U našoj stručnoj javnosti pojavila su se oprečna stanovišta povodom primene Opšte uredbe EU, s obzirom da nismo članica EU. Naime, sa jedne strane postavlja se pitanje da li su naša pravna lica u obavezi da direktno primenjuju Opštu uredbu EU, a sa druge se ističe potreba da naš zakonodavac donese regulativu koja će biti u skladu sa Opštom uredbom i našim pravnim sistemom. Međutim, kako je GDPR regulativa stupila na snagu u maju, odnosno pre nekoliko meseci, tako je praksa u međuvremenu počela da nameće svoja pravila. Tako pojedine kompanije sa sedištem u EU koje sarađuju sa pravnim subjektima u Republici Srbiji dostavljaju modele ugovora koji regulišu prava i obaveze u skladu sa GDPR-om, a u tom ugovornom odnosu naše firme su pozicionirane pretežno kao procesori podataka u odnosu na evropske kompanije. Na ovaj način strane kompanije, naravno, žele da zaštite svoje poslovanje i da deo odgovornosti podele sa partnerima sa kojima sarađuju.

Države van EU i sigurnost ličnih podataka

Postoje odredbe u samoj Opštoj uredbi EU kojima je regulisano prenošenje podataka u treće zemlje i međunarodne organizacije. U određenim slučajevima Opšta uredba EU predviđa postupak prenosa ličnih podataka svojih građana u zemlje van granica EU kako bi, na osnovu procene u skladu sa evropskim standardima sigurnosti ličnih podataka, zaštitila podatke svojih građana. U vezi sa tim, član 45. Opšte uredbe EU uređuje prenose ličnih podataka na osnovu odluke o adekvatnosti. Ovi prenosi podataka o ličnosti u treću zemlju ili međunarodnu organizaciju mogu se vršiti ako Komisija odluči da treća zemlja, teritorija ili jedan ili više konkretnih sektora unutar te treće zemlje ili međunarodne organizacije obezbeđuju adekvatan nivo zaštite podataka. U skladu sa tim, Evropska komisija ima ovlašćenje da na osnovu člana 45. utvrdi da li država koja nije članica EU nudi adekvatan nivo zaštite podataka, kako putem domaćeg zakonodavstva, tako i u pogledu izvršavanja međunarodnih obaveza koje se odnose na tu zemlju.

Postupak usvajanja odluke o adekvatnosti odvija se sledećim redosledom: Evropska komisija daje svoj predlog o državi, potom Evropski odbor za zaštitu podataka daje svoje mišljenje na dati predlog, nakon čega sledi (ne)odobrenje predstavnika država članica EU i na kraju usvajanje odluke od strane evropskih komesara. Efekat takve odluke je da se lični podaci mogu prenositi iz država članica EU u tu treću zemlju, bez dalje zaštite.

Kako Opšta uredba EU i predviđa, Evropska komisija objavila je da je do sada priznala sledeće države i teritorije koje pružaju adekvatnu zaštitu ličnih podataka građana: Andoru, Argentinu, Kanadu (komercijalne organizacije), Farska Ostrva, Gernzi, Izrael, Ostrvo Man, Džerzi, Novi Zeland, Švajcarsku, Urugvaj i Sjedinjene Američke Države (ograničeno na okvir za zaštitu privatnosti). Takođe, navodi se da su u toku razgovori sa Japanom i Južnom Korejom.

Posebno treba naglasiti da ove odluke o adekvatnosti ne obuhvataju razmenu ličnih podataka u sektoru sprovođenja zakona koji su regulisani Policijskom direktivom. U vezi sa ovom oblašću postoje posebni sporazumi koji regulišu prethodno navedenu direktivu.

Domaće zakonodavstvo i zaštita podataka

Iz svega navedenog vidimo da Republika Srbija ne zadovoljava evropske standarde u pogledu bezbednosti podataka. Dokle se stiglo sa našim zakonom o zaštiti podataka o ličnosti? S obzirom da je kod nas donošenje novog zakona o zaštiti podataka o ličnosti u proceduri, tačnije donet je nacrt, koji je do sada menjan par puta, izvesno je da ćemo najkasnije do kraja godine dobiti nov zakon koji će biti u duhu GDPR-a.

Negodovanje i zabrinutost povodom aktuelnog nacrta zakona o zaštiti podataka o ličnosti izrazili su i poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti i Društvo sudija Srbije. U svojim izjavama oni posebno naglašavaju da su države članice EU dve godine pripremale svoj pravni sistem za primenu GDPR-a, odnosno otkako je uredba usvojena do njenog stupanja na snagu, i da joj se i dalje prilagođavaju tokom same primene.

