Μετάβαση στο κύριο περιεχόμενο
Είσοδος |
  Βοήθεια (νέο παράθυρο)

Δωρεάν ενημέρωση και γνώση από τη SeCure

Αναζήτηση
SeCure
SeCure News Blog
MSMS4U
  

Κατηγορίες
Dr. VirKill
Mr. HackIt
Sir DoRight
Prof. NumberTalk
Mrs Many Whys
Νίκος Βασιλειάδης
Άλλα ημερολόγια Web
Δεν υπάρχουν στοιχεία σε αυτήν τη λίστα.
Συνδέσεις
Φωτογραφίες
Αρχειοθέτηση
Αρχειοθέτηση (Ημερολόγιο)
Τεχνογνωσία στην Πληροφορική > Δωρεάν ενημέρωση και γνώση από τη SeCure

15/4/2011

Εταιρική Διακυβέρνηση

Το επιχειρείν ήταν πάντοτε και εξακολουθεί να είναι μια συνεχής διεργασία διαχείρισης κινδύνων και εκμετάλλευσης ευκαιριών. Οι δυο αυτές έννοιες είναι συνυφασμένες με την αβεβαιότητα και μέσα σε αυτές τις συνθήκες κάθε επιχείρηση προσπαθεί να επιτύχει τους στόχους της μέσα στους οποίους, και ειδικά στις δύσκολες εποχές που διανύουμε σήμερα, δεν μπορεί παρά να είναι και η διατήρηση της εμπιστοσύνης του επενδυτικού (και όχι μόνο) κοινού απέναντί της. Η εδραίωση αυτής της εμπιστοσύνης καθώς και η απρόσκοπτη επίτευξη των στόχων περνά απαραίτητα μέσα από τη χρηστή εταιρική διακυβέρνηση η οποία θα πρέπει να στηρίζεται σε σωστές βάσεις και οι αρχές της να διαχέονται στο σύνολο του προσωπικού.

Σε διεθνές επίπεδο το θέμα της εταιρικής διακυβέρνησης έχει διερευνηθεί διεξοδικά και έχει οδηγήσει σε μια σειρά κωδίκων και πλαισίων και στις δυο πλευρές του Ατλαντικού. Από την άλλη πλευρά, μια σειρά από δυσάρεστα συμβάντα στο διεθνή χώρο των επιχειρήσεων ανάγκασαν τις κυβερνήσεις να νομοθετήσουν σχετικά και να επιβάλουν τις αρχές της εταιρικής διακυβέρνησης στο σύγχρονο επιχειρείν. Προς αυτή την κατεύθυνση κινήθηκε και η Ευρωπαϊκή οδηγία 2006/46/ΕΚ η οποία υποχρεώνει τις εταιρείες των οποίων οι μετοχές ή κινητές αξίες διαπραγματεύονται σε οργανωμένη αγορά να υποβάλουν μαζί με τα αποτελέσματά τους και δήλωση εταιρικής διακυβέρνησης. Η οδηγία αυτή ενσωματώθηκε πρόσφατα στην ελληνική έννομη τάξη με το Ν.3873/2010.

Η δήλωση εταιρικής διακυβέρνησης κατ’απαίτηση του νόμου θα πρέπει να περιλαμβάνει μεταξύ άλλων:

1.       Αναφορά στον κώδικα εταιρικής διακυβέρνησης στον οποίον υπάγεται η εταιρεία ή τον οποίον έχει αποφασίσει αυτοβούλως να εφαρμόζει και τον τόπο στον οποίο δημοσιοποιεί το σχετικό κείμενο.

2.       Αναφορά στις πρακτικές εταιρικής διακυβέρνησης που εφαρμόζει η εταιρεία επιπλέον του νόμου και παραπομπή στο διαδικτυακό τόπο όπου τις έχει δημοσιοποιήσει.

3.       Περιγραφή των κύριων χαρακτηριστικών των συστημάτων εσωτερικού ελέγχου και διαχείρισης κινδύνων της εταιρείας σε σχέση με τη διαδικασία σύνταξης των χρηματοοικονομικών καταστάσεων.

Στα πλαίσια των παραπάνω αποκτά ιδιαίτερη σημασία /ενδιαφέρον  η πρόσφατη ολοκλήρωση του Κώδικα Εταιρικής Διακυβέρνησης του ΣΕΒ για τις Εισηγμένες Εταιρείες (βλ. σχετικά  στην ιστοσελίδα www.sev.org.gr) , ο οποίος  αποτελεί μια πλήρη και συγκροτημένη προσέγγιση του θέματος από τον ΣΕΒ και μπορεί να χρησιμοποιηθεί από τις εισηγμένες προκειμένου, μεταξύ των άλλων,  να ανταποκριθούν στις νομοθετικές απαιτήσεις.

Δεν θα αναφερθώ εδώ στην ανάγκη ορθής εταιρικής διακυβέρνησης αγαπητοί αναγνώστες διότι το θέμα έχει αναπτυχθεί επαρκώς από τους άμεσα ενδιαφερόμενους και έχει αξιολογηθεί από ειδικούς. Δική μας δουλειά είναι να τονίσουμε το ρόλο των πληροφοριακών συστημάτων στην υπόθεση της εταιρικής διακυβέρνησης και να συσχετίσουμε τα θέματα της IT συμμόρφωσης γενικότερα με αυτήν.

