Информационные технологии управления / Учебные пособия / ИТУ_Мастеров А.Г., Орлова
.pdfВажно не забывать мобильных пользователей, которые, бывает, приносят целые «зоопарки» вредоносных программ на своих ноутбуках. В отношении их необходимо применять настоящие драконовские меры: проводить полную проверку дисков каждый раз при подключении к сети.
Часто рядовые пользователи страдают желанием отключить навязчивые антивирусные программы или изменить параметры их работы. При этом они плохо представляют себе последствия такой самодеятельности. Поэтому следующий важный совет системным администраторам — исключить возможность изменения параметров и отключения антивирусов локальными пользователями.
Системный администратор крупной сети может схватиться за голову: «Как же я буду все это делать на моих 500 станциях»? Действительно, неужели ему придется лично каждый день обегать всех своих подопечных для глубокого сканирования? Ответ очень прост: в передовые антивирусные комплексы уже интегрированы технологии, позволяющие проводить всю эту работу удаленно и в полностью автоматическом режиме. Например, в самой популярной российской программе «Антивирус Касперского» (www.kaspersky.ru) внедрена система управления «Сетевой Центр Управления», дающая возможность один раз консоли администратора задать порядок работы пакета на рабочих станциях, включить автопилот и забыть об этой головной боли.
Другим уязвимым элементом корпоративной сети является почтовый шлюз, через который проходит электронная корреспонденция предприятия. По данным «Лаборатории Касперского», в 2000 году более 80% всех зарегистрированных вирусных инцидентов произошло именно через электронную почту. Почему же она получила такую популярность среди создателей вредоносных программ?
Во-первых, электронная почта — это идеальный транспорт для компьютерных вирусов, обеспечивающий высочайшую скорость их распространения. Благодаря последним достижениям технологий связи, доставка электронного письма даже в противоположную точку земного шара требует нескольких минут, а в некоторых случаях даже нескольких секунд. Сравните со многими месяцами, необходимыми вирусу; чтобы добраться до другого города при помощи дискет. Исключительная популярность Интернета предопределила и бурное развитие электронной почты: в наши дни к ней имеют доступ сотни миллионов людей по всему миру. Более того, сегодня трудно и практически невозможно вести эффективный бизнес, управлять современным предприятием или организацией без использования электронной почты.
Вторым обстоятельством, предопределившим пристрастие компьютерного андеграунда к электронной почте, является простота ее использования в процессе разработки программ. Существует множество учебников и руководств, которые подробно описывают процедуру внедрения подпрограмм для взаимодействия с почтовыми клиентами. Таким образом,
101
даже студент способен создать простейшую программу, умеющую рассылать письма по электронной почте.
Наконец, не стоит забывать и такой важный психологический момент. Одной из главных причин создания людьми компьютерных вирусов является их желание показать себя, сделать так, чтобы их запомнили, пусть даже на геростратовом поприще. Для достижения этой цели они готовы пойти на все, чтобы их создания нанесли как можно больший вред, стали как можно более известными. Лучший вариант для этого, чем использование электронной почты, придумать сложно.
Таким образом, сегодня антивирусная защита корпоративных почтовых систем является важнейшим аспектом политики безопасности предприятия в целом. Именно это направление в перспективе будет определять эффективность и устойчивость функционирования корпоративных вычислительных систем. Конечно, это не значит, что системный администратор должен просто установить на почтовый сервер антивирус с настройками «по умолчанию» и забыть о нем.
Основным правилом является защита всех узлов и установка многоуровневой системы фильтрации всей почтовой корреспонденции. Наиболее распространенной структурой размещения опорных пунктов антивирусной защиты является так называемая схема 2+1. Схема подразумевает установку антивирусного модуля на корпоративный почтовый сервер, который осуществляет первичную проверку поступающих сообщений. В связи с нагрузкой, которая ложится на почтовый сервер, рекомендуется настраивать антивирусный модуль на минимальное потребление системных ресурсов, т. е. отключать такие «тяжелые» функции, как избыточное сканирование, эвристический анализ, проверка архивированных и сжатых файлов.
