IGÉNY- ÉS PORTFOLIÓMENEDZSMENT

Átírás

1 INFORMÁCIÓMENEDZSMENT 6. HÉT (11. ÓRA) IGÉNY- ÉS PORTFOLIÓMENEDZSMENT Dr. Danyi Pál Egyetemi docens, BME, I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 1

2 IT MENEDZSMENT MODELLJE IT Stratégia + Pénzügyi tervezés (Üzleti) Igény- és portfoliómenedzsment (IT) Igény- és p.men. IR TERVEZÉS (PLAN) IR FEJLESZTÉS (BUILD) IR MŰKÖDTETÉS (RUN) I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 2

3 IGÉNY Példa 1. (VÁLTOZTATÁS) Webshop rendszer illesztése a CRM rendszerhez Határidő: 4 hónap Fontosság (Prioritás): 3/5 Példa 2. (ÚJ BESZERZÉS) Adobe Illustrator beszerzése 20 felhasználónak Határidő: 1 hónap Fontosság (Prioritás): 2/ I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 3

4 IGÉNYMENEDZSMENT ALAPFELADATA ÜZLETI IGÉNYEK 100 MFt RENDELKEZÉSRE ÁLLÓ PÜ FORRÁS 60 MFt? I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 4

5 IGÉNYEK PRIORIZÁLÁSA ÜZLET Üzleti vezető Üzleti szakértők IGÉNY IT Key Account Manager Igénymenedzser Projekt vezető Üzleti elemző I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 5

6 IGÉNYMENEDZSMENT CÉLJA A különböző üzleti területek igényeit (akár több százat) összehasonlítani és sorrendezni, átlátható folyamat mentén. Eközben: Az üzleti stratégiát, célokat, és prioritásokat figyelembe venni Az üzleti területekkel egykapus kapcsolattartás (SPOC) Üzleti elégedettség növelése Azonosítani az üzleti és IT kockázatokat (nem készül el időben, prioritás szerint) Meglévő fejlesztési folyamatokhoz illesztés I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 6

7 IGÉNYMENEDZSMENT TEVÉKENYSÉGE Definiált igények összegyűjtése: leírás + ütemezés Egyeztetés az üzleti területekkel (KAM: Key Account Manager) Igények elemzése Konszolidálása, harmonizálása Első priorizálás: prioritás pontok meghatározása Projekt indítás: projekt vezető kinevezés Igény prioritás és végső elfogadás: üzleti érték (BV) sorrend vállalási határidő, várható költség I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 7

8 KIADÁSOK, VERZIÓK (RELEASE-EK) MENEDZSELÉSE Release: Szoftver módosítások összegyűjtött, csoportos, együttes fejlesztése és élesítése Miért? Komplex rendszerek együtt kell működjenek Egyszerre tesztelni minden változtatást Átlátható, ütemezhető menetrend Jogi megfelelés (pl. ügyfél tájékoztatás határidőre) I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 8

9 PORTFOLIÓMENEDZSMENT CÉLJA Futó projektek folyamatos menedzselése, monitorozása a legfontosabb szempontok szerint: projektterv szerinti előrehaladás (időzítés szerint) költségek felhasználása Jelentések készítése Lemaradás esetén eszkaláció, okok feltárása, javaslat a korrekcióra Átütemezések, transzferek az egyes projektek között I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 9

10 INFORMÁCIÓMENEDZSMENT 6. HÉT (11. ÓRA) BEVEZETÉS AZ INFORMÁCIÓBIZTONSÁGBA Dr. Danyi Pál Egyetemi docens, BME, I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 10

11 VÁLLALATI INFORMATIKAI MŰKÖDTETÉSI TEVÉKENYSÉGEK A) Informatikai szolgáltatások Ügyfél : Vállalat üzleti területei, alkalmazások felhasználói Egyes rendszerekre, alkalmazásokra, felhasználókra külön-külön vonatkozik B) Üzemeltetés, karbantartás Ügyfél : Informatikai üzemeltetés szervezete Az összes rendszerre, alkalmazásra (a teljes informatikára ) egységesen vonatkozik C) IT biztonság és üzembiztonság Ügyfél : Egész vállalat összes szervezete Az összes rendszerre, alkalmazásra egységesen és külön-külön is vonatkozik I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 11

12 LEHALT A FÉL INTERNET A masszív túlterheléses - DDoS - támadás az egyik legnagyobb internetszolgáltató, a Dyn nevű vállalat ellen zajlik, ami miatt olyan oldalak elérhetetlenek, mint a Netflix, Amazon, Airbnb, Paypal, Github, Reddit, a Spotify, vagy a Twitter. Főleg azért különösen hatékony, mert a Dyn tartomány-névrendszerekkel (DNS) foglalkozik, melyek a tartománynevek IP címmé alakításáért felelősek. Gyakran használják az "internet telefonkönyve" hasonlatot, mert ennek segítségével lesznek a nehezen megjegyezhető számkupacokból egyszerű weblapcímek I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 12