Εσωτερικός Έλεγχος και Ασφάλεια Πληροφοριών

Σε κάθε σύγχρονο οργανισμό, κερδοσκοπικό ή μη, υπάρχει μια ιεραρχία η οποία στη συντριπτική πλειοψηφία των περιπτώσεων έχει τη μορφή πυραμίδας με την έννοια ότι οι λίγοι διοικούν τους πολλούς. Το τίμημα της διοίκησης όμως είναι, ή τουλάχιστον πρέπει να είναι, η ευθύνη. Κάθε επιχείρηση έχει έναν ή περισσότερους νόμιμους εκπρόσωπους οι οποίοι και αναλαμβάνουν την ευθύνη σε περίπτωση που στελέχη της επιχείρησης προξενήσουν ζημιά ή για οποιοδήποτε λόγο οι πελάτες της δεν είναι ευχαριστημένοι. Η ευθύνη μάλιστα δεν είναι μόνο απέναντι στους πελάτες αλλά και απέναντι στους ιδιοκτήτες και μετόχους της επιχείρησης οι οποίοι πρέπει να ενημερώνονται επακριβώς για την πορεία της. Όταν μάλιστα η επιχείρηση είναι εισηγμένη σε δημόσια αγορά τότε η προστασία των συμφερόντων των μετόχων της αποτελεί θεσμική ανάγκη και θα πρέπει να υπηρετείται αναλόγως.

Εδώ όμως προβάλει το σημαντικό ερώτημα: Πώς είναι δυνατόν η διοίκηση της επιχείρησης η οποία αρκετές φορές δεν είναι εξοικειωμένη με το καθαυτό αντικείμενό της να φέρει την ευθύνη για τις «πράξεις και παραλείψεις» της επιχείρησης; Πώς είναι δυνατόν για παράδειγμα ο διευθύνων σύμβουλος μιας εταιρείας επικοινωνιών να έχει την τεχνική γνώση για να παρακολουθήσει την ποιότητα των υπηρεσιών που παρέχει η εταιρεία στους πελάτες της ή τις γνώσεις λογιστικής που απαιτούνται για να διασφαλίσει ότι ενημερώνονται σωστά οι μέτοχοί της; Πώς με απλά λόγια είναι δυνατόν να καλύψουμε το κενό ανάμεσα στην κορυφή της πυραμίδας και τη βάση της; Αυτό το ρόλο παίζουν τα Συστήματα Εσωτερικού Ελέγχου, βασικό συστατικό της Εταιρικής Διακυβέρνησης. Σκοπός τους είναι να διατηρείται η πορεία της επιχείρησης μέσα στην πορεία επίτευξης των στόχων που έχει θέσει η διοίκηση, να γίνεται έγκαιρη και ορθή αποτίμηση των κινδύνων που απειλούν την επιχείρηση και να διασφαλίζεται η συμμόρφωσή της με τους νόμους και τις κανονιστικές διατάξεις στις οποίες υπάγεται.

Ποιο είναι το βασικό συστατικό της διεργασίας του Εσωτερικού Ελέγχου; Μα φυσικά η ορθή, απρόσκοπτη και ασφαλής διακίνηση και τήρηση των πληροφοριών είτε από την κορυφή προς τη βάση της πυραμίδας (εντολές διοίκησης) είτε από τη βάση προς την κορυφή της (ενημέρωση διοίκησης). Κάθε τμήμα της επιχείρησης, ακόμα και αν αυτή επιμένει παραδοσιακά και δεν υιοθετεί σύγχρονα πληροφοριακά συστήματα, παράγει μεγάλες ποσότητες πληροφοριών. Είτε οι πληροφορίες έχουν τη μορφή προσφορών, είτε οικονομικών καταστάσεων, είτε τιμοκαταλόγων η επιχείρηση οφείλει να τις διακινεί με κατάλληλο τρόπο και να γνωρίζει κάθε κίνδυνο ο οποίος απειλεί την ασφάλειά τους προκειμένου να τον αντιμετωπίσει. Από τη στιγμή που θα τεθεί σε κίνδυνο ή απλώς θα αμφισβητηθεί η ασφάλεια των πληροφοριών, το σύνολο του οικοδομήματος του Εσωτερικού Ελέγχου τίθεται σε κίνδυνο.

Ανάλυση Κινδύνων και Δικλείδες Ασφαλείας

Ξεκινήσαμε με το ρόλο της αβεβαιότητας στο σύγχρονο επιχειρείν και αυτή την αντίληψη θα διατηρήσουμε μέχρι το τέλος. Οι κίνδυνοι που απειλούν τη δραστηριότητα μιας επιχείρησης είναι πάρα πολλοί και τις περισσότερες φορές είναι δύσκολο να τους εντοπίσουμε διότι ξεκινάμε με λάθος τρόπο. Είναι σχεδόν αδύνατο να αναγνωρίσει κανείς και να ποσοτικοποιήσει τον κίνδυνο που απειλεί μια ολόκληρη επιχειρησιακή διεργασία στην οποία συμμετέχουν άνθρωποι, μηχανές και υλικά. Η αναγνώριση και ποσοτικοποίηση του κινδύνου επιβάλλεται όμως προκειμένου να αποφασιστεί ο τρόπος αντιμετώπισής του.

Κατά την πρώτη φάση της ανάλυσης κινδύνων εντοπίζεται η εξάρτηση της κάθε επιχειρησιακής διεργασίας από τον εξοπλισμό και τα στελέχη του οργανισμού (από τα αγαθά δηλαδή που χρησιμοποιεί), ώστε να είναι κανείς σε θέση να κρίνει τη σημαντικότητα κάθε αγαθού (asset) και να καταγράψει τους κινδύνους που το απειλούν. Είναι πολύ πιο εύκολο να καταγράψει κανείς τους κινδύνους που απειλούν μια συγκεκριμένη μηχανή στην οποία εκτελείται το MIS της επιχείρησης παρά να καταγράψει τους κινδύνους που απειλούν τη διεργασία παραγγελιοληψίας. Συνεπώς η αποτύπωση αυτής της εξάρτησης και της συμβολής του κάθε asset στις επιχειρησιακές διεργασίες είναι κεφαλαιώδους σημασίας και απαιτεί βεβαίως πολύ καλή γνώση της μηχανογραφικής υποδομής και της λειτουργίας της επιχείρησης.

