תגית: סיכונים

קטגוריות
מערכות מידע

מנמ"ר 2.0

אין כמו פרובוקציה טובה להעיר את ניקולס קאר. הוא מפנה למאמר של כריס אנדרסון, עורך Wired שכותרתו "מי צריך מנהל מערכות מידע?". המאמר טוען כי מנהלי מערכות המידע הפכו מכוח חדשני לנטל על הארגונים עלייהם הם אחראיים. מנהלי המערכות הם, לדברי המאמר, לא בדרג וביכולת גבוהה יותר מאנשי תחזוקה.

אנדרסון רואה את סיבה מרכזית המרכזית לכך בעובדה כי מנהלי מערכות המידע הם כיום מרקע ניהולי ולא מרקע טכנולוגי, והם רואים את עצמם כאחראים על המשך התפקוד של מערכות גדולות ומורכבות. מצב זה גורם להם ללפחד משינויים וחדשנות, העלולים לפגוע ביציבות.

מעבר לכך, אנדרסון סבור כי מנהלי מערכות המידע אינם מודעים לצרכים ולרצונות של עובדים צעירים ודינמיים, היודעים כי היכולות החדשניות טמונות ברשת האינטרנט. המתשמשים המודרניים, אינם צריכים שינהלו אותם. הם צריכים צינור טיפש להעברת המידע שלהם.

המשך קריאה "מנמ"ר 2.0"
קטגוריות
דעה

אולי עדיף וירוסים

ביליתי זמן רב לאחרונה עם תוכנות אנטי וירוס לסביבות אירגוניות. תוכנות אלו אמורות להקל את חייו של מנהל המערכת בביצוע התקנות של התוכנה וניהול העידכונים.

על מנת להקל על חייו (וארנקו) של מנהל הכספים, הן מגיעות בחבילות (Suites) הכוללות מכול טוב: הגנה מוירוסים, רוגלות, ורושעות, חומות אש אישיות והגנות מהגנות שונות. החבילות בנויות ומתומחרות כך שכל כלכלן עם תואר שלישי והבנה מעמיקה בתחום המיחשוב ומערכות המידע יכול להבין לאחר מחקר של חודשים ספורים.

אתחיל ואומר, כי אין לדעתי הבדל מהותי בין תכנות אלו. כל ניפנוף בסטטיסטיקות ההגנה ויכולות זיהוי וירוסים שטרם נולדו נכון, במקרה הטוב, לאותו רגע בלבד. אין בכך לומר כי ניתן להיות שאנן. עדיף להיות ללא אנטי וירוס מאשר לחיות בשאננות עם מערכת לא מתוחזקת.

מה שמוציא אותי, ואת מנהלי הרשתות איתם אני עובד, מדעתם, היא העובדה כי מערכות אלו הופכות לסיוט תחזוקתי.

הדבר בולט בעיקר כאשר מנסים להחליף מערכת אנטי וירוס של אחת בשניה. היות ומערכות אלו פרנואידיות מעצם טבעם, כל ניסיון ממין זה מעורר בהן התנגדות חריפה וצעקנית. המגוחך, הוא שלעיתים מזומנות מדובד בהחלפת מערכות של אותו יצרן. דוגמאות:

  • מעבר מגרסת OfficeScan Enterprise ל-OfficeScan SMB של TrendMicro, דרשה הסרה ידנית של התכנה מכל תחנות העבודה והתקנה מחדש. לתשומת לב: התכנה על תחנות העבודה זהה בשתי הגרסאות, רק ממשק הניהול של השרת שונה.
  • שינוי שם השרת בסביבת McAfee, דרש התקנה מחדש של מערכת הניהול. התקנה זו דרשה עדכון של כל תחנות העבודה. פחות מ-70% מתחנות העבודה הצליחו, והיה צורך להסיר את התכנה ולהתקינה מחדש בשאר התחנות.

שמחה לא פחות גדולה היא הנסיון להסיר תוכנת אנטי וירוס. Symantec ו-CA הן המובילות בתחום זה. שתיהן מותירות קבצי DLL ורשומות ב-Windows שנחוץ מנתח עם זכוכית מגדלת וגרזן ולסלקן.

בהנתן שתוכנות אלו קיימות בעיקר למערכת Windows ולסביבה העסקית, היה מצופה כי היצרנים יתאימו את עצמם. לא כך:

  • דרישות המערכת של Sophos היו כל כך גבוהות שנאלצנו להפסיק פרויקט הטמעה באמצע.
  • המערכת הסרת הרוגלות של TrendMicro לא תומכת בסביבות Windows NT ו-Windows 98 (נכון, מערכות ישנות וללא תמיכה ממיקרוסופט, אך עדיין נפוצות ופגיעות)
  • מערכת הניהול של McAfee פסקה לתפקד לאחר שדרוג ל-Internet Explorer 7.
  • אף אחת ממערכות הניהול מבוססות ה-Web לא עבדה עם דפדפן שאיננו Internet Explorer.