13 C) ÜZEMBIZTONSÁGI TEVÉKENYSÉGEK Az üzembiztonsági tevékenységek célja és feladata kielégíteni az Üzlet (szervezet) biztonsági követelményeit: 1. Bizalmasság (Confidentiality) 2. Sértetlenség (Integrity) 3. Rendelkezésre állás (Availability) I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 13

14 IT ERŐFORRÁSOK ÉS BIZTONSÁGI KÖVETELMÉNYEK 1. ADATOK 2. ALKALMAZÁSOK (ALKALMAZÓI RENDSZEREK) 3. TECHNOLÓGIA (INFRASTRUKTÚRA) 4. LÉTESÍTMÉNYEK 5. EMBEREK (HUMÁN ERŐFORRÁS) Bizalmas. Sértetlen. Rendelk I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 14

15 BIZALMASSÁG MENEDZSMENTJE Célja: adat, információ ne kerülhessen illetéktelen kezekbe Megsértését nehéz érzékelni Megvalósítás - Titokvédelem (erőforrások megfelelő titkossági osztályokba sorolása): Nyilvános, Bizalmas, Titkos, Szigorúan titkos - Adatvédelem (Személyes adatok védelme) Adatbiztonság (információbiztonság) - erőforrások biztonsági (védelmi) osztályba sorolása - hozzáférési jogosultságrendszer kialakítása és működtetése - megfelelő erősségű titkosítási algoritmusok alkalmazása - megfelelő szintű szabályozás: tudatosság növelés, elrettentés I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 15

16 SÉRTETLENSÉG (INTEGRITÁS) MENEDZSMENTJE Célja: adatok, információ tartalma ne sérülhessen, módosulhasson illetéktelenek által (hamisítás, módosítás, csonkítás, stb.) Megsértését nehéz érzékelni Megvalósítás: - titokvédelem - adatvédelem - megfelelően védett adattovábbítási csatornák (hálózat biztonság) - megfelelően erős titkosítási algoritmusok - hitelesség biztosításai (digitalis aláírás) - hozzáférési jogosultságrendszer kialakítása és működtetése I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 16

17 RENDELKEZÉSRE ÁLLÁS MENEDZSMENTJE Célja: erőforrások rendelkezésre állásának elvárás szerinti biztosítása Hiányát minden felhasználó egyénileg érzékeli Rendelkezésre állási % = rendelkezésre állás / elfogadott szolgáltatási időszak, pl. 4 kilences: 99.99%, 1 évben 52,5 perc kimaradás, 3 kilences: 8 óra 46 perc Megvalósítás: - Fizikai biztonság: védett objektumok, beléptető rendszerek, védett emberi erőforrás - Redundáns rendszerek - Optimalizálni az arányt a megelőző és javító jellegű karbantartás és a hibák okozta költségek között I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 17

18 RENDELKEZÉSRE ÁLLÁS SZINTJEI Az adatközpontok megbízhatósága, a rendelkezésre állás szintje szerint az ANSI-TIA- 942 szabvány Tier-osztályokat definiál. A négy Tier-osztály a rendelkezésre állás négy fokozatát definiálja, a legfontosabb összehasonlító adatok: TIER 1 TIER 2 TIER 3 TIER 4 Alap (nincsenek tartalékok) Tartalékokkal Áramellátás, hűtés Általános Általános Tartalékok (alap: N) N (nincs tartalék) Egyidejűleg fenntartható 1 aktív+1 tartalék Hiba toleráns 2 aktív N+1 N+1 2x(N+1) Kivitelezési idő (hónap) Karbantartás Leállással Leállással Leállás nélkül Leállás nélkül Relatív létesítési költség 1,00 1,50 2,00 2,50 Üzemszünet (óra/év) 28,8 22 1,6 0,4 Rendelkezésre állás % 99,671 99,749 99,982 99, I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 18

19 IT ERŐFORRÁSOK ÉS BIZTONSÁGI KÖVETELMÉNYEK Bizalmas. Sértetlen. Rendelk. 1. ADATOK 2. ALKALMAZÁSOK (ALKALMAZÓI RENDSZEREK) 3. TECHNOLÓGIA (INFRASTRUKTÚRA) 4. LÉTESÍTMÉNYEK 5. EMBEREK (HUMÁN ERŐFORRÁS) X X X X X X X X I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 19

20 BIZTONSÁGI OSZTÁLY ÉS BIZTONSÁGI SZINT A 38/2011 korm. rendelet szerint az egységes szociális nyilvántartás, a nyugdíjbiztosítási és egészségbiztosítási nyilvántartások a NEMZETI ADATVAGYON körébe tartoznak. A évi L. törvény alapján A szervezet elektronikus IR-it - adatszintű megközelítéssel - a bizalmasság, sértetlenség és rendelkezésre állás elve szerint 1- től 5-ig terjedő skálán biztonsági osztályba sorolja. A fejlesztést végző, üzemeltetést végző, üzemeltetésért felelős és információbiztonságért felelős szervezeti egységeket - ha ezek az érintett szervezetnél léteznek - 1-től 5-ig terjedő skálán külön biztonsági szintbe sorolja I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 21