Второй уровень защиты составляет специальное антивирусное ПО, устанавливаемое на рабочих станциях, подключенных к службе электронной почты. Оптимальным вариантом является использование антивирусных модулей, интегрированных в локальные почтовые клиенты. Здесь рекомендуется включить все имеющиеся инструменты защиты от вирусов: это будет несколько замедлять работу компьютера, однако никак не скажется на функционировании сети в целом. Существует альтернатива интегрированным антивирусным модулям — антивирусные мониторы, которые в масштабе реального времени проверяют все используемые объекты. Однако первый вариант все же является более предпочтительным, потому как проверяет все входящие и исходящие сообщения сразу же после их получения или отправления, в то время как мониторы способны распознать вредоносный код, только когда пользователь попробует его запустить. Кроме того, антивирусный модуль способен не только обнаруживать, но и успешно лечить зараженные сообщения.
В-третьих, необходимо использовать и классический антивирусный сканер, способный проверять сетевые и локальные диски. Это необходимо для проведения регулярных (не менее 1 раза в день) проверок почтовых баз,
102
хранящихся на сервере и рабочих станциях. Данное обстоятельство накладывает определенные требования на используемый антивирус, а именно поддержку различных форматов почтовых баз. Иными словами, важно, чтобы антивирусный сканер мог проверять содержимое почтовых баз, а не рассматривать их как обычные файлы.
Опасным рассадником вирусов могут также стать файловые серверы и серверы приложений, совместно используемые сразу многими сотрудниками предприятия. Так, зараженная программа с одного компьютера, скопированная на сервер, может моментально попасть на другой компьютер, если его владелец проявит интерес к этой программе. На серверы, как и на рабочие станции, необходимо устанавливать антивирусные мониторы, проверяющие файлы «на лету», и регулярно проводить полномасштабную проверку антивирусным сканером. Как и в случае с почтовыми шлюзами, для оптимизации работы сервера мы рекомендуем отключать «тяжелые» инструменты борьбы с вирусами (эвристический анализатор и пр.) на уровне сервера и возлагать эту задачу на клиентские антивирусные программы.
В качестве дополнительного барьера на пути вирусов в сеть предприятия мы рекомендуем установить специальный антивирусный модуль на корпоративный межсетевой экран, который сможет проводить антивирусную фильтрацию всех входящих и исходящих потоков данных.
Наконец, не стоит забывать про корпоративный web-сервер. Здесь таится опасность даже большего масштаба, чем в случае с почтовыми шлюзами или рабочими станциями. Web-сервер является предметом открытого доступа, к которому могут обращаться не только сотрудники компании, но и любой желающий. Можете себе представить, какой ущерб репутации предприятия может нанести вирус в файле, хранящийся на webсервере и открытый для публичной загрузки? История знает немало примеров, когда десятки тысяч пользователей загружали зараженные программы и запускали их на своих компьютерах, что приводило к сбоям и потере важной информации. Источниками «заразы» могут быть внутренние сетевые ресурсы и внешний взлом. Первая проблема решается реализацией описанной выше структуры антивирусной защиты. Что касается второго, то должен подтвердить — от хакерского взлома никто гарантированно не защищен. Причинами взлома могут быть недавно обнаруженные «дыры» в системах безопасности, перехват или простой подбор паролей доступа к webсерверу В результате хакер может, например, заменить какую-нибудь полезную программу на свое «творение», которое впоследствии скачают ваши потенциальные покупатели. Для исключения такой возможности можно использовать специализированные ревизоры изменений, такие как, например, Kaspersky WEB Inspector. Такие программы собирают со всех файлов web-сервера их уникальные «отпечатки» (CRC-суммы) и после в масштабе реального времени постоянно контролируют их соответствие оригиналам. В случае нарушения целостности информации ревизор мгновенно оповестит о произошедшем инциденте системного администратора и восстановит первоначальное содержимое сервера.
