Regularnie prze­wa­la się przez bran­żo­wą pra­sę papie­ro­wą i elek­tro­nicz­ną pro­blem korzy­sta­nia z pry­wat­nych zaso­bów” w fir­mo­wych (kor­po­ra­cyj­nych) sys­te­mach IT. Problem nie jest nowy a wyglą­da mi na to, że sepa­ra­ty­stycz­ne dzia­ły IT jed­nak prze­gra­ją w tym boju.

Według róż­nych ana­liz, do 2015 roku na świe­cie ma być 15 miliar­dów urzą­dzeń pod­łą­czo­nych w sie­ci. – Działy IT powin­ny sta­wić czo­ło wyzwa­niom, któ­re się z tym wią­żą – prze­ko­nu­je nasz roz­mów­ca. – Obejmują one głów­nie obszar zapa­no­wa­nia” nad urzą­dze­nia­mi mobil­ny­mi i obszar bez­pie­czeń­stwa infor­ma­cji. (Jak połą­czyć pry­wat­ne z fir­mo­wym w jed­nym urzą­dze­niu?. wnp​.pl | Informatyka. Informatyka dla prze­my­słu.).

Przypominam sobie daw­ne dywa­ga­cje o tym jak i na jakich zasa­dach moż­na uży­wać pry­wat­ne­go samo­cho­du do celów służ­bo­wych i odwrot­nie: jak uży­wać samo­cho­du służ­bo­we­go do celów pry­wat­nych. W zasa­dzie te dys­ku­sje już uci­chły: pry­wat­ny samo­chód w pra­cy roz­li­cza­my kilo­me­trów­ką a służ­bo­wy do celów pry­wat­nych wziął na celow­nik fiskus i w zasa­dzie tu tak­że mamy stan sta­bil­ny”.

Wymagania

Od pew­ne­go cza­su obser­wu­je takie dys­ku­sje na eta­pie ana­li­zy wyma­gań na roz­wią­za­nia IT. Stale spo­ty­kam tu pew­ną złą prak­ty­kę. Generalnie w pro­jek­tach zwią­za­nych z roz­wią­zy­wa­niem pro­ble­mów i ana­li­za­mi wyma­gań dobrą prak­ty­ką jest oddzie­la­nie wyma­gań (cele) biz­ne­so­wych, od wyma­gań wobec roz­wią­za­nia (tu są wyma­ga­nia funk­cjo­nal­ne, poza funk­cjo­nal­ne i ewen­tu­al­ne dzie­dzi­no­we). Wymagania wobec roz­wią­za­nia (np. w sto­sun­ku do opro­gra­mo­wa­nia) powin­ny powstać dopie­ro pod warun­kiem, że okre­ślo­no roz­wią­za­nie, co wyda­je się być natu­ral­ną kolejnością.

Dopiero wyma­ga­nia wobec roz­wią­za­nia mogą zawie­rać ele­men­ty zwią­za­ne z, tak czę­sto pod­no­szo­nym, bez­pie­czeń­stwem. To o tyle istot­ne, że war­to wcze­śniej okre­ślić, o jakie bez­pie­czeń­stwo cho­dzi, bez­pie­czeń­stwo cze­go. Niestety czę­sto spo­ty­kam tech­no­kra­tycz­ne podej­ście pole­ga­ją­ce na uzna­niu, że bez­pie­czeń­stwo musi być, i ma być mak­sy­mal­ne” (z tego powo­du, moim zda­niem, pod­pis elek­tro­nicz­ny i jego tech­no­lo­gia były i są nadal poraż­ką: nie jest uży­wa­ny masowo).

Działy IT czę­sto zaka­zu­ją wszel­kich form nie­au­to­ry­zo­wa­ne­go” uży­cia kom­pu­te­rów czy smart- fonów pry­wat­nych do celów służ­bo­wych czy też uży­wa­nia służ­bo­we­go sprzę­tu i opro­gra­mo­wa­nia do celów pry­wat­nych. Obawiam się, że to wal­ka z wia­tra­ka­mi, zaś total­ne blo­ko­wa­nie moż­li­wo­ści insta­lo­wa­nia na służ­bo­wym note­bo­oku cze­go­kol­wiek to dro­ga doni­kąd bo blo­ku­je się ludziom moż­li­wo­ści natu­ral­ne­go wzbo­ga­ca­nia wła­snej narzę­dziow­ni” i pod­no­sze­nia pro­duk­tyw­no­ści (a nie raz pro­wa­dzi to do uda­nych prób hako­wa­nia tego sprzętu).

