Audyt nie leczy
W 2002 r. większość firm specjalizujących się m.in. w przeprowadzaniu audytów bezpieczeństwa miała poważne problemy finansowe. Kilka zbankrutowało. Przyczyna? Zdaniem przedstawicieli tych, które przetrwały, nie tylko w ciągu ostatnich lat zbyt wielu integratorów włączyło tę usługę do oferty, ale na dodatek ubyło z rynku pieniędzy. Zagraniczne korporacje i duże polskie przedsiębiorstwa (a one należą do głównych odbiorców usług audytorskich) już dawno przestały być rozrzutne.
Na polskim rynku działa kilkanaście rodzimych przedsiębiorstw specjalizujących się w przeprowadzaniu audytu bezpieczeństwa, wielcy międzynarodowi audytorzy, np. kupiony przez IBM w 2002 r. PricewaterhouseCoopers Consulting (został włączony do IBM Global Services). W 2002 r. zakończyły działalność przynajmniej dwie polskie firmy audytorskie: CBS i BSI. Kilka borykało się z poważnymi problemami finansowymi, a krakowska ABA zrezygnowała z usług i zajęła się działalnością produkcyjną (dostarcza oprogramowanie nowosądeckiemu Optimusowi). Zdaniem przedstawicieli branży kłopoty polskich audytorów wynikają przede wszystkim z niewłaściwego zarządzania finansami i rosnącej konkurencji na rynku.
Firmy konsultingowe (audytorskie), w związku ze specyfiką prowadzonej działalności, muszą zatrudniać najwyższej klasy specjalistów.
– Tacy ludzie kosztują niemało – mówi były właściciel jednej z firm specjalizujących się w zabezpieczaniu sieci. – Audyt to przecież nie sprzedaż trzystu komputerów. Nie twierdzę, że dostawa tylu pecetów to sprawa łatwa, ale w jej przypadku dużo trudniej popełnić błąd. W przypadku audytów najmniejsza wpadka może skończyć się utratą klienta i dobrej reputacji. Dlatego takimi usługami muszą się zajmować fachowcy. Znam przynajmniej dwie firmy, które cudem uniknęły finansowej zapaści spowodowanej zbyt wysokimi pensjami zarządu i zatrudnionych specjalistów.
Od dwóch, trzech lat audytami zajmują się krajowi integratorzy. Nic w tym dziwnego – zaczął wysychać strumień pieniędzy płynący z typowej integracji. Żyłą złota miało być rozszerzanie usług związanych z zabezpieczaniem sieci, czyli również audyty bezpieczeństwa.
Duże pieniądze dla niewielu
Ile można zarobić na audycie, dokładnie nie wiadomo. Wysokością kwot nie chwalą się ani integratorzy, ani firmy konsultingowe. Nieoficjalnie dowiedzieliśmy się, że profesjonalne audyty dużych sieci mogą kosztować nawet kilkadziesiąt tysięcy dolarów, choć wówczas oprócz audytu dostawca dostarcza także inne usługi (np. przeprowadzenie testów penetracyjnych, czyli symulację ataku na sieć).
Obecnie kontrakty opiewające na takie sumy należą jednak do rzadkości. Ceny mniej skomplikowanych audytów na ogół wahają się między kilkoma a kilkunastoma tysiącami dolarów, choć zdarzało się, że w 2002 r. przyciśnięci do muru audytorzy interesowali się kontraktami o znacznie mniejszej wartości.
Czy kontrakt na kilkanaście tysięcy dolarów to dużo? W porównaniu z prostymi wdrożeniami, np. oprogramowania do backupu, bardzo dużo. Jeśli wziąć pod uwagę, że większość tych pieniędzy zabierają wyszkoleni pracownicy (godzina pracy konsultanta może kosztować kilkaset dolarów), suma przestaje już robić takie wrażenie, niemniej wciąż pozostaje godna uwagi. Jednak kontrakty opiewające na takie kwoty są poza zasięgiem większości polskich integratorów, chyba że audyt wchodzi w skład kompleksowej usługi. Działa również wiele firm, które świadczą tzw. proste usługi audytorskie (np. skanowanie sieci) za darmo, jako usługę dodaną do kontraktu.
– Ten proceder psuje rynek – mówi jeden z audytorów. – Po pierwsze, ceny spadają. Po drugie, wielu przedsiębiorców traktuje audyt jako coś, co można dostać za darmo. A przecież taka gratisowa usługa nie może się równać z profesjonalnym audytem. Klient nie otrzymuje certyfikatów zgodności z międzynarodowymi normami bezpieczeństwa. Właściwie o stanie bezpieczeństwa w swojej sieci wie niewiele więcej niż przed takim 'audytem’.
Według integratorów, którzy traktują audyt jako uzupełnienie oferty, ich klienci korzystają z tej usługi przede wszystkim dla zaspokojenia ciekawości.
– Rzeczywiście nie wydajemy certyfikatów, ale klienci tego nie wymagają – mówi Piotr Starosta, inżynier zatrudniony w Intertrading Systems Technology Mazowsze. – Taki audyt robią tylko dla siebie.