Čitajući predloženi nacrt i upoređujući ga sa Opštom uredbom EU, možemo izvesti zaključak da je našem zakonodavcu ova uredba poslužila kao uzor. „Zbog toga je jasno da Opštu uredbu EU treba razumeti u njenoj celovitosti, imajući u vidu svrhu njenog donošenja i pristupiti donošenju zakona ne tako što će biti prepisana načelna rešenja, već na taj način što će se zakonom uspostaviti takva rešenja koja će omogućiti da zaživi duh Opšte uredbe EU, a da to ne predstavlja smetnju za celovitost i nesmetano funkcionisanje pravnog poretka Republike Srbije“, navodi se u izjavi Društva sudija Srbije.

Za kraj…

Pođimo od sebe, pre svega, i videćemo da je pitanje prava pojedinca na privatnost od velikog značaja. Zato se nadamo da će se naš zakonodavac snaći u ovoj ulozi i biti na visini zadatka, jer bi se dobrim zakonskim rešenjima otklonile mnoge nedoumice. Na ovaj način bi se, pre svega, zaštitila prava građana na privatnost i olakšalo poslovanje privrednim subjektima.

COMING – Computer Engineering nudi zaokruženu uslugu usklađivanja poslovanja sa zahtevima GDPR-a, koja podrazumeva konsultantske usluge, pomoć pri izradi dokumentacije i isporuku adekvatnih tehnoloških rešenja. Ponuda je zasnovana na iskustvu stečenom na projektima usklađivanja poslovanja sa regulativom i posedovanju neophodnih sertifikata za isporuku usluga i tehnoloških rešenja.

Jelena Malešević

The post PRIMENA GDPR-A U SVETU I KOD NAS appeared first on Business&IT.

Godina za nama donela je brojna iznenađenja za poslenike u IT bezbednosnoj industriji, od ponovnog oživljavanja destruktivnih ransomver napada, IoT botneta i malvera za mobilne uređaje, do sofisticiranih multivektorskih napada. Cyber napadi evoluiraju – današnji i budući izazovi ne mogu da se porede sa onima sa kojima smo se sretali u prošlosti.

Mobilni računari omogućavaju nam da sve svoje poslovne aktivnosti obavljamo na identičan način, bilo da smo u korporativnoj mreži ili van nje. U tome nam pomažu pametni telefoni, tableti i cloud infrastruktura, koja daje izvanredne mogućnosti u smislu dostupnosti informacija. Sa druge strane, IoT tehnologija postala je realnost, a sa njom se povećao i broj uređaja dostupnih na internetu (kamere, kućni aparati itd.), formirajući botnet mrežu ogromnih razmera koju je neophodno kontrolisati.

Ako naše poslovno okruženje posmatramo kao jedan zatvoren sistem, u čijem su centru nama vredne informacije, onda vektore napada definišemo kao sve one elemente koji imaju pristup tim važnim podacima.

Evolucija cyber napada

Cyber napadi se danas ubrajaju među tri glavna faktora rizika koji mogu značajno uzdrmati svetsku ekonomiju. Hronološki, evoluciju ovih napada možemo razvrstati u četiri generacije.

Prva generacija cyber napada pojavila se ranih osamdesetih godina 20. veka, sa pojavom prvih personalnih kompjutera, a sa njima i prvih kompjuterskih virusa. Tadašnji virusi prenošeni su floppy diskovima, a hakeri su ih pisali iz radoznalosti ili zabave. Kao odgovor na njih, danas imamo razvijena efikasna antivirusna rešenja.

Drugu generaciju vezujemo za rane devedesete i početak ere masovnog umrežavanja. Sve veći broj računara povezuje se na internet u cilju međusobne komunikacije i deljenja informacija. Međutim, izlaz na internet predstavljao je i potencijalnu pretnju, zbog izloženosti podataka. Kao odgovor pojavila su se rešenja za zaštitu u obliku firewall-a. Firewall predstavlja barijeru između računara i internet mreže, i on kontroliše ko sme da pristupi vašem računaru ili mreži.

Treća generacija cyber napada dolazi s početkom 21. veka, kada su hakeri shvatili da im oni mogu doneti zaradu, počeli bolje da se organizuju i vrše sve sofisticiranije napade. Meta napada postaju bezbednosni propusti u aplikacijama i operativnim sistemima na korisničkim računarima. Kao odgovor na ove izazove pojavila su se IPS rešenja, osmišljena da nas zaštite od bezbednosnih propusta u aplikacijama.

