VAŠ-IT-SEKTOR-–-DOBRA-ILI-LOŠA-INVESTICIJA

VAŠ IT SEKTOR – DOBRA ILI LOŠA INVESTICIJA

Ko su ti ljudi koji zaslužuju da im se predaju ključevi svih računarskih sistema, mrežne opreme, osetljivih podataka i ostalih delova IT sistema Vaše firme?

 

Autor: Saša Tričković

 

Razvoj IT sektora i bezbednost informacija je stalno prisutna tema u javnosti, ali i u kompanijama/institucijama. Svaka moderna mala ili velika firma rasplolaže računarskim hardverom, mrežnom opremom, sopstvenim ili iznajmljenim serverskim sistemima, odnosno podacima i neophodnim poslovnim softverom.

U nekoj firmi ili instituciji IT sektor podrazumeva skup računarskih sistema i mreža koji su neophodni za čuvanje, obradu i razmenu podataka, odnosno informacija koje predstavljaju osnovno sredstvo potrebno za svakodnevno funkcionisanje te kompanije. Stručnjak za IT je osoba čiji je zadatak da održava i unapređuje IT sisteme.

Savremene organizacije ulažu veliki novac u IT, pa je normalno da na tu investiciju gledaju sa puno očekivanja, ali i sumnje. Logično se nameću izvesna pitanja. Da li sopstvenu investiciju treba održavati? Da li i kako je treba razvijati? Da li i kako treba štititi poverljivost ili integritet podataka? Sva postavljena pitanja su sasvim ispravna i na mestu.

U većini slučajeva privatne firme orijentisane su na zaštitu poverljivosti svojih podataka, dok javne kompanije u većoj meri štite integritet i dostupnost podataka, jer su oni dobijeni zbog nekog opšteg interesa, sa mogućnošću da budu dostupni kako privatnim tako i javno-pravnim subjektima.

Kako uglavnom funkcioniše IT

Svaka moderna kompanija zapošljava bar jednog IT stručnjaka, obično kao sistem administratora, IT inženjera, ili inženjera za održavanja IT sistema – u zavisnosti od načina organizacije. Obično su IT inženjeri raspoređeni u neku organizacionu jedinicu, sa šefom koji nije stručan za tu oblast. Iznad u hijerarhiji firme je top menadžment – direktori firme.

Na prvi pogled, reklo bi se da je posao normalno organizovan. Vertikalna komunikacija funkcioniše najčešće usmeno, telefonski, ili u pisanoj formi. Postoje propisane procedure kada se problemi pojave, a oni se rešavaju bez uplitanja menadžmenta. Ukoliko je potrebno rešiti neki od zahteva koje menadžment mora da ispuni, vertikalno prosleđivanje zadataka funkcioniše – i stvari se rešavaju.

Ali da li i kako funkcioniše razvoj? U slučaju potrebe za zamenom ili nabavkom, služba koja se bavi IT sistemima pravi predlog i predaje menadžmentu na razmatranje. Menadžment sagledava potrebe, planira sredstva, informiše se o detaljima sistema, daje svoje predloge, predlaže manja ili veća sredstva, odlaže ili ubrzava, uglavnom bavi se onim o čemu uglavnom ima malo saznanja. Služba za IT onda radi analize, daje druga rešenja, korekcije – uglavnom ubeđujući menadžment i čekajući konačnu odluku sa kojom će morati da se pomiri.

Adaptacija_čuvenog_Dilberta Adaptacija čuvenog Dilberta (www.dilbert.com)

Jedan od prvih problema nenadano se može pojaviti upravo tu. Služba koja se bavi IT sistemom pretvara se u korisnički servis – koristi se za rešavanje dnevnih problema i zahteva koji se gomilaju. Zbog toga nema razvoja i planiranja koji bi trebalo da dolaze od IT sektora. Još jedan mogući problem je isprepletana nadležnost. On se pojavljuje postojanjem više organizacionih jedinica koje se bave, ili imaju određene nadležnosti nad IT sistemima u kompaniji. Pojavom različitih nadležnosti, javlja se potreba za utvrđenim procedurama – ko, šta, kako i kada nešto radi. Ulaskom u procedure, ulazi se u algoritam koji ima jasne ulaze/izlaze. Ukoliko nešto nije definisano, odnosno procedura za to ne postoji – javlja se potreba da menadžment odluči kako će neki posao biti obavljen. To samo usporava proces, jer stvari i dalje funkcionišu.

Ali ukoliko se pojavi razvoj, nabavka, promena, nju planira i sprovodi samo jedna organizaciona celina – bez da se druga celina koja ima neku nadležnost nad sistemom u to uključi. Onda to nije planirani, već kratkoročni razvoj, ili ispunjenje nekog zahteva. Treći problem su parcijalni zahtevi i potrebe koji se moraju ispuniti. Određene organizacione celine ili menadžment mogu doneti odluku da se izvrši određena nabavka, dopuna ili promena na sistemu zbog određene urgencije.

Međutim, usvajanje principa BYOD (engleska skraćenica za „Bring your own device“) odnosno da zaposleni donesu sopstvene uređaje kao što su laptopovi, tableti i mobilni telefoni, na radno mesto i koriste ih u svakodnevnim poslovnim aktivnostima nije dobro rešenje.