מערכות אנטי וירוס מנוהלות עולות 40-60$ לשנה לתחנה. אבל עלות התחזוקה לא נפסקת שם. הקפידו לבדוק את המערכת ואל תצפו להגנה בלעדית ממנה. ככל שהמערכת מציעה יותר אמצעי הגנה, כך כל שדרוג של מערכת ההפעלה או של ישומים עלולים להיות בעייתיים יותר.

ניקטו באמצעים הבאים:

  • הגבילו את הרשאות המתשתמשים (אין שום סיבה לעבוד על מחשב ביום יום עם הרשאב גבוהה יותר מ-User)
  • אל תאפשרו גישה ישירה לאיטרנט. ביחנו את הצרכים ואפשרו גישה לפי צרכים אלו – ובצעו בקרה על כך.
  • סננו דואר
  • אל תאפשרו גישה לרשת שלכם מבחוץ ללא אבחנה. מערכת VPN לא תגן עליכם אם המחשב המתחבר לרשת שלכם פרוץ.

האנטי וירוס איננו קו ההגנה הראשון שלכם. הוא קו ההגנה האחרון.

קטגוריות
ניהול

תסמונת קסנדרה

האל אפולו העניק לקסנדרה את מתת הנבואה. אך להיות והיא לא נענתה לחיזוריו, הוסיף קללה: כל נבואותיה יהיו אמת, ואיש לא יאמין להן. מצב עניינים זה זכה לכינוי "תסמונת קסנדרה", הן בפסיכולוגיה והן התחום העסקי.

מה לתסמות קסנדרה ולבלוג זה?

בחודש האחרון עסקתי בהקמה מחדש של אתר לקוח, החל מהשרתים עד תחנות הקצה. הסיבה הישירה לקריסת המערכת נבעה מוירוס, ולא חדש במיוחד. הסיבה העקיפה, והמהותית יותר, היא התעלמות של הלקוח מהתראות כי המערכת איננה מתוחזקת כראוי ונדרשות פעולות מונעות, הן ברמה הטכנית והן הרמה הניהולית.

שני כשלים מובילים לתסמונת קסנדרה.

  1. מבחוץ: כשל ביעוץ. לא די בהתראה על העתיד לבוא. יש לחזור ולהבהיר כיצד תרחיש מסויים עלול להתממש, ועל בסיס אלו מקורות מידע נבנה התרחיש. בלא מעט מקרים קשה לחזות את ההשלכות של חלק מהתרחישים, היות והלקוח איננו מודע לתלות שלו במערכות המידע.
  2. מבפנים: כשל בניהול סיכונים. כיצד מתמודדים עם תרחישים ותחזיות שליליות. אנשים נוטים להדחיק תחזיות אפוקליפטיות, היות והן דורשות השקעה (כספית, ארגונית ומעל לכל, מחשבתית) מול איום הנראה קלוש.

אין באמור לעיל לטעון כי יש לפעול על סמך על תחזית אימים. בין השאננות וטמינת הראש בחול לבין פאניקה פארנואידית ישנם מסלולי ביניים של ניהול סיכונים.

ניהול סיכונים הוא איסוף המידע הנחוץ להבנת התלות במערכת (במקרה זה, מערכת המידע):

  • מה התועלת המופקת ממערכת המידע
  • מה ההשלכה של אובדן יכולת שימוש (מלאה או חלקית) במערכת המידע
  • מה העלות לכל יחידת זמן בה מערכת המידע (או חלק ממנה) אינו פעיל
  • מה הגורמים האפשריים לאובדן יכולת השימוש במערכת המידע
  • מה ההסתברות לקיום הגורמים לאובדן יכולת השימוש במערכת המידע
  • מה ההשקעה הנדרשת על מנת לצמצם את הזמן בו מערכת המידע איננה פעילה

ניהול סיכונים נבון הוא מבפנים ומבחוץ כאחד. לא ניתן לקיים ניתוח סיכונים ללא בהירות של מטרות הארגון, צרכיו ודרך פעולתו. יעוץ חיצוני יכול לתת ערך מוסף בהבנה של הטכנולוגיות המשפיעות על הסיכונים, איך איננה מספיקה לצורך קבלת החלטה מושכלת.

בלא מעט מקרים תתכן החלטה הנוגדת את השיקולים הטכנולוגיים ה"נכונים", היות ורמת הסיכון, הסתברותו או היכולת הכלכלית להתמודדת עמו איננו מצדיקים את ההשקעה. אך החלטה זו צריכה להיות מתוך ידיעה מושכלת והבנה של ההשלכות.

קטגוריות
מערכות מידע משולחן היועץ

מהר לחכות

האם למהר ולאמץ טכנולוגיה חדשה או לחכות עד להתיצבות ולירידת מחירים.בחינה של החלטה על אימוץ מערכת VoIP בשתי חברות תסייע להבין את השיקולים לכן ולכן.

