Novinky
28.1.2010 FrontRange pomáhá šetřit čas a práci při přechodu na Windows 7
FrontRange pomáhá šetřit čas a práci při přechodu na Windows 7
Firma FrontRange Solutions, jejíž produkty distribuuje v České republice společnost NetGuard, oznámila uvedení vylepšené verze svého řešení Client Management Suite. To se nyní vyznačuje plnou podporou operačního systému Windows 7: tedy od distribuce přes nasazení až po následný management.
Popularita Windows 7 je již nyní nepopiratelná a mnoho organizací tento systém nasazuje dříve, než bylo jejich původním záměrem. Ruku v ruce s touto zvýšenou rychlostí ovšem často dochází k situaci, kdy na přechod nejsou nachystané další části informačního systému. Existuje tak zvýšená poptávka po produktech „Windows 7 Ready“ – a právě do tohoto segmentu trhu vylepšená verze Client Management Suite míří.
Kromě Windows 7 podporuje FrontRange Client Management Suite nově také Windows Server 2008 (včetně částečné podpory R2) stejně jako Citrix XenApp 5 a 64bitová prostředí. Pro nasazení Windows 7 používá nejnovější technologii Windows Preinstallation Environment (WinPE) 3.0, což garantuje rychlé a spolehlivé nasazení operačního systému.
4.1.2010 Škodlivé kódy mají jepičí život
Zapomeňte na reaktivní řešení a služby, současným trendem je proaktivita. Vynutily si to dnešní škodlivé kódy: než se je podařilo „rozpitvat“ a vydat příslušné aktualizace, už bylo většinou po epidemii.
Podle statistik bezpečnostních firem (různí se podle použité metodiky) se denně objevuje dvacet až čtyřicet tisíc vzorků nových škodlivých kódů. (Často spíše „nových“, protože mnohdy jde jen o nepatrně upravené starší verze.) Ale méně než polovina z nich „přežije“ (tedy je reálně používána) déle než jeden den. Poté jsou nahrazovány novými variantami. Důvod je prostý: útočníci dobře vědí, že bezpečnostní firmy reagují velmi svižně. Proto se snaží přicházet se stále novými kódy, jen aby se vyhnuli svému odhalení.
To ale není všechno: dle statistik organizace AV-test.org překročil počet škodlivých kódů třicet miliónů. Přitom v poslední době jejich množství roste rychlostí vyšší než jeden milión kusů měsíčně. Není možné se zaměřovat na vyhledávání takovéhoto obrovského množství marastu, mnohem lepší je orientovat se na principy jejich činnost. Tedy na proaktivní řešení.
V neposlední řadě si musíme uvědomit, že škodlivé kódy jsou čím dál častěji dělané v malých sériích nebo přímo „na míru“. Tyto se následně vůbec nedostávají k bezpečnostním firmám (nebo až s velkým zpožděním), takže na ně aktualizace nejsou k dispozici tehdy, když jsou nejvíce potřeba.
A nakonec: studie provedená společností Damballa tvrdí, že stávající antivirové systémy jsou schopné odhalit v průměru jen asi padesát procent škodlivých kódů. A že zhruba patnáct procent virů nejsou schopné podchytit vůbec. Takže se opět potvrzuje staré dobré pravidlo informační bezpečnosti o tom, že nejlepší problém je takový, který vůbec nevznikne.
4.11.2009 Zachování shody ve virtualizaci
Pět základních kroků pro zachování shody ve virtualizaci
Virtualizuje dnes kdekdo a kdeco – přitom si ale často neuvědomuje, že virtualizace s sebou přináší zcela nové výzvy. Třeba v oblasti „compliance“ – souladu (s legislativou, bezpečnostní politikou apod.). Většina pravidel byla totiž vytvořená s předpokladem, že systémy jsou fyzické.
Jenomže co když je systém virtuální – se všemi z toho plynoucími důsledky? Pak některá pravidla fyzického světa přestávají platit – a naopak na jejich místo nastupují pravidla virtuální říše. A to už nemluvíme o skutečnosti, že průnik virtuálních a reálných systémů přináší zase jinou sadu pravidel a zákonitostí.
Následujících pět kroků shrnuje v podstatě vše, na co si musíme dát pozor, pokud chceme zajistit soulad s legislativou, normami či předpisy. Jen připomínáme, že zajištění souladu ne vždy znamená zajištění bezpečnosti – a naopak, zajištění bezpečnosti neznamená zajištění souladu. Jinými slovy: můžete mít soulad bez bezpečnosti a bezpečnost bez souladu.
První krok: opevnit platformu
Především je zapotřebí správně nakonfigurovat virtualizační platformu. A to jak hypervizor, tak administrativní úroveň. Stejně tak je zapotřebí věnovat pozornost bezpečnému nastavení systému: např. eliminaci nežádoucích komponent nebo pravidelnému záplatování. Nesmíme zapomínat, že virtualizace přináší nové výzvy v oblasti řízení reálného i virtualizovaného prostředí.
Druhý krok: řízení konfigurací a změn
Aby se virtualizované prostředí nestalo naší noční můrou, je zapotřebí rozšířit dnešní systém řízení změn a konfigurací i do virtualizovaného prostředí: často s pomocí nových nástrojů. Speciální pozornost je přitom třeba věnovat změnám, které vyplývají z rychlého rozvoje virtualizace, její mobility a skutečnost, že off-line systémy přecházejí do on-line prostředí. A také skutečnosti, aby řízení aktualizací pokrývalo i virtualizační software.
Třetí krok: řídit kontrolu přístupu
Špatné nastavení virtuálních serverů a síťových práv může ve virtuálním prostředí způsobit nemalé komplikace: správci by si toho měli být vědomi a mít odpovídající znalosti. Pečlivé oddělení služeb a řízení práv je nesmírně důležitým úkolem pro snížení rizik plynoucích z neoprávněného přístupu.
Čtvrtý krok: síťová bezpečnost a segmentace
Nasaďte virtuální přepínače a virtuální firewally do jednotlivých segmentů virtuální sítě. Ujistěte se, že stroje pracující s chráněnými daty jsou izolované a nasaďte virtuální systémy IDS/IPS. Je zapotřebí prostředí vhodně rozdělit na samostatné segmenty, a ty následně řešit samostatně.
Pátý krok: vyhodnocujte logy
I v reálném světě se nebezpečně často setkáváme s tím, že se pouze loguje – ale už se tyto výstupy nezpracovávají nebo nekorelují. Ve virtualizovaném prostředí jsou logy a jejich vyhodnocování ještě důležitější otázkou. Umožňují nám totiž získat jasný obrázek o zranitelnostech a rizicích, kterým jsme vystaveni. Automatické nástroje a vyhodnocovací systémy jsou přitom k dispozici: nejde tedy o nemožný úkol.
23.9.2009 Řízení zdrojů a obnova po incidentu
Řízení zdrojů a obnova po incidentu
Máloco dokáže srazit vaz plánům na obnovu po katastrofě tak, jako špatné řízení zdrojů. Proč?
Vzhledem k rostoucím kybernetickým rizikům a s nim souvisejícím požadavkům s bojem proti nim řeší čím dál více organizací otázky týkající se „disaster recovery“ – tedy návratu do normálního stavu po mimořádné situaci. Jenomže to není vždy ta nejlepší investice: respektive se může nejlepší investicí stát, ale tomu musíme něco podřídit.
Je totiž zapotřebí správně provést vyhodnocení komodit: co potřebujeme obnovovat, jak zálohovat, jak řídit, jak klasifikovat data apod. V praxi se lze bohužel setkat spíše se stavem, kdy se tyto věci řeší intuitivně než podle skutečného vlivu na hodnotu společnosti a dopad na její provoz či kapitalizaci. V lepším případě se za bernou minci považuje cena na počátku procesu a zapomíná se, že hodnota elektronických dat se v čase velmi rychle mění.
Důsledek? Typická organizace má popsáno a zhodnoceno jen 40 procent všech zdrojů. Dalších 40 až 50 procent zdrojů pravděpodobně existuje: ale protože jsou aktuálně nepoužívané, nikdo neví, kde jsou. A zbytek? Ten bývá dobře popsaný, ale nikdo neví, kde tyto zdroje jsou a zdali vůbec existují.
Jak by asi tato statistika vypadala ve Vaší organizaci?
17.8.2009 CA přináší osm nových a vylepšených řešení pro management
Snížit náklady a rizika – to je hlavní úkol osmi nových a vylepšených řešení, která představuje společnost CA. Řešení umožňují spravovat, řídit a zajišťovat IT prostředí.
Pět z nových CA řešení zlepšuje řízení rizik organizací tím, že zajišťují soulad jak s externími požadavky (legislativou), tak s interními předpisy. Řešení od CA umožňují redukovat náklady a implementovat best practices pro identifikaci, měření, analýzu a vyvážení rizika. Řešení jsou navrhována pro shodu se SoX (Sarbanes-Oxley Act), standardem PCI, HIPAA, COBIT a dalšími důležitými normami.