103
Описанная схема была бы малоэффективной, если бы не сопровождалась внимательным отношением к своевременному обновлению антивирусных баз всех задействованных в схеме модулей и программ. Как известно, антивирус способен распознать и удалить вирус только в том случае, если данные о нем присутствуют в базе данных программы. Современные алгоритмы распознавания неизвестных вирусов страдают недостаточной надежностью и высоким уровнем ложных срабатываний. Таким образом, чем чаще обновляется ваш антивирус, тем более оперативно вы можете противостоять атакам даже самых «свежих» вирусов. Идеалом являются real-time-обновления «Лаборатории Касперского», когда пользователь получает обновления сразу же после их производства и тестирования антивирусными экспертами.
В области антивирусной безопасности, как ни в какой другой, идеально работает известный закон Мэрфи, гласящий, что если какая-нибудь неприятность может произойти, то она обязательно произойдет. Можно понадеяться на авось и не «залатать» вовремя брешь в системе безопасности или забыть обновить используемое антивирусное программное обеспечение. Смею вас уверить, что последствия этой халатности не заставят себя ждать, и скоро системный администратор обнаружит в подведомственной ему сети нелегально копошащихся хакеров и настоящий вирусный «зоопарк». Как это ни шокирующе звучит, но крайний педантизм и легкая стадия паранойи — залог успешности в деле защиты компьютерных сетей. Но даже эти ценные качества человеческой натуры не способны обеспечить надежную защиту, если у всех сотрудников предприятия нет четкого понимания своего места и роли в борьбе с внешними вторжениями, если в компании не проводится жесткая и продуманная до мельчайших подробностей политика компьютерной безопасности. Надеюсь, мы помогли уважаемому читателю разобраться в основах этой политики. Удачи в борьбе с вирусами!
104
4.12.Меньше рисков — меньше стрессов
Впроцессе деятельности любой, даже обласканный неслыханными удачами, везением и покровительством бизнес сталкивается с проблемами. Общеизвестный факт: «Проблемы легче избежать или минимизировать ее влияние, чем пытаться решать последствия по мере их проявления». Конечно, если знать, как это делать. Поэтому любой нормальный бизнес не
впоследнюю очередь оценивает и риски, исходящие от всех компонент и связующих элементов бизнеса, потенциально являющихся источником проблем. Именно поэтому, прежде чем кидаться решать проблему, необходимо риски оценить. Вот почему такое понятие, как «управление рисками» или «оценка рисков», а проще говоря, «risk management» присутствует не только в ядерной промышленности и прочих потенциально опасных отраслях, но и в бизнесах, с атомными электростанциями или химическими заводами никак не связанных. Например, отсутствие на любом предприятии информационной безопасности — это очень серьезный риск, который может привести к полному краху. Для владельца бизнеса его крах в личном плане будет пострашнее аварии на химзаводе. Вообще оценка рисков
вбизнесе — вещь необходимая и жизненно важная. Насколько важная, можно судить по диаграмме 1, где показано, как изменились учитываемые в анализе категории рисков за последние 30 лет.
Александр Мурадян, im@telecominfo.ru,руководитель направления «Эффективность ИТ», компании «Коминфо Консалтинг», Business Online
Далее мы более подробно рассмотрим технологическую составляющую производственных рисков.
Многие предприятия, работающие на рынках, где рисковые ситуации возникают сплошь и рядом, даже ввели новую управленческую должность — Chief Risk Officer. Его задача — оценивать и принимать решения по полученным и систематизированным данным. Чтобы не возникало остановов и простоев, особенно тех, которые не запланированы ни на одной из стадий генерации добавленной стоимости. Насколько это важно, доказывают приведенные ниже данные, полученные Gartner Group в ходе различных исследований.
•Средняя компания теряет от 2 до 3% дохода в течение примерно 10 дней после сбоя в работе информационной системы.
•На полное восстановление функционирования уходит 4,8 дня, после чего компания выходит на уровень рентабельности, имевшийся до сбоя.
•Половина компаний, которые не смогли восстановить функциональность в течение 10 рабочих дней, никогда не выходят на прежний уровень рентабельности.
•93% компаний, игнорирующих планы безопасности, секретности, быстрого восстановления и резервирования данных, в течение пяти лет прекращают свое существование.