 

Šta promeniti i kako organizovati IT sekor

Savremene informacione tehnologije se ubrzano i stalno razvijaju. Pretnje po bezbednost informacija javljajuju se svakodnevno, pa je neophodno delovati brzo i odlučno. Zašto ne ubrzati sistem donošenja odluke, način komunikacije – zapitao bi se neko iz menadžmenta kompanije čiji IT želimo da unapredimo, ili čitalac ove rubrike. Odgovor je jednostavan. Osnovne stvari – bezbednosna promena ili nužna intervencija na hardveru ne može i ne bi smela biti predmet obrazlaganja IT inženjera bilo kom nadređenom iz menaždmenta, jer obrazlaganje i ubeđivanje da se donese potrebna odluka može drastično da uspori proces nalaženja i primene rešenja ili ispravke. A to može da ugrozi neki vitalni segment IT sistema ili bezbednost podataka.

Zato je najsigurnije i najoptimalnije da odlučivanje i preduzimanje koraka u oblasti informacionih tehnologija, ili bar najveći deo nadležnosti u toj sferi, bude direktno podređeno posebnoj organizacionoj jedinici koja će se ovim poslovima baviti. Ta organizaciona jedinica, sastavljena od par ili više IT inženjera bila bi direktno podređena samom vrhu kompanije – direktoru, ali bi imala i direktnih nadležnosti koje bi sprovodila samostalno, bez pravdanja odluke top menadžmentu.

Ovo je zaista diskutabilan stav – složićete se. Ovde možemo da se zapitamo kakvi su ti ljudi koji zaslužuju da im se predaju ključevi računarskih sistema, mrežne opreme, osetljivih podataka i ostalih delova IT sistema. Na vrlo jednostavno pitanje, koje cilja u srž stvari i direktno preispituje predlog ključne promene u organizaciji jedne kompanije, treba dati ubedljiv odgovor. Ali pre toga mora se odgovoriti na sledeća pitanja: Ko je stvarno zadužen za IT? Da li svaki radnik, inženjer, rukovodilac, ili neka druga osoba od uticaja na menadžment? Ko može da predlaže promenu ili nabavku IT opreme, promenu ili dostupnost podataka? Da li se ad-hoc kreiraju procesno orijentisani timovi (radne grupe, komisije) koji donose odluke u sferi IT-a? Da li u kompaniji postoji strategija za razvoj i nadležnosti IT-a?

Priznaćete – svaki odgovor koji pripremite, pobudiće sumnju da li Vaš IT sektor ide u pravom smeru, ili se neki problemi vrte u beskonačnoj petlji odluka više menadžera. Da li je „ovo moje“, a „ono tvoje“ po pitanju IT sektora? Zašto sam ja kao deo top menadžmenta to dozvolio? Niste pogrešili, vreme je za promenu!

Čovek koji bi trebalo da donosi odluke te vrste mora biti osoba od poverenja. Sjajno, ali Vi u svom okruženju nemate osobu od poverenja sa neophodnim znanjima. I to je za očekivati. Kako ćete onda postupiti? Uzećete kvalifikovanog IT stručnjaka sa potrebnim znanjima i eventualno sertifikatima (nisu svi stručnjaci skloni da se sertifikuju). Ukoliko se odlučite za sertifikovanog inženjera, on bi trebalo da poseduje diplomu nekog državnog fakulteta (ETF, Elektronski fakultet), neki od CISCO sertifikata (CCNA, CCNP, Security), CISSP sertifikat, ili (ako uspete da ih nađete) Offensive Security sertifikate (OSCP, OSCE). IT stručnjake uvek možete proveriti po preporukama koje donose, možete proveriti njihov rad na internetu ili na profesionalnim društvenim mrežama (LinkedIn).

Za sve funkcionalne nadležnosti IT sektora u kompaniji, kao i vitalnih pitanja za bezbednost informacija potreban je poseban tim da upravlja gore pomenutim kapacitetima. Tim nadležan za IT i Security mora biti:

  • Nezavistan;
  • Mora kreirati obuke i treninge zaposlenima u kompaniji kako bi ti zaposleni mogli da prate dinamiku promena u tehnologijama;
  • Mora kreirati pravce obuke svojih članova;
  • Mora biti uključen u sve procese nabavke hardvera ili softvera za Vašu kompaniju, odnosno da je njegova reč je presudna.

Čovek ili tim koji je zadužen za IT treba da ima široki spektar samostalnog odlučivanja. Naravno, ogromna ovlašćenja zahtevaju da njegov rad mora biti u potpunosti transparentan i potkrepljen izveštajima o radu. To ljudima u ovoj oblasti nije strano, i ne predstavlja im opterećenje. Upravo je inženjer velikih mogućnosti po pravilu transparentan. Najveća muka je na menadžmentu – da prelomi i ovim ljudima ustupi mogućnost odlučivanja i autonomiju u toj sferi rada. Jedino tako Vaša firma kretaće se napred, mnogo brže i efikasnije, a samim tim i bezbednije. Vaš IT sektor tako će predstavljati pametnu i isplativu investiciju.

2 Comments

Ostavite odgovor