H ndtering av drift operasjoner kap 8
Download
1 / 32

Håndtering av drift/operasjoner (kap. 8) - PowerPoint PPT Presentation


  • 78 Views
  • Uploaded on

Håndtering av drift/operasjoner (kap. 8). Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer)

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Håndtering av drift/operasjoner (kap. 8)' - apollo


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
H ndtering av drift operasjoner kap 8
Håndtering av drift/operasjoner (kap. 8)

  • Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer)

  • God tilgang til Internett er viktig for bedriftens forhold til kunder (når vi selger via e-post og Web må dette være tilgjengelig til enhver tid)

  • Det moderne samfunn er avhengig at teknologien fungerer, backupsystemer hjelper bare i visse tilfeller (ved strømbrudd må de fleste virksomheter stanse)

  • Jo mer automatiske tjenester, jo mer teknologiavhengig er vi (digitale penger kontra kontanter, kort/bestillingsnr kontra papirbillett på fly)

  • Risikoreduksjon (jfr. N. Carr)

  • Så selv drift om kan høres kjedelig ut er det ofte på dette nivået at suksessen til en ny tjeneste blir avgjort (jfr. mange sosiale nett før Facebook)

MS kap 8


Drift
Drift

  • Her skal vi se på:

    • Outsourcing

    • Sikkerhet

    • Katastrofeberedskap (distribuerte systemer)

MS kap 8


Nytt perspektiv
Nytt perspektiv

MS kap 8


Operasjoner drift
Operasjoner (Drift)

  • Ofte en vesentlig del av kostnadene

  • Men mindre nå enn før:

    • bedre utstyr

    • billigere utstyr

    • plug & play

    • bedre programvare

    • og ikke minst – flinkere brukere

MS kap 8


Problemer
Problemer

  • Feil

  • Responstid (Web systemer)

  • Data ikke tilgjengelig

  • Data tilgjengelig, men galt format

  • Fingertrøbbel (brukere)

MS kap 8


L sninger
Løsninger

  • Brannslukking

  • Kjøpe mer utstyr

  • Teste (ikke minst brukergrensesnitt)

  • Dokumentere, måle, kontrollere.

  • Finne de virkelige problemene, løse disse.

  • Standarder og Strategi!

MS kap 8


Outsourcing
Outsourcing

  • Flere muligheter:

    • Driftsstøtte (kjøper ekspertise istedenfor å ha eget personell)

    • Kjøper spesialtjenester (kostbart å holde eget personell oppdatert på alle tjenester)

    • Setter ut tjenester som er så enkle at hvem som helst kan ta seg av disse (f.eks. hjelpefunksjoner, drift av PC, nett, osv.)

    • Outsource alle IT tjenester

    • ASP (Application Service Providers) tilbyr slike tjenester

    • Cloud Computing, tjenester over Internett

MS kap 8


Viktige sp rsm l
Viktige spørsmål

  • Kan vi stole på at vi får de tjenester vi trenger (ressurser, feilretting, stabilitet…)?

  • Vil ASP’en kunne kjøre vår egen programvare, eventuelt de versjonene vi velger

  • Har vi alternativer om vi ikke er fornøyd med servicenivået?

  • Vil data være lagret sikkert?

  • Er det flere eller færre ledd som kan gå galt?

  • Dekker kontrakten med den eksterne leverandøren alle de oppgaver som utføres i dag, eller mister vi noe?

  • Er det uinteressant at vi ikke lengre har denne kompetansen internt?

  • Har vi et system som også vil virke i framtiden?