Εφόσον καταγραφούν και αξιολογηθούν οι κίνδυνοι το επόμενο βήμα είναι η απόφαση σχετικά με τον τρόπο αντιμετώπισής τους. Οι επιλογές είναι συνήθως τέσσερεις: Αντιμετώπιση του κινδύνου με στόχο τη μείωση των επιπτώσεων ή της πιθανότητας εκδήλωσής του, μεταφορά του σε κάποιον άλλον που πληρώνεται για να τον αναλάβει όπως π.χ. μια ασφαλιστική εταιρεία, αποφυγή του ακυρώνοντας τη διεργασία που τον περιλαμβάνει και αποδοχή του στην περίπτωση που το κόστος αντιμετώπισης είναι δυσθεώρητο ή η αντιμετώπισή του εντελώς αδύνατη. Το ποια οδός θα ακολουθηθεί σε κάθε περίπτωση είναι απόφαση της διοίκησης η οποία θα ζυγίσει τα υπέρ και τα κατά και θα προχωρήσει στην υλοποίηση των απαταίτητων δικλείδων ασφαλείας. Οι δικλείδες ασφαλείας που θα επιλεγούν βέβαια είναι απαραίτητο να αντιμετωπίζουν επαρκώς τον κίνδυνο, να συνάδουν με την επίτευξη των στόχων της επιχείρησης και να είναι σύμφωνες με το νομοθετικό και κανονιστικό πλαίσιο. Ο ρόλος του Εσωτερικού Ελέγχου λοιπόν που είναι επιφορτισμένος με τα παραπάνω είναι καθοριστικός και είναι υποχρεωμένος να ενημερώσει τη διοίκηση για τυχόν «εσφαλμένες» επιλογές δικλείδων ασφαλείας. Θα πρέπει να τονίσουμε προς κάθε δυνατή κατεύθυνση ότι είναι λάθος η πραγματοποίηση επενδύσεων σε μέτρα ασφαλείας και η εγκατάσταση εφαρμογών και μηχανών χωρίς την πρότερη αξιολόγηση των κινδύνων που καλούμαστε να αντιμετωπίσουμε.

Όλα τα παραπάνω εντάσσονται στα πλαίσια σύγχρονων προτύπων διακυβέρνησης πληροφορικής και ειδικότερα για το θέμα της ασφάλειας πληροφοριών η συμμόρφωση κάθε εισηγμένης εταιρείας με το ISO/IEC 27001:2005 πρέπει να θεωρείται επιβεβλημένη. Εκτεταμένη ανάπτυξη της μεθοδολογίας που προτείνουμε για το θέμα μπορεί ο αναγνώστης να βρει στο http://www.securenews.gr.

Μετρήσεις και Διορθωτικές Ενέργειες

Θα πρέπει να έχουμε κατά νου ότι οι ασφαλιστικές δικλείδες που επιλέγουμε και τα συστήματα που εφαρμόζουμε δεν μπορεί να είναι στατικά. Καθώς εξελίσσεται η τεχνολογία είναι επιβεβλημένο να εξελίσσονται και οι τρόποι που αντιμετωπίζουμε την αβεβαιότητα που αναφέρουμε στην εισαγωγή του πονήματος αυτού. Προκειμένου όμως να είμαστε βέβαιοι ότι αντιμετωπίζουμε τον όποιο κίνδυνο με τον ενδεδειγμένο τρόπο και ότι η επένδυσή μας στην ασφάλεια αποδίδει θα πρέπει να είμαστε σε θέση να μετρήσουμε αυτή την απόδοση. Το κακό δυστυχώς με την ασφάλεια είναι ότι ενώ οι δαπάνες γι’αυτήν είναι προφανείς, τα οφέλη από αυτήν είναι δύσκολο να διακριθούν και άρα να αποτιμηθούν. Η αρνητική προσέγγιση είναι συνήθως ο ενδεδειγμένος τρόπος: Τι θα κόστιζε στην εταιρεία αν διέρρεαν σημαντικές πληροφορίες για ένα καινούριο προϊόν; Ποιο θα ήταν το κόστος ενός προστίμου για τη μη συμμόρφωση και ποια η βλάβη στην εικόνα της εταιρείας; Θα ήταν ασφαλές να λέγαμε ότι οι απαντήσεις στα παραπάνω ερωτήματα αποτελούν το όφελος που απολαμβάνουμε επειδή ακριβώς παίρνουμε τα μέτρα μας για να μη συμβούν αυτά που περιγράφουν και άρα το όφελος των ασφαλιστικών δικλείδων που εφαρμόζουμε γι’αυτό. Το όφελος λοιπόν μιας ασφαλιστικής δικλείδας είναι το μέγεθος του κινδύνου που αντιμετωπίζει.

Είναι απαραίτητο βέβαια να έχουμε ένα μέτρο σύγκρισης προκειμένου να κρίνουμε αν οι επενδύσεις που έχουμε κάνει και τα μέτρα που έχουμε πάρει αποδίδουν ικανοποιητικά. Η βάση πάνω από την οποία πρέπει να βρισκόμαστε ορίζεται φυσικά από τη νομοθεσία. Η προστασία των ευαίσθητων προσωπικών δεδομένων π.χ. είναι κάτι που δεν μπορεί να αγνοηθεί από καμία επιχείρηση ακόμα κι αν το κόστος είναι μεγάλο. Είναι όμως κοινό μυστικό ότι στο σύγχρονο επιχειρείν δεν έχει τόσο σημασία η βάση όσο η οροφή και πόσο απέχουν οι άλλοι από αυτήν. Θα πρέπει λοιπόν να είμαστε σε θέση να συγκρίνουμε τα μέτρα ασφαλείας της δικής μας επιχείρησης με τους άλλους και να αποφασίσουμε για το αν μπορούμε και αν θέλουμε να πάμε παραπάνω. Αυτή η διεργασία (benchmarking) επιβάλλεται να γίνει από ειδικούς οι οποίοι θα μας βοηθήσουν να κάνουμε τις απαραίτητες διορθωτικές ενέργειες για να βρεθούμε στη σωστή κατεύθυνση.