Jedná se o následující řešení: CA GRC Manager r1.5 (centrální řízení rizik a souladu v celém podnikání), CA Security Compliance Manager (zvýšení bezpečnosti a zajištění souladu s legislativou i firemními či vládními požadavky), CA Access Control Premium (vytěžení maxima z jiných aplikací jejich propojením skrze platformy či jinak heterogenní prostředí), CA Identity Manager r12 (řízení životního cyklu identit) a CA Software Compliance Manager (snížení rizika řízením licencí software).
Další tři nové produkty se orientují na zvýšení efektivity kontrolou (založenou na automatických i definovaných pravidlech): CA IT Process Manager (automatizace IT procesů), CA Advanced Systems Management r11.2 (dodavatelsky a platformově nezávislé řešení pro řízení fyzických i virtuálních serverů) a CA OPS/MVS Event Management and Automation r11.6 (automatizace řízení systémových zdrojů).
20.7.2009 Deset největších ICT hrozeb letošního roku
Bezpečnostní expertka Debra Shinderová sestavila seznam deseti bezpečnostních hrozeb, na které bychom si letos měli dát pozor. Ještě stále je čas položit si otázku, jak jsme před nimi chráněni právě v naši organizaci...
- Společenské (sociální) sítě jsou cestou k útokům – ač se korporátní sektor v oblasti společenských sítí příliš nepohybuje, jejich čím dál větší obliba mezi zaměstnanci představuje riziko. Společenské sítě se stávají zdrojem informací stejně jako prostředím, v němž se vesele šíří škodlivé kódy (které po otevření příslušné webové stránky pochopitelně představují problém).
- Více útoků se bude týkat integrity dat (modifikace dat) – dosud byla datům v případě útoků věnována pozornost jako celku. Šlo vlastně o nepřímé poškozování vybraného subjektu (např. stažením klientských dat a pokusy o jejich následné přetahování). Ovšem případná modifikace dat znamená přímé poškození subjektu, který se sám de facto „znemožní“.
- Útoky na mobilní zařízení – s narůstající mobilitou v ICT světě rostou i rizika, která tato skutečnost představuje. Např. data na cestách jsou vystavena většímu množství rizik, než ta v kanceláři, připojování přes „pochybné“ poskytovatele internetu zase přináší riziko odposlechu, mobilní zařízení se hůře kontroluje z hlediska vynucování bezpečnostní politiky - a takto bychom mohli pokračovat.
- Virtualizace – technologie, která se vyvíjí rychleji, než naše schopnost kvalitně zajistit bezpečnost a bezpečí ve virtuálním a virtualizovaném prostředí. Naše stávající bezpečnostní mechanismy zkrátka nejsou připravené na virtualizace systémů, aplikací, hardware...
- Cloud computing – největší nebezpečí v této oblasti představuje jakási „mlhavost“, která oblaka (cloudy) halí. Přenesení služby či data „nevímkam“ je sice někdy užitečné a praktické, ale nikoliv v případě citlivých dat. Kde moje data jsou? Co se s nimi děje? Kdo a jak k nim má přístup? To jsou jen některé z výzev, před nimiž dnešní dodavatelé cloud computingu stojí.
- Bude více útoků na ostatní (ne-Windows) aplikace – trend, který pozorujeme již delší dobu. Microsoftu se téměř po deseti letech začíná vyplácet jeho taktika „Secure Computing“, takže agresoři volí útoky na zranitelnější části systémů. Namátkou: útoky na pdf soubory, internetovou telefonii či bezpečnostní programy.
- Útoky na slabě zabezpečené aplikace třetích stran (např. freeware) – velký problém představují aplikace, nad kterými nemáme kontrolu. Kromě různých jednoduchých programů jde třeba o různé plug-iny nebo toolbary, které si uživatelé přidávají do internetových prohlížečů. Nad nimi nemá kontrolu ani správce sítě, ani výrobce prohlížeče. Mohou se tak snadno stát noční můrou bezpečnosti.
- Boční dopady zelené IT – Green IT je moderní pojem, kterému se kdekdo chce zavděčit. Jenomže může mít i své „vedlejší důsledky“. Třeba recyklace pevných disků může při nesprávném smazání dat způsobit jejich únik do nepovolaných rukou.
- IP konvergence (nové technologie) – spojování a propojování systémů nám umožňuje provádět věci, které byly před deseti lety absolutně nemyslitelné. Kdejaké zařízení se dnes může připojovat k internetu nebo jiným přístrojům. Což ale zároveň vytváří prostředí, které je značně neprůhledné a špatně řiditelné.
- Přílišná důvěra v naše bezpečnostní řešení – bezpečnost někdy vnímáme mylně. Není o tom, že se nemůže nic stát, ale také o tom, že se musíme připravit na nejhorší možnou variantu – na to, že se přes všechnu opatrnost něco stát může. Od toho tu máme zálohování, business continuity a další nedílné složky bezpečnosti
14.7.2009 Průzkum CA: Globální ekonomické zpomalení zvýší výdaje na ICT bezpečnost
Globální ekonomická recese má kromě jiných za následky snižování nákladů a finanční restrukturalizace, nicméně toto by se nemělo projevit ve výdajích na ICT bezpečnost. Ukázal to nejnovější průzkum sponzorovaný společností CA.
Průzkum byl provedený mezi čtyřmi sty firmami na čtyřech kontinentech. Jedním z jeho výstupů je konstatování, že plných 42 procent organizací očekává nárůst rozpočtu vynakládaného na zajištění bezpečnosti. A dalších padesát procent očekává jeho udržení na stávající úrovni.
Důvody tohoto stavu jsou dva. Prvním jsou nové regulace a očekávání přísnějších kontrol a dohledů. Z nich vyplývá nutnost více investovat do souladu s legislativou a závaznými normami. Druhým důvodem je skutečnost, že nejistá doba dramaticky zvyšuje nebezpečí plynoucí od „vnitřních nepřátel“. Tedy od vlastních zaměstnanců, kteří se domnívají, že např. přivlastněním si citlivých dat zvýší do budoucna svoji cenu na trhu práce.
Z průzkumu CA dále vyplývá, že v Severní Americe vydávají organizace na zajištění souladu 26 procent rozpočtu na ICT bezpečnost. V Asii a pacifickém regionu je to 37 procent. Evropa má na zajištění souladu vyčleněno zpravidla 19 procent, Jižní Amerika pak nejméně – 17 procent. Přitom 78 procent respondentů očekává, že své výdaje v této budou muset zvýšit.
22.6.2009 Unikl vám datový záznam? Připravte si tisícikorunu!
Podle zprávy „2008 Annual Study: UK Cost of Data Breach“ stojí únik každého citlivého údaje ve Velké Británii „viníka“ zhruba 60 liber. To představuje výrazný meziroční nárůst nákladů: před rokem to ještě bylo 47 liber na incident.
Mnohem horší jsou ale celkové částky, protože incidenty jsou málokdy izolované a zpravidla se týkají jen jednoho záznamu. Průměrná cena za jeden incident tak činí ve Velké Británii 1,7 mil. liber – ještě před rokem to bylo 1,4 mil. GBP. Do studie byly zahrnuty desítky incidentů, v jejichž rámci uniklo 4100 až 92 tisíc záznamů.
O něco optimističtější čísla přináší americká organizace Ponemon Institute, která dlouhodobě sleduje úniky dat v USA. Podle ní byly v loňském roce náklady na jeden „uniklý“ záznam dvě stě dolarů. Ale i zde je vidět dramatický meziroční nárůst. Zatímco v roce 2006 byla průměrná hodnota likvidace jednoho incidentu spojeného s únikem dat 4,7 mil. USD, o rok později číslo vyskočilo na 6,3 mil. USD a loni dosáhlo částky 6,6 mil. USD. Ponemon Institute přitom podrobil analýze incidenty u 43 organizací, kdy průměrně „uteklo“ 33 tisíc záznamů (ve skutečnosti šlo o incidenty týkající se 4200 až 113 tisíc záznamů).
Ať za bernou minci vezmeme průzkum britský či americký, stále platí, že nejlevnější incident je takový, který nenastane – a že nejlepším lékem je prevence.
8.6.2009 Výzva jménem „vnitřní nepřítel“
Ačkoliv útoky „zevnitř“ prokazatelně narůstají, medializované případy se množí a současná celosvětová ekonomická krize jim nahrává, mnoho organizací je v oblasti ochrany před „vnitřním nepřítelem“ překvapivě nečinných.
Poukazují na to hned dvě právě publikované studie. Forrester Research zveřejnila zprávu „Data Security Challenges and Technology Adoption in 2008“. Tato studie se týká podniků všech velikostí, přičemž konstatuje, že plných 88 procent z nich považuje data a jejich ochranu za velkou výzvu. Jenomže čtyřicet procent nemá odpovídající znalosti nebo nástroje, které by je ochránily před úniky informací.