105
|
|
Корпоративные |
|
|
риски |
|
Финансовые |
Организационные |
|
|
|
|
риски |
|
|
|
Деловые |
Кредитные |
|
Производственные |
|
|
|
риски |
|
|
|
Рыночные |
Рыночные |
Кредитные |
Кредитные |
Кредитные |
1970-е гг. |
1980-е гг. |
Сейчас |
Диаграмма 1 |
|
|
А насколько серьезен простой компании в реальном, финансовом |
||
выражении, видно из таблицы 1. |
|
|
Таблица 1. Средняя стоимость простоя различных компаний
(источник: Gartner Group)
|
|
|
Средний по |
Средняя |
|
|
|
|
индустрии (для |
стоимость |
|
|
Отрасль |
Вид операции |
разных компаний) |
часа простоя, |
|
|
|
|
уровень стоимости, |
млн. долл. в |
|
|
|
|
млн. долл. в час |
час |
|
|
Финансы |
Брокерские |
5,6—7,3 |
6,45 |
|
|
|
операции |
|
|
|
|
Финансы |
Кредитные |
2,2—3,1 |
2,6 |
|
|
|
карточки / |
|
|
|
|
|
авторизация |
|
|
|
|
|
продаж |
|
|
|
|
Розница |
Покупки по |
0,087—0,140 |
0,113 |
|
|
|
телевизору |
|
|
|
|
Розница |
Продажи по |
0,060—0,120 |
0,090 |
|
|
|
каталогу |
|
|
|
|
Транспорт |
Резервирование |
0,067—0,112 |
0,0895 |
|
|
|
билетов |
|
|
|
|
Транспорт |
Доставка грузов |
0,024—0,032 |
0,028 |
|
|
|
|
|
|
|
|
Финансы |
Платежи по АТМ |
0,012—0,017 |
0,0145 |
|
|
|
|
|
|
|
Оцениваем и снижаем...
Да, проблема понятна и реальна, но как с ней разобраться? Для оценки и снижения рисков существует специализированное программное обеспечение, годящееся в том случае, если есть специалист по оценке рисков. Если нет, необходимо привлекать специалистов по управлению рисками со стороны. Развитие технологий и их увеличившаяся роль в бизнесе привели к
106
тому, что технологические риски стали выделяться в отдельную, весьма обширную подкатегорию со своей спецификой и особенностями (диаграмма 2). Хотя следует отметить, что вне зависимости от типа рисков все они базируются на неких базовых правилах, которых придерживаются практически все производители программных продуктов оценки и управления рисками.
Утверждение первое. Любое предприятие работает не в вакууме. Есть связи с государственными предприятиями, партнерами по бизнесу, поставщиками сырья и материалов, социальными структурами. Естественно, риски, исходящие от них, влияют на уровень рисков предприятия. Поэтому все риски необходимо оценивать не только у себя, но и у всех, кто с предприятием связан. Если же быть совсем точным, оценке и анализу подлежит значительно большее число составляющих. Например, анализируются финансовые данные партнерских предприятий за последние три фискальных года. А число компонент модели превышает 500 только по конкретному предприятию и более 800 — для взаимосвязанных структур.
|
|
Процесс |
Компьютерные |
||
Организационные |
* * * |
|
вирусы |
||
|
|
||||
|
Воровство |
||||
|
|
||||
|
|
|
|
||
|
|
|
|
данных |
|
Деловые |
|
Технологии |
|
||
|
|
|
|||
|
|||||
Взломы |
|||||
|
|
|
|
||
|
|
|
|
(хакинг) |
|
Производственные |
* * * |
|
|||
|
|
||||
|
|||||
Сетевые |
|||||
|
|
|
|
||
Рыночные |
|
Управление |
перегрузки |
||
|
|
||||
|
|
|
|
||
|
|
|
Аппаратные |
||
|
|
|
|
||
|
|
|
|
отказы |
|
Кредитные |
|
Репутация |
|||
|
|
||||
|
|||||
Программные |
|||||
|
|
|
|
||
|
|
|
|
сбои |
|
|
|
|
|
|
|
Прочие технологические
Диаграмма 2. Подкатегории рисков
Утверждение второе. Доля технологических рисков не должна превышать риски от остальных основных составляющих рисковой модели информационной системы (а именно: управленческих маркетинговых рисков
ирисков, исходящих от персонала) и составлять не более 15%. Данное утверждение базируется на аналитических данных, полученных Landmark Partners путем изучения и моделирования ИТ-систем большого числа компаний и организаций по всему миру
Утверждение третье. Оценка рисков — обычный проект со всеми присущими ему компонентами, например, анализом cost/benefit, временным графиком, и пр. Следовательно, существуют опробованные технологии и методики реализации проекта под названием «Оцениваем и снижаем технологические риски». Хотя у различных консалтинговых фирм наработки
икомпоненты могут варьироваться, методология в большинстве своем практически едина. Поэтому останавливаться на тонкостях конкретных программ не будем. Куда правильнее подсказать правильную последовательность действий. А выглядит она так.