Σε αυτό το σημείο ο ρόλος των επαγγελματικών ενώσεων όπως ο ΣΕΒ είναι καθοριστικός και αυτό ακριβώς αποτελεί την πρόταση του υπογράφοντος για το επόμενο βήμα: Τη διευκόλυνση της διαδικασίας του benchmarking με τη συλλογή και την επεξεργασία δεδομένων από κάθετες αγορές προκειμένου να υπάρχει μια εθνική βάση σύγκρισης. Είμαστε πρόθυμοι να βοηθήσουμε προς αυτή την κατεύθυνση.

Καταχωρήθηκε στις 1:41 μμ από Nikolaos Vasileiadis | Κατηγορία: Νίκος Βασιλειάδης | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)

1/4/2011

Το απόλυτο εργαλείο πωλήσεων

Σας λείψαμε; Μην ανησυχείτε, είμαστε πάλι εδώ και θα αργήσουμε πολύ να ξαναφύγουμε. Επειδή όμως η αγωνία σας είναι δικαιολογημένη, επιτρέψτε μου να σας εξηγήσω τους λόγους για τους οποίους αργήσαμε να βρεθούμε στο ηλεκτρονικό σας γραμματοκιβώτιο.

Όλα ξεκίνησαν όταν το τμήμα πωλήσεων αποφάσισε στις αρχές του έτους να διευρύνει τον κατάλογο των υπηρεσιών μας και να προσθέσει στη φαρέτρα μας και λύσεις IP τηλεφωνίας. Σκέφτηκαν προφανώς ότι η εμπειρία της SeCure σε λύσεις διαδικτύωσης και ασφάλειας θα μπορούσε να εγγυηθεί την επιτυχία τέτοιων εγκαταστάσεων αφού βασίζονται στα δίκτυα IP. Και δεν έπεσαν έξω. Μέσα σε σύντομο χρονικό διάστημα είχαμε κάνει τη σχετική έρευνα αγοράς και είχαμε επιλέξει το κατάλληλο προϊόν. Πολύ σύντομα πιστοποιήσαμε τους μηχανικούς μας σε αυτό και ήμασταν έτοιμοι να βγούμε δυναμικά στην αγορά …όταν συνέβη το μοιραίο: Ο HackIt επιστρέφοντας από ένα ταξίδι στο εξωτερικό μας σύστησε έναν Κινέζο φίλο του με τον οποίον είχαν σπουδάσει μαζί στις ΗΠΑ. Ο φίλος του αυτός ειδικεύεται σε τεχνολογίες «φωνητικής ψυχανάλυσης», προσπαθεί δηλαδή να αναπτύξει τεχνολογίες που με σημαντική αξιοπιστία είναι σε θέση να διακρίνουν την ψυχολογική κατάσταση ενός ανθρώπου από τον τόνο της φωνής του και τις λέξεις που χρησιμοποιεί.

Την πρώτη φορά που το ακούσαμε δεν μας έκανε εντύπωση. Μια μέρα όμως η Διευθύντρια Πωλήσεων έριξε την ιδέα: «Δεν θα μπορούσαμε να ενσωματώσουμε την τεχνολογία αυτή στις λύσεις VoIP;» είπε. «Φανταστείτε να είχα εγώ στο τηλέφωνό μου ένα εργαλείο που από τη φωνή του πελάτη (χωρίς φυσικά να καταγράφει απολύτως τίποτα) να μπορεί να με πληροφορήσει για την τύχη της προσφοράς μου. Με κόκκινο να μου δηλώνει ότι ο πελάτης λέει ψέματα και δεν πρόκειται να αγοράσει, με πράσινο να με συμβουλεύει να επιμείνω διότι είναι έτοιμος και να μένει ουδέτερο αν δεν μπορεί να βγάλει συμπέρασμα. Μαγεία… Θα γλίτωνα πολύ χρόνο και προσπάθεια.»

Η ιδέα άρεσε σε όλους μας. Πέσαμε λοιπόν με τα μούτρα στην υλοποίηση αυτού του εργαλείου. Δεν μπορέσαμε βέβαια να κρατήσουμε απολύτως μυστική την έρευνά μας και κάποιες πληροφορίες διέρρευσαν στον τύπο, καταφέραμε όμως να τις παρουσιάσουμε ως έρευνα κάποιου πανεπιστημίου σε συνεργασία με το στρατό. Είναι προφανές ότι φοβόμασταν μήπως το προϊόν μαθευτεί και μας προλάβουν κάποιοι άλλοι. Ο ρόλος του Κινέζου φίλου μας άλλωστε ο οποίος εκινείτο στα όρια της νομιμότητας στην πατρίδα του όπως αργότερα μας αποκάλυψε, δε μας άφηνε και πολλά περιθώρια ελιγμών.

Τελικά οι κόποι μας ανταμείφθηκαν. Αυτή τη στιγμή μπορούμε να πούμε ότι διαθέτουμε στη φαρέτρα μας το απόλυτο εργαλείο πωλήσεων. Τον καλό άγγελο οποιουδήποτε πωλητή έμπειρου ή αρχάριου. Το σύμβουλο κάθε ανθρώπου που η δουλειά του εξαρτάται από το πόσο καλά μπορεί να ψυχολογεί τους άλλους. Και, σαν να μην έφτανε αυτό, αποφασίσαμε να διαθέσουμε το εργαλείο αυτό ΔΩΡΕΑΝ στην αγορά χρεώνοντας μόνο για τις υπηρεσίες εγκατάστασής του. Η εφαρμογή είναι ουσιαστικά ένας SIP proxy και αρκεί να την παρεμβάλλετε μεταξύ του τηλεφωνικού σας κέντρου και των τηλεφωνικών σας συσκευών. Σε ό,τι αφορά τη δρομολόγηση των κλήσεων μένει αμέτοχη αλλά μόλις αρχίσουν να διακινούνται τα πακέτα φωνής, αναλαμβάνει δράση. Απαιτεί ελάχιστους πόρους και εκτελείται σε Windows 2003 και Windows 2008 ενώ ετοιμάζουμε και έκδοση για Linux.