Specyfikowanie wyma­gań na roz­wią­za­nia i abs­tra­ho­wa­nie od tego pro­ble­mu pro­wa­dzi coraz czę­ściej do zaba­wy jaką zna­my z cza­sów popu­lar­no­ści sys­te­mów RCP (Rejestracja Czasu Pracy): pra­cow­ni­cy swój czas poświę­ca­li na oszu­ki­wa­nie sys­te­mów RCP zamiast na pra­cę. To dopro­wa­dzi­ło do odkry­cia”, że zada­nio­we roz­li­cza­nie pra­cow­ni­ków jest znacz­nie sku­tecz­niej­sze, zaś sta­no­wi­ska opła­ca­ne na zasa­dzie dyżu­ru” (dostęp­ność – obec­ność – w miej­scu pra­cy) łatwo roz­li­cza się kon­tro­lu­jąc SLA dane­go pra­cow­ni­ka (czy są na nie­go skar­gi np. sys­te­my roz­li­cza­nia usłu­gi help-desk).

Tak więc bez­pie­czeń­stwo powin­no być raczej ele­men­tem wyma­gań w posta­ci ocze­ki­wa­ny efekt” a nie jak je zapew­nić”. Nie rozu­miem dla­cze­go tak wie­lu ana­li­ty­ków i dzia­ły IT wzbra­nia­ją się przed uzna­niem, że opro­gra­mo­wa­nie powin­no być dostęp­ne na dowol­nym urzą­dze­niu mobil­nym i że nie powin­no pozwa­lać na…, i tu okre­ślo­ne ogra­ni­cze­nia. Moim zda­niem bez­pie­czeń­stwo powin­no być defi­nio­wa­ne (wyma­ga­nia) poprzez ryzy­ka, któ­rych chce­my unik­nąć w okre­ślo­nym, biz­ne­so­wo ocze­ki­wa­nym (a nawet zasta­nym) śro­do­wi­sku, a nie poprzez narzu­ca­nie kon­kret­ne­go spo­so­bu i tech­no­lo­gii, w szcze­gól­no­ści przy­mu­su korzy­sta­nia z kon­kret­ne­go sprzę­tu czy oprogramowania.

Na zakoń­cze­nie, tytu­łem małe­go a nie mówi­łem”, moje wcze­śniej­sze arty­ku­ły o cen­tra­li­za­cji z przed lat ;):

  • 1998 rok: A001_Czy_natura_dazy_do_centralnego_przetwarzania
  • 2004 rok: A011_Centralizacja_systemu_informatycznego_podejscie_procesowe

Jarosław Żeliński

BIO: Od roku 1991 roku, nieprzerwanie, realizuję projekty z zakresu analiz i projektowania systemów, dla urzędów, firm i organizacji. Od 1998 roku prowadzę także samodzielne studia i prace badawcze z obszaru analizy systemowej i modelowania (modele jako przedmiot badań: ORCID). Od 2005 roku, jako nieetatowy wykładowca akademicki, prowadzę wykłady i laboratoria (ontologie i modelowanie systemów informacyjnych, aktualnie w Wyższej Szkole Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk w Warszawie. Oświadczenia: moje badania i publikacje nie mają finansowania z zewnątrz, jako ich autor deklaruję brak konfliktu interesów.

Ten post ma 6 komentarzy

  1. Michał Stachura

    bez­pie­czeń­stwo musi być i ma być maksymalne”
    To prze­waż­nie bie­rze się stąd, że pod­czas defi­nio­wa­nia wyma­gań roz­po­czy­na się kon­cert samo­za­chwy­tu” reali­zo­wa­ny przez dzia­ły IT.
    Każdy wsta­wia swo­je trzy gro­sze, każ­dy chce poka­zać co umie i o czym wie, każ­dy uwa­ża, że jego zagro­że­nie jest «hi risk».

    I tak docho­dzi­my do sys­te­mów zabez­pie­cza­nych na wszyst­ko i przed wszyst­kim, nie­uży­tecz­nych i utrud­nia­ją­cych pra­ce. Pomijam skraj­ne przy­pad­ki gdzie fir­ma ope­ro­wa­ła na IE6… bo tak było w stan­dar­dach bez­pie­czeń­stwa jakiejś tam apli­ka­cji a od lat nie było spe­cja­li­sty któ­ry by miał czas się tym zająć i to zmienić. 🙂