Naproti tomu studie organizace Redshift Research se zaměřuje na menší firmy. Plná polovina malých a středních firem „se neobává“ možnosti úniku dat skrze zaměstnance. A pouhých 22 procent věří, že vnitřní hrozby jsou větší než externí.
Jen 45 procent organizací ze segmentu SMB má aplikace, které automaticky kontrolují pokusy o připojení externích disků (a kopírování dat). To však není jediný možný vektor úniku: jen 35 procent kontroluje PDA a podobný hardware. Což ale znamená nejen riziko úniku dat, ale i ohrožení bezpečnosti.
Také další zjištěná čísla jsou zarážející:
• 60 procent malých organizací nemá politiku pro regulaci přístupu externích zařízení k síti,
• 21 procent nemá schopnost zjistit, kde jsou právě teď uložena kritická data,
• 33 procent není schopno zjistit, jaká přenosná zařízení byla připojena k síti,
• 41 procent není schopno zjistit, zdali na ně byla přenesena nějaká data.
Důvodem je fakt, že historicky byl kladený příliš velký důraz na antivirové a antispamové aplikace – tedy na externí hrozby. A pohodlný názor, že vnitřní síť je bezpečná, mnohde přetrvává dodnes. Největší zájem o technologie bránící úniku dat a monitorující aktivity na síti přitom mají dle studie společnosti Forrester subjekty působící na regulovaném trhu (tedy finanční, pojišťovací, energetické či telekomunikační). Naopak: téměř jej ignoruje maloobchod, obchod a výroba.
25.5.2009 Nespoléhejte na bezpečnost dodávaných aplikací!
Přes šedesát procent úniků dat a dalších bezpečnostních incidentů je spojeno s chybami v kritických aplikacích. Konstatuje to studie společnosti Forrester Consulting, která zároveň dodává: nespoléhejte na výrobce software, bezpečnost si musíte zajistit jinak.
Své tvrzení dokládá celou řadou zjištění, která získala průzkumem mezi dvěma sty organizacemi – především vývojářskými firmami. Jen 34 procent z nich uvedlo, že mají vypracovanou metodiku pro zjištění bezpečnosti v průběhu celého vývojového cyklu.
Přes 45 procent respondentů dále uvedlo, že aplikační bezpečnost je pro ně velkou výzvou, ale zároveň dodávají, že současný ekonomický vývoj je nutí tuto skutečnost redukovat. V ostrém konkurenčním boji je totiž stěžejním faktorem cena. A to nás v bezpečnosti vrhá o roky zpět!
Dále: 57 procent vývojářských firem nemá žádná školení bezpečného kódování pro své programátory. Jen 13 procent uvedlo, že mají představu o bezpečnostní kvalitě svých produktů. Pokud už se někdo obtěžuje do kritických aplikací implementovat bezpečnosti, pak se v šedesáti procentech případů jedná o převzatá řešení třetích stran.
Forrester Consulting tak konstatuje, že hlavním faktorem formujícím bezpečnost nejsou firmy vyvíjející software – ale uživatelé, procesy a kultura. Bezpečnost zkrátka není prioritou organizací vyvíjejících kódy: podle toho je na ni třeba nahlížet, a proto je zapotřebí přijmout odpovídající opatření i svůj díl zodpovědnosti.
11.5.2009 Správa virtuálních i fyzických úložišť od CA
Společnost CA přináší novou verzi řešení CA Data Center Automation Manager (r11.2) pro virtualizovaná i fyzická prostředí datových úložišť. Toto řešení zlepšuje možnosti využití stávající techniky a zvyšuje efektivitu práce.
CA Data Center Automation Manager v sobě spojuje vysoký výkon a svobodu volby (použití pravidel nebo inteligentního automatického algoritmu, případně obého). Provozovatel řešení tak získá vysokou schopnost reagovat na aktuální situaci, spolehlivost a v celkovém součtu vynaloží nižší náklady na provoz IT.
Řešení CA Data Center Automation Manager přesně míří do oblasti zvýšené poptávky mezi IT organizacemi, které požadují vyšší rychlost dodávky služeb, dostupnost a zajištění konfigurací aplikací. K dalším přínosům pak patří optimalizace virtualizace a iniciativ z oblasti „Green IT“.
Společnost CA poskytuje širokou paletu řešení pro automatizaci datových center, v kteréžto oblasti je označována za lídra trhu (např. ve studii „The Forrester Wave: Data Center Automation, Q2 2008“).
4.5.2009 Společnost CA rozšířila svoji působnost o technologii DLP
Přední světový výrobce bezpečnostních řešení a dodavatel služeb CA koupil firmu Orchestria Corporation, předního poskytovatele DLP (Data Loss Prevention) řešení.
Trh s DLP roste ročně o desítky procent. Jde o technologii, která má za cíl zabránit neoprávněné manipulaci s daty, jejich zneužití a záměrným i nechtěným únikům. DLP funguje tak, že veškerá data na počítačích, serverech a dalších úložištích jsou označena speciálními vizitkami. Dále jsou jednotlivým uživatelům a systémům přidělena příslušná práva. DLP pak porovnává informace na vizitkách s příslušnými právy: zdali má dotyčný subjekt možnost data prohlížet, kopírovat, manipulovat s nimi apod. Jakákoliv jiná operace je blokována. Vychází se tedy z principu „co není povoleno, je zakázáno“. Nehrozí tak, že systém bude zranitelný vůči novým hrozbám.
S tím, jak roste naše celková závislost na ICT a jak čím dál více dat a informací putuje do počítačových systémů, začíná sledování toho, kdo a jak manipuluje s daty nabývat na důležitosti. Stejně tak i řízení toho, kdo a jak s daty manipulovat může.
CA hodlá technologii DLP propojit se svými dalšími již existujícími řešeními, jako je řízení identit a řízení komplexních bezpečnostních systémů. Tím CA nabídne nejširší a nejpokročilejší bezpečnostní řešení na trhu, které vytvoří zcela uzavřený systém schopný čelit v podstatě jakýmkoliv nástrahám.
16.4.2009 Více než polovina bývalých zaměstnanců si odnáší „výslužku“ v podobě dat
Alespoň to tvrdí studie, provedená organizacemi Ponemon Institute a Symantec. Dle průzkumu provedeného v závěru roku 2008 přiznalo 58 procent bývalých zaměstnanců, že si od svého zaměstnavatele při odchodu odneslo citlivé informace.
Průzkum zároveň ukázal, že za tímto neradostným stavem je fakt, že organizace „zlodějům“ situaci usnadňují. Většina tázaných uvedla, že kdyby měli svůj čin jen trochu komplikovaný, tak by od něj upustili. Mezi nejčastější „úlovky“ patří seznamy e-mailových kontaktů, osobní data zaměstnanců, informace o zákaznících včetně kontaktů apod. Zvláštní je, že nejčastěji si data od bývalého zaměstnavatele odnášeli pracovníci ve finančním sektoru.
Další zajímavé výsledky přinesl průzkum v oblasti „jak se data dostávala ven z firmy“. Nejčastěji (53 procent případů) bylo použito CD či DVD, následoval USB flash disk (42 procent) a příloha u e-mailu (38 procent). Alarmujícím číslem je také zjištění, že 24 procent tázaných – tedy jedna čtvrtina – měla i po rozvázání pracovního poměru dále přístup do informačního systému svého ex-zaměstnavatele.
30.3.2009 Oblast řízení IT služeb bude v roce 2009 stabilní
Navzdory turbulencím ve světové ekonomice plánuje 87 procent IT profesionálů v letošním roce pokračování implementací již rozjetých projektů v oblasti řízení IT služeb (IT Service Management). Vyplývá to ze studie vytvořené organizací EMA (Enterprise Management Associates). V rámci průzkumu např. tři procenta respondentů potvrdily, že se jim už podařilo dokončit všechny ITSM aktivity – naproti tomu 80 procent uvedlo, že zatím byly dokončené alespoň některé.
Letošní rok bude dle EMA kritický a stěžejní pro IT manažery, kteří budou mezi dvěma mlýnskými kameny: na jedné straně bude proti sobě stát finanční pragmatismus a na straně druhé rostoucí výzvy IT, přičemž bude potřeba vyvážit obé. Přitom právě ITSM může lidem pracujícím v IT pomoci překonat všechny tyto nástrahy.
Podle výše uvedeného průzkumu vykazují největší úroveň adaptace na ITSM středně velké společnosti. Zatímco menší zůstávají věrné tradičním řešením service/help desk, větší bojují s výzvami komplexnosti a škálovatelnosti. EMA věří, že nejúspěšnější společnosti projdou skrze ekonomickou recesi s pomocí moderních IT technologií a investic do nových řešení, méně úspěšné budou setrvávat na pasivním modelu „tak, jak doposud“.