Αν λοιπόν διαθέτετε ή σκοπεύετε να εγκαταστήσετε VoIP τηλεφωνικό κέντρο, μη διστάζετε. Κατεβάστε το ΑΕΠ σας (Απόλυτο Εργαλείο Πωλήσεων) από εδώ.
Καταχωρήθηκε στις 10:00 πμ από Nikolaos Vasileiadis | Κατηγορία: Νίκος Βασιλειάδης | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)

30/3/2011

Μέτρα για το VoIP

Πήρατε την απόφαση και αλλάξατε το τηλεφωνικό σας κέντρο με ένα VoIP και είστε ιδιαίτερα χαρούμενοι με τις δυνατότητες που σας προσφέρει. Αισθάνεστε όμως σίγουροι; Έχετε λάβει τα απαραίτητα μέτρα που σύμφωνα με τη διεθνή πρακτική πρέπει να λάβετε για να ασφαλίσετε τη λειτουργία του δικτύου φωνής; Ας δούμε ποια είναι αυτά:

Φυσική ασφάλεια: Βεβαιωθείτε ότι όπως και το παλιό σας κέντρο έτσι και το νέο δεν είναι προσβάσιμο στον οποιονδήποτε. Όποιο μέτρο ασφαλείας και αν εφαρμόσετε από τα παρακάτω, μια συσκευή της οποίας τα κουμπιά μπορεί ο καθένας να πατήσει είναι εκτεθειμένη.

Κρυπτογράφηση: Θα σας τα πει ο HackIt με λεπτομέρειες αλλά αν πραγματικά σας ενδιαφέρει η ασφάλεια των επικοινωνιών σας, κρυπτογραφήστε τις.

Διαχωρισμός: Καλό είναι οι VoIP συσκευές και το τηλεφωνικό κέντρο να συνδέονται σε διαφορετικό VLAN από το υπόλοιπο δίκτυο. Οι κίνδυνοι που απειλούν τα PC είναι πάρα πολλοί και δεν υπάρχει λόγος να εκθέσετε στους ίδιους κινδύνους και κάτι τόσο ζωτικό όσο το τηλεφωνικό σας κέντρο. Εξασφαλίστε επίσης ότι οι υπηρεσίες του TCP/IP όπως το DNS και το DHCP θα είναι χωριστές για τις τηλεφωνικές συσκευές από εκείνες για τα PC.

Φιλτράρισμα: Διαχωρίστε με κάποιο firewall το VLAN της τηλεφωνίας. Δεν υπάρχει λόγος να περνούν παρά συγκεκριμένα πακέτα που αναφέρονται στη διαχείριση του κέντρου και των συσκευών. Όλα τα άλλα εγκυμονούν κινδύνους.

Ασφάλεια Λειτουργικού: Το VoIP τηλεφωνικό κέντρο οποιασδήποτε μορφής είναι ένας server. Εξασφαλίστε ότι θα ενημερώνεται συνεχώς με διορθωτικές εκδόσεις ώστε να μην υπάρχει κίνδυνος μόλυνσής του.

Καλά τα τεχνικά μέτρα αλλά δεν τίθενται και ζητήματα πολιτικής; Πώς αλλάζει το προφίλ κινδύνου του δικτύου μας μια λύση VoIP ακόμα κι αν έχουμε εφαρμόσει σωστά όλα τα παραπάνω; Η απάντηση βρίσκεται στη διασύνδεση της φωνής με τους άλλους τρόπους επικοινωνίας όπως το e-mail και το fax. Με την IP τηλεφωνία μπορείτε να παίρνετε τα μηνύματα του τηλεφωνητή σας στο e-mail σας και επομένως η πολιτική χρήσης του e-mail αρχίζει πλέον να αγγίζει και τους απλούς χρήστες του τηλεφώνου. Αν π.χ. έχετε μια πολιτική η οποία λέει ότι δεν διακινούνται απόρρητες πληροφορίες μέσω e-mail, εγκαθιστώντας μια λύση VoIP δημιουργείτε ένα κανάλι μέσα από το οποίο μπορούν να περάσουν τέτοιες πληροφορίες στο e-mail σας χωρίς να το καταλάβετε.

Η εγκατάσταση του VoIP PBX λοιπόν θα πρέπει οπωσδήποτε να συνοδεύεται από αλλαγή της πολιτικής ασφαλείας και να υπάρξει ειδική μνεία για την περίπτωση που οι διάφοροι τρόποι επικοινωνίας ενοποιούνται.
Καταχωρήθηκε στις 12:40 μμ από Nikolaos Vasileiadis | Κατηγορία: Sir DoRight | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)
Κι άλλος μπελάς;

«Πρώτα βγαίνει η ψυχή και μετά το χούι» έλεγε η γιαγιά μου και μεγαλώνοντας της δίνω όλο και περισσότερο δίκιο. Είναι πραγματικά πολύ δύσκολο να ξεφύγει κανείς από τις συνήθειές του όταν ειδικά αυτές έχουν περάσει στην καθημερινή του επαγγελματική δραστηριότητα. Αυτός ακριβώς είναι ο λόγος που με το που άκουσα πως η εταιρεία θα στραφεί σε επικοινωνίες VoIP το πρώτο πράγμα που μου ήρθε στο μυαλό ήταν η ασφάλεια. Τι θέματα ασφάλειας πληροφοριών εγείρονται, αν εγείρονται, όταν αποφασίζουμε να εγκαταστήσουμε ένα VoIP τηλεφωνικό κέντρο στην εταιρεία μας αλλάζοντας το παλιό; Εξακολουθούν οι επικοινωνίες μας να είναι ασφαλείς τουλάχιστον όσο ήταν και πριν ή μήπως κατεβάζουμε τον πήχη στο όνομα της εξοικονόμησης κόστους και της ευχρηστίας που ευαγγελίζονται οι λύσεις αυτές;