Početkom 2010. godine cyber napadi su dodatno uznapredovali. Sa dolaskom četvrte generacije cyber napada malver postaje izuzetno sofisticiran i po prvi put srećemo se sa slučajevima da hakerske napade sponzorišu države ili velike organizacije. Napadi su detaljno planirani, a za analizu žrtava koristi se društveni inženjering. Maliciozni kod skriven je u naizgled regularnim dokumentima (Word, Exel, JPG ili PDF fajlovi) kakve svako od nas preuzima sa interneta ili putem e-mail-a i aktivira se pokretanjem dokumenta. Kao odgovor pojavila su se sandbox rešenja, koja imaju mogućnost presretanja dokumenata koje preuzimamo. Ovi uređaji primaju i pokreću primljene fajlove u virtuelnom okruženju. U slučaju da detektuju bilo kakvu aktivnost koja bi mogla da ugrozi mrežu, fajlovi se proglašavaju za maliciozne i odbacuju se. Na ovaj način sprečava se mogućnost izvršenja malicioznog koda u vašoj mreži.

Peta generacija: meganapadi

Imajući u vidu dosadašnji razvoj cyber napada, sa razlogom se pitamo šta nam to donosi budućnost. Broj vektora za napad značajno se povećao (IoT, pametni telefoni, prenosni računari, cloud), pa će petu generaciju cyber napada činiti meganapadi. Kako se zaštititi od njih? Jedno je sigurno: potrebno nam je konsolidovano bezbednosno rešenje sa centralizovanim menadžmentom, koje ima mogućnost detekcije širokog spektra vektora napada, bilo da oni dolaze putem IoT uređaja, mobilnih telefona, cloud-a ili bilo kojeg drugog prostora za napad.

Check Point

The post BUDUĆNOST ZAŠTITE OD CYBER NAPADA appeared first on Business&IT.

Pod pritiskom regulative ili jednostavno iz potrebe da obezbede siguran i neometan rad, kompanije postepeno sve više povećavaju ulaganja u zaštitu svog digitalnog poslovanja. U fokusu ovih investicija najčešće je zaštita od spoljnih napada. Međutim, istraživanja pokazuju da su na meti napada na IT sisteme najčešće privilegovani korisnički nalozi. Ovakvi nalozi postoje u svakoj kompaniji i njima se obično ne posvećuje previše pažnje, jer su u pitanju interni korisnici čiji je zadatak često upravo briga o sigurnosti IT sistema, pa se samim tim smatraju osobama od poverenja. Ali ko su zapravo ti privilegovani korisnici u jednoj kompaniji?
Posmatrano iz tehničkog ugla, privilegovane korisnike možemo podeliti u nekoliko osnovnih grupa:

• aplikativni nivo (baze podataka, ERP, CRM i druge poslovne aplikacije);
• OS nivo (Windows/Linux, domen itd.);
• virtuelizacioni nivo (VMware, Citrix itd.);
• hardverski nivo (uređaji za skladištenje podataka, mrežni uređaji i sl.).

Ako zanemarimo tehničke razlike među ovim grupama, na kraju dana sve su to samo ljudi, koji mogu biti odgovorni i korisni radnici, lojalni kompaniji, ali isto tako i nemarni, skloni korupciji, raznim zloupotrebama i promenama raspoloženja, prouzrokovanim dešavanjima u privatnom ili poslovnom životu. Svi oni identifikuju se lozinkama, koje mogu biti ukradene, izgubljene ili jednostavno nedovoljno kompleksne, ponekad čak i identične za većinu privilegovanih naloga. Jer ko danas ima vremena i strpljenja da svako malo smišlja nove kompleksne lozinke za sisteme čiji se broj neprestano povećava? Ne treba zanemariti ni kompleksnost administriranja naloga nakon odlaska ili dolaska novih kolega, kao ni činjenicu da često više različitih ljudi koristi jedan isti nalog (root, admin i dr.).

Kontrola privilegovanih naloga

I pored svih potencijalnih unutrašnjih pretnji, najčešći motiv za uvođenje kontrole privilegovanih naloga jesu spoljni faktori: pritisak regulative, poput npr. GDPR-a, želja za potpunim uvidom i kontrolom rada spoljnih konsultanata, koji su danas neizbežni u bilo kojoj kompaniji, ili jednostavno potreba za dodatnim slojem zaštite od malvera, koji gotovo uvek teži da se dokopa privilegovanih naloga i kroz njih dobije pristup celokupnom IT sistemu kompanije, a onda za njega nema granice.

