyplývá nutnost více investovat do souladu s legislativou a závaznými normami. Druhým důvodem je skutečnost, že nejistá doba dramaticky zvyšuje nebezpečí plynoucí od „vnitřních nepřátel“. Tedy od vlastních zaměstnanců, kteří se domnívají, že např. přivlastněním si citlivých dat zvýší do budoucna svoji cenu na trhu práce.

Z průzkumu CA dále vyplývá, že v Severní Americe vydávají organizace na zajištění souladu 26 procent rozpočtu na ICT bezpečnost. V Asii a pacifickém regionu je to 37 procent. Evropa má na zajištění souladu vyčleněno zpravidla 19 procent, Jižní Amerika pak nejméně – 17 procent. Přitom 78 procent respondentů očekává, že své výdaje v této budou muset zvýšit.

22.6.2009 Unikl vám datový záznam? Připravte si tisícikorunu!

Podle zprávy „2008 Annual Study: UK Cost of Data Breach“ stojí únik každého citlivého údaje ve Velké Británii „viníka“ zhruba 60 liber. To představuje výrazný meziroční nárůst nákladů: před rokem to ještě bylo 47 liber na incident.

Mnohem horší jsou ale celkové částky, protože incidenty jsou málokdy izolované a zpravidla se týkají jen jednoho záznamu. Průměrná cena za jeden incident tak činí ve Velké Británii 1,7 mil. liber – ještě před rokem to bylo 1,4 mil. GBP. Do studie byly zahrnuty desítky incidentů, v jejichž rámci uniklo 4100 až 92 tisíc záznamů.

O něco optimističtější čísla přináší americká organizace Ponemon Institute, která dlouhodobě sleduje úniky dat v USA. Podle ní byly v loňském roce náklady na jeden „uniklý“ záznam dvě stě dolarů. Ale i zde je vidět dramatický meziroční nárůst. Zatímco v roce 2006 byla průměrná hodnota likvidace jednoho incidentu spojeného s únikem dat 4,7 mil. USD, o rok později číslo vyskočilo na 6,3 mil. USD a loni dosáhlo částky 6,6 mil. USD. Ponemon Institute přitom podrobil analýze incidenty u 43 organizací, kdy průměrně „uteklo“ 33 tisíc záznamů (ve skutečnosti šlo o incidenty týkající se 4200 až 113 tisíc záznamů).

Ať za bernou minci vezmeme průzkum britský či americký, stále platí, že nejlevnější incident je takový, který nenastane – a že nejlepším lékem je prevence.

8.6.2009 Výzva jménem „vnitřní nepřítel“

Ačkoliv útoky „zevnitř“ prokazatelně narůstají, medializované případy se množí a současná celosvětová ekonomická krize jim nahrává, mnoho organizací je v oblasti ochrany před „vnitřním nepřítelem“ překvapivě nečinných.

Poukazují na to hned dvě právě publikované studie. Forrester Research zveřejnila zprávu „Data Security Challenges and Technology Adoption in 2008“. Tato studie se týká podniků všech velikostí, přičemž konstatuje, že plných 88 procent z nich považuje data a jejich ochranu za velkou výzvu. Jenomže čtyřicet procent nemá odpovídající znalosti nebo nástroje, které by je ochránily před úniky informací.

Naproti tomu studie organizace Redshift Research se zaměřuje na menší firmy. Plná polovina malých a středních firem „se neobává“ možnosti úniku dat skrze zaměstnance. A pouhých 22 procent věří, že vnitřní hrozby jsou větší než externí.

Jen 45 procent organizací ze segmentu SMB má aplikace, které automaticky kontrolují pokusy o připojení externích disků (a kopírování dat). To však není jediný možný vektor úniku: jen 35 procent kontroluje PDA a podobný hardware. Což ale znamená nejen riziko úniku dat, ale i ohrožení bezpečnosti.

Také další zjištěná čísla jsou zarážející:
• 60 procent malých organizací nemá politiku pro regulaci přístupu externích zařízení k síti,
• 21 procent nemá schopnost zjistit, kde jsou právě teď uložena kritická data,
• 33 procent není schopno zjistit, jaká přenosná zařízení byla připojena k síti,
• 41 procent není schopno zjistit, zdali na ně byla přenesena nějaká data.