Z průzkumu vyplynula další důležitá zjištění: rozpočty IT v organizacích nejsou ve stavu „volného pádu“, prozatím jen menší počet organizací snižuje náklady na IT o 10 až 25 procent. EMA nakonec vyjadřuje prognózu, podle které budou krátkodobé projekty v roce 2009 upřednostňovány před dlouhodobými – a to kvůli rozpočtovým nejistotám (index ROI – Return Of Investment – je nyní u IT vyžadovaný mezi šesti a osmnácti měsíci).
23.3.2009 Úniky dat jsou čím dál tím nákladnější
Americká organizace Ponemon Institute zveřejnila svoji zprávu týkající se nákladů spojených s úniky dat – a zasadila je i do dlouhodobějšího kontextu. Ze zprávy např. vyplynulo, že jeden incident spojený s únikem dat stál loni v USA průměrně 6,6 mil. USD.
Do této částky jsou započítané veškeré náklady s incidentem spojené: od vyšetřování incidentu přes nové bezpečnostní prvky po komunikaci s poškozenými klienty firmy apod. Počítá se i obnovování značky a důvěryhodnosti společnosti, protože je známo, že po bezpečnostních incidentech nastává odliv klientů – nebo snížení jejich přílivu, případně kombinace obého.
Ponemon Institute vzal v potaz incidenty u 43 organizací: při typické mimořádné události „uteklo“ 33 tisíc záznamů, přičemž skutečná čísla se pohybovala od 4200 do 113 tisíc záznamů. Průměrně bylo na jeden kompromitovaný záznam nutné vynaložit 200 dolarů.
Zajímavé je sledovat i trend ve vývoji incidentů: jak už jsme uvedli, v roce 2008 stálo řešení jednoho „úniku“ 6,6 mil. USD, o rok dříve ale 6,3 mil. USD a v roce 2006 dokonce „jen“ 4,7 mil. USD. A pozor: plných 84 procent organizací, které se s incidentem potýkaly loni, má podobnou zkušenost už z minulosti!
16.3.2009 Chystají se změny v pravidlech kapitálové přiměřenosti Basel II
Basilejský výbor pro bankovní dohled vydal balíček dokumentů do diskuse ohledně aktualizace souboru norem Basel II. Chystané změny jsou součástí širšího úsilí o posílení regulace a dohledu mezinárodně aktivních bank s ohledem na nedostatky, které se objevily v uplynulé době.
Navrhované změny v normě mají pomoci zajistit, aby se snížila rizika spojená s obchodními aktivitami, s transformacemi nelikvidních aktiv na obchodovatelné cenné papíry a s dalšími nástroji: aby tyto pro příště reflektovaly minimální kapitálové požadavky, odpovídající řízení rizik, postupů a zveřejňování odpovídajících informací. Standardy budou dále prosazovat přísnější dohled, s jehož pomocí má být docíleno lepšího ocenění finančních nástrojů, řízení rizik a likvidity.
Výbor navrhuje, aby aktualizované požadavky plně vstoupily v platnost nejpozději v prosinci 2010, přičemž některé dílčí změny by měly být zavedeny ještě před koncem letošního roku.
9.3.2009 Systém CA SPECTRUM Network Fault Manager vybraný pro zbraňové systémy
Společnost CA oznámila, že si firma Lockheed Martin vybrala software CA SPECTRUM Network Fault Manager (NFM) jako část zbraňového systému Aegis (přesněji Aegis Open Architecture Weapon System). Nasazení systému již bylo úspěšně otestováno v prosinci 2008 na palubě raketového křižníku USS Bunker Hill.
Aplikace CA SPECTRUM NFM automaticky monitoruje výkon a dostupnost počítačových sítí, navíc zajišťuje řízení konfigurací a mimořádných situací. Jde o patentovanou technologii pro hledání problémů a analýz jejich dopadů na činnost, která pomáhá rychle a přesně určit lokalitu i charakter problému, kvantifikuje jeho dopady a okamžitě nabízí možná řešení problému.
CA SPECTRUM NFM je platformově a dodavatelsky neutrální, přičemž tvoří základní komponentu systému CA Network and Voice Management. To je robustní a integrované řešení pro síťové služby, hledání problémů, konfiguraci, zajištění spolehlivosti a řízení hlasových aplikací.
Americké námořnictvo dlouhé roky vsázelo jen na produkty vyvíjené „na míru“, ale protože špičková komerční řešení začala dosahovat požadovaných a potřebných parametrů, začalo na ně postupně přecházet: sázka na CA SPECTRUM NFM je jedním z prvních kroků. Zbraňový systém Aegis je částí světového balistického ochranného systému U.S. Ballistic Missile Defense System. Celkem je po celém světě rozmístěno 89 lodí, dalších 17 je plánováno nebo objednáno.
2.3.2009 Managed Security Services zažívají renesanci
Služby řízení bezpečnosti (Managed Security Services) zažívají období raketového nástupu. Zatímco ještě v roce 2005 měly ve Spojených státech obrat ve výši 5 mld. dolarů, letos už půjde o osm miliard dolarů.
Příčina tohoto nárůstu je jednoduchá: řízení bezpečnostních služeb dnes představuje pro organizace jednu z mála možností, jak se vypořádat s dnešními komplexními hrozbami. Počet a rozmanitost útoků narůstají alarmujícím tempem, stejně jako roste jejich sofistikovanost. Tím se celá oblast dostává mimo možnosti většiny firem. Managed Security Services tak jsou cestou k využití nejmodernějších technologií a špičkových specialistů.
Je zajímavé, že společně se službami řízení bezpečnosti poroste i trh virtuálních privátních sítí: v USA měl v roce 2005 objem 23 mld. USD, letos to bude o šest miliard více. V tomto segmentu přitom rostou především služby MPLS (Multi Protocol Label Switching), MPLS/IPSec a SSL (Secure Sockets Layer), zatímco dříve dominantní IPSec klesají. Plných 77 procent obratu v oblasti VPN připadá na technologii site-to-site, zbytek na ostatní aplikace. Polovinu obratu vytvářejí velké organizace, třetinu střední a zbytek připadá na malé.
23.2.2009 Budoucnost má jméno Software-as-a-Service
Měnící se dynamika risk managementu, outsourcingu a příležitost pro „cloud computing“ (sdílení hardwarových a softwarových prostředků pomocí sítě – v grafickém vyjádření se jeho struktura podobá mraku, anglicky „cloud“, odtud označení technologie) – to jsou dnes témata, která hýbou světem ICT bezpečnosti.
Shodli se na tom profesionálové na setkání nazvaném „Getting smart: managing business better in the new economics“, které se uskutečnilo v Londýně. Shodli se i na dalších zajímavých skutečnosti: 41 procent z nich vidí současnou finanční krizi jako větší nebezpečí, než interního nepřítele nebo kyberzločin.
Předpokládají, že současná situace bude mít za důsledek rozsáhlé změny v přístupu k informačním technologiím a že nebývalý rozkvět v příštích pěti letech (v řádu o desítky procent ročně) zažijí technologie SaaS (Software-as-a-Service) a cloud computing.
Plných 87 procent účastníků setkání se vyjádřilo v tom smyslu, že věří, že SaaS nahradí během pěti let software v kritických aplikacích. Šestnáct procent si myslí, že se tak stane během jediného roku. Průzkumy přitom ukazují, že 63 procent organizací se už využitím technologie cloud computing vážně zabývalo. A 55 procent organizací se domnívá, že z hlediska zabezpečení dat je SaaS na vyšší úrovni, než stávající systémy.
9.2.2009 Banky: Rizika je potřeba řešit konsolidovaně
Ač by banky měly mít a priori odpor k riziku a dělat vše proto, aby se mu vyhnuly, jen čtrnáct procent globálních bankovních domů má konsolidovaný pohled na rizika a jejich řízení. Konstatuje to nová studie provedená společností Ernst & Young.
Studie nazvaná „Navigating the Crisis“ se samozřejmě neopomíná zmínit ani o současné světové finanční krizi, na které se podle ní podepsaly také slabiny v risk managementu bank. Jedním dechem tak dodává, že je do budoucna zapotřebí zlepšit procesy řízení rizik a zvýšit spojitost mezi rizikem a finančními funkcemi. A udělat z řešení rizik na všech úrovních otázku číslo jedna.
Hlavními bariérami pro efektivní řízení rizik jsou přitom organizační překážky, decentralizace zdrojů i rozhodovacích pravomocí, neadekvátní předpovídání a netransparentnost. Zvláštní je, že tři čtvrtiny respondentů si uvědomují životní důležitost řízení rizik, že dokonce 88 procent bank implementují řešení pro lepší řízení rizik – ale jen šestnáct procent z nich má jasně definováno, co vůbec sleduje a kam míří.
Dnešní krize ukazuje, uzavírá studie, že na riziko je nutné dohlížet shora dolů – a zdola nahoru jeho řízení porozumět.