שתי החברות הן חברות קטנות של כ-10 עובדים. חברה א הצטמצמה מנפח של כ-30 עובדים, חברה ב גדלה מהיקף של 3 עובדים ועברה לאתר חדש.

שני מנהלי החברות היו חשדניים לגבי יישום VoIP, ונטו מראש לכוון מרכזיות טלפוניה אנלוגית קטנות. הצגתי לפניהם שלוש אפשרויות יישום של מרכזיות VoIP:

  1. מרכזית VoIP קניינית של שחקנים ותיקים בשוק (Nortel, Cisco, Avaya)
  2. מרכזיה כשרות חודשי (IPCentrix או GlobCall)
  3. מרכזית VoIP מבוססת קוד פתוח (Asteriks)

אפשרות 1 נדחתה כמעט מיידית על שום העלויות הגבוהות, בקניה ובתחזוקה, בעיקר בהנתן כי מרכזיות אלו לא כמעט כל ערך מוסף לעומת מרכזיות אנלוגיות קיימות, או החלופות האחרות.

אפשרות 2 הייתה בעייתית לגבי שתי החברות ממספר סיבות:

  • הספקים דרשו התחיבות של 36 חודשים
  • בעוד עלויות הבסיס החודשיות נראו נמוכות, עבור כמעט כל שרות (כולל תא קולי), נדרש תשלום קטן נוסף. תשלומים אלו הביאו לעליה של עד 50% לעומת הצעות המחיר המקוריות.
  • רמת הגמישות הייתה נמוכה מהצפוי לטכנולוגיה זו, ותכונות הנראות בסיסיות (קישור ממשרדים מרוחקים, התחברות מחו"ל) לא היו קיימים, או היו כרוכים בעלויות בלתי סבירות.

לחברה ב לא הייתה תשתית טלפוניה קיימת. לאור העובדה שמרכזיה מסבוססת על מערכת Asterisk, איננה יקרה בצורה מהותית ממרכזיה אנאלוגית, בחרה במסלול מספר 3.

לחברה א הייתה תשתית טלפוניה קיימת ופעילה. החלפת המרכזת למערכת VoIP הייתה מורידה את העלות של ההתקשרות עם אתרי החברה בחו"ל, אך לא הייתה משנה באופן מהותי את העלויות התפעוליות השוטפות או משנה בצורה מהותית או אופי העבודה בארגון.

ניתוח כספי הראה כי:

  • אפשרות 2 הייתה חוסכת לארגון עלויות מיידיות בצורת שיחות מקומיות, אך לאור ההתחיבות לשלוש שנים, רווח זה היה נעלם לאחר שנתיים.
  • אפשרות 3 הייתה מחייבת השקעה תשתית שהייתה מחזירה את עצמה רק לאחר לממעלה משנתיים.

לאור זאת בחרה חברה א מסלול אחר לחלוטין. לא לעשות דבר. החברה הפסיקה את תשלומי השרות למרכזת הקיימת. החברה החליטה שמסלול 2 או 3 יבחנו מחדש אם וכאשר החברה תשתנה בהיקף הפעילות שלה, או כאשר המרכזת הקיימת תפסיק לתפקד. למרות הסיכון, תפיסה זו חסכה לחברה הוצאות בצורה מיידית.

הלקחים שניתן ללמוד מהשוואת החברות הם דומים:

  • קל יותר ליישם טכנולוגיה חדשה כאשר אין תשתית ותיקה אותה היא צריכה להחליף.
  • ספקי פתרונות של טכנולוגיה חדשה מודעים לעובדה כי לרשותם פרק זמן מוגבל, והם מנסים לפצות על ידי נעילת הלקוח בחוזים ארוכי טווח ותמחור של כל ערך מוסף אפשרי.
  • ניתן לנצל את זמן ההתבססות של טכנולוגיות חדשות לחסוך על ידי צימצום התמיכה בטענולוגיה ותיקה. לסעיף זה יש להתייחס בזהירות, ולבצע חקר סיכונים.
  • במקרה של השווה בין טכנולוגיה כמוצר (הדורש רכישה) לבין טכנולוגיה כשרות (הדורש תשלום חודשי) יש לבצע ניתוח כספי של שנתיים לפחות לבחינת ההחזר על ההשקעה.
  • פתרונות מבוססי קוד פתוח יכולים להציע גמישות גבוהה יותר, בתמחור נמוך יותר, מפתרונות קניינים.
קטגוריות
דעה

המסביר לצרחן

אנו מלאים טענות. לבנקים, על העמלות, לחברות הסלולר על המחיר וחישוב זמן השיחה, ועל השלטון בגלל שחיתות. הרשימה עוד ארוכה.

לטענות נלוות טענות המשנה על רפיסות הרגולטור, חוסר השיניים של העיתונות ושלוות בתי המשפט.

מה לזה ולמערכות מידע, ועוד בעסקים קטנים?

המשך קריאה "המסביר לצרחן"