Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Wymagania organizacyjne i techniczne

Data publikacji: 16-06-2020 Autor: Michał Jaworski

W każdym akcie prawnym dotyczącym informatyki pojawia się zwrot „wymagania organizacyjne i techniczne”. Muszą one być spełnione. Podmiot ma je zapewnić. Przetwarzanie może się odbyć wyłącznie, gdy gwarantowane są odpowiednie. Podlegają kontroli. Zapisane są w rozporządzeniu.
 

Ponieważ akty prawne redagują prawnicy, stąd pominięty jest trzeci człon triady, a mianowicie wymagania prawne. Jednak każdemu, kto zabiera się do danych, aplikacji, systemów i rozwiązań, w uszach nieustannie brzmi ballada o wypełnieniu wszystkich wymagań prawnych, technicznych i organizacyjnych. Stąd wokół informatyków nagle wyrósł spory zastęp firmowych prawników, ich współpracowników z zewnętrznych kancelarii, do tego IOD-a, a jeszcze ludzie od bezpieczeństwa i od compliance. Warto się przyzwyczajać, bo to będzie już stały zespół, który przyjrzy się każdej linii kodu. Ja jednak nie o tym…
Informatyka i wykorzystanie IT zmieniają się. Zmieniają się nam użytkownicy, zmienia się ich relacja z nimi, zmieniają się wektory ataku, zmieniają się przepisy – trudno za wszystkim nadążyć. Dotychczasowy model, nazwijmy go „cyfryzacją po staropolsku”, przestał być wydolny. Chmura jest tańsza i bardziej elastyczna. Wyczekiwane rozwiązanie techniczne nie gwarantuje ani przełomu, ani przewagi konkurencyjnej. Na samodzielne zapewnienie bezpieczeństwa pozwolić sobie może chyba Pentagon. Organy nadzorcze rynku tylko czekają, by wkroczyć z kontrolą. Oczekiwania zarządu rosną co miesiąc, a ludzie zdatni do pracy w IT są albo bardzo drodzy, albo ich nie ma. Który z filarów triady jest najistotniejszy? Dopasowanie systemów do prawa? A może wprowadzenie nowej technologii, spełniającej wymagania nakładane przez prawo? Czy nie dałoby się chytrze przerzucić całej odpowiedzialności na dostawcę – wszak on powinien cieszyć się, że w ogóle dostał ten kontrakt! Jest jedna i to zła wiadomość: najważniejsze są zmiany organizacyjne, a przemiana zależy tylko od nas.


Opiszmy to na przykładzie nakazu wykorzystywania aktualnego oprogramowania. Wymaganie takie wynika z rozporządzenia KRI dla użytkownika IT w administracji, a także z ustawy o krajowym systemie cyberbezpieczeństwa dla wszystkich operatorów usług kluczowych. To wymagania prawne. Skoro tak, spójrzmy na komponent techniczny – trzeba taką aktualizację pozyskać z wiarygodnego źródła, a potem zainstalować. Byłoby dobrze, gdyby ten, kto instaluje, umiał to robić. To wymagania techniczne. Przejdźmy do części organizacyjnej. Jeśli aktualizacja jest płatna, należy odpowiednio wcześnie zaplanować i przeprowadzić zakup. Załóżmy, że mamy ten soft. Robimy testy, czy wszystko w nowej wersji działa prawidłowo. Jeśli trzeba – musimy wstrzymać aktualizację lub poprawić kod. Teraz nadchodzi czas instalacji, co oczywiście nie może się odbyć w dniu zakończenia kwartału czy w dniu, kiedy trzeba złożyć deklaracje podatkowe. Wprowadźmy zmianę! Niech będzie to chmura, przy czym jedną instancją jest IaaS, a drugą PaaS. W obu przypadkach rozważmy aktualizację systemu operacyjnego. Update IaaS będzie przebiegał tak jak w infrastrukturze własnej. To my jesteśmy odpowiedzialni za wszystko, od zakupu przez testy, wybór terminu upgrade i jego przeprowadzenie. Dzielimy zadania, wyznaczamy daty, wskazujemy odpowiedzialnych. Klasyka. Z kolei jeśli chodzi o PaaS – tu zarówno za system, jak i za wszystkie jego aktualizacje jest odpowiedzialny dostawca. Ale jednak to my, zarówno przy planowaniu chmury, jak i potem przy eksploatacji, musimy sprawdzić, czy u tego dostawcy można wstrzymać czasowo aktualizację a potem wybrać dogodny czas na upgrade. Nadzorujemy „tylko” eksploatację chmury. Co może przynieść korzyść – oszczędność czasu i kosztów. (Uwaga! O ponad połowę).


We własnej infrastrukturze raz kupione to na zawsze kupione. Tu technologia niby ta sama, ale zasady inne. Trzeba zmienić organizację cyberbezpieczeństwa. Inaczej wygląda organizacja ochrony danych, jeśli bierzemy odpowiedzialność end-to-end, a inaczej kiedy pracuje dla nas podmiot przetwarzający, taki jak dostawca chmury. Mamy pełne ręce roboty, choć to inna praca niż poprzednio. Pogłoski, jakoby chmura zwalniała ludzi w IT, uznajmy za przesadzone, ale to, że zmienia sposób i zakres ich pracy, to fakt.

 

Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu pięciu lat w polskim oddziale firmy Microsoft.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"