2.2.2009 Konsolidace dat nejvyšší prioritou roku 2009
Snížit náklady a rizika: to je cíl implementací, které plánují na letošní rok technologické organizace. Na prvním místě je přitom konsolidace dat, kterou hodlá v příštích dvanácti měsících provést (nebo už ji dokonce provádí) plných 95 procent organizací.
Pokud bychom měli nechat dále mluvit řeč statistik, pak 93 procent organizací plánuje v letošním roce provést opatření k zajištění business continuity. Dalších 91 procent uvažuje o virtualizaci. A 84 procent připravuje transformaci datových center. Hnací motor všech těchto změn se přitom jmenuje redukce operačních nákladů.
Dnešní CIO jsou v oblasti kontroly nákladů a rychlého dosažení návratnosti investic pod mnohem větším tlakem, než kdy dříve. Tento tlak ovšem nezřídkakdy vede k typické chybě, se kterou se při implementaci nových systémů a procesů setkáváme: s jednorázovostí. Pokud mají být nově zaváděná opatření skutečně účinná v krátkodobém i dlouhodobém hledisku, musí se v nich zrcadlit integrovaný přístup.
Proto plných osmdesát procent přijatých opatření představuje individuální (dalo by se říci „ad hoc“) transformaci – a jen dvacet procent je podloženo celkovou komplexní strategií.
27.1.2009 Pět trendů v oblasti ICT bezpečnosti dle Forrester Research Inc.
IT bezpečnost se přesouvá z oblasti taktického a technologického zaměření do oblasti „řízení informačních rizik“. Alespoň to konstatuje zpráva analytické skupiny Forrester Research Inc. z Cambridge (stát Massachusetts), která zároveň nastiňuje pět trendů v oblasti ICT security.
Jednak je to oblast GRC (IT governance, IT risk management a IT compliance, tedy řízení, řízení rizik a soulad), kdy se její tři základní pilíře začínají spojovat do jednoho proudu. Jde o oblasti, které jsou si blízké a často se překrývající, proto je zbytečné a neefektivní je dělat vícenásobně. Což kopíruje i světový trend většího důrazu na vyhodnocování metrik a optimalizaci poskytovaných služeb a procesů.
Dále jde o oblast bezpečnostních operací, kdy jsou bezpečnostní technologie čím dál více implementované do IT infrastruktury. Bezpečnostní organizace se tak rozdělují do dvou skupin: strategické, zaměřující se na provozní otázky řízení rizik, a operační, zaměřující se na dohled nad technickými aspekty.
Třetím trendem je aplikační bezpečnost. Aplikace jsou hlavním cílem útoků, protože pracují s citlivými daty. Dosavadní přístup „něco dělej, až se něco stane“ je nahrazovaný proaktivním přístupem, který se snaží aktivně předcházet možným problémům v průběhu celého životního cyklu aplikací – od prvotního nápadu až k operačnímu provozu.
Čtvrtým trendem je bezpečnost datových center. Jedná se o skutečně obří úkol, který musí s absolutní spolehlivostí zajistit, aby byla data odpovídajícím způsobem chráněna, aby se dostala k oprávněným a naopak nedostala k neoprávněným osobám.
A konečně pátým trendem zmiňovaným ve zprávě Forrester Research Inc. je oblast „digital investigation, forensics a e-discovery“. Jde tedy o oblasti získávání správných dat a maximálního vytěžování dat již existujících stejně jako o implementaci best practices a dalších prověřených postupů, abychom se nemuseli zbytečně spálit tam, kde už narazili jiní.
19.1.2009 Nový standard řízení bezpečnostních rizik: BS ISO/IEC 27005
Má Vaše organizace obavu z hrozeb, které mohou vést ke kompromitaci informační bezpečnosti? Pokud ano, pak je bezpochyby jedním z hlavních okruhů, které řešíte, právě otázka řízení rizik.
BS ISO/IEC 27005:2008 je nový mezinárodní standard, který popisuje procesy řízení bezpečnostních rizik. Standard je přitom aplikovatelný v organizacích všech velikostí a je připravený tak, aby ho mohl použít kdokoliv – od manažerů po řadové uživatele systému.
Standard reflektuje nejnovější vývoj na poli informační bezpečnosti, kdy bere v potaz, že bezpečnostní hrozba může být úmyslná i neúmyslná a že se může týkat jakéhokoliv aspektu IT systému (jak hardware, tak software i organizačních otázek). Hrozby přitom mohou nabývat obrovského množství podob: od odcizení identit přes rizika on-line podnikání, útoky DoS, průmyslovou špionáž, odcizení vybavení nebo dokumentů až po přírodní fenomény (oheň, povodeň apod.).
Standard BS ISO/IEC 27005 najde uplatnění, protože:
- Popisuje procesy řízení rizik informační bezpečnosti a souvisejících úkonů, čímž pomáhá řídit kritické úkoly v IT.
- Podporuje celkovou koncepci specifikovanou v normě ISO/IEC 27001 a je vytvořený tak, aby pomohl uspokojivě ošetřit informační bezpečnost založenou na přístupu řízením rizik
- Pokrývá koncepty, modely, procesy a terminologii popsanou v ISO/IEC 27001 a ISO/IEC 27002, čímž přináší podklady potřebné pro soulad s normou ISO/IEC 27005:2008.
12.1.2009 Symantec přichází s proaktivním řízením datových center
Stávající řízení datových center se dá popsat modelem „něco se pokazí – tak to opravíme“. Symantec ho nyní překonává se službou Veritas Operations Services, která je schopná odhalovat problémy dříve, než dostanou šanci vzniknout.
Veritas Operations Services je nová servisní platforma, která aktivně vyhledává rizika datových center a řídí jejich produktivitu a dostupnost.
První dvě dostupné služby ze skupiny Veritas Operations Services se nazývají Veritas Installation Assessment a Veritas Storage Foundation Health Check. Nabízejí přitom alternativu k tradičním reaktivním operačním modelům, kdy dochází k řešení problému až poté, co vznikne a nějak se projeví.
Platforma Veritas Operations Services umožňuje provádět preventivní úkony - stejně jako umožňuje eliminovat negativní vlivy (třeba nasazením poslední známé dobré konfigurace, použitím best practices a vyhodnocováním možných rizik datových center). Jedná se tedy o management model, který odhaluje rizika na základě sledování optimálních konfigurací, kompatibility hardware a software nebo dalších příznaků, které jsou známé díky patnáctiletému zajišťování provozu největších světových datových center. Výhodou platformy Veritas Operations Services je schopnost identifikovat rizika i v případě změn v architektuře či rozsahu datového centra – a to ještě dříve, než jsou změny provedeny a než se tedy mohou stát problematickými.
6.1.2009 CA zajišťuje služby pro CIBER - předního světového outsourcera
Společnosti CA a CIBER, Inc. (přední mezinárodní konzultační firma v oblasti systémové integrace) zahájily transformaci datových center CIBERu na softwarová řešení dodávaná CA. Cílem této operace je zlepšení chodu IT, snížení nákladů a redukce rizika služeb, které CIBER poskytuje.
Díky tomuto spojení bude integrováno a automatizováno mnoho IT funkcí, což zvýší kvalitu služeb poskytovaných zákazníkům. Výsledkem transformace má být kromě jiného redukce nákladů o zhruba třicet procent. CIBER je přitom jedna z deseti největších firem na světě poskytujících outsourcing (dle Brown-Wilson Group) a rozhodovala se mezi mnoha řešeními nejen s ohledem na náklady, ale i na kvalitu.
Společnosti CIBER se nakonec ze široké nabídky na trhu nejvíce líbila vize od CA pojmenovaná Enterprise IT Management (EITM). Ta je schopná spravovat, řídit a zabezpečovat IT v mainframových i distribuovaných prostředích. CIBER tak v současnosti integruje pro své potřeby více než padesát produktů od CA (jedná se např. o CA Unicenter Network and Systems Management, CA SPECTRUM, CA eHealth, CA Service Desk, CA SiteMinder Web Access Manager a CA CMDB).
8.12.2008 Message Labs přechází pod křídla Symantecu
Symantec provedl další akvizici, tentokrát jde o společnost Message Labs, která je poskytovatelem webových služeb (nejen) v oblasti informační bezpečnosti. Symantec si od nákupu za 695 mil. USD slibuje průnik do oblasti nových obchodních příležitostí.
Pro úplnost dodáváme, že společnost Message Labs generovala obrat 145 mil. USD ve fiskálním roce 2008 (skončil 31. července 2008), což představovalo meziroční nárůst o dvacet procent. Má osm miliónů uživatelů od devatenácti tisíc klientů – ti se rekrutují z řad malých firem stejně jako společností Fortune 500.