Siła studenta
Zdaniem przedstawicieli działających na rynku firm audytorskich teraz jest najgorszy moment, by decydować się na świadczenie usług audytorskich. Istnieje na nim zbyt wiele przedsiębiorstw, coraz częściej integratorzy włączają do oferty usługi audytu tylko dlatego, by nie stracić dotychczasowych klientów.
– Nasi klienci zaczęli tego oczekiwać – mówi Jarosław Kalidzki, dyrektor handlowy średniej wielkości firmy integracyjnej. – Przedsiębiorstwa integratorskie podobne do mojego w zasadzie stanęły przed wyborem albo zaczną dostarczać wszystko – od gruszki do pietruszki, czyli od instalacji sieci po audyt, albo stracą klientów. Czasem zdajemy sobie sprawę, że nie uda nam się poprawnie sprawdzić sieci naszego klienta, a podejmujemy się tego. Efekty bywają różne.
Być może najlepszym wyjściem z tej sytuacji jest wynajęcie wyspecjalizowanych podwykonawców. Jest to słuszne choćby z powodów etycznych.
– W USA firma, która wdraża rozwiązania chroniące sieci, nie może jednocześnie przeprowadzać audytu u tego samego klienta – mówi Krzysztof Zadrożny, dyrektor sprzedaży jednej z polskich firm integracyjnych. – Najwyżej robi testy weryfikacyjne, za pomocą których sprawdza, czy praca, którą wykonała, spełnia warunki kontraktu. W państwach należących do Unii Europejskiej wynajmowanie podwykonawców jest bardzo często praktykowane. Firmy te jednak kontaktują się z klientem bez pośrednictwa głównego wykonawcy. W Polsce natomiast, jeśli nawet integrator korzysta z usług podwykonawców, często czyni to na wariackich papierach. Znana jest mi firma, która do przeprowadzania audytu wynajmuje studentów politechniki.
Komu i po co
W zasadzie audyt powinien być wyłącznie narzędziem pomiarowym i służyć do oceny poziomu bezpieczeństwa w firmie, identyfikacji potencjalnych i faktycznych zagrożeń oraz wskazania obszarów podwyższonego ryzyka. W Polsce bywa natomiast traktowany jako remedium na wszelkie informatyczne bolączki. Na audyty bezpieczeństwa decydują się przede wszystkim przedstawicielstwa zagranicznych korporacji, instytucje finansowe, towarzystwa ubezpieczeniowe oraz duże firmy. Zachodni klienci przestrzegają norm ustalonych w centralach i korzystają z usług dwóch audytorów jednocześnie. W takich sytuacjach drugi audytor sprawdza, czy jego poprzednik poprawnie wykonał zadanie. Przedsiębiorstwa przeprowadzające audyt oceniają poziom bezpieczeństwa u klienta, porównując go z wzorcowym, opisanym w normach międzynarodowych. Sprawdzają w ten sposób liczne aspekty ochrony informacji i systemów informatycznych. Wynikające z analiz wnioski służą między innymi do tworzenia polityki bezpieczeństwa, określenia zasobów niezbędnych do przywrócenia prawidłowego funkcjonowania firmy po awarii itp.
W wielu korporacjach otrzymany po przeprowadzeniu audytu certyfikat zgodności z daną normą jest bardzo pomocny w przypadku wizyty urzędników z Głównego Inspektoratu Danych Osobowych. Instytucje finansowe potrzebują go w razie inspekcji przeprowadzanych przez Główny Inspektorat Nadzoru Bankowego NBP. Audyty zlecają także inwestorzy, którzy chcą sprawdzić stan kupowanych spółek. Z ich pomocą można znaleźć słabe ogniwa w systemie informatycznym i wyliczyć straty wynikające z przestojów w pracy.
Podobne artykuły
Mongo DB: zarządzanie bazą danych w chmurze
Tradycyjne podejście do przetwarzania danych w przypadku systemów zarządzania relacyjną bazą danych nie we wszystkich przypadkach jest najbardziej optymalne. Konieczność przechowywania coraz bardziej rozbudowanych i skomplikowanych danych, oraz próba ich opisania w postaci tabel i relacji może prowadzić do wolnych wielotabelowych zapytań i rozrośniętych indeksów. W niektórych przypadkach, zamiast korzystać z narzędzia uniwersalnego, warto sięgnąć po system specjalistyczny. Jednym z takich systemów oferowanych w CloudPortal jest nierelacyjny system zarządzania bazą danych MongoDB.
Mechanizmy wysokiej dostępności relacyjnych baz danych w CoudPortal.pl
Wszystkie aplikacje udostępnianie w CloudPortal ze względu na elastyczną architekturę platformy w dużym stopniu wykorzystują dodatkowe usługi. Rozproszone systemy plików, bazy SQL i NOSQL, usługi kolejkowania, pamięci podręczne sesji i wiele innych mają zagwarantować szeroką gamę możliwości dla tworzonych i udostępnianych przez platformę rozwiązań.
Aplikacje Ruby na platformie CloudPortal
CloudPortal jest elastyczną platformą PaaS, która umożliwia tworzenie i utrzymywanie w jednym środowisku aplikacji przygotowanych w najpopularniejszych językach programowania i korzystających z szerokiej gamy usług. Jednym ze wspieranych środowisk uruchomieniowych jest konfiguracja wspierająca aplikacje Ruby, Rack, Rails i Sinatra.