21 IT BIZTONSÁG FENYEGETETTSÉG Olyan állapot, amelyben az erőforrások biztonsági követelményeinek (C, I, A) biztosítása (akár egyenként, akár együtt) veszélybe kerül vagy nem tartható fenn Példák: Fennakadás az adatszolgáltatásban Nem megfelelő megelőző karbantartás Rosszindulatú, tudatos károkozás Egyéb (szabályozatlanság, mulasztás, mentés hiánya, stb.) Katasztrófa I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 22

22 IT BIZTONSÁG FENYEGETETTSÉG A fenyegetettség mértékét a teljes biztonsági rendszer együttesen szabja meg Veszélyforrás Bekövetkezés (Támadás) HR IT Más C I A Erőforrások védelme biztonsági követelmények szerint (Sebezhetőség + Védekezés) Következmény (Hatás) $ Kár I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 23

23 VÉDELMI INTÉZKEDÉSEK (VÉDEKEZÉS) Fizikai + logikai komponensekre + adminisztrációra A kialakítandó védelmi rendszer legyen: A jogszabályban foglalt védelmi előírásokkal összhangban Adatvédelmi Törvénnyel összhangban Legyen felderíthető az illetéktelen hozzáférés (loggolás) Az adatbiztonsághoz köthető költségek legyenek arányban azok értékeivel Olyan eljárásra van szükség, ahol egy adott folyamat kiesése esetén is működőképes marad a rendszer A védelmi rendszer minimális pluszterhet jelentsen a felhasználók számára I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 24

24 NULLADIK NAPI (0-DAY) TÁMADÁS ILL. SEBEZHETŐSÉG Hacker (Szakértő) Felfedezi a hibát és kiszivárogtatja Hacker (Támadó) Támadást tervez és indít (exploit) Sebezhetőségi ablak Fejlesztő Sebezhetőség (bizt. rés) detektálva Javít, foltoz (patch) Patch elkészül és közzéteszi Kitudódik a sebezhetőség (valaki által) 0. nap vége I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 25

25 IT BIZTONSÁG DOKUMENTUMAI Üzletmenet Folytonossági Terv (BCP Business Continuity Plan) Informatikai Katasztrófaterv (DRP - Disaster Recovery Plan) Informatikai Biztonsági Politika (IBP) Az IT biztonsággal kapcsolatos vezérelveket tartalmazza. Deklarálja azokat az irányelveket, amelyek alkalmazása biztosítja a szervezet hosszú távú elégséges informatikai biztonságának elérését és fenntartását. Informatikai Biztonsági Szabályzat (IBSZ) Védelem általános követelményei és intézkedéstervek Általános jelszóvédelem Biztonsági tudatosság elemei (awareness) Adatnyilvántartásra vonatkozó előírások Felelősök, szankciók, tárgyi feltételek, stb. Adatvédelmi és Információszabadsági Szabályzat Adatvédelem: személyes adatok védelme Információszabadság: közérdekű adatok nyilvánossága Rendszerszintű Informatikai Biztonsági Szabályzat (RIBSZ) IT rendszerek, kritikus alkalmazások biztonságos működtetésének konkrét követelményei I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 26

26 BCP ÉS DRP ÖSSZEHASONLÍTÁSA BCP DRP Közös, harmonizált HATÁSELEMZÉS és KOCKÁZATELEMZÉS elkészítése előzi meg Üzleti jellegű Informatikai jellegű CEO felel érte CIO felel érte Összes kritikus folyamatra kiterjed IT folyamatokra és eszközökre főleg Folyamati tesztelés Technikai tesztelés Évente-kétévente tesztelendő Évente tesztelendő I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 27

27 IT KATASZTRÓFATERVEZÉS Megelőzési terv (felkészülés): Hatáselemzés: milyen esemény, milyen mértékű, milyen hatás Kockázatelemzés: bekövetkezési valószínűség és hatás együttes vizsgálata Megelőzés: adatmentés, biztonságos helyen, pótgépek, bekövetkezés valószínűségének csökkentése Informatikai Katasztrófaterv (DRP - Disaster Recovery Plan) 1. Követelmények 2. Katasztrófaterv akciótervei a) Visszaállítási terv: szolgáltatásokat a háttér felhasználásával újra kell indítani (esetleg korlátozottan) b) Helyreállítási terv: a szolgáltatásokat az eredeti helyen kell újraindítani (teljes értékűen) ÉVENTE TESZTELENDŐ! I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 28

28 Köszönöm a figyelmet! I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 29