Ας υποθέσουμε λοιπόν ότι αντικαθιστάτε το τηλεφωνικό σας κέντρο με ένα IP. Έχετε συνήθως δυο επιλογές: Είτε θα επιλέξετε μια λύση κάποιου συγκεκριμένου κατασκευαστή με ειδικά πρωτόκολλα επικοινωνίας που αποτελούν επτασφράγιστα μυστικά είτε θα πάτε σε κάποια λύση που χρησιμοποιεί προτυποποιημένα (standard) πρωτόκολλα η λειτουργία των οποίων είναι γνωστή. Νομίζετε ότι η πρώτη λύση είναι ασφαλέστερη; Λάθος κάνετε. Οτιδήποτε ξέρουν λίγοι μόνο άνθρωποι (ή εταιρείες) στον κόσμο δεν υπόκειται συνήθως στη βάσανο της επιστημονικής έρευνας. Αν δηλαδή το PBX που θα εγκαταστήσετε χρησιμοποιεί μυστικά πρωτόκολλα που εγγυώνται την ασφάλεια και την ταχύτητα, δεν πρέπει να είστε καθόλου σίγουροι για την εγγύηση αυτή. Είναι το ίδιο με τους μυστικούς αλγόριθμους κρυπτογράφησης που μόλις «βγουν στο φως» δέχονται τα βέλη της ερευνητικής κοινότητας και «σπάνε». Προτυποποιημένες λύσεις λοιπόν για να είμαστε σίγουροι.

Το πρότυπο για τη μεταφορά φωνής μέσα από IP δίκτυα είναι το SIP. Όπως και στην περίπτωση του TCP/IP έτσι κι εδώ πρόκειται για μια οικογένεια από πρωτόκολλα που εμπλέκονται στην όλη διαδικασία της επικοινωνίας και συνεργάζονται μεταξύ τους για να συνδέσουν τα σημεία που συνομιλούν μεταξύ τους. Αυτό καθαυτό το SIP πρωτόκολλο αναλαμβάνει να εντοπίσει και να φέρει σε επαφή τα δυο άκρα. Χρησιμοποιώντας ένα σύστημα διευθύνσεων (τους αριθμούς των εσωτερικών τηλεφώνων π.χ.) εντοπίζει τις IP διευθύνσεις των συσκευών και τους στέλνει τις απαραίτητες πληροφορίες για να βρουν η μια την άλλη. Στη συνέχεια αναλαμβάνει ένα άλλο πρωτόκολλο, το RTP, να μεταφέρει τις πληροφορίες φωνής από το ένα σημείο στο άλλο.

Για να είμαστε ασφαλείς λοιπόν σε ό,τι αφορά τις επικοινωνίες μας θα πρέπει να ασφαλίσουμε και τα δυο αυτά πρωτόκολλα. Ο τρόπος για να ασφαλιστεί ένα πρωτόκολλο επικοινωνίας εδώ και πολλά χρόνια είναι η κρυπτογράφηση και η αλήθεια είναι ότι υπάρχει ασφαλής μορφή του RTP, το SRTP. Η κρυπτογράφηση βεβαίως στηρίζεται σε ψηφιακά πιστοποιητικά που εγκαθίστανται και στις δυο συσκευές και διασφαλίζουν την επικοινωνία. Από την άλλη μεριά, επειδή μιλάμε για δίκτυα IP μπορούμε να πετύχουμε την ασφάλεια με όλες τις τεχνολογίες που μέχρι τώρα ξέρουμε (π.χ. VPN). Ποια πλεονεκτήματα και μειονεκτήματα έχουμε σε κάθε περίπτωση είναι κάτι που θα δούμε στα επόμενα τεύχη.

Μείνετε λοιπόν μαζί μας για να δείτε.
Καταχωρήθηκε στις 11:56 πμ από Nikolaos Vasileiadis | Κατηγορία: Mr. HackIt | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)
Μαριονέτες

Πριν από μερικές μέρες παρακολούθησα μια εξαιρετική παράσταση κουκλοθέατρου μαζί με τη μικρή Αριάδνη. Ήταν μάλιστα κουκλοθέατρο παλαιάς τεχνολογίας με κούκλες που οι «ηθοποιοί» φορούσαν στα χέρια τους ή κρατούσαν αγκαλιά. Κάθε ηθοποιός έπαιζε περισσότερες από μία κούκλες και σε κάποια σημεία της παράστασης η ίδια κούκλα άλλαζε χέρια. Η υπόθεση του έργου ήταν πολύ ενδιαφέρουσα με κοινωνικές και οικολογικές προεκτάσεις που δημιούργησαν πολλά ερωτήματα στην Αριάδνη αλλά εγώ παρακολουθούσα σκεπτόμενος ένα άρθρο που διάβασα πρόσφατα και αφορούσε κάποιες άλλες μαριονέτες που ίσως όλοι μας παρακολουθούμε καθημερινά.

Ο λόγος για τα sock puppets των κοινωνικών δικτύων αγαπητοί αναγνώστες. Πρόκειται για ένα χαριτωμένο όρο που υποδηλώνει τις διάφορες ψηφιακές προσωπικότητες που συντηρούνται στα κοινωνικά δίκτυα και δεν αντιστοιχούν σε φυσικά πρόσωπα αλλά σε εταιρείες ή ομάδες ανθρώπων με διαφόρων κατηγοριών προθέσεις και δραστηριότητες. Οι αχυράνθρωποι αυτοί χρησιμοποιούνται για να προσελκύσουν πελάτες, να εκμαιεύσουν πληροφορίες ή να τραβήξουν την προσοχή μας γενικότερα. Ακριβώς επειδή συντηρούνται από διάφορους ανθρώπους μπορούν να μιλούν πολλές γλώσσες και να συμμετέχουν σε πάρα πολλές συζητήσεις για θέματα που εκτείνονται από την τεχνολογία μέχρι τη μαγειρική και από τη διεθνή πολιτική μέχρι τον αθλητισμό. Με τον τρόπο αυτό δημιουργούν ένα κλίμα στα κοινωνικά δίκτυα υπέρ ή κατά συγκεκριμένων θεμάτων απηχώντας έτσι την άποψη των εντολέων τους.

