Palo Alto – migracja konfiguracji z Cisco ASA

Dziś krótko, o migracji Cisco ASA do Palo Alto z użyciem narzędzia se stajni Palo – Expedition [migration tool].

Od razu co cię nie zapewne nie uda automatycznie –

• Zony – prawdopodobnie wszystkie interfacey będą przy migracji w osobnych strefach więc może ich być zdecydowanie za dużo – stąd ręczna robota – konsolidacja stref i wszystkie zależności – security, naty.. Ja tutaj dodatkowo z cli zmieniałem nazwy wszystkim strefom dodając ‚-zone’ na końcu. Polecam Notepad++ i ręczną automatyzację. rename zone … to …
• NAT’y – o ile source naty przejdą pewnie poprawnie o tyle destination, ze względu na specyfikę Palo Alto będą wszystkie do poprawki, wiadomo obie zony zewnętrzne na zewn. IP i translacja do środka. Komplementarnie trzeba wszystkie polityki security poprawić – zony WAN do LAN, z zewn IP 🙂 Dodatkowo ważne aby zwrócić uwagę na kolejność reguł NAT !
• Obiekty – pewnie będzie tutaj zabawa bo serwisów będzie mnóstwo zaciągniętych z ASY. Co więcej może wystąpić sytuacja gdzie nie był wskazany typ UDP czy TCP – do poprawki w Expedition na etapie migracji. Mogą się pojawić sytuacje gdzie dany serwis będzie źle zampowany do portu np ‚domain’ mi zamapowało do portu 6500 🙂
• Duplikaty nazw – pewnie będzie tego sporo, na Palo sprawdzana jest unikalnosć nazw wielu obiektów.
• Interface’y – na etapie migracji w Expedition dobrze od razu zmienić. Warto pamiętać aby wrzucić ‚czysty’ konfig z Palo aby potem nie było duplikatów.

Co da się automatem ?

• obiekty
• reguły security [weryfikacja i poprawki]
• naty j.w
• interface’y
• tunele ipsec s2s

Do uzupełnienia miałem tagi, które pojawiały się w expedition ale nie aplikowały się do polityk. Zrobiłem ręcznie przez CLI z udziałem excel i notepad++

Finalnie dostajemy spory bałagan – za dużo stref, za dużo obiektów, brak reguł aplikacyjnych, duplikaty. Przy mniejszych migracjach na pewno warto rozważyć migrację ręczną bez użycia Expedition tylko wyklikanie wszystkiego ‚ręcznie’

Na koniec – samo przepięcie, jak w każdym przypadku przy zmianie urządzenia stojącego na brzegu i mającego po drugiej stronie sprzęt nad którym nie mamy kontroli, warto zapewnić sobie na czas przepięcia udział administratorów providera aby mogli poczyścić tablice arp i ewentualne statyczne przypisania mac i/lub port security.

Ze swojej strony na palo oczywiście dobrze jest pamiętać o odpowiednio długim oknie serwisowym [w 5 min raczej to nie zadziała] oraz o kilku fajnych poleceniach jak:

• test arp [wysyłanie GARP z palo aby inne urządzenia odświeżyły wpisy]
• test vpn [aby zainicjować tunele IPSEC]

Tyle na szybko 🙂

Kontrola pornografi w internecie

Kolejny raz pod płaszczykiem walki z pornografią, hazardem i całym złem internetu próbuje się przepchnąć ustawowo cenzurę internetu. Cenzurę wprowadzaną na poziomie dostwaców usług. Była już ACTA, była ustawa hazardowa teraz kolejna próba ingerowania w tę sferę gdzie jeszcze trochę tej wolności i anonimowości pozostało. Ktoś powie – słuszna idea, chronimy dzieci i nałogowych hazardzistów, których rodziny nie mają co do garnka włożyć. Ten argument jest jednak w tym kontekście kompletnie chybiony.  O ile treść jest słuszna o tyle forma budzi duże zastrzeżenia. Jest to tak jak by muchę zabijać poprzez rozpylenie nad osiedlem środków owadobójczych. Do tego aby chronić dzieci przed pornografią i internetowym diobłem NIE musimy mieć ustawy, nie musimy mieć cenzury na poziomie dostawców, nie musimy pozbawiać wszystkich prawa do wolności i prywatności.

Narzędzi, które można zastosować jest bardzo wiele, weźmy np. darmowe K9 ze stajni BlueCoat’a. Szybka i prosta instalacja na komputerze dziecka powoduje, że wszelkie niewłaściwe treści są blokowane. Jakie to są treści ? Otóż takie, które na podstawie danych z ogromnej ilości działających filtrów nie tylko darmowych ale i komercyjnych zostały przez użytkowników zgłoszone, skategoryzowane i zweryfikowane jako szkodliwe. Możemy też tworzyć własne reguły. Nasze rodzicielskie nie odgórne – państwowe. Możemy filtr wyłączyć na chwilę. Możemy mieć wpływ na to co będzie sklasyfikowane jako złe.

Jak to wygląda w wersji państwowej – tutaj właśnie o reguły chodzi. Czy zastanawialiście się na jakiej podstawie treści będą blokowane treści? Jakie będą cenzurowane, jakie przeglądane ? Znając speców od IT wybierających rozwiązania wdrażane w instytucjach państwowych będzie to pewnie klucz partyjny a realizacja wujka ze strony żony któregoś posła z komisji.  Nie zdziwił bym się gdyby parcie na wprowadzenie cenzury internetu nie było wyłącznie rodzimym pomysłem. Suwerenność naszego państwa budzi od dłuższego czasu duże wątpliwości. Istnieje realna szansa że to któryś z naszych sojuszników uczknąć kawałek ciasta już mocno okrojonej naszej prywatności.

Jakie są niebezpieczeństwa ? Otóż filtrowanie i analiza ruchu na poziomie providerów daje do ręki narzędzie do wychwytywania pana Karola, który pobrał sobie film na obejrzenie którego aktualnie go nie stać w kinie. Do złapania za rękę Pani Krysi, która śledzi rolników szukających żony. Do sprawdzenia ilu z nas i kto konkretnie nie bardzo zgadza się na forach z linią jedynej słusznej partii. Generalnie co gdzie jak i dlaczego robi statystyczny Kowalski. Może zdradza żonę, a może kupuje nielegalnie leki z Ukrainy ? A może handluje na allegro i nie odprowadza podatku ?? Nie daj Boże obstawia zakłady lub gra w pokera. Oj nie ładnie panie Kowalski, niegrzecznie, na szczęście Pana anonimowość już się skończyła, witamy w nowym lepszym świecie.

Mój apel do ustawodawcy. Apel inżyniera zajmującego się na co dzień bezpieczeństwem w sieci. Nie tędzy droga. Chrońmy dzieci wzmacniając rodzinę dając jej narzędzia do tego  aby mogli wybrać jak je wychować. Nie ma wpływów z hazardu ? Za mało podatków ? Nie traktujmy wszystkich jak dojnych krów i przestępców. Twórzcie politykę dla ludzi a nie przeciw nim. Nigdy jeszcze zaostrzone kontrole i prohibicja nie zatrzymały tego przeciw czemu były skierowane. Powodowały tylko jeszcze większy brak kontroli nad przestępcami i uderzały w zwykłych ludzi. Właściciel strony porno i kasyna online sobie poradzi. Zapłacimy my wszyscy za nowe systemy kontroli w podatkach i cenie internetu u providera.

Chiński smartfon z innej strony [na przykładzie lenovo s860] mobile security

Dziś krótko i na temat. Nie będę pisał czy warto czy nie warto sprowadzać z Chin smartfony bo na ten temat w sieci tematów jest tysiące. Napiszę o bezpieczeństwie i tym jak mnie mój świeżo sprowadzony zaskoczył.

Zwykle mając w ręku nowy telefon instaluję na nim firewall’a. Po co ? Na to pytanie mam nadzieję pod koniec tekstu będziecie znali odpowiedź. Tutaj czekała mnie pierwsza niespodzianka – w przypadku Lenovo s860 firewall dostałem na pokładzie. Zresztą nie tylko firewall ale i antywirus, privacy guard, bloker reklam, anti-spam – wszystko w jednej sympatycznej apce SECUREit. [Można sobie ją doinstalować ze sklepu]. Fajnie prawda ?

Zastanawia dlaczego telefon przeznaczony na rynek chiński jest lepiej wyposażony w narzędzia zapewniające bezpieczeństwo niż nasze rodzime smartfony ? Przecież Chiny słyną z kontroli a taki firewall by im tę kontrolę utrudniał… No właśnie. Pewnie jakiś skośnooki zadał sobie pytanie – co zrobić aby użytkownicy nie blokowali rodzimej, przaśnej inwigilacji instalując zassane od karłów reakcji firewalle. Postanowił tedy dać im produkt gotowy, ładny i funkcjonalny a co ważniejsze swojski. Podświadomie apelując do wewnętrznego lenia cichym podszeptem – po co masz się męczyć i instalować coś nowego jak masz tu wszystko czego Ci trzeba, a  że trochę obawa, że podsłuchy, inwigilacja, nic to, to teorie spiskowe, nie wierz a nawet jeśli wierzysz to zignoruj, leniu 🙂 Zresztą wszyscy szpiegują, Zgniłe jabłka, Szajsungi i inne androidy też.

Na dowód ostatniego stwierdzenia w logach znajdziemy ciekawe informacje. Otóż do moich kontaktów potajemnie i wielokrotnie próbowała się dobrać aplikacja ‚klawiatura google’, trzy inne aplikacje próbowały wysyłać niewiadomojakie dane, większość zainstalowanych apek koniecznie chciała poznać moją lokalizację, uruchomić mikrofon lub kamerę itp itd.

W międzyczasie usługi google postanowiły uszczęśliwić mnie 20 komunikatami, mówiącymi że google chętnie zajmie się bezpieczeństwem mojego smartfona… Jakże to być może, że nie pozwalam googlom wiedzieć o mnie wszystkiego. Przecież przygotowali dla mnie specjalną aplikację gdzie mogę sobie wybrać jakie reklamy lubię !  Ileż oni pracy włożyli w analizę behawioralną czytając moje maile, strony jakie przeglądam, gdzie chodzę czego szukam… Dlaczego mam wysyłać swoje kontakty i prywatne zdjęcia do jakiejś chińskiej chmury gdy mogę je oddać w życzliwe ręce naszej, koszernej googlechmurki. Notabene na pokładzie s860 dostałem najlepszą na świecie przeglądarkę chrome [o polityce prywatności tejże napiszę kiedyś może jeszcze]

Kończąc, zwróćcie czasem uwagę na to jakie urządzenie nosicie ze sobą wszędzie i co to urządzenie robi. Nie dotyczy to tylko chińskich smartfonów ale wszystkich. A co robi ? Odbiera nam prywatność, zagląda do sypialni, łazienki, odwiedza znajomych, jeździ z nami na wakacje i do pracy.

Wirus w telefonie.

j

Idzie wiosna [od wschodu], wszystko rozkwita, do życia budzą się ptaszki i pszczółki. Ale nie tylko. Poza tradycyjnymi wiosennymi wirusami, np. modnym ostatnio rota wirusem, szerzą się również wirusy komputerowe i mobilne. O tych ostatnich chciałbym dziś napisać kilka słów.

Przede wszystkim złapanie takiego wirusa może być znacznie bardziej niebezpieczne niż złapanie zwykłego komputerowego dziadostwa. Dzieje się tak dlatego, że za internet w swoim ukochanym fonie jak na razie musimy jeszcze płacić. Nieautoryzowany transfer danych może nas słono uderzyć po częstokroć pustej kieszeni.

To tylko jeden sposób w jaki poniesiemy koszty. Kolejne to:

-utrata danych, kontaktów, sms’ów, słit foci, mmmskuf

-możliwość że ktoś za pomocą wirusa uzyskał dostęp do haseł i systemów, do których nie powinien np. systemu bankowego.

Wiele osób korzysta z potwierdzeń przelewów za pomocą sms. Wyobraźmy sobie, że ktoś ma zdalny dostęp do naszego telefonu i te sms’y wysyła…np kiedy sobie smacznie śpimy.

Zagrożenia powyższe dotyczą głównie smartfonów z dostępem do internetu. Najbardziej narażeni są posiadacze androida lecz wbrew samozadowoleniu miłośników nadgryzionych jabłek i oni nie unikną tego typu wirusów. Mają do tego po prostu mniej okazji bo apple im nie pozwala robić nic czego nie wolno. To jak w Korei płn. nikt nie kradnie bo nie ma komu 🙂

Teraz true story – sam jakiś czas temu miałem do czynienia z opisywanym wirusem. Niestety dotyczyło to telefonu sony, który przez producenta był zabezpieczany na 10 stronę, szkoda że nie przed wirusami… Skończyło się na zdecydowanie wyższym rachunku i kilku godzinach poświęconych odzyskiwaniu danych. Wirusa złapałem bodajże ze strony onetu.

Ok, dość straszenia. Teraz opowiem jak temu zapobiec. Poniżej kilka rad, które być może pomogą komuś uniknąć rachunków rzędu kilkuset złotych.

1. Zawierając umowę z operatorem ustalmy limity np. 100-200zł/mc. Jeśli mamy już umowę dodajmy do niej te ograniczenia.

2. Dopóki nie mamy pełnej świadomości co robimy nie włączajmy aplikacji z nieznanych źródeł ani debugowania usb. Uważamy też co ściągamy z marketu.

3. Jeśli już wydaje nam się, że mamy tę świadomość to proponuję telefon od razu zrootować i wgrać firewall np. droidwall odpowiednio go ustawiając. Zablokuje on wszelki ruch sieciowy, który nie powinien się pojawić. Świadomi wiedzą o czym pisze jeśli nie wiedzą znaczy że muszą się jeszcze uświadomić. Ja zwykle zaczynam przygodę ze smartfonem od tego kroku. Niestety z Soniakiem producent utrudnił to tak, że mi się nie chciało i efekty było widać.

4. Unikać stron pornograficznych, hakerskich, pseudo informacyjnych, z aplikacjami na androida, z crackami itp. UNIKAĆ !

5. Nie wierze, że to piszę, hmm, synchronizować kontakty i kalendarz z googlem. Co do zasady nie należy przechowywać prywatnych danych w innej prywatnej , zewnętrznej firmie. To jak dawanie im kluczy do domu. Większość ludzi jednak i tak nie dba o swoją prywatność więc powyższa rada jest właśnie dla nich 🙂 Ceniącym swoją prywatność polecam oprogramowanie producenta które często oferuje synchronizację danych i kontaktów. Raz na jakiś czas warto poświęcić parę minut.

6. Nie korzystajmy z nie zabezpieczonych sieci wi-fi. To, że uda się nam znaleźć na rynku w Tczewie czy hotelu w Pniewach otwarty hotspot nie znaczy, że trzeba hurra optymistycznie z niego korzystać. W takich sytuacjach byle gimbohaker może zobaczyć wszystko co przeglądamy i robimy w sieci.

7 Ostatnie i bardzo ważne – jeśli zobaczymy, że mamy już to świństwo w fonie. Należy jak najszybciej wyciągnąć kartę sim. Jeśli zobaczymy, że telefon sam włącza transfer danych i nie daje się go wyłączyć, zaczyna zachowywać się dziwnie, wieszać, wolno reagować na klawiaturę etc to symptom, że coś jest mocno nie tak i należy telefon sprawdzić. Ja proponuję właśnie wyciągniecie sim, zgranie danych [o ile się da] twardy reset z kasowaniem danych i sprawdzenie czy pomogło. Jeśli nie – serwis.

Nie polecam grzebania w romach i systemie osobom, które się na tym nie znają, można sobie zafundować w ten sposób nowy telefon. W najlepszym przypadku stratę wielu godzin czasu. Już lepiej oddać do serwisu lub kolegi, który wie jak to się je.

W przypadku utraty danych zwykle możemy śmiało zapomnieć o tych trzymanych w systemie czyli sms’ach, mms’ ach, kalendarzu itp. Dane z karty pamięci czy pamięci wbudowanej zwykle da się odzyskać. Są do tego nawet darmowe programy. Ważne aby nie nadpisywać niczego w pamięci bo spowoduje to nieodwracalne zmiany. Czyli ręczne, własne próby naprawy pewnie w tym nie pomogą.

Na koniec życzę abyście nigdy nie mieli okazji zetknąć się z tym problemem.

 

 

Hasła – jak je tworzyć, zapamiętać, używać.

Kilka słów o hasłach.Każdy ich używa, nie każdy robi to dobrze.  Opiszę poniżej w kilku słowach jak z mojego wieloletniego doświadczenia wygląda kwestia tworzenia, używania i zapamiętywania haseł.

Zacznę od rzeczy najważniejszej.  Bywa, że skomplikowane hasło, w dodatku często zmieniane jest większym złem niż hasło proste. Wynika to z prostego faktu – ludzie nie chcą i nie zapamiętują takich haseł, a już szczególnie jeśli zmieniają je co miesiąc i co miesiąc muszą zapamiętywać nowe.  Zapisują je więc na karteczkach, w komórkach, przeglądarkach etc. Oszukują systemy zmieniając hasło na takie samo jak było. W ten sposób bardzo łatwo ktoś może takie hasła poznać i włamać się na konto.

Drugą bardzo ważną rzeczą jest dywersyfikacja haseł. Nie należy korzystać z jednego hasła do wszystkiego. Wiem, fajnie jest pamiętać jedno, a nie 5, ale to prowadzi do bardzo nie fajnych sytuacji gdy np. wyciek haseł z jednego portalu sprawia, że haker ma dostęp do wszystkiego z czego korzystasz.  Może być też tak, że hasła są przechowywane w jakimś portalu otwartym tekstem i zabawą admina jest wchodzenie na konta innych np. na waszejklasie.

Należy więc mieć przynajmniej 3 hasła

1. proste do stronek, forów etc

2. bardziej skomplikowane do komputera, poczty, dysku wirtualnego

3. najbezpieczniejsze – do bankowości internetowej, potwierdzania transakcji.

Sytuacja często wymusza politykę haseł. Coraz częściej hasła w internecie i w firmach muszą spełniać pewne ściśle określone wymagania.

Zwykle jeżeli nasze hasło spełnia następujące kryteria jest uznawane za ‚silne’

-powinno mieć więcej niż 8 znaków,

– zawierać małe i duże litery,

– zawierać cyferki i znaki specjalne takie jak !@#$.

Przykład – :  liMbo3#3o

Takie hasła ciężko zapamiętać i przeważnie zapisuje się je na karteczkach i nosi ze sobą – to podważa ideę silnego hasła i tak robić nie wolno. Jak znajduje takie karteczki to zwykle każę je zjadać 🙂

Co więc zrobić aby hasło/hasła pamiętać a jednocześnie aby spełniało rygorystyczne kryteria?

Sposobów jest kilka.

1. To sposób dla ludzi z dziurawą pamięcią 🙂 Zapisujemy w komórce jako sms np o tresci. „Będę za chwilę pozdrów (Maarka1:)” gdzie ‚(Maarka1:)’ jak łatwo się domyślić jest naszym hasłem.

2. [ten którego używają admini]  18##sD-S0L gdzie 18 to suma cyfr z daty urodzenia wujka podzielona przez szczęśliwą liczbę admina, następnie występują ulubione znaki admina w liczbie 2 co oznacza, że hasło jest 2 razy silniejsze, następnie ulubiona karta pamięci admina sD i pierwsza nuta sonaty księżycowej z zerem zamiast O:)

3. [polecany przeze mnie] Wybieramy słowo, które znamy, a którego zapewne nie ma w słowniku PWN oraz słowniku polsko – angielskim  np: nazwa jakiejś powieści, człowieka , rzeczy, weźmy na to Vonnegut, teraz wystarczy dodać znaczek z klawiatury najlepiej taki żeby nie było daleko od ostatniego t dajmy na to ^ lub % oraz cyferki tez w pobliżu – 54. Powstaje nam proste do zapamiętania i napisania hasło: Vonnegut^54

4. Mnemotechnika – Opowiadamy sobie wierszyki : Na krzesełku siedział Burek i patrzył na 2 butelki 40% roztworu etanolu. Daje nam to ładne hasło: 4Burek240%

5. hasła geometryczne – wykorzystujemy jakiś kształt i piszemy go na klawiaturze np: znak X zaczynamy od literki c i kolejno f,t,6,4,r,g,b lub wężyk: 123ewqasd, kółeczko: QW@!qw21

6. hasło komórkowe 🙂 Wiadomo, że najłatwiej jest zapamiętać swoją datę urodzin, bardziej zaawansowani pamiętają datę ur. taty, mamy, żonaci rocznicę ślubu, ur. dziecka etc. Takie hasła sa BAAARDZO proste do odgadnięcia. W zasadzie chcąc się dostać do jakiegoś komputera jest to pierwsze hasło jakie sprawdzam 🙂 jest jednak sposób. Wiemy że cyferkom na klawiaturze tel. odpowiadają literki. więc datę 26-03-1987 możemy zapisać:  ‚am+d wtp’ co jest zdecydowanie silniejszym hasłem i w dodatku zawsze możemy je sobie przypomnieć 🙂

Tworząc hasła należy unikać zdecydowanie nazw angielskich, od nich zaczynają łamanie haseł systemy brute force czyli takie, które korzystają z metod słownikowych do łamania haseł.  Np: John123 to bardzo słaby pomysł na hasło 🙂 Ale już Janek#321 jest ok.

Swoje 3 hasła można ze sobą powiązać znaczeniowo. Dla przykładu kolejne hasła mogą wyglądać tak:

Vonn54,  Vonnegut#54,  VoNNegut^54

Na koniec uczulam na jeszcze jedną bardzo istotną kwestię. Uważajcie co wpisujecie i gdzie wpisujecie.

‚Co’  – nie należy sprawdzać każdego hasła po kolei wpisując je np. do twarzoksiązki. Lepiej poświęcić chwilkę i sobie przypomnieć 🙂 Nie należy w żadnym razie mylić kategorii haseł i wpisywać najmocniejszego bo nie pamiętamy słabszego bo może ruszy.

‚Gdzie’ – Zwracajmy uwagę czy strona na którą weszliśmy i próbujemy się logować na pewno jest stroną którą chcieliśmy odwiedzić. Nagminne są sytuacje gdzie tworzone są strony udające, często bardzo dobrze, inne np. strony banku. Wyobraźmy sobie stronę Inteligo.pl – ktoś mógłby zrobić kopię pod nazwą Lnteligo.pl gdzie oczywiście L pisane byłoby małą literką.

Nigdy nie należy przesyłać swoich haseł mailem, nawet jeśli poprosi o to ktoś podający się za admina twarzoksiążki.

Domena – Active Directory – a co to :)

Czymże jest owa domena w której się pracuje ?  Jest to takie enigmatyczne nieco coś, co fachowo nazywamy hierarchiczną baza danych zawierającą rekordy autoryzacyjne oraz inwentaryzacyjne struktury IT organizacji.

Bardziej po ludzku, to jest to manifestacja tęsknoty It za przyrodą, stąd też domena składa się z drzew i lasów, a w tychże wirtualnych lasach na owych wirtualnych drzewach lokowani są ludzie [użytkownicy] i ich komputerki.

I tak dla przykładu: ‚Brzoza’ będzie nam odwzorowywać dział księgowości i dla brzozy wiemy, że ludzie siedzący na tym drzewku mają uprawnienia do picia soku brzozowego [dostępu do danych księgowych na dysku współdzielonym] ale już nie do chleba z drzewa chlebowego działu VIP [prywatnych danych szefostwa przechowywanych na innym dysku sieciowym].

Domena pozwala tez na to, że ze swoim loginem i hasłem można się zalogować nie tylko na swoim komputerze ale i na serwerze i na innym komputerze i z domu i z kawiarenki [za pomocą VPN lub pulpitu zdalnego RDP].

W domenie łatwiej jest zarządzać oprogramowaniem i sprzętem.
W domenie jak i wśród ludzi ważne jest zaufanie, drzewa i lasy ufają sobie lecz jak mawiał towarzysz Uljanow – ‚ufac jest dobrze kontrolować jest lepiej’, więc i na kontrolę owego zaufania znajdzie się w domenie miejsce. Ufać sobie mogą jednostronnie, tzn. domena oddziału banku ufa centrali ale centrala już ma pewne wątpliwości czy zaufać oddziałowi 🙂

W praktyce w dużych firmach pracujących na rozwiązaniach od Billa Bramy [gates] każdy użytkownik pracuje w domenie. Od tego jak jest ona ustawiona zależy jakie i do czego ma uprawnienia. Domena zwykle ułatwia życie. Pracownik, który zmienia miejsce pracy z Łodzi przenosząc się do Krakowa  może na miejscu dzięki domenie nie odczuć zmiany, mając swój pulpit, swoje dane, swoje maile i co ważne uprawnienia do odpowiednich zasobów. 🙂

Audyty informatyczne

Czy zrobić audyt? To pytanie jakie stawia sobie bardzo niewielu właścicieli małych i średnich firm oraz managerów IT. Dzieje się tak do czasu, do którego nie wystąpi poważniejszy problem natury informatycznej. Gdy  on wystąpi – gwałtownie zmienia się optyka patrzenia. Następuje proces poszukiwania rozwiązań, które zapewnią, że problem zniknie lub zminimalizowane zostanie ryzyko jego pojawienia się. Jest to działanie czysto reaktywne. Podjęte działania często na jakiś czas poprawiają sytuację, aż zostanie ona zapomniana. Wtedy wszystko zaczyna toczyć się swoimi dawnymi torami.

 

Warto zadać sobie pytanie czy:

• działania podejmowane są post factum, jako reakcja na zaistniałe problemy
• w zasadzie nie wiadomo „co jest w firmie”, a „czego nie ma” (np. legalne oprogramowanie)
• nie ma planu rozwoju ani planu zakupów
• nie wiadomo, czy system (serwer, oprogramowanie) będzie wystarczające dla naszych potrzeb za rok, dwa lata itd.
• nie zastanawiano się nigdy nad tym, czy i jak ktokolwiek może wynieść z firmy ważne dane
• nie wiadomo, czy mamy kopię danych, z kiedy, jak szybko można ją przywrócić
• nigdy nie słyszeliśmy o sprzętowym szyfrowaniu danych
• nie mamy pojęcia, jak zabezpieczamy dostęp do wrażliwych danych (a w ogóle co to są wrażliwe dane?)
• za całość IT odpowiada jedna osoba lub jedna zewnętrzna firma
• nikt, nigdy, nie analizował kosztów ponoszonych na IT i ich zasadności w stosunku do potrzeb.

 

Powyższe pytania to już część audytu i jeśli na któreś z nich odpowiadamy twierdząco to na pewno warto też twierdząco odpowiedzieć na pytanie –

Czy ja, jako właściciel firmy lub kierownik IT, muszę się tym martwić, czy też zlecę audyt fachowcowi, a on sprawi, że problem szybko zniknie i szybko się nie pojawi.

 

Kolejnym argumentem za przeprowadzeniem audytu jest kwestia bezpieczeństwa i legalności. W małych firmach zwykle nie zwraca się na te zagadnienia uwagi, jednak wraz ze wzrostem organizacji rośnie ryzyko, nie tylko utraty danych przekładające się na utratę zysku. Grozi nam również:

• utrata ciągłości działania systemów (np. brak dostępu do internetu lub bazy danych przez kilka godzin)
• ryzyko kontroli z urzędu i wykrycia braku licencji np. na systemy operacyjne
• kradzież danych (np. sprzedaż bazy klientów przez byłego pracownika
• włamania do systemu np. poprzez stronę internetową
• ryzyko dostępu do prywatnych danych (np. pracownik ma dostęp do komputera /dysku szefa i przegląda jego zdjęcia z wakacji w Tunezji)
• ryzyko utraty kontroli (jest jeden informatyk, który zna wszystkie hasła, jego nieobecność byłoby tragedią dla firmy: nikt nie wie jak dostać się do czegokolwiek w systemie)
• niska wydajność (sprzęt, oprogramowanie, infrastruktura stanowią wąskie gardło i utrudniają realnie pracę)

 

Realne zyski dla firmy:

 

• wyeliminowanie lub wskazanie ww. ryzyk
• zapobieżenie wystąpieniu poważnych problemów i strat finansowych
• obniżenie kosztów stałych i zoptymalizowanie wydatków inwestycyjnych IT

Case study – TRAGEDIA, AWARIA, armagedon:

Firma handlowo usługowa Hermes sp z.o.o. zatrudniająca 60 pracowników, w tym 40 handlowców, pracujących przy komputerach i obsługujących program sprzedażowy będący modułem systemu ERP opartego o jedną bazę danych znajdującą się na serwerze w firmie.

Dziennie w firmie Hermes wystawianych jest 200 faktur na średnią kwotę ok 5000zł, co daje dzienny obrót na poziomie 100 000zł.

W firmie Hermes nie było potrzeby audytu teleinformatycznego, dotychczas wszystko działało zadowalająco i radzono sobie we własnym zakresie.

Przed sylwestrem 2012 (już po końcu świata 21.12) w firmie było niewiele osób, z kierownictwa jedynie kierownik działu eksportu i kierownik magazynu. Sprzedaż była mniejsza i trwała inwentaryzacja. Około godziny 14:00, podczas śnieżycy, ciężarówka przejeżdżająca obok firmy wpadła w poślizg i uderzyła w słup energetyczny. W firmie zgasły wszystkie światła. Kierownik magazynu, który właśnie zamykał inwentaryzację, zapalił latarkę i wyciągnął sałatkę, która została po świętach. Handlowcy pochodzili trochę bez celu po firmie i widząc, że na powrót prądu nie ma co czekać, po konsultacji z kierownikiem działu eksportu rozeszli się do domu.

2 .01.2013 był dniem liczenia strat. Okazało się, że niezamknięta inwentaryzacja wyzerowała wszystkie stany magazynowe oraz nie pozwala sprzedawać towaru. Dodatkowo awaria prądu sprawiła, że uszkodził się dysk w serwerze, zapasowego nie ma, a kopia danych jest z 27 grudnia.

Bilans całej sytuacji to strata 2 dni roboczych, ok. 200 000 obrotu, przymusowy urlop 50 ludzi, nerwy, niepewność, strach.

Powyższy scenariusz mógłby się wydarzyć w bardzo wielu firmach, które znam. Jeśli nie taki, to podobny. W bardzo niewielu małych i średnich firmach, dział IT (o ile jest taki), przygotowuje wewnętrzne audyty lub raporty dające właścicielom obraz tego co realnie może, a co nie może, wydarzyć się w dziedzinie IT.

Najczęściej nikt nie zdaje sobie sprawy z tego, jak wrażliwym obszarem jest obszar wewnętrznych usług IT i na jak wielkie straty może narazić firmę zaniedbanie w tym obszarze.

Można wyjść z założenia, że poradzimy sobie sami i w wielu przypadkach może się to udać. Jakkolwiek zdecydowanie łatwiej jest skorzystać z doświadczenia i wiedzy tych, którzy już tę drogę przebyli i wiedzą gdzie można trafić na przysłowiową ‚minę’, a w jakich wypadkach można spokojnie poczekać.

Case study – KOSZTY, KOSZTY, KOSZTY

Wielokrotnie miałem do czynienia z sytuacją gdy należało dokonać dosyć dużego zakupu, czy to serwera, czy systemu, czy też elementu infrastruktury. Były to wydatki powyżej 30 000 zł. W zasadzie w każdym z tych przypadków istniały 2 podstawowe elementy:

A. potrzeba zaspokojenia pewnych wymagań np. wzrost wydajności systemu

B. sposób, w jaki zostaną one zaspokojone

O ile z elementem A nie ma problemu, o tyle z elementem B może być różnie. Wyobraźmy sobie sytuację gdy potrzebą jest właśnie zwiększenie wydajności systemu sprzedażowego tak aby mogło na nim pracować 50% więcej użytkowników. Aby właściwie dobrać element B konieczna jest odpowiednia wiedza lub odpowiednio większe środki finansowe. Załóżmy, że przyjętym rozwiązaniem będzie zakup nowego serwera za 50 000zł. Został poniesiony koszt, ale czy zasadnie? Najczęściej nikt nie jest tego w stanie stwierdzić . Przy najlepszej wiedzy i woli działu IT, bądź osoby odpowiedzialnej za element B, bardzo często się zdarza, że działanie nie jest optymalne i wystarczyło dokupić komponent serwera za 10 000 zł aby efekt uzyskany był identyczny.

 

Nie ma stresu …

Pewnie każdemu kiedyś zepsuł się komputer. Nieszczęście to nastało pewnie dlatego, że komputerów, które się nie psują nie ma. Są takie, które psują się rzadziej ale nie są zwykle błyszczące, z duuużym ekranem i ładne. Wiadomo bowiem że komputer, zwłaszcza laptop musi być przede wszystkim ładny. A.. i tani. Najlepiej w tym sobie radzą firmy na A 🙂

Cóż pech chciał, że się psują dziady. Gdy się zepsują bywa to niebezpieczne, stresujące! Można stracić kontakt z twarzoksiążką, ćwierkaczem i bóg wie czym jeszcze. Nie daj wielki potworze spagetti aby padł dysk ! Nagle może się okazać, że praca dyplomowa skrzętnie pisana po nocach na 10 kawach i przechowywana bezpiecznie w jednej kopii trafi do nieba dla niebackupowanych prac dyplomowych.

W zacnym gronie utraconych danych znajdą się również słit focie z wakacji, zakładki googlowskiej przeglądarki tudzież maile ! Czy to nie stresujące ?

Zwykle gdy spotyka nas to niezasłużone nieszczęście, tragedia wręcz klęska –  przypominamy sobie [przez pół godziny] jak na imię ma znajomy informatyk, wędrujemy do serwisu lub wiedzeni nienawiścią odkładamy parszywy sprzęt na półkę, do szafy lub jeśli nasza frustracja jest odpowiednio wysoka od razu do kosza !

Teraz nadchodzi czas 3 kroków –

1. Wyparcie [to nie możliwe, nie mógł się zepsuć, na pewno da się go jeszcze włączyć, postukam!, wyjmę wtyczkę może ruszy] Ten krok poprzedzany jest zwykle etapem ‚złość’ osobno nie klasyfikowanym gdyż towarzyszy całemu procesowi.

2. Smutek i zwątpienie [Ach, mój biedny komputer, moje cenne dane, tyle pracy, jak, dlaczego ? za co?? jak ja to naprawię….]

3. Akceptacja [Zepsuł się to się zepsuł, nic się nie stało, chrzanić to, szmelc i tyle]

Dopiero po tych etapach następuje Refleksja i Działanie 🙂

To właśnie na etapie refleksji można odnawiać zaniedbane kontakty towarzyskie z dotychczas nieciekawymi specjalistami IT. Tutaj możemy również poprawić kondycję i zaczerpnąć świeżego powietrza wędrując do serwisu. Możemy przełamywać bariery socjologiczne zastanawiając się jak poprosić o pomoc – ‚Wiesz, podobno znasz się na laptopach…czy mógłbyś zobaczyć co się stało z moim, przyniosła bym go jutro’ ? Podreperować myślenie ekonomiczne – ile mnie to będzie kosztować, czy pinćdziesiąt jak dam Zbyszkowi to wystarczy ?

Bywa, że etap działania wykonujemy samodzielnie ! Daje nam to możliwość ponownego prześledzenia 3 kroków. Możemy się wykazać samozaparciem i wykonywać 3 kroki wielokrotnie. Trzykrotna iteracja zwykle skutkuje nieodwracalnymi zmianami i zakupem nowego sprzętu.

Ważne ! Pamiętać należy aby po etapie samodzielnego działania wszystkie części które zostały zebrać do jednego worka i Bardzo ważne – na świeżo zapisać sobie co robiliśmy aby doprowadzić nasz sprzęt do już kompletnej ruiny. Przyda się to serwisantowi !

 

Jeżeli jednak nie zdecydowaliśmy się spróbować sił samodzielnie pozostaje Zbyszek, serwis albo… no właśnie, poszukanie specjalisty w sieci. Takiego specjalistę, w swojej okolicy i za niewielkie pieniądze można znaleźć w serwisie „Znajdź Informatyka” – http://niemastresu.pl

Oszczędza to czasu, pieniędzy i właśnie stresu. Po prostu – nie ma stresu 🙂

.