Důvodem je fakt, že historicky byl kladený příliš velký důraz na antivirové a antispamové aplikace – tedy na externí hrozby. A pohodlný názor, že vnitřní síť je bezpečná, mnohde přetrvává dodnes. Největší zájem o technologie bránící úniku dat a monitorující aktivity na síti přitom mají dle studie společnosti Forrester subjekty působící na regulovaném trhu (tedy finanční, pojišťovací, energetické či telekomunikační). Naopak: téměř jej ignoruje maloobchod, obchod a výroba.

25.5.2009 Nespoléhejte na bezpečnost dodávaných aplikací!

Přes šedesát procent úniků dat a dalších bezpečnostních incidentů je spojeno s chybami v kritických aplikacích. Konstatuje to studie společnosti Forrester Consulting, která zároveň dodává: nespoléhejte na výrobce software, bezpečnost si musíte zajistit jinak.

Své tvrzení dokládá celou řadou zjištění, která získala průzkumem mezi dvěma sty organizacemi – především vývojářskými firmami. Jen 34 procent z nich uvedlo, že mají vypracovanou metodiku pro zjištění bezpečnosti v průběhu celého vývojového cyklu.

Přes 45 procent respondentů dále uvedlo, že aplikační bezpečnost je pro ně velkou výzvou, ale zároveň dodávají, že současný ekonomický vývoj je nutí tuto skutečnost redukovat. V ostrém konkurenčním boji je totiž stěžejním faktorem cena. A to nás v bezpečnosti vrhá o roky zpět!

Dále: 57 procent vývojářských firem nemá žádná školení bezpečného kódování pro své programátory. Jen 13 procent uvedlo, že mají představu o bezpečnostní kvalitě svých produktů. Pokud už se někdo obtěžuje do kritických aplikací implementovat bezpečnosti, pak se v šedesáti procentech případů jedná o převzatá řešení třetích stran.

Forrester Consulting tak konstatuje, že hlavním faktorem formujícím bezpečnost nejsou firmy vyvíjející software – ale uživatelé, procesy a kultura. Bezpečnost zkrátka není prioritou organizací vyvíjejících kódy: podle toho je na ni třeba nahlížet, a proto je zapotřebí přijmout odpovídající opatření i svůj díl zodpovědnosti.

11.5.2009 Správa virtuálních i fyzických úložišť od CA

Společnost CA přináší novou verzi řešení CA Data Center Automation Manager (r11.2) pro virtualizovaná i fyzická prostředí datových úložišť. Toto řešení zlepšuje možnosti využití stávající techniky a zvyšuje efektivitu práce.

CA Data Center Automation Manager v sobě spojuje vysoký výkon a svobodu volby (použití pravidel nebo inteligentního automatického algoritmu, případně obého). Provozovatel řešení tak získá vysokou schopnost reagovat na aktuální situaci, spolehlivost a v celkovém součtu vynaloží nižší náklady na provoz IT.

Řešení CA Data Center Automation Manager přesně míří do oblasti zvýšené poptávky mezi IT organizacemi, které požadují vyšší rychlost dodávky služeb, dostupnost a zajištění konfigurací aplikací. K dalším přínosům pak patří optimalizace virtualizace a iniciativ z oblasti „Green IT“.

Společnost CA poskytuje širokou paletu řešení pro automatizaci datových center, v kteréžto oblasti je označována za lídra trhu (např. ve studii „The Forrester Wave: Data Center Automation, Q2 2008“).

4.5.2009 Společnost CA rozšířila svoji působnost o technologii DLP

Přední světový výrobce bezpečnostních řešení a dodavatel služeb CA koupil firmu Orchestria Corporation, předního poskytovatele DLP (Data Loss Prevention) řešení.

Trh s DLP roste ročně o desítky procent. Jde o technologii, která má za cíl zabránit neoprávněné manipulaci s daty, jejich zneužití a záměrným i nechtěným únikům. DLP funguje tak, že veškerá data na počítačích, serverech a dalších úložištích jsou označena speciálními vizitkami. Dále jsou jednotlivým uživatelům a systémům přidělena příslušná práva. DLP pak porovnává informace na vizitkách s příslušnými právy: zdali má dotyčný subjekt možnost data prohlížet, kopírovat, manipulovat s nimi apod. Jakákoliv jiná operace je blokována. Vychází se tedy z principu „co není povoleno, je zakázáno“. Nehrozí tak, že systém bude zranitelný vůči novým hrozbám.

S tím, jak roste naše celková závislost na ICT a jak čím dál více dat a informací putuje do počítačových systémů, začíná sledování toho, kdo a jak manipuluje s daty nabývat na důležitosti. Stejně tak i řízení toho, kdo a jak s daty manipulovat může.