Ας πούμε π.χ. ότι υπάρχει μια συζήτηση στα δίκτυα για τα μεταλλαγμένα προϊόντα. Διάφοροι άνθρωποι εκφέρουν τις απόψεις τους και αυτό πέφτει στην αντίληψη κάποιας εταιρείας η οποία εισάγει και διακινεί προϊόντα του είδους. Δεν της κοστίζει τίποτα να φτιάξει μια ομάδα ανθρώπων οι οποίοι θα «μπουν» στις συζητήσεις αυτές υποδυόμενοι διάφορα μη υπαρκτά πρόσωπα και θα αρχίζουν με προσοχή και επιμονή να στρέφουν τη συζήτηση υπέρ των μεταλλαγμένων. Το κλίμα στα forum θα αλλάξει σιγά-σιγά και σε λίγο καιρό η άποψη των χρηστών του Internet θα είναι ότι δεν υπάρχει τίποτα πιο υγιεινό και θρεπτικό από τις μεταλλαγμένες τροφές. Αυτό θα δίνουν σαν αποτέλεσμα οι μηχανές αναζήτησης και αυτό θα βλέπει κάποιος όταν αναζητά πληροφορίες.

Πώς να προστατευτούμε; Με ώριμη και κριτική σκέψη και έχοντας πάντα κατά νου πως ό,τι υπάρχει στο Internet δεν είναι απαραίτητα ορθό και τεκμηριωμένο.

Καταχωρήθηκε στις 11:50 πμ από Nikolaos Vasileiadis | Κατηγορία: Dr. VirKill | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)
Πού βρίσκεται η οικονομία;

Όλοι λένε για την οικονομία που επιτυγχάνεται με τη VoIP τηλεφωνία. Εγώ όμως είμαι πάντοτε δύσπιστος και αποφάσισα να ψάξω τα πράγματα διεξοδικότερα. Και για να πραγματοποιήσω την ανάλυσή μου αποφάσισα να συγκρίνω όμοια πράγματα ώστε να καταλήξω σε αξιόπιστα αποτελέσματα. Ας πάρουμε λοιπόν το παράδειγμα μιας εταιρείας A που διαθέτει ένα κλασσικό ψηφιακό τηλεφωνικό κέντρο και μιας εταιρείας Β που εγκατέστησε ένα IP τηλεφωνικό κέντρο βασισμένο στο πρότυπο SIP. Ας υποθέσουμε επίσης ότι και στις δύο εταιρείες το τηλεφωνικό κέντρο το έφερε κάποια μαγική νεράιδα χωρίς να τους χρεώσει απολύτως τίποτα και ότι καμία από τις δυο εταιρείες δεν έχει προσωπικό με την τεχνογνωσία που χρειάζεται για να συντηρηθεί και να υποστηριχθεί ένα τηλεφωνικό κέντρο. Από τη στιγμή λοιπόν της εγκατάστασης και της παράδοσης και μετά, τα έξοδα αρχίζουν να τρέχουν.

Και οι δυο εταιρείες επιχειρούν στην Ελλάδα οπότε χρησιμοποιούν τις υπηρεσίες των εδώ παρόχων τηλεφωνίας και επικοινωνιών. Έχοντας τις ίδιες περίπου ανάγκες διαθέτουν και οι δυο από τέσσερεις ISDN γραμμές δηλαδή οκτώ κανάλια φωνής τις οποίες και χρησιμοποιούν. Οι λογαριασμοί των παρόχων είναι περίπου ίδιοι για τις επικοινωνίες που περνούν μέσα από εκεί. Η εταιρεία Β όμως έχει ένα πλεονέκτημα. Μπορεί χωρίς καμία σχεδόν δαπάνη να επιλέξει κάποιους συνεργάτες της με τους οποίους θα επικοινωνεί μέσω SIP (δηλαδή πάνω από το Internet) και να μη χρεώνεται απολύτως τίποτα αφού η σύνδεση Internet υπάρχει και πληρώνεται και από τις δυο εταιρείες. Για να το κάνει αυτό η εταιρεία Α θα πρέπει εφόσον της το επιτρέπει το κέντρο της να προσθέσει μια σχετική κάρτα. Η εταιρεία Β θα πρέπει ασφαλώς να ζητήσει υποστήριξη για την παραμετροποίηση της σύνδεσης αυτής όπως και η εταιρεία Α μόνο που στην περίπτωση της τελευταίας το κόστος θα είναι πολύ μεγαλύτερο διότι κάθε ψηφιακό κέντρο είναι ένας διαφορετικός κόσμος και οι τεχνικοί που έχουν την τεχνογνωσία τη χρεώνουν (και δικαίως) ακριβά.

Ας υποθέσουμε τώρα ότι και στις δυο εταιρείες έρχεται ένας νέος χρήστης και πρέπει να αποκτήσει τηλέφωνο και υπολογιστή. Στην εταιρεία Α θα πρέπει να ενεργοποιηθούν (ή να εγκατασταθούν αν δεν υπάρχουν) δυο καλώδια: ένα για το τηλέφωνο και ένα για το δίκτυο. Στην εταιρεία Β θα συνδεθεί ένα μόνο καλώδιο με το data switch, σε αυτό θα συνδεθεί η τηλεφωνική συσκευή και επάνω στην τηλεφωνική συσκευή θα συνδεθεί ο υπολογιστής. Επομένως τα καλώδια μειώνονται στο μισό και, κυρίως, η εταιρεία Β χρειάζεται να συντηρεί ενός μόνο είδους καλωδίωση που αφορά τα δεδομένα.