107
Шаг 1. Составление плана
Да, без плана никуда. На голом энтузиазме далеко не уедешь. Создание плана действий решает как минимум три задачи. Во-первых, определение своих реальных возможностей в проекте. Во-вторых, разбивка всего фронта работ на управляемые составляющие. И, в-третьих, назначение ответственных за каждый участок работы. Делается эта вроде бы бюрократическая рутина для того, чтобы распределить немалое число рисковых областей — как внешних, так и внутренних — между тактически самостоятельными группами сотрудников. Каждая из них занимается работой с определенной частью категорий. Чтобы самому не заниматься поиском категорий, не задействованных в анализе, в программах оценки рисков имеется классификатор. При наличии специфических компонент, по каким-то причинам в базу классификатора не включенных, всегда можно их добавить. Кстати, при назначении ответственных необходимо учитывать отнюдь не персональные возможности по быстрому решению своей части проблемы, а умение управлять вверенными человеку ресурсами.
Шаг 2. Распознавание рисков
Несмотря на весьма грозное название, задача, на данном этапе решаемая, заключается в распределении рисков по двум категориям. Первая связана с внешними факторами и методами управления. Правильное их определение и корректировка в самом начале позволяют существенно снизить затраты, связанные с решением проблем второй категории. Второй тип риска связан с индивидуальными характеристиками систем, приложений, процессов и способностью участников проекта успешно решить проблему
Шаг 3. Оценка состояния
Поскольку самостоятельное распознавание рисков — дело тяжелое и неблагодарное, весьма легко попасть в состояние, метко именуемое аналитическим параличом, и затеряться в многомерных таблицах соотношений рисков, приоритетов, факторов... С другой стороны, некоторые предприятия хотели бы решить эту проблему, да не знают, с чего начать. То ли с компьютеров, то ли с программ, то ли со службы безопасности, то ли с анализа информационной системы партнера. А начинать необходимо с ключевых компонент, то есть с оценки стоимости и деловых рисков. Именно эти два фактора влияют на дальнейшее решение проблемы. Если проблемная компонента управляет архивами периодики десятилетней давности, не нужными никому, кроме архивариуса, а временные и прочие затраты по его защите и надежному хранению превысят всякие разумные пределы, необходимо решать эту проблему в последнюю очередь. Пусть конкуренты в мусоре копаются, пока не надоест либо пока служба безопасности их не выловит и не отобьет охоту в «чужом белье» рыться. А для определения, чего и когда, существует...
Шаг 4. Классификация усилий по приоритетам
Если две компоненты системы имеют равные уровни рисков, то приоритетное право первым излечиться от излишней «открытости и гласности» предоставляется той части системы, которая связана с
108
наибольшим числом компонент, генерирующих наибольшую добавленную стоимость во время работы и наибольшие убытки во время простоя.
Шаг 5. Действия по приоритетам
Этот шаг является самым важным. Даже если все остальные стадии выполнены идеально, неверные действия на данном этапе будут означать, что все усилия затрачены впустую. Поэтому на компоненту, имеющую наибольший приоритет, должно выделяться максимум ресурсов для быстрого решения проблемы. А будет ли это передача управления частью информационной системы сторонней фирме, либо радикальная смена идеологии, программ, компьютеров или технологий, либо отказ от них вообще и переход на бумажные технологии — дело хозяйское. Даже поверхностное описание различных стратегий и тактик, схем и технологий решения может занять не одну сотню страниц, поэтому не ждите задушевного и долгого рассказа об этом. Куда важнее знать, что при решении проблемы опираться придется в первую очередь и практически всегда на свои (весьма ограниченные) ресурсы, поэтому определение и решение проблем для более важных составляющих делового процесса позволит предприятию продолжить свою деятельность с минимальными потерями, без которых не обойтись.