Symantec nákupem Message Labs dává najevo svůj zájem o segment trhu SaaS (Software-as-a-Service). Dosud v této oblasti nabízel zálohování, ukládání dat a on-line vzdálený přístup. Do budoucna by svůj záběr (právě i s pomocí Message Labs) rozšířil o DLP (Data Loss Prevention), zajištění souladu, bezpečnost koncových uživatelů a archivaci dat.
3.12.2008 NSM: lepší dostupnost, vyšší výkon služeb
Společnost CA oznámila uvedení nové verze řešení NSM (dříve Unicenter Network and Systems Management), které zvyšuje dostupnost a výkon služeb kritických pro zajištění hladkého běhu procesů.
NSM totiž umožňuje získat přehled o událostech a varováních napříč celou infrastrukturou, a to v kontextu obchodních procesů i podpory služeb ICT. Dnešní prostředí jsou totiž zpravidla silně heterogenní, což s sebou přináší mnoho úskalí: ztíženou správu, nižší přehled o událostech i jejich špatnou korelaci, nekompatibilní data atd.
CA NSM r11.2 tuto velkou výzvu dnešní doby přijímá a integruje řízení fyzických i virtuálních systémů a clusterů – lhostejno, zdali jsou distribuované či lokální. Jeho předností je přitom řízení událostí i proaktivních výstrah z jediné konzole, což pomáhá konsolidovat přehled o aktuálním stavu ICT a tím snižovat náklady na jeho provoz.
Nové vlastnosti v řešení CA NSM r11.2 obsahují podporu prostředí IPv6, nástroje pro řízení pod Linuxem a UNIXem, zjednodušení některých stávajících procesů a automatizované nástroje pro zjednodušení opakujících se činností. Řešení je plynule škálovatelné, takže se hodí pro organizaci libovolné velikosti – je přitom schopno korelovat miliony událostí denně a řídit tisíce služeb i systémů.
24.11.2008 Information Risk Management dle Symantecu
Symantec představil strategii a produkty z řady Information Risk Management, které pomáhají organizacím zabezpečovat a řídit nestrukturované informace, jako jsou e-maily, zprávy kategorie instant messaging, zprávy a soubory.
Nejnovější průzkum provedený právě Symantecem totiž mj. ukázal, že právě nestrukturované informace nejsou pouze hlavním faktorem stojícím za nárůstem nákladů na ukládání dat, ale zároveň hlavní příčinou bezpečnostních potíží a výzvou (od ochrany před selháním systému až po řízení informačního rizika).
Průzkum mj. odhalil, že 85 zodpovědných manažerů označuje ochranu nestrukturovaných dat za „důležitou“ a „extrémně důležitou“. Polovina pak uvedla, že objem e-mailu a sdíleného obsahu narůstá ročně o více než třicet procent. Dále: 75 procent uvedlo, že kvantifikace a redukce množství uložených netříděných dat jsou „důležité“ a „extrémně důležité“.
Řešení Symantec Information Security Management umožňuje organizacím chránit své informace, snižovat náklady na jejich ukládání a automatizovat související nákladné procesy. Vytváří tak skutečně komplexní přístup, snižující požadavky na výkonnost HW na straně jedné a zvyšující efektivitu automatizace procesů vyhledávání informací pro obchodní, legislativní a regulační procesy na straně druhé. Jmenovitě hovoříme o produktech: Symantec Brightmail Gateway 8.0 (dříve Symantec Mail Security), Symantec Loss Data Prevention 9.0 a Symantec Enterprise Vault 8.0.
10.11.2008 CA představuje: Data Center Automation Manager
Společnost CA přichází na trh s novým řešením Data Center Automation Manager, jehož hlavním úkolem je optimalizace provozu virtuálních i fyzických datových center.
Kromě této novinky ale přichází CA také s devíti vylepšenými verzemi svých stávajících řešení z kategorie „Enterprise IT Management and Governance“. Tyto - stejně jako Data Center Automation Manager – pomáhají zlepšovat ekonomiku nasazení a provozu IT, dále zúročují růst organizace a řídí její náklady.
Hlavní přínos CA Data Center Automation Manager spočívá ve výše zmíněné optimalizaci provozu datových center, čehož je dosaženo pomocí jejich vyšší dostupnosti a efektivity. Řešení totiž automatizuje rutinní a pracovně náročné úkony, dále pak zajišťuje soulad konfigurací a standardizaci procesů. Lidem tak uvolňuje ruce, takže se mohou více soustředit na strategické aktivity a inovace. Data Center Automation Manager dokáže také průběžně vyhodnocovat poptávku po IT službách a operativně zajistit, že IT infrastruktura aktivně a v reálném čase reaguje na potřeby.
20.10.2008 Ztráta dat stojí peníze
Společnost Hitachi Systems Storage Index sponzorovala studii, která ukázala, že dostupnost je hlavní obavou pro 81 procent CIO (Chief Informational Officer) na světě.
Celkem bylo dotazováno 840 CIO ve dvaceti zemích. Z průzkumu mj. plyne, že plných šest procent počítačů v Evropě každý rok přijde o nějaká data – celkově jde o 1,7 mil. incidentů. Průzkum zároveň také identifikoval šest hlavních příčin ztráty dat:
- 42% = Selhání hardware, včetně poškození výpadkem proudu a selhání pevného disku
- 31% = Lidská chyba, ať již nezáměrná či úmyslná
- 13% = Poškození software
- 7% = Viry a další škodlivé kódy
- 5% = Krádeže a ztráta hardware
- 3% = Zničení hardware (včetně přírodních katastrof)
Každý incident může mít přitom dva důsledky: úspěšnou obnovu dat nebo jejich permanentní ztrátu. V osmdesáti procentech incidentů naštěstí dochází ke druhé variantě, i když tuto vždy provází náklady (ať přímé na opakování práce, či nepřímé jdoucí na vrub snížení produktivity). Zpráva každopádně konstatuje, že jen v Evropě jde díky bezpečnostním incidentům v souvislosti s dostupností o ztráty přes 4,5 mld. dolarů.
13.10.2008 Symantec přináší virtualizaci do bezpečnosti – a bezpečnost do virtualizace
Jednou z prvních bezpečnostních firem na světě, která nabízí kompletní řešení pro ochranu fyzických, virtualizovaných i hybridních koncových bodů, je Symantec. Poskytuje tak organizacím dostatečnou flexibilitu na to, aby se ochránily před specifickými potřebami, které z nasazování do výše uvedených prostředí vyplývají.
Symantec přináší virtualizací svých koncových bodů, čímž zásadním způsobem mění způsob, jakým je software řízený, nasazovaný nebo používaný. Dochází totiž k oddělení od operačního systému a aplikací, což má za následek nárůst produktivity při snížených nákladech. Výhodou virtualizace je možnost nasazení bezpečnostních řešení v jakémkoliv prostředí.
Za tímto účelem Symantec vytvořil širokou paletu instalačních nástrojů (včetně on-demand streamingu aplikací), nasazení software jako služby či dodávky software do určeného prostředí. Uživatel si následně může vybrat řešení a způsob, které mu nejvíce vyhovují a odpovídají jeho potřebám. Navíc získává záruku, že takovéto prostředí je efektivní, stabilní a připravené splnit i ta nejpřísnější kritéria dnešních ICT prostředí.
V poslední době Symantec svoji pozici na poli virtualizace koncových bodů posílil akvizicí společnosti nSuite Technologies, Inc., která v této oblasti představovala světovou špičku.
9.10.2008 Kterak se ctí zkrotit ITIL v3
Pokud se rozhodnete pro ITIL v3, musíte si uvědomit několik podstatných skutečností. Především, že to není pouhé zavedení, ale jde o proces neustálého vylepšování. Vydáváte se tedy na nekonečnou cestu, nesnažíte se dosáhnout nějakého konkrétního vytyčeného cíle.
Toto dosažení ovšem vůbec nemusí být jednoduché. Důvodů je několik, k těm hlavním ale patří určitý „život s klapkami“ na očích, kdy většina organizací žije v modelu „nakoupit – nasadit – opravit – vyladit“. Pokud ale chceme tuto „provozní slepotu“ s pomocí ITILu v3 odbourat, je dobré si dát pozor na tři základní výzvy.
Jednak se připravte na nutnost překonávat vnitřní námitky. Interní tým může být stejně dobře vaším největším spojencem stejně jako největší překážkou. Počítejte s tím, že budete muset donekonečna vysvětlovat a odpovídat na různé dotazy – hlavně tuto fázi nepodceňte, odpor proti novotám bývá velký. Typické námitky jsou „je to příliš velké“ (doporučujeme začít u nějaké konkrétní aplikace, které nezahrnuje celou organizaci), „je to příliš komplikované“ (ITIL v3 má skutečně široký záběr, ale je to nutné, protože má nastavit procesy zlepšující spolupráci za účelem dosažení obchodních cílů) či „je to příliš drahé“ (záleží na úhlu pohledu – celkové náklady vytržené z kontextu skutečně mohou působit jako neúnosně vysoké, ale proti nim je nutné postavit odpovídající přínosy).