Jedan od najlakših načina za uvođenje reda i kontrole privilegovanih naloga jesu tzv. PAM rešenja (Privileged Access Management, Privileged Account Management, Privileged Session Management). Glavna zamisao iza PAM rešenja jeste uvođenog centralizovanog sigurnog mesta koje će biti zaduženo za omogućavanje privilegovane upotrebe IT resursa. Najjednostavnija paralela bila bi portirnica na ulazu u zgradu: pre ulaska u zgradu svaki posetilac mora da se prijavi obezbeđenju, identifikuje se i navede razloge svoje posete. Tek nakon toga obezbeđenje mu dodeljuje posebnu ID karticu, koja mu omogućava pristup samo određenim delovima zgrade, u skladu sa navedenim razlozima posete. Upravo na tom principu funkcioniše i PAM: omogućiti korisnicima privilegovan pristup samo tamo gde je potrebno i tačno onoliko koliko treba da se posao završi, naravno uz potpuni nadzor. Baš kao što vas i sigurnosne kamere motre dok se krećete kroz zgradu.

Komponente PAM rešenja

PAM rešenja realizuju se uglavnom kroz dve komponente: komponente za beleženje sesija i komponente za rotiranje lozinki (password rotation). Pojedina rešenja imaju i dodatak u vidu kontrole komunikacije između samih aplikacija i izmene embedded kredencijala u skriptama koje one koriste, ili dodatak u formi softvera koji vrši detekciju privilegovanih naloga i sistema na kojima se oni koriste.

Beleženje sesija podrazumeva praćenje i nadgledanje svih aktivnosti koje su preduzete u okviru sesije, što se kasnije može koristiti i za preglede aktivnosti i revizije. Takođe, ovaj sistem omogućava i kontinualni real-time pregled uspostavljene sesije, uz mogućnost njenog terminiranja.

Rotacija lozinki sprečava korišćenje starih, kompromitovanih ili naloga koje je već trebalo ukinuti. Pomoću automatske rotacije kredencijala realizuje se snažna password polisa i sprečava korišćenje identičnih lozinki na više sistema.

Pošto se na ovim sistemima čuvaju izuzetno poverljivi podaci o svim privilegovanim pristupima, svi fajlovi sa snimljenim sesijama, kao i sve lozinke, moraju se čuvati u enkriptovanom obliku. Svi eksportovani ili bekapovani podaci moraju se učitati nazad na PAM da bi pregled stare sesije bio moguć. Pojedina rešenja praktikuju i korišćenje passphrase-a, koji se mora uneti pri svakom ponovnom pokretanju računara da bi se sistemu moglo pristupiti. Passphrase štiti od mogućnosti da neko prekopira celu mašinu i da, ako zna PAM administratorski nalog, dobije pristup snimljenim sesijama.

Kako odabrati pravo rešenje?

Pri odabiru PAM rešenja treba uzeti u obzir da se ono mora lako prilagođavati promenama u kompanijskom sistemu i da treba da bude jednostavno za implementaciju. Brojne kompanije koje su uvele PAM rešenje sada se suočavaju sa situacijom da ono nije prošireno na sve kritične sisteme, pošto neka od ovih rešenja zahtevaju instalaciju agenta ili je samo dodavanje novih sistema kompleksno. Sa druge strane, zbog navike i brzine administratori često biraju da zaobiđu pristup kroz PAM, što opet narušava sigurnost. Stoga je najbolje da sama arhitektura rešenja bude lightweight i tako olakša skalabilnost, kao i da sam PAM interfejs bude jednostavan za upravljanje i korišćenje. Primećeno je da se administratori najbolje prilagođavaju PAM sistemima koji im omogućavaju korišćenje njihovih native klijenata, kao što su RDP, PuTTY, SecureCRT i dr.

Sem navedenog, ključno je da odabrano rešenje omogućava centralizovano upravljanje i da ima kvalitetno izveštavanje. Iako brošure za sva ova rešenja naglašavaju mogućnost da se u video-formatu pogleda svaki delić administratorske sesije, u realnim uslovima će malo ko imati vremena da redovno pregleda po nekoliko sati snimka. Zato je za PAM važna mogućnost definisanja kvalitetne pretrage, kao i alarma koji će nadležne obaveštavati o sumnjivim radnjama.

Pošto nijedno rešenje nije univerzalno dobro za sva okruženja, odabrali smo da u COMING-ov portfolio uvrstimo dva rešenja iz ove kategorije – Wallix i CyberArk, sa različitim pristupima problemu privilegovanih naloga u pogledu arhitekture i funkcionalnosti. COMING tim stoji vam na raspolaganju da zajedno sagledamo potrebe vaše kompanije, u vašem okruženju testiramo sve moguće scenarije i predložimo najbolje rešenje za vas.