Шаг 6. Оценка прогресса
Естественно, наличие этого этапа позволяет узнать, насколько компания приблизилась к решению проблемы с безопасностью и надежностью системы или удалилась от нее. Регулярная оценка и корректировка плана действий позволят распознать ошибочные решения на ранней стадии и правильно распределить ресурсы.
Шаг 7. Окончательный, если...
Проблема решена, а если нет, вернитесь на шаг № 3. И так до тех пор, пока у предприятия хватит сил, желания и времени...
Послесловие для тех, кто все свои проблемы с рисками в бизнесе решил (или считает, что решил).
Если не разобрались с рисками и проблемами) то прощайтесь с условными единицами и перспективой процветания. А если решили... Что ж, есть еще ИТ-проблемы, которые на этом не заканчиваются. Что у нас с эффективностью компьютерных технологий и методами их оценки? Грузите проблемы бочками... До Багам еще далеко...
4.13. Царское дело
Внедрить ЕRР-систему способен только руководитель компании. Без его участия проект растянется, подорожает и в конце концов останется невостребованным.
Василий Аузан, ЭКСПЕРТ
109
Пожалуй, все мы уже смирились с тем, что автоматизация управления компанией неизбежна. Утверждение о том, что без автоматизации не выдержать конкурентной борьбы, давно доказано опытом западного бизнеса и стало банальностью. Но вот что странно: менеджеры, ради которых эта самая автоматизация осуществляется, зачастую крайне смутно представляют ее возможности. Нет, почти каждый довольно уверенно попытается объяснить: интеграция, мол, контроль, снижение издержек... И еще десять— пятнадцать штампов, оторванных от жизни. А более глубокие сведения отошлют получать у компьютерщиков.
С компьютерщиками же на эту тему говорить-то надо как раз в последнюю очередь. В этом мы окончательно убедились, когда наивно попытались сделать рейтинг ЕRР-систем, дабы дать читателям возможность сориентироваться в десятках брэндов. Один очень квалифицированный специалист, вооружившись многотомным исследованием компании «МетаСинтез», с жаром рассказывал, чем одна система отличается от другой. Динамические области, поля для непрерывных параметров и тому подобное
— простому смертному этого не переварить. А значит, не понять и степень полезности всех этих премудростей.
Пришлось отказаться от идеи рейтинга. Тем более что предварительное исследование показало, что автоматизация управленческих процессов слишком многогранна, чтобы все системы выстроить в затылок друг другу. Эта задача сродни спору о преимуществах Mercedes и BMW. При автоматизации, как и при выборе системы, необходимо понять свои потребности, возможности, предпочтения и только после этого заниматься сопоставлением вариантов.
Поэтому вместо ранжирования мы решили попытаться ответить на довольно наивные вопросы: как и при каких условиях способны эти пресловутые ЕRР-системы помочь отечественному бизнесу.
Для ответа на эти вопросы пришлось провести исследование, в ходе которого были проинтервьюированы несколько десятков топ-менеджеров из компаний — поставщиков ЕRР-систем, консалтинговых компаний и, конечно же, компаний, уже имеющих опыт внедрения этих систем у себя.
Мимо менеджера
Для начала мы попытались выяснить причины неудач (что греха таить, пока отрицательного опыта больше, чем положительного). И выяснили, что основная причина неудач внедрения ЕRР-систем в России кроется в том, что менеджеры не участвуют в проекте. Это звучит довольно странно, если учесть, что ERP-система призвана дать информацию именно управленческого характера.
Исторически сложилось несколько путей, которыми ERP-системы попадают на предприятия. Во-первых, через собственные отделы АСУ, через отделы информационных технологий и т. п. Если такая организационная единица в компании сильна и многолюдна, то она заинтересована увеличить собственную влиятельность. Оправдывая свое существование, она вносит
110