Jednak dejte pozor, ať nepřijdete do konfliktu s vnitroorganizačním chováním (které se někdy vznešeně nazývá „podniková kultura“). Všimněte si, že v mnoha organizacích jsou třeba různé úkoly striktně rozdělené do různých skupin, které často nespolupracují, spolupracovat nechtějí nebo nemohou. Je to pochopitelný tradiční přístup, ale právě ten chceme překonat. Musíme zjistit, kdo je s kým/čím v konfliktu a proč, které nástroje a politiky jsou přínosné a které nikoliv apod. Jen tak si udržíme zdravý odstup a zůstaneme nad věcí.
A jednak si dávejte pozor na to, abyste se nenechali zmanipulovat dodavatelem někam, kam vůbec nechcete a nepotřebujete. Vaše reálné potřeby se totiž mohou diametrálně lišit od nástrojů, které jsou běžně nabízené na trhu. Aneb skvělé nástroje ještě nezaručí skvělou politiku. Dávejte si proto pozor na integrovaná řešení, protože hlavně velcí dodavatelé se snaží nabízet řešení, které jsou univerzální, které jinde fungují apod. Nicméně předností ITILu v3 je to, že plně respektuje jedinečnost (na rozdíl od mnoha masových aplikací). Pokládejte si proto správné otázky týkající se individuální konfigurace produktu, servisu, korelování událostí apod. Hodnoťte přitom různé produkty, neboť mnoho dodavatelů jen „slepí“ dohromady několik IT nástrojů, které vzájemně nespolupracují, ale následně je vydávají za komplexní řešení. Zkrátka: vybírejte s rozvahou.
29.9.2008 Třetina plánů Disaster Recovery nefunguje
Letos už počtvrté představila společnost Symantec každoroční průzkum IT Disaster Recovery Survey. Nejinak tomu bylo i letos, kdy by se jeho závěry daly shrnout do konstatování, že dramaticky roste počet organizací, které plány obnovy pro případ mimořádné události revidují kvůli nasazení virtualizace.
Je to pochopitelné: čím dál více aplikací a dat se nachází ve virtuálním prostředí, takže organizace hledají efektivnější cesty ke společnému řízení fyzického i právě virtuálního prostředí. Je to pochopitelné, protože téměř třetina organizací dle průzkumu IT Disaster Recovery Survey připustila, že v průběhu uplynulého roku použila plán obnovy po mimořádné události. Důvodem bylo selhání hardware a software (36 procent organizací), externí hrozby (28 procent), problémy s výpadky elektrického proudu (26 procent), přírodní katastrofy (23 procent), problémy s řízením IT (23 procent), únik nebo ztráta dat (22 procent) a nedbalé či úmyslné špatné zacházení ze strany personálu (21 procent). Nejhorší ovšem je, že více než třetina plánů obnovy po mimořádné události nefunguje dle očekávání!
Je tak logické, že organizace kladou mnohem větší důraz na testování nouzových plánů – pravděpodobnost, že budou použity, totiž roste. Symantec ovšem konstatuje, že třetina respondentů připustila, že je jejich testování prováděno tak, že má nějaký dopad na zákazníky. Pětina pak přiznala, že testování může mít negativní dopad na chod organizace a její příjmy.
Zajímavé je také konstatování, že plných 56 procent aplikací v současné době organizace považují za kritické. Pro srovnání: o rok dříve to bylo jen 36 procent aplikací. S nárůstem počtu kritických aplikací roste obtížnost jejich údržby.
22.9.2008 Deset chyb nasazení ITILu – a jak na ně
Metodika ITIL (IT Infrastructure Library) je implementována společnostmi po celém světě. S nasazením ITILu se mění kdeco, vlastní organizace i její procesy. Změna ale nepřichází sama - a tím méně jednoduše.
Drtivá většina organizací dělá během prvního roku nasazování ITILu nejméně jednu (ale zpravidla více, nezřídkakdy i všechny) z následujících deseti chyb. Zkuste se jim proto vyhnout – vždyť je za Vás (a tím pádem pro Vás) objevili jiní...
Chyba 1 – Absence vize a cíle. Nikdo si není jistý, co se stane a není jasná odpověď. Řešení: Mějte jasnou představu o tom co má být dosaženo, a otevřeně o ní informujte.
Chyba 2 – Není potřeba podpora běžných uživatelů nebo nejvyššího managementu, projekt stačí prosadit přes střední management. Řešení: Do implementace ITILu musí být zapojený skutečně každý, jinak se budete setkávat s nepochopením a pasivním odporem.
Chyba 3 – Nepotřebujeme vypracovat plán, protože víme, že ITIL je důležitý a proč ho děláme. Řešení: ITIL neděláme pro sebe, ale pro všechny, kteří se s ním musí ztotožnit. Je zapotřebí mít přesně stanovené náklady a přínosy, jasné směrování, specifikovat kritéria úspěchu a definovat výhody.
Chyba 4 – Nepotřebujeme místo, kde začneme. Prostě začneme. Řešení:
Stanovte si, co děláte a jak by to šlo zlepšit. Bez počátku nebude konec, nebude jasná cesta a nemůže být jasný cíl.
Chyba 5 – ITIL není strategickým projektem, takže postačí použít existující zdroje pro jeho implementaci. Řešení: Nepodceňujte přípravu a vytvořte projektový plán, kde přesně identifikujete všechny zdroje. Rozdělte kompetence, pravomoci a zodpovědnost.
Chyba 6 – Nepotřebujeme komunikační strategii, protože postačí jen několik e-mailů a oznámení na poradě. Řešení: Jasná komunikační strategie řekne všem, co a proč se dělá, co se daří a nedaří. Projekt pak přijmou za svůj. Používejte časté a pestré způsoby komunikace.
Chyba 7 – Nepotřebujeme celkovou procesní strategii, jednotlivé týmy si udělají svoji práci, která se nakonec spojí. Řešení: Nastavte společné styčné body pro všechny procesy, které se musí striktně dodržovat. Spojení nenastane samo, musíte mu připravit podmínky.
Chyba 8 – Začneme s novým nástrojem a procesy vybudujeme později. Řešení: Procesy je zapotřebí mít na paměti už při výběru nástroje, protože dodavatel nemusí používat stejnou verzi ITILu jako vy. Naslouchejte argumentaci, ale pak se rozhodněte v souladu se svými procesy.
Chyba 9 – Není potřeba řídit, řízení a směrování přichází samo s narůstajícím projektem. Řešení: Neberte si větší sousto, než můžete strávit! Kontinuální zlepšování služeb je základní částí ITILu. Nelze ale, aby bylo prováděno živelně – jinak také nemusí nastat.
Chyba 10 – Nečekáme žádný odpor k ITILu, jen všem řekneme, co kdo má dělat. Řešení: Lidé se brání změnám a potřebují pro ně nějaký důvod. Proto je zapotřebí nejen úkolovat, ale také vysvětlovat. Tedy měnit kulturu a lidi.
12.9.2008 CA přichází se širokou podporou virtualizačních produktů od Microsoftu
Přední světová společnost pro informační bezpečnost a řízení procesů Computer Associates oznámila, že připravuje širokou podporu virtualizačních technologií ve svých produktech řízení obnovy, řízení virtualizace a řízení bezpečnosti a systémů.
Tato podpora pomůže zákazníkům využívajícím produkty společnosti Microsoft efektivněji řídit a zabezpečovat většinu komplexních virtualizovaných prostředí. Je totiž pravdou, že virtualizace může jednak snížit náklady a jednak zvýšit kvalitu služby – ale aby byly tyto významné přínosy získané, je zapotřebí mít k dispozici kvalitní systém řízení napříč fyzickými i virtualizovanými infrastrukturami.
Právě takovouto možnost nyní nabízí CA. Microsoft poskytuje sadu technologií umožňujících nasazení end-to-end virtualizované infrastruktury – a nyní je doplňují řešení od CA, která jsou vytvářena s cílem podpořit tyto technologie a s nízkými náklady udržovat kontinuitu provozu, dostupnost, výkon a bezpečnost.
Jako první produkt podporuje podporuje virtuální servery pro souborový systém, SQL servery a Exchange servery používající Hyper-V CA ARCserve Backup (nedávno obdržel certifikaci pro Windows Server 2008) pro automatickou ochranu a rychlou obnovu dat. V blízké budoucnosti budou uvolněny i další produkty s podporou virtualizačních technologií: CA Advanced Systems Management, CA Access Control, CA Network and Systems Management a CA XOsoft Replication and High Availability
18.8.2008 CA 2008 Security and Privacy Survey: Zákazníci začínají být nespokojeni se stavem bezpečnosti
Průzkum provedený společností CA ve Spojených státech potvrdil, že hrozby nacházející se uvnitř organizací jsou větším problémem než útoky z externích zdrojů. Průzkum dále ukázal, že 65% organizací zaznamenalo v uplynulých dvou letech nějaký incident s únikem dat.