Jasna Jović, Aleksandar Stanojević

The post SIGURNO REŠENJE ZA PRIVILEGOVAN PRISTUP IT RESURSIMA appeared first on Business&IT.

B&IT: Za početak, predstavite nam ukratko rad Centra za reagovanje na napade na informacioni sistem i svoju ulogu u njegovom funkcionisanju.
Nebojša Jokić: Centar za reagovanje na napade na informacioni sistem formalno je uspostavljen u Ministarstvu unutrašnjih poslova u avgustu 2015. godine, a sa radom je počeo u novembru iste godine. Naš Centar je duže od godinu dana bio jedini CERT (Computer Emergency Response Team) u organima javne uprave, i u tom periodu smo, pored redovnih dužnosti, asistirali CERT-ovima iz drugih zemalja u rešavanju incidenata u cyber prostoru kod kojih se izvor incidenta nalazio u Srbiji. Naše primarne dužnosti su monitoring i reagovanje na napade na informacioni sistem Ministarstva unutrašnjih poslova, ali mi, pored toga, obavljamo i niz preventivnih aktivnosti u cilju poboljšanja zaštite sistema, smanjenja potencijalne površine za napad i podizanja bezbednosne svesti zaposlenih.

Za rad Centra neophodne su dobra informisanost o aktuelnim i potencijalnim problemima i saradnja sa sličnim timovima i organizacijama koje mogu pomoći u rešavanju tih problema. Naš Centar nalazi se na listama aktivnih CERT-ova najvećeg evropskog udruženja CERT timova Trusted Introducer, kod kojih smo započeli postupak dobijanja akreditacije, i Agencije Evropske Unije za mrežnu i informacionu bezbednost ENISA. Često učestvujemo na konferencijama u zemlji i inostranstvu, i imamo lične kontakte sa predstavnicima brojnih CERT timova sa svih kontinenata. Imamo intenzivniju saradnju sa nekoliko timova iz zemalja koje su među najrazvijenijima u svetu u oblasti cyber bezbednosti, sa kojima organizujemo uzajamne posete ili tematske radionice.

Moj posao je da obezbedim odgovarajuće uslove za rad i da usmeravam aktivnosti Centra kako bi se postigli najbolji mogući efekti. Posebnu pažnju posvećujem podizanju kapaciteta Centra, izgradnji pravnog okvira, saradnji sa drugim institucijama iz javnog sektora u Srbiji i međunarodnoj saradnji. Aktivno sam učestvovao u izradi svih propisa iz oblasti informacione bezbednosti na nacionalnom nivou, član sam Tela za koordinaciju poslova informacione bezbednosti, član Neformalne radne grupe OEBS-a za cyber bezbednost i nacionalna tačka kontakta Srbije u slučaju incidenata.

B&IT: Kako biste ocenili, u odnosu na region i Evropu, mere koje u Srbiji preduzimamo u cilju zaštite informacionih sistema?
Nebojša Jokić: U poslednje tri godine u Srbiji je napravljen značajan pomak po pitanju pravnog i institucionalnog okvira. Počelo je u januaru 2016. godine, usvajanjem Zakona o informacionoj bezbednosti, a zatim su donete četiri uredbe na osnovu ovog zakona, usvojena je Strategija razvoja informacione bezbednosti, formirano je Telo za koordinaciju poslova informacione bezbednosti, Nacionalni CERT je počeo sa radom i uspostavljena je Inspekcija za informacionu bezbednost. U ovom pogledu, Srbija je stigla i prestigla većinu zemalja regiona. Međutim, problem koji imamo i mi i mnoge druge zemlje je implementacija bezbednosnih mera.

Neke druge, razvijene zemlje znatno su spremnije od nas da reaguju u slučajevima velikih napada na kritičnu infrastrukturu. Institucije sistema formirane su odavno, ljudi su obučeni i uspostavljene su procedure u slučaju incidenata. Međutim, zbog dinamičnosti interneta i globalne dostupnosti svakog korisnika ne mogu se predvideti sve situacije, pa s vremena na vreme u medijima osvanu naslovi o napadima na sisteme u razvijenim zemljama. Posledice ovih napada treba da budu motiv svima nama da poboljšamo bezbednost i izbegnemo da se učimo na sopstvenim greškama.