MS kap 8


Er det forskjell p at
Er det forskjell på at

  • Hvilken bedrift/type som outsourcer IT:

    • SAS

    • Bank

    • Røde Kors

    • Legekontor

MS kap 8


Sikkerhet
Sikkerhet

  • Med Internett etc. åpner vi bedriftens systemer mot omverdenen

  • (vi kan sammenligne med utvikling i butikker, fra disk til selvbetjening)

  • Mange trusler

  • Interne og eksterne krav (for eksempel, lovgiving) for at sikkerhet ivaretas

MS kap 8


Sikkerhet kommer ofte sist
Sikkerhet kommer ofte sist…

  • Utviklingen av biler:

  • 1900-1920 Få utviklet teknologien, driftssikkerhet

  • 1920-1950 Produksjon, overkommelig pris

  • 1950-1970 Design

  • 1970-1990 Driftsøkonomi

  • 1990-2005 Sikkerhet viktig

  • 2005- Miljø

MS kap 8


Ogs slik med datamaskinen
Også slik med datamaskinen

  • 1943-1970 Få utviklet teknologien, kapasitet, driftssikkerhet

  • 1970-1985 Produksjon, overkommelig pris

  • 1985-2000 Funksjonalitet

  • 2000- Sikkerhet begynner å bli viktig

MS kap 8


Typer av angrep
Typer av angrep

MS kap 8


Norske internettbanker
Norske Internettbanker

  • Utsatt for angrep på enkelte konto

  • Kontoer er tappet

  • De nasjonale mellommennene blir tatt

  • Men av de 50 sakene som Kripos etterforsket i 2006 er ingen hovedmenn tatt

  • Høyere sikkerhetsnivå nå (ekstra passord)

MS kap 8


5 pilarer for sikkerhet
5 pilarer for sikkerhet

  • Autentisering

    • Er de den de sier de er?

  • Identifisering

    • Systemer for identifisering, sertifikater

  • Datasikkerhet (beskyttelse mot misbruk)

  • Data integritet (beholde data i original/riktig form)

  • Verifisering av transaksjoner slik at ingen kan nekte for at de deltok i transaksjonen

MS kap 8


Biometri
Biometri

  • Snakket om i svært mange år

  • Muligheter:

    • Fingeravtrykk/håndflate

    • Iris gjenkjenning

    • Stemmegjenkjenning

  • Problemer:

    • Pålitelighet (se f.eks. http://www.youtube.com/watch?v=MAfAVGES-Yc)

    • Kan føles for nærgående

    • Kostbart

MS kap 8


Fortsatt
Fortsatt

  • Pin-koder

  • Passord

  • Kort

  • Spørsmål som bare du kjenner svaret på

  • Med kortleser på alle maskiner kan sikkerhetsnivået økes (brukes i helseetaten)

MS kap 8


Bank id fra web siden
Bank-id – fra Web siden:

  • BankID er en personlig og enkel elektronisk legitimasjon for sikker identifisering og signering på nettet. BankID tilbys av bankene i Norge, ta kontakt med banken din hvis du ønsker å skaffe deg BankID.

  • BankID er basert på en samordnet infrastruktur som er utviklet av banknæringen gjennom BankID Samarbeidet, i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen.

  • BankID er sikkert, og kundene kan være helt trygge når de benytter BankID. Det skriver FNHs adm. direktør, Arne Skauge, og Sparebankforeningens adm. direktør Arne Hyttnes i et brev til finanskomiteen og transport- og kommunikasjonskomiteen på Stortinget. Bakgrunnen er debatten i media om BankID-sikkerheten.

MS kap 8


Er bank id sikker
Er Bank id sikker?

  • En gruppe ledet av professor Kjell Jørgen Hole ved UiB hevder at systemet ikke er sikkert

  • Systemet baserer seg på PKI (Public Key Infrastructure) med en privat og en offentlig løsning

  • Den som disponerer den private nøkkelen kan signere dokumenter, logge inn på kontoer, overføre penger m.m.

  • Av praktiske grunner er den private løsningen lagret sentralt

MS kap 8


Er betalingskortet sikkert
Er betalingskortet sikkert

  • Forskere ved Cambridge har laget en kopling fra en datamaskin til et betalingskort som får terminalen til å tro at transaksjonen skal gå kodefri.

  • Selv om en taster inn feil kode går transaksjonen igjennom

  • Virker ikke der alt går via bankens server

MS kap 8


Problemer med sentral lagring
Problemer med sentral lagring

  • Prinsipielt:

    • Hvordan skal vi forsikre oss om at nøkkelen ikke blir misbrukt av de som oppevarer den (banker, myndigheter)

  • Praktisk:

    • Hvordan skal vi fortelle banken at vi vil bruke nøkkelen?