Για να διανθίσουμε τη συζήτησή μας ας υποθέσουμε τώρα ότι στην εταιρεία Α αποφασίζουν να μετακομίσουν το τμήμα πωλήσεων από τον πρώτο στο δεύτερο όροφο. Θα πρέπει τα καλώδια των τηλεφώνων του τμήματος πωλήσεων να αποσυνδεθούν από τις πρίζες που είναι συνδεδεμένα και να συνδεθούν σε πρίζες του δευτέρου ορόφου. Αν η καλωδίωση δεν είναι και τόσο …δομημένη, τα πράγματα είναι πολύ πολύ δύσκολα. Στην εταιρεία Β από την άλλη μεριά, το μόνο που έχουν να κάνουν είναι να δώσουν δίκτυο στις πρίζες του δευτέρου ορόφου, να πάρει κάθε πωλητής τη συσκευή του αγκαλιά και να τη συνδέσει στη νέα θέση εργασίας του.

Αυτά και άλλα πολλά συμφέρουν στην περίπτωση της VoIP τηλεφωνίας αγαπητοί αναγνώστες και θα τα δούμε ασφαλώς και στα επόμενα.
Καταχωρήθηκε στις 11:21 πμ από Nikolaos Vasileiadis | Κατηγορία: Prof. NumberTalk | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)

28/3/2011

Όνειρο ανήσυχης νυχτός

Κάθιδρη και με την αγωνία ζωγραφισμένη στο πρόσωπό της η Many Whys μπήκε στο γραφείο της. Εκεί την περίμενε ο Γενικός και αυτό και μόνο αρκούσε να σημάνει συναγερμό αφού ο άνθρωπος αυτός σπανίως έβγαινε από το γραφείο του.

Γενικός:

Καλημέρα κυρία Whys. Θέλω να σας μιλήσω.

Many Whys:

Μάλιστα. Σας ακούω.

Γενικός:

Ξέρετε οι αναφορές ττης εφαρμογής ΕΑΠ (Έμπειρου Αξιολογητή Πωλητών) δεν είναι ιδιαίτερα ευνοϊκές για εσάς τελευταία. Θέλετε να δούμε μαζί τα στοιχεία;

Many Whys:

Δεν νομίζω ότι έκανα κάτι μεμπτό, αλλά αν επιμένετε…

Γενικός:

Ας πάρουμε τον τελευταίο μήνα. Παρακολουθώντας το 98% των τηλεφωνικών σας συνομιλιών (είχαμε αυτή την αναβάθμιση λογισμικού βλέπετε) ο ΕΑΠ αναφέρει «κατάσταση επαγρύπνησης» στο 85% των κλήσεων. Αν κάνουμε διπλό κλικ επάνω σε αυτό για να πάρουμε λεπτομέρειες, μας λέει ότι ο βασικός λόγος που σας αξιολογεί έτσι είναι ότι «δεν πιστεύετε στο προϊόν». Αν κάνουμε διπλό κλικ και πάλι, βλέπουμε ότι αναφέρεται κυρίως στην αυτόματη ηλεκτρική σκούπα/baby sitter. Ανησυχώ κυρία Whys. Ανησυχώ διότι αν ο τόνος της φωνής σας είναι τέτοιος που δεν εμπνέει εμπιστοσύνη στον πελάτη, τότε το προϊόν καταδικάζεται. Αν μάλιστα λάβουμε υπόψη μας ότι εσείς μιλάτε με τις μεγάλες εμπορικές αλυσίδες, τότε καταδικάζεται διπλά. Τι συμβαίνει;

Many Whys:

Δεν ξέρω. Ίσως φταίει το κρύωμα που με ταλαιπωρεί σχεδόν τρεις εβδομάδες τώρα και…

Γενικός:

Αφήστε τις δικαιολογίες σας παρακαλώ. Γνωρίζετε ότι ο ΕΑΠ έχει εκπαιδευτεί στη φωνή σας σε διάφορες καταστάσεις και θυμάστε ότι περιμέναμε υπομονετικά να κρυολογήσετε για να φτιάξουμε γραμμή βάσης (baseline) και γι’αυτή την περίπτωση. Θυμάστε επίσης ότι υπογράψατε πρόθυμα και χωρίς καμία πίεση το έγγραφο αποδοχής της παρακολούθησής σας από τον ΕΑΠ. Τι συμβαίνει λοιπόν;

Many Whys:

Ε λοιπόν ναι! Η φωνή μου δεν εμπνέει εμπιστοσύνη διότι πραγματικά δεν εμπιστεύομαι αυτό το προϊόν. Δεν εμπιστεύομαι ένα κουτί που θα παρακολουθεί το παιδί μου με μικροκάμερα και υπέρυθρες ακτίνες ενώ την ίδια στιγμή θα προβάλει στους τοίχους παιδικές ταινίες και παράλληλα θα σκουπίζει το πάτωμα. Το θεωρώ επικίνδυνο, απάνθρωπο και προπομπό μιας αν μη τι άλλο επικίνδυνης εποχής.

Γενικός:

Κυρία Whys μιλάτε με απαξιωτικά λόγια για ένα θαύμα της τεχνολογίας και το καύχημα ίσως των προϊόντων οικιακής χρήσης εδώ και πολλά χρόνια. Ευτυχώς που αποφάσισα να βάλω τον ΕΠΑ στην τηλεφωνική σας συσκευή διότι αν δεν το είχα κάνει δεν θα είχα τώρα άμεση γνώση των απόψεών σας και θα βαυκαλιζόμουν με την ιδέα ότι το προϊόν προωθείται σωστά. Λυπάμαι, αλλά δεν μπορούμε να συνεχίσουμε έτσι.

Η Many δεν απάντησε. Ήθελε πολύ να υποδείξει στον κο Γενικό που ακριβώς να βάλει τον ΕΑΠ αλλά το θεώρησε παρακινδυνευμένο και δε μίλησε. Καθώς μάζευε τα πράγματά της άκουσε έναν πολύ δυνατό ήχο. Ξαφνικά το σκηνικό άλλαξε. Ήταν το ξυπνