lzrada tehničkih rješenja

Instalacija, odnosno implementacija rješenja faze su koje predstavljaju operativnu i tehničku provedbu svega onog što je dizajnom zamišljeno i projektnim planom definirano. Pod pojmom instalacija, podrazumijevamo fizičko postavljanje opreme i softvera, na mjesto i u oblik, kako je projektnim planom predviđeno. Implementacija je dovođenje opreme i softvera u funkciju kako je predviđeno njenim karakteristikama i projektnim planom, tj. da radi ono za što je predviđena. U ovoj je fazi važno reći da, kako se općenito povećava stupanj zrelosti IT industrije, relativno je malo tvrtki kod kojih imamo priliku graditi IT sustav ispočetka, tako da pojam „integracija“ dolazi sve više do izražaja. Naime, pojam integracija ima više značenja, a ovdje ga koristimo u oba njegova za IT industriju važna značenja:

  • Integracija kao postupak spajanja raznorodnih tehnologija kako bi harmonizirano zajedno ispunjavale tražene funkcije i
  • Integracija kao spajanje novih sustava ili elemenata s postojećim IT sustavima te integriranje i proširivanje njihovih funkcija.

Sve su komponente u ovoj fazi krucijalno važne za dobivanje traženog rezultata. Stoga je njihova provedba pod posebno strogim nadzorom. Taj je nadzor definiran projektnom metodologijom kojom se pokrivaju sve faze do primopredaje gotovog, funkcionalnog rješenja. ECS se koristi PMI projektnom metodologijom (u izvjesnoj mjeri prilagođenoj IT-u) i djelom MSF-om. Ukratko, može se reći da je potrebno voditi računa o slijedećim koracima:

  • Plan implementacije – definiraju se terminski i operativni elementi implementacije. Potrebna je koordinacija resursa kako izvođača tako i naručitelja, čiji predstavnici moraju biti članovi projektnog tima
  • Testiranje – količina testiranja i sveobuhvatnost njegova dosega daju garanciju da će rješenje od prvog trenutka primopredaje raditi ono što je predviđeno i kako je predviđeno.
  • Primopredaja – dokument kojim obje strane, korisnik i izvođač, konstatiraju da je posao obavljen u ugovorenim parametrima, kako količinski tako i funkcionalno.
  • Dokumentacija izvedenog stanja – dokumentacija koju korisnik može samostalno koristiti tijekom životnog vijeka rješenja radi kontrole njegovih funkcija, ali isto tako i kao podlogu budućih promjena i nadogradnji.
  • Operativni priručnik – dokumentacija koja služi za operativno upravljanje sustavom i njegovim nadzorom.

GDPR - Savjetovanje i analiza

Zaštita pojedinaca s obzirom na obradu osobnih podataka je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka. Cilj Uredbe jest zaštita podataka građana Europske Unije bez obzira na to gdje se njihovi podaci obrađuju i pohranjuju odnosno događa li se to unutar ili izvan granica EU. Pravila koja su propisana obuhvaćaju svaku tvrtku koja na bilo koji način prikuplja ili obrađuje osobne podatke – u praksi to znači da organizacije moraju poboljšati vlastite mehanizme informacijske sigurnosti te ih ugraditi u svoje svakodnevno poslovanje (tzv. business-as-usual koncept). Drugim riječima neki principi informacijske sigurnosti koji su uglavnom do sada bili shvaćani kao preporuka ili dobra praksa od navedenog datuma postat će zakonska obaveza.

General Data Protection Regulation (GDPR) stupa na snagu 25. svibnja 2018. godine. Stručnjaci ECS-a s dugogodišnjim iskustvom na poslovima informacijske sigurnosti, projektima usklađivanja s PCI DSS standardom, projektima implementacije upravljačkih sustava informacijske sigurnosti (ISO/IEC 27001:2013) te projektima usklade s Općom Uredbom o zaštiti osobnih podataka pružaju usluge tvrtkama kako bi svoje poslovanje uskladili s novom regulativom i sigurnosnim standardima.

ECS Akademija

Za puno zadovoljstvo korisnika često nije dovoljno dobro i na vrijeme izgraditi IT sustav ili neku njegovu komponentu, jer velika složenost suvremenih IT sustava može stvarati probleme prilikom njegove primjene, ako krajnji korisnici pa i administratori sustava nisu dovoljno educirani u njegovu korištenju, nadziranju i upravljanju. Stoga su u ponudi ECS-a i usluge edukacije, kao komponente izgradnje IT sustava. Edukacija često dolazi na samom kraju, kad je sustav već izgrađen, a može doprinijeti da neki projekt proglasimo uspješnim, za razliku od projekata koji su uspješno implementirani, ali pokazuju manjkavosti u upotrebi, upravo zbog neadekvatnog znanja njegovih korisnika.

Uz operativne priručnike koji su dio projektne isporuke, često je potrebno educirati, kako administratore sustava, tako i krajnje korisnike, za efikasnu uporabu složenih IT sustava. U tom smislu, ECS-u može ponuditi korisnicima više oblika edukacije:

  • Najčešći je oblik je individualna edukacija za vrlo fokusirane teme, koje su pojedincu potrebne za efikasan rad i to najčešće na lokaciji korisnika u njegovom okolišu i na njegovom sustavu.
  • Grupna edukacija u oblicima radionica (Work Shop), isto tako na lokaciji korisnika, jer je to za konkretne teme najefikasnija metoda.
  • Formalizirane edukacije za neke teme koje mogu biti od interesa za veći broj polaznika, u prostorima ECS-a, ili kod korisnika, ukoliko posjeduje adekvatan prostor i opremu.

Načelno, ECS ne provodi edukaciju po nekim ustaljenim, unaprijed definiranim programima, već sve edukacije proizlaze iz dogovora oko tema i načina realizacije, kao odgovor na konkretne potrebe korisnika, na taj se način maksimalno prilagođavamo stvarnim potrebama korisnika.

PCI DSS

VISA, MasterCard, American Express, Diners, Discover Card i JCB zajedno su stvorili industrijski standard za sigurnost podataka kako bi zaštitili svoje korisnike. Payment Card Industry Data Security Standard (PCI DSS) obvezuje sve subjekte u kartičnom poslovanju (trgovce, banke i pružatelje usluga) na zaštitu podataka vlasnika kartica.

Sve se banke i pružatelji usluga moraju certificirati od strane kvalificiranih revizora sigurnosti (QSA) i akreditiranih pružatelja usluga skeniranja (ASV), kako bi zadržali pravo procesiranja kartičnog plaćanja.

Globalni su sustavi plaćanja predali odgovornost bankama i pružateljima usluga da osiguraju svoju usklađenost s PCI DSS standardom. Imena certificiranih pružatelja usluga VISA izdaje na svojim službenim Internet stranicama i stranicama PCI Councila kako bi svojim klijentima pokazala da su njihovi sustavi sigurni. Neusklađenost sa standardom povlači financijske kazne kao i mogućnost potpunog isključenja iz sustava kartičnog poslovanja.

Osnovni zahtjevi PCI DSS standarda uključuju:

  • sigurnost mreže,
  • zaštitu kartičnih podataka korisnika,
  • upravljanje ranjivostima sustava,
  • kontrolu pristupa,
  • testiranje i nadzor mreže,
  • održavanje politike sigurnosti.

Opseg usluge uključuje:

  • vođenje projekata,
  • savjetovanje za postizanje usklađenosti sa zahtjevima PCI DSS standarda,
  • usluge tvrtke Trustwave, najveće svjetske tvrtke QSA (Qualified Security Assesor) i ASV (Approved Scanning Vendor),
  • provođenje procjene stupnja sukladnosti (gap analiza),
  • uspostava organizacijskih kontrola (politika, pravilnika i sl.) za usklađivanje sa standardom,
  • pomoć pri ispunjavanju Self-Assessment Questionnaire-a (SAQ) za trgovce.

Business Continuity

Upravljanje kontinuitetom poslovanja poslovna je potreba svake moderne organizacije te ključni proces za osiguravanje neprekinutosti poslovnih procesa. Ovisno o specifičnostima poslovnog segmenta, prekidi u poslovanju koje organizacija može podnijeti mogu biti vrlo kratki (sekunde ili minute) ili relativno dugi (dani), no bilo koji prekid poslovnih procesa uzrokuje direktne financijske i operativne posljedice, čija šteta raste s vremenom.

Poslovanje današnjih organizacija u velikoj mjeri ovisi o sustavima temeljenima na informacijsko-komunikacijskoj tehnologiji koji su podložni prekidima i kvarovima. Međutim, poslovanje ovisi i o elementima kao što su informacije, ljudi ili poslovni prostori.

Kako bi se spriječile ili kontrolirale posljedice prekida nekog dijela poslovanja, nužno je osmisliti sustav upravljanja kontinuitetom poslovanja (eng. Business Continuity Management System, BCMS). U sklopu upravljanja kontinuitetom poslovanja razvijaju se planovi kontinuiteta poslovanja (eng. Business Continuity Plans, BCP), ali i osigurava okvir za njihovo osvježavanje, održavanje i prilagodbu.

Faze projekta Isporuke
Definiranje politike kontinuiteta poslovanja Politika kontinuteta poslovanja
Analiza rizika Upitnici za procjenu rizika
Tablice rizika
Analiza utjecaja na poslovanje (eng. Business Impact Analysis, BIA) Upitnici za analizu utjecaja na poslovanje
Izvještaj o analizi utjecaja na poslovanje
Katalog kritičnih resursa
Uspostava strategije upravljanja kontinuitetom poslovanja Strategija kontinuiteta poslovanja
Uspostava i dokumentiranje planova kontinuiteta poslovanja Glavni plan
Plan procjene štete
Plan zaštite kritičnih podataka
PR plan
Planovi oporavka kritičnih poslovnih funkcija/procesa
Testiranje planova Scenariji za testiranje planova kontinuiteta poslovanja
Izvještaj o obavljenom testiranju
Održavanje planova Procedure ažuriranja planova
Ažurirani planovi kontinuiteta poslovanja
Provođenje edukacije i osvješćivanja Edukacijski materijali

lnformacijska sigurnost

Informacijska je sigurnost vrlo često nepravilno shvaćena kao skup tehničkih mjera zaštite informacijskih sustava (vatrozida, antivirusnih rješenja i sl.). Međutim, već dulje vrijeme statistike pokazuju da se najveći broj sigurnosnih incidenata događa ne zbog tehničkih nedostataka u informacijskom sustavu, nego zbog nepostojanja kvalitetnog i efikasnog upravljačkog sustava koji bi obuhvaćao ne samo tehničke kontrole, nego i organizacijske, pa i fizičke kontrole.

Na području implementacije sustava upravljanja informacijskom sigurnošću najprihvaćeniji i najpouzdaniji skup preporuka i dobrih praksi je dan u ISO/IEC 27000 seriji standarda.

Najrelevantniji standardi u toj seriji su:

  • ISO/IEC 27001:2005 – standard koji definira zahtjeve za uspostavu sustava upravljanja informacijskom sigurnošću (eng. Information Security Management System, ISMS) i
  • ISO/IEC 27002:2005 – skup smjernica i principa za uspostavu, implementaciju, održavanje i kontinuirano poboljšavanje sustava upravljanja informacijskom sigurnošću.

Generička priroda standarda ISO/IEC 27000 serije jamči primjenjivost standarda na različite organizacije, neovisno o tipu, veličini i ostalim karakteristikama organizacije. Upravo je zbog te općenitosti ISO/IEC 27000 serija standarda u širokoj primjeni u velikom broju organizacija diljem svijeta koje su prepoznale informacijsku sigurnost kao nužan preduvjet za ostvarivanje svojih poslovnih ciljeva.

Faze projekta Isporuke
Uspostava temelja ISMS sustava Opseg ISMS sustava
Sigurnosna politika
Definicija metodologije za procjenu rizika Metodologija procjene rizika
Identifikacija i vrednovanje informacijskih resursa Izvještaj o provedenoj procjeni rizika
Gap analiza (snimka postojećih sigurnosnih kontrola)
Identifikacija ranjivosti i prijetnji
Procjena rizika
Izrada prijedloga za umanjivanje rizika Prijedlog za umanjivanje rizika
Izrada izjave o sukladnosti (eng. Statement of Applicability – SoA) Izjava o sukladnosti
Izrada plana implementacije (plan tretiranja rizika) Plan tretiranja rizika
Uspostava ključnih procesa i procedura Procesi, politike, procedure, pravilnici prema potrebama naručitelja
Izrada ISO 27001 obvezne dokumentacije Procedura za kontrolu dokumenata
Procedura za internu reviziju
Procedura za upravljanje preventivnim i korektivnim mjerama

Risk Management

Tvrtke su danas suočene s rastućom nesigurnošću i složenošću, što otežava njihovo nastojanje da upravljaju tehničkim rizicima i rizicima poslovanja. Upravljanje operativnim rizicima bitno utječe na kvalitetno i uspješno vođenje projekata u poslovnom svijetu što je značajan faktor uspješnog poslovanja i opstanka na tržištu, a podrazumijeva postojanje jasnih, mjerljivih i iterativnih procesa za upravljanje rizicima.

Basel II definira operativni rizik kao „rizik gubitka koji proizlazi iz neodgovarajućih ili neuspješnih internih procesa, ljudi ili sustava, ili zbog vanjskih događaja“. Pojednostavljeno, sigurnosni se rizik definira kao mogućnost realizacije neželjenog događaja koji može štetno utjecati na povjerljivost, integritet ili raspoloživost informacija i informacijskih resursa.

Proces upravljanja rizikom daje odgovore na pitanja:

  • kako uskladiti poslovne i sigurnosne zahtjeve,
  • u kojem smjeru krenuti prilikom implementacije kontrola za podizanje razine informacijske sigurnosti,
  • na koji način svesti rizike na prihvatljivu razinu, a da pritom investicije budu poslovno i financijski opravdane.

Procjena je rizika temelj za povezivanje sustava upravljanja informacijskom sigurnošću i sustava upravljanja kontinuitetom poslovanja s poslovnom strategijom tvrtke.

Faze projekta Isporuke
Uspostava opsega upravljanja rizikom Opseg upravljanja rizikom
Uspostava metodologije za procjenu rizika Metodologija procjene rizika
Identifikacija i vrednovanje resursa Katalog resursa
Identifikacija prijetnji i ranjivosti Izvještaj o provedenoj procjeni rizika
Procjena rizika
Izrada preporuka za umanjivanje rizika Prijedlog za umanjivanje rizika
Uspostava procesa/procedura za periodičku evaluaciju rizika Proces/procedura upravljanja rizikom