Podle studie CA 2008 Security and Privacy Survey 34% organizací označilo jako hlavního viníka úniku tajných informací útok nebo průnik zvenčí. Obecný trend nárůstu útoků (postiženo bylo o deset procent více organizací než v roce 2006) spěje k tomu, že čím dál více zákazníků je nespokojeno s kvalitou zabezpečení a poskytovaných služeb. Dnes je jich prý až jedna třetina, což je alarmující číslo. Je tedy logické se domnívat, že kvalita zajištění bezpečnosti bude v brzké budoucnosti jedním z klíčových rozhodovacích faktorů zákazníků.
Nebezpečným fenoménem je skutečnost, že se hrozby přesouvají do oblastí, kde jsou méně viditelné a hůře se vyčíslují. Např. počet incidentů, které byly spojené se snížením produktivity, vzrostl z 52% na 61% (během dvou let). Stejně tak byly incidenty spojené se ztrátou důvěry a důvěryhodnosti: v roce 2006 jich bylo 30%, nyní o pět procentních bodů více.
29.7.2008 ITIL verze 3 oslavuje první narozeniny
Je tomu něco málo přes rok, co došlo k uvolnění sady konceptů pro řízení IT infrastruktury, vývoj a operace ITIL verze 3. První narozeniny tak mohou být příležitostí k malé rekapitulaci.
Prvotní odhady počítaly s tím, že ITIL V3 bude adaptovaný nejdříve za osmnáct měsíců od svého uvedení, tedy do konce roku 2008. Nicméně i tento (podle některých optimistický) odhad se zdá překonaný, protože více než polovina zainteresovaných organizací oznámila, že ITIL V3 nasadí nejpozději do poloviny letošního roku.
Na základě dosavadních zkušeností se ukazuje, že největší přínos ITIL V3 je v následujících pěti oblastech: Portfolio Management, Service Catalogue Management, Return on Investment Business Case, Event & Request Management a Supplier Management.
28.7.2008 Nové produkty z řady CA Identity and Access Management
Společnost CA uvádí nový bezpečnostní produkt s názvem CA Security Compliance Manager. Ten má pomoci uživatelům zajistit soulad s legislativou, dále vnitrofiremními a vládními regulacemi.
Řešení CA Security Compliance pomáhá organizacím automatizovat procesy a získávat správné odpovědi na otázky „kdo má kam přístup?, „kdo co může dělat?“ a „kdo to povolil?“ Provedené akce srovnává a bezpečnostní politikou a v případě porušení souladu okamžitě iniciuje nezbytná opatření.
CA Security Compliance Manager je jeden ze tří produktů z řady CA Identity and Access Management (IAM). Společně s ním jsou vydávané aplikace CA Identity Manager a CA Access Control Premium Edition. Tyto tři produkty se přidávají se k sedmi dalším aplikacím z řady CA IAM, které byly uvolněné již koncem loňského roku. Společnost CA připravuje ještě další dvě aplikace, které celou řadu IAM uzavřou na dvanácti produktech. Tyto vytvoří komplexní balík řešení sloužících k řízení životního cyklu identit a poskytnutí robustní bezpečnostní kontroly IT, analýzy a získávání důkazu o souladech, a dále pak automatizace procesů.
10.7.2008 Workflow Solution od Symantecu automatizuje IT procesy
Společnost Symantec oznámila uvolnění řešení Altiris Workflow Solution. To pomáhá implementovat IT procesy, automatizovat rutinní úkoly, redukovat náklady na řízení, zvýšit úroveň služeb a v konečném důsledku maximalizovat spokojenost koncových uživatelů.
Altiris Workflow Solution zvyšuje přínos ze stávajících investic a zdrojů. Představuje totiž platformu pro automatizaci heterogenních IT procesů. Přitom překračuje technologické hranice integrováním různých webových služeb, databází a řídících nástrojů.
Řešení Workflow Solution dává i začátečníkům na pozici IT možnost vytvářet a nasazovat nové procesy zásluhou grafického „drag-and-drop“ rozhraní. Tyto procesy koordinují IT úkoly, best practices a automatické nástroje. Právě automatizace IT je přitom trendem dnešní doby, který snižuje náklady v malých a středních organizacích, ve velkých pak pomáhá vylepšovat existující procesy v souladu s ITIL nebo jinou metodikou.
8.7.2008 Přichází CA Software Compliance Manager
Zajištění souladu s licenčními požadavky dostal do vínku nový modulu CA Software Compliance Manager, který přichází na trh. Jeho úkolem je řízení rizik souvisejících se softwarovými licencemi.
Vzhledem k heterogennímu prostředí sítí, vzhledem k čím dál složitějším podmínkám softwarových licencí a vzhledem k překotnému růstu mnoha organizací je stále složitějším úkolem udržet si přesný přehled o nakoupených, využívaných a/nebo potřebných licencích. Situace se navíc znepřehledňuje tím, že instalace software je neopakujícím se procesem, takže je těžké jej podchytit.
Na pomoc všem, kdo s licencemi mají problémy nebo se jim chtějí proaktivně vyhnout, nyní přichází modul CA Software Compliance Manager. Zajišťuje udržitelný a neustálý soulad s licenčními politikami, zároveň pomáhá dostát liteře legislativy. Přitom pomáhá nejen v oblasti nelegálního používání software, ale třeba i při zbytečných nákupech licencí pro nevyužívané aplikace. To v konečném důsledku vede k vyšší ekonomice provozu.
CA dále připomíná bezpečnostní hledisko využívání aplikace Software Compliance Manager. Ze systému zmizí software, který je nespravovaný a který tak může představovat riziko.
1.7.2008 CA přináší osm nových a vylepšených řešení pro management
Snížit náklady a rizika – to je hlavní úkol osmi nových a vylepšených řešení, která představuje společnost CA. Řešení umožňují spravovat, řídit a zajišťovat IT prostředí.
Pět z nových CA řešení zlepšuje řízení rizik organizací tím, že zajišťují soulad jak s externími požadavky (legislativou), tak s interními předpisy. Řešení od CA umožňují redukovat náklady a implementovat best practices pro identifikaci, měření, analýzu a vyvážení rizika. Řešení jsou navrhována pro shodu se SoX (Sarbanes-Oxley Act), standardem PCI, HIPAA, COBIT a dalšími důležitými normami.
Jedná se o následující řešení: CA GRC Manager r1.5 (centrální řízení rizik a souladu v celém podnikání), CA Security Compliance Manager (zvýšení bezpečnosti a zajištění souladu s legislativou i firemními či vládními požadavky), CA Access Control Premium (vytěžení maxima z jiných aplikací jejich propojením skrze platformy či jinak heterogenní prostředí), CA Identity Manager r12 (řízení životního cyklu identit) a CA Software Compliance Manager (snížení rizika řízením licencí software).
Další tři nové produkty se orientují na zvýšení efektivity kontrolou (založenou na automatických i definovaných pravidlech): CA IT Process Manager (automatizace IT procesů), CA Advanced Systems Management r11.2 (dodavatelsky a platformově nezávislé řešení pro řízení fyzických i virtuálních serverů) a CA OPS/MVS Event Management and Automation r11.6 (automatizace řízení systémových zdrojů).
1.7.2008 Symantec definuje novou generaci managementu koncových zařízení
Ihned po vydání se řešení Endpoint Management Suite od Symantecu okamžitě stalo lídrem trhu v segmentu kontroly koncových zařízení.
Je přitom zapojeno do architektury Symantec Open Collaborative Architecture, přičemž jeho hlavním úkolem je ochrana investic schopností rychle určovat aktuální potřeby zařízení.
Statistické průzkumy ukazují, že více než 90 procent zranitelností systémů může být eliminováno správnou konfigurací systému a nasazováním aktualizací. Zbývající zranitelnosti ale vyžadují několikastupňovou ochranu – a pro všechny případy i silný zálohovací plus obnovovací nástroj. A právě tyto schopnosti řešení Endpoint Management Suite nabízí.
Symantec Endpoint Management Suite zajišťuje koncová zařízení špičkovou technologií ve třech klíčových oblastech: řízení, bezpečnost a obnova. Obsahuje Symantec Endpoint Protection 11.0, Altiris Client Management Suite 6 a Backup Exec System Recovery 8 Desktop Edition. Kromě toho řešení využívá architekturu Symantec Open Collaborative založenou na technologii Altiris a konfigurační řídící databázi (CMDB) pro větší konvergenci řízení bezpečnosti a systému.
Architektura Symantec Open Collaborative vytváří větší interoperabilitu mezi řešeními od Symantecu a nabízí partnerům i zákazníkům schopnost integrovat svá řešení právě s platformou Symantec. Architektura je webově orientovaná a poskytuje sdílení dat stejně jako automatizaci IT k zajištění plynulosti výkonu a redukce nákladů.