B&IT: Postoje li precizne informacije o šteti koju hakerski napadi nanose kompanijama u našoj zemlji?
Nebojša Jokić: Mada prema Zakonu o informacionoj bezbednosti IKT sistemi od posebnog značaja imaju obavezu da prijavljuju incidente nadležnom organu, to se u praksi veoma retko dešava. Kompanije prijavljuju incidente policiji ili tužilaštvu onda kada imaju finansijski gubitak i žele da iskoriste sve mogućnosti da povrate izgubljena sredstva. U slučajevima kada su ukradeni ili ugroženi podaci njihovih korisnika kompanije u velikom procentu ne prijavljuju incidente, jer bi time narušile svoju reputaciju i rizikovale velike gubitke. Ovakva praksa nije karakteristična samo za Srbiju, a podaci o šteti objavljuju se tek kada kompanija bude podvrgnuta medijskim pritiscima.

Iz ovih razloga ne postoji tačna statistika ni na globalnom nivou, nego samo procene, koje se kreću od 500 pa sve do 3.000 milijardi dolara štete od cyber kriminala u ovoj godini. Cyber kriminal je najbrže rastuća vrsta kriminala i ne očekuje se promena tog trenda.

B&IT: Koji faktor biste izdvojili kao veoma bitan za bezbedno poslovanje u Srbiji?
Nebojša Jokić: Jedan od ključnih faktora je ljudski faktor. Ako ljudi nisu dobro informisani o opasnostima i obučeni kako da se zaštite, onda će biti ugroženi kako njihovi privatni podaci, tako i informacije kompanija i institucija u kojima rade. Veliki broj napada u današnje vreme počinje od neke vrste socijalnog inženjeringa i može se očekivati da se u bližoj budućnosti nastavi trend rasta broja ovakvih napada. Tek nakon što se metodama socijalnog inženjeringa izvuku određeni podaci ili ostvari pristup sistemu, primenjuju se tehnički metodi i alati za eksploataciju i povećanje dobijenih privilegija.

U Ministarstvu unutrašnjih poslova posvećujemo posebnu pažnju ovom aspektu i uspostavili smo obuku za radnike o opasnostima u cyber prostoru, merama za smanjenje mogućnosti da postanu žrtve zloupotrebe i načinima zaštite svojih i tuđih ličnih podataka. Smatramo da će samo oni koji imaju svest o potrebi zaštite i koji znaju kako da štite sopstvene podatke znati da zaštite i podatke drugih građana.

B&IT: Može li se u bližoj budućnosti očekivati donošenje novog zakona o zaštiti podataka o ličnosti i u kojoj meri će ovaj zakon biti usklađen sa zahtevima GDPR-a?
Nebojša Jokić: Važeći Zakon o zaštiti podataka o ličnosti donet je pre deset godina i razumljivo je da postoji potreba da se on unapredi. Međutim, usaglašavanje oko teksta ovako značajnog zakona nije jednostavno i sigurno će biti dosta polemika oko pojedinih odredaba. U prilog takvom razmišljanju govori činjenica da su i u Evropskoj Uniji u proteklom periodu imali veoma različita mišljenja i da su bile potrebne četiri godine da se postigne saglasnost oko ključnih odredaba GDPR-a.

Mora se imati u vidu da je usklađivanje zakonske regulative jedan od uslova za ulazak u EU i ne dozvoliti da se za koju godinu ovaj proces vrati na početak.

B&IT: Interesuje nas i Vaša procena kada i na koji način možemo da očekujemo proveru usklađenosti poslovanja u Srbiji sa GDPR-om?
Nebojša Jokić: Prema ovoj regulativi, svaka država članica ima obavezu da uspostavi nacionalni nadzorni organ, dok je za nadzor implementacije i obezbeđenje saradnje nacionalnih nadzornih organa nadležan Evropski odbor za zaštitu podataka. S obzirom da Srbija nije članica Evropske Unije, mi nemamo obavezu da sprovodimo odredbe GDPR-a, a takođe ne postoji zakon u Srbiji koji bi takvu obavezu propisao. Za sada nije poznato da li će, ko i na koji način vršiti proveru usklađenosti, ali će takve provere imati smisla tek nakon usvajanja našeg zakonskog okvira usklađenog sa GDPR-om.

Ipak, moram da podsetim da je ova regulativa specifična jer se odnosi i na subjekte van EU. Naše kompanije koje prodaju proizvode preko interneta i pri tome imaju stranice na engleskom jeziku, cene u evrima i pružaju mogućnost da građani EU kupe taj proizvod svakako bi trebalo da dobro prouče odredbe ove regulative.

B&IT: Postoji li onda potreba da naše kompanije i organizacije usaglase svoje poslovanje sa GDPR-om?
Nebojša Jokić: Bez obzira na to što Srbija nije članica EU i što ne postoji domaći zakon koji bi regulisao ovu oblast, savetovao bih sve koji posluju sa građanima EU da i te kako obrate pažnju na ovu regulativu i da usklade svoje poslovanje. Ne smatram da je realno da u bliskom periodu neka od kompanija iz Srbije bude prinuđena da plati zaprećenu kaznu, bez obzira kako se ponašala, ali u trenutku kada Srbija uđe u EU prethodno ponašanje može da bude i te kakav problem.

B&IT: Imate li neku poruku koju biste ovom prilikom želeli da pošaljete svim kompanijama i organizacijama u Srbiji?
Nebojša Jokić: Vodite računa o zaštiti ljudi, informacija i uređaja. Činjenica je da poslovanje zavisi od interneta i da postoje ogromne mogućnosti za delovanje zlonamernih korisnika na internetu. U slučaju napada, mogućnosti za otkrivanje pravih počinilaca nisu velike, a za njihovo kažnjavanje i vraćanje izgubljenog mnogo manje. Investicije u poboljšanje bezbednosti predstavljaju ulaganje u stabilan rad kompanije.
Druga poruka koju bih poslao je da radite na sebi. Posvetite više pažnje svojoj edukaciji i pružite podršku drugima. Bezbednost je obaveza svih nas.

The post BEZBEDNOST JE OBAVEZA SVIH NAS appeared first on Business&IT.

The post ŠTA SE KRIJE IZA AKRONIMA KAAS? appeared first on Business&IT.

Krajem prošlog veka otpočeo je ubrzan razvoj softvera i hardvera za monitoring IT sistema, pre svega IT infrastrukture. Glavni razlog bio je, svakako, sve veći uticaj poslovnih aplikacija i baza podataka na proizvodnju i logistiku u kompanijama koje su ubrzano uvodile ERP sisteme, kao i dinamičan razvoj i usložnjavanje računarskih mreža u kojima su se te poslovne aplikacije izvršavale. Računarski sistemi su „izašli iz podruma“, postali dostupni velikom broju korisnika, koji su počeli razmenjivati dokumente, a u sve većem broju kompanija poslovne transakcije počele su se izvršavati u realnom vremenu. Paralelno, korisnici su postajali „anonimni“, sve veći broj aplikacija dozvoljavao je pristup sa interneta, ubrzano se razvijao e-komerc.

Sasvim je prirodno da su kompanije želele da imaju kontrolu nad svim poslovnim događajima u svojim sistemima. Korisnici i poslovni procesi postali su veoma osetljivi na otkazivanje rada pojedinih delova IT sistema i eventualni gubitak podataka, pa je softver za monitoring počeo da dobija sve značajnije mesto u IT svetu.

Kako se fokus sa hardvera pomerao na korisnike i poslovne aplikacije, otpočeo je razvoj softvera za monitoring aplikacija i baza podataka. Ova grupa softvera omogućila nam je tzv. user experience, mogućnost da vidimo kako se naš IT sistem ponaša iz ugla korisnika. Ako bismo imali još i korelaciju sa infrastrukturom, bilo bi moguće dobiti pouzdane informacije o ponašanju našeg sistema.

Ova priča dostigla je svoj zenit početkom 21. veka. Situacija u Srbiji nije se mnogo razlikovala od one u razvijenijem delu IT sveta. Sa razvojem interneta postale su široko dostupne informacije o proizvodima za monitoring, kojih je bilo sve više, pa se u prvoj dekadi 21. veka sistemi za monitoring pojedinačnih IT infrastruktura ubrzano implementiraju i kod nas.

Osobenost uvođenja sistema za monitoring kod nas je da su inicijatori bili IT sektori u preduzećima, da bi olakšali svoj posao, dok menadžment nije imao suštinska saznanja o toj vrsti softvera i na sve je gledao kao na dodatni trošak. Kao rezultat takvih trendova kod nas i danas imamo prilično neuređeno tržište sistema za monitoring, a zbog želje da se troškovi smanje u mnogim preduzećima uvedeni su neintegrisani sistemi, razni open source programi ili besplatne verzije komercijalnog softvera sa ograničenim mogućnostima.

Upravljivost, kontrola, sigurnost

Ipak, razvoj IT industrije nije čekao i neke važne pojave u IT svetu nisu mimoišle ni nas. Desila se virtuelizacija IT infrastrukture, desio se IT outsourcing, desio se cloud. Sve pobrojano bilo je posledica težnje kompanija da povećaju profitabilnost i efikasnost, a da istovremeno obezbede sigurnost, upravljivost i kontrolu nad svim servisima koje koriste.

Sistemi su postajali sve kompleksniji, a njihovo uvođenje i održavanje sve složenije. U takvoj situaciji moderan sistem za monitoring treba da omogući:

• proaktivno delovanje
• kontrolu troškova održavanja IT sistema
• predvidljivost investicija (pomoć u izradi budžeta)
• kontrolu izvršavanja ugovora o outsourcing-u usluga, aplikacija, infrastrukture
• vezu sa sistemom za tiketing
• vezu sa sistemom za asset management
• ekspertizu o svim značajnim (kritičnim) dešavanjima u IT okruženju kompanije
• bazu znanja o našem IT sistemu, sa posebnim osvrtom na aspekt bezbednosti
• auditing.

Već na prvi pogled jasno je da se ovi zahtevi ne mogu ispuniti jednim „parčetom“ softvera ili hardvera. Potreban je organizovan pristup problemu, dosta znanja i korišćenje više različitih sistema softvera i hardvera da bismo došli do rezultata. U nastavku biće pokazani neki delovi sistema za monitoring koje COMING koristi i nudi svojim korisnicima kao uslugu, a koji daju odgovore na neke od zahteva koje smo postavili.

Runecast Analyzer

Radi se o kombinacija softvera i usluge koja se bazira na ekspertizi timova COMING-a i Runecast-a. Softver je namenjen inspekciji i monitoringu rada VMware okruženja, sa posebnim osvrtom na bezbednost. Kao svi genijalni proizvodi, i ovaj je krajnje jednostavan za upotrebu. Postoji mogućnost offline i online rada, kao i cloud usluge. Pored svih najboljih praksi koje su preuzete od VMware-a, tu je i usluga ekspertize koju pruža COMING Cloud tim.

Neke od mogućnosti Runecast-a:

• operativni i bezbednosni izveštaji u realnom vremenu
• nadgledanje i rešavanje problema sa virtuelnom infrastrukturom
• napredna analiza – platforma pokretana mašinskim učenjem
• laka instalacija – dostupan je OVA
• offline rad – offline storage ograničava izlaganje interne mreže i resursa na internet
• redovni update sistema.

Runecast Analizer se lako implementira u sva VMware okruženja, nezavisno od njihove veličine.

Blue Medora

Nov pristup monitoringu sistema i integracija sa VMware, SAP, Microsoft, Oracle alatima čini ovu firmu posebno inovativnom. O svim proizvodima kompanije Blue Medora možete čitati na kompanijskom sajtu (https://bluemedora.com), a ovde ćemo se pozabaviti jednim od brojnih dodataka za VMware vRealize pod nazivom VMware vRealize Operations Management Pack for SAP. Uz pomoć ovog dodatka moguće je realizovati kompletan monitoring nad SAP sistemima koji su virtuelizovani u VMware okruženju.

Uz Blue Medora vRealize Operations Management Pack for SAP moguće je detaljno analizirati SAP radno okruženje, kao i opterećenja sistema u toku rada. Na taj način postižemo bolje performanse aplikacija, sa mogućnošću da iskoristimo prediktivnu analitiku za bolje planiranje kapaciteta, kao i seriju predefinisanih pogleda i izveštaja koji nam pružaju detalje o radu SAP-a na virtuelnom nivou.

Pored toga, paket za upravljanje karakteriše mapiranje veza između komponenata SAP sistema i komponenata virtuelne infrastrukture, što nam omogućava da jasno razumemo šta bi moglo dovesti do problema. Takođe, to ubrzava pronalaženja uzroka problema i osigurava da krajnji korisnici ne trpe kada se oni pojave. U kombinaciji sa detaljnim upozorenjima i obaveštenjima, uobičajeno spor proces rešavanja problema transformiše se u brzo pronalaženje glavnih uzroka problema i njihovo otklanjanje tako da nema ponavljanja istih grešaka u budućnosti.

Više o rešenjima koja su pomenuta u tekstu možete saznati u direktnoj komunikaciji sa zaposlenima u COMING-u. Uz to, materijali u vezi sa ovim rešenjima prezentovani na 15. COMING IT konferenciji dostupni su na adresi www.konferencija.coming.rs. Za sva ostala praktična iskustva u radu sa pomenutim rešenjima možete nas kontaktirati na e-mail ili direktno. Srećan monitoring!

Slobodan Malbašić

The post MONITORING IT OKRUŽENJA appeared first on Business&IT.