MS kap 8


Bruk av sentral lagret n kkel
Bruk av sentral lagret nøkkel

  • Vi aksesserer nøkkelen med personnummer, PIN og engangskoder (som med banken i dag)

  • Dvs. vi ”legitimerer” oss på denne måten

MS kap 8


Hva sier hole co
Hva sier Hole & Co

  • Med ”phishing” og ”man in the middle” kan vi lure engangskoder ut av kundene

  • I praksis kan dette gjøres ved:

    • Åpne et falskt grensesnitt på brukerens maskin

    • Fange opp engangskoden (bruke den til vår innlogging i nettbanken)

    • Gi en feilmelding til bruker

    • Fange opp neste engangskode, og så bruke denne som bekreftelse på transaksjonen der vi tømmer kontoen

  • Hole har kjørt vellykkede angrep etter denne oppskriften

  • Problemet vil vokse om bankid skal brukes i mange sammenhenger

  • MS kap 8


    Hva sier bankene
    Hva sier bankene

    • Bank ID er sikkert

    • Hole har ikke vist svakheter i BankID, bare at det finnes ”dumme” brukere

    MS kap 8


    Men

    • Kredittilsynet er bekymret

    • Det hjelper jo ikke om den sentrale del av Bankid er sikkert, dersom det svakeste ledd er hos brukeren

    • Med en lokal lagring av nøkkelen ville mange av disse problemene vært unngått

    • Det kunne i praksis skje ved å ha nøkkelen på et plastkort

    MS kap 8


    Til slutt
    Til slutt

    • Det vi er ute etter er ikke formell sikkerhet men praktisk sikkerhet

    • Vi låser huset med nøkkel, men likevel kan hvem som helst bryte seg inn.

    • Likevel representerer låsen en praktisk sikkerhet.


    Betalingssystemer
    Betalingssystemer

    • Primitive i dag

    • Personifisert sikkerhet er bedre:

      • Ekstra kode i minibank

      • Ikke tillate minibank

      • Åpne for bruk i minibank med kode på mobilen

      • Unngå kode i butikker du bruker ofte

      • Unngå kode for småbeløp

      • osv.


    Teknikker for sikkerhet
    Teknikker for sikkerhet

    PC-MCIA

    Sikkerhet for trådløse system.

    MS kap 8


    Men sikkerhet er vanskelig
    Men, sikkerhet er vanskelig

    • Systemene er store og komplekse

    • Der vi ellers kan teste for å se om funksjonene virker er det ikke like lett når det gjelder sikkerhet

    • For skurkene gjelder det å finne svakeste leddet i kjeden

    • Mye av de samme problemene som vi har med militære forsvarsannlegg:

      • Hva hjelper de å ha en sterk linje på grensen mellom Tyskland og Frankrike når tyskerne kjører tanks gjennom Belgia i 1940.

      • Tyskland visste at det kom en invasjon i 1944, men hvor kommer den?

    MS kap 8


    Vil vi v re helt sikre
    Vil vi være helt sikre

    • Unngå å lagre konfidensielle data

    • Kun lagre i systemer som ikke er koplet til Internett

    • Men dette begrenser bruken

    • Imidlertidig kan det være en god løsning å avgrense deler av systemet

    MS kap 8


    Katastrofeberedskap
    Katastrofeberedskap

    • Interne ressurser:

      • Backup av data

      • Flere datasentre

      • Distribuerte systemer

      • Backup nett (redundans eller alternative samband)

      • LAN, server farms, etc. (f.eks., CNN under terrorangrepet på World Trade Center)

      • Testing er viktig

    • Eksterne ressurser:

      • Egne leverandører av backup tjenester

      • Samarbeid med andre institusjoner (i forskj. tidssoner?)

    MS kap 8


    Backup
    Backup

    • Flere kopier av filer

    • På forskjellige steder

    • Forskjellige versjoner

    • Viktig:

      • Kontrollere at backup virker

      • Rutiner på innlasting fra backup

      • Gjennomgang på hva som kan skje – ”worst case” scenario

    MS kap 8


    ad