    Jest jesz­cze jed­na kwe­stia bez­pie­czeń­stwa w fir­mach, nie­co poza sys­te­mo­wa ale war­ta zazna­cze­nia. Firmy kon­cen­tru­ją się jedy­nie na ogra­ni­cze­niach i zabez­pie­cze­niach sprzę­to­wo-pro­gra­mi­stycz­nych. Całkowicie lek­ce­wa­żąc pre­wen­cję i edu­ka­cje pra­cow­ni­ków w tym zakre­sie, tym­cza­sem powta­rza­ne i aktu­ali­zo­wa­ne raz na pół roku szko­le­nie z zakre­su bez­pie­czeń­stwa dla pra­cow­ni­ków opi­su­ją­ce naj­now­sze zagro­że­na, zmia­ny w pra­wie etc. było­by i jest rów­nie sku­tecz­ne co zabez­pie­cze­nia po stro­nie IT.
    No i wyedu­ko­wa­ni pra­cow­ni­cy są lep­si, bar­dziej wyczu­le­ni na zagro­że­nia. Nie wiem jak z kosz­ta­mi co się bar­dziej opła­ca – to już by trze­ba poli­czyć, nie­mniej w moim odczu­ciu oba te seg­men­ty IT i wie­dzy powin­ny być roz­wi­ja­ne równolegle.

    1. Jaroslaw Zelinski

      Nic dodać nic ująć, co do kosz­tów szko­le­nia vs. szko­dy z powo­du ujaw­nień” to gene­ral­nie nawet poga­dan­ka z zakre­su bez­pie­czeń­stwa jest z regu­ły znacz­nie tań­sza niż szko­dy z powo­du zaniedbań.

  2. jacek2v

    Tak tytu­łem uzu­peł­nie­nia: deba­ta na ten temat pod nazwą kodo­wą BYOD (http://​en​.wiki​pe​dia​.org/​w​i​k​i​/​B​r​i​n​g​_​y​o​u​r​_​o​w​n​_​d​e​v​ice) trwa już conajm­niej rok.
    Moim zda­niem jest to jedy­ny i natu­ral­ny kie­ru­nek. Jeśli obec­nie jed­ną z naważ­niej­szych war­to­ści w biz­ne­sie są rela­cje to bez­sen­sem jest posia­da­nie tele­fo­nu kom. służ­bo­we­go i pry­wat­ne­go. Jak doko­nać tego, aby kon­tak­ty nie emi­gro­wa­ły” razem z pra­cow­ni­kiem to inna kwestia 🙂

    1. Jaroslaw Zelinski

      Odpowiedź na ostat­nie pyta­nie brzmi: tego (nie­emi­gro­wa­nie kon­tak­tów) się nie da zro­bić, jedy­ny spo­sób to nie uza­leż­niać być albo nie być” swo­jej fir­my od kon­tak­tów a od jako­ści pro­duk­tów i usług. Dlatego np. pro­jek­tu­jąc sys­te­my CRM reko­men­du­ję rezy­gna­cję z lokal­ne­go klien­ta ema­il na korzyść klien­ta ema­il” wbu­do­wa­ne­go w CRM, wte­dy kon­tak­ty raczej” nie migru­ją… ale to tyl­ko znacz­ne utrud­nie­nie migra­cji kosz­tem pew­nej ewen­tu­al­nej nie­wy­go­dy”.

  3. Marek

    Mam wra­że­nie, że praw­dzi­wym wyzwa­niem przed jakim sto­ją orga­ni­za­cje to przej­ście z ery PC do ery post-PC, w któ­rej nawet naj­bar­dziej zło­żo­ne pro­ce­sy mogą być obsłu­gi­wa­ne z pozio­mu komór­ki czy table­ta z Androidem. Problem jest zasad­ni­czy i to wca­le nie z tech­no­lo­gicz­ne­go ale socjo­lo­gicz­ne­go punk­tu widze­nia. Taka zmia­na to przede wszyst­kim zmia­na rela­cji wła­dzy na nie­ko­rzyść dzia­łów IT. To przej­ście rodzi i będzie rodzić opór przed imple­men­ta­cją nowych, otwar­tych rozwiązań.

    1. Jaroslaw Zelinski

      Moim zda­niem ta nie­ko­rzyść” dla IT czę­sto pole­ga na tym, że odbie­ra im to wła­dzę wyni­ka­ją­cą nie z ich wie­dzy i pozy­cji, a z ich mono­po­lu jakim jest tyl­ko my to może­my zro­bić”. To rodzaj nowej demo­kra­ty­za­cji. Wyzwanie dla IT pole­ga na tym, że to wymu­sza kom­plet­ną zmia­nę podej­ścia do archi­tek­tu­ry sys­te­mów. Nie moż­na się obra­żać na to, że np. mój tele­fon potra­fi to co potra­fi. Należy po pro­tu uwzględ­nić ten fakt w pro­jek­to­wa­niu archi­tek­tu­ry bo na pew­nie nie uda się zabro­nić posia­da­nia takich tele­fo­nów… wie­le dzia­łów IT czy dostaw­ców opro­gra­mo­wa­nia sobie z tym dzi­siaj kom­plet­nie nie radzi.

Dodaj komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.