CA hodlá technologii DLP propojit se svými dalšími již existujícími řešeními, jako je řízení identit a řízení komplexních bezpečnostních systémů. Tím CA nabídne nejširší a nejpokročilejší bezpečnostní řešení na trhu, které vytvoří zcela uzavřený systém schopný čelit v podstatě jakýmkoliv nástrahám.

16.4.2009 Více než polovina bývalých zaměstnanců si odnáší „výslužku“ v podobě dat

Alespoň to tvrdí studie, provedená organizacemi Ponemon Institute a Symantec. Dle průzkumu provedeného v závěru roku 2008 přiznalo 58 procent bývalých zaměstnanců, že si od svého zaměstnavatele při odchodu odneslo citlivé informace.

Průzkum zároveň ukázal, že za tímto neradostným stavem je fakt, že organizace „zlodějům“ situaci usnadňují. Většina tázaných uvedla, že kdyby měli svůj čin jen trochu komplikovaný, tak by od něj upustili. Mezi nejčastější „úlovky“ patří seznamy e-mailových kontaktů, osobní data zaměstnanců, informace o zákaznících včetně kontaktů apod. Zvláštní je, že nejčastěji si data od bývalého zaměstnavatele odnášeli pracovníci ve finančním sektoru.

Další zajímavé výsledky přinesl průzkum v oblasti „jak se data dostávala ven z firmy“. Nejčastěji (53 procent případů) bylo použito CD či DVD, následoval USB flash disk (42 procent) a příloha u e-mailu (38 procent). Alarmujícím číslem je také zjištění, že 24 procent tázaných – tedy jedna čtvrtina – měla i po rozvázání pracovního poměru dále přístup do informačního systému svého ex-zaměstnavatele.

10.4.2009 Nové kurzy pro Spring Framework

Pro všechny zájemce z řad vývojářů webových aplikací jsme připravili kurzy, které nabízejí základní přehled možností vývoje se Spring Frameworkem tak, aby uchazeči mohli efektivně vyvíjet webové Java aplikace.
Více informací najdejte v sekci ŘEŠENÍ A SLUŽBY => Školení a kurzy.

30.3.2009 Oblast řízení IT služeb bude v roce 2009 stabilní

Navzdory turbulencím ve světové ekonomice plánuje 87 procent IT profesionálů v letošním roce pokračování implementací již rozjetých projektů v oblasti řízení IT služeb (IT Service Management). Vyplývá to ze studie vytvořené organizací EMA (Enterprise Management Associates). V rámci průzkumu např. tři procenta respondentů potvrdily, že se jim už podařilo dokončit všechny ITSM aktivity – naproti tomu 80 procent uvedlo, že zatím byly dokončené alespoň některé.

Letošní rok bude dle EMA kritický a stěžejní pro IT manažery, kteří budou mezi dvěma mlýnskými kameny: na jedné straně bude proti sobě stát finanční pragmatismus a na straně druhé rostoucí výzvy IT, přičemž bude potřeba vyvážit obé. Přitom právě ITSM může lidem pracujícím v IT pomoci překonat všechny tyto nástrahy.

Podle výše uvedeného průzkumu vykazují největší úroveň adaptace na ITSM středně velké společnosti. Zatímco menší zůstávají věrné tradičním řešením service/help desk, větší bojují s výzvami komplexnosti a škálovatelnosti. EMA věří, že nejúspěšnější společnosti projdou skrze ekonomickou recesi s pomocí moderních IT technologií a investic do nových řešení, méně úspěšné budou setrvávat na pasivním modelu „tak, jak doposud“.

Z průzkumu vyplynula další důležitá zjištění: rozpočty IT v organizacích nejsou ve stavu „volného pádu“, prozatím jen menší počet organizací snižuje náklady na IT o 10 až 25 procent. EMA nakonec vyjadřuje prognózu, podle které budou krátkodobé projekty v roce 2009 upřednostňovány před dlouhodobými – a to kvůli rozpočtovým nejistotám (index ROI – Return Of Investment – je nyní u IT vyžadovaný mezi šesti a osmnácti měsíci).

11.7.2008 Osvědčení NBÚ

Naše společnost získala Osvědčení podnikatele od Národního bezpečnostního úřadu České republiky pro stupeň utajení "vyhrazené".

1.7.2008 Nová webová prezentace

Nová webová prezentace naší společnosti byla právě dnes spuštěna.

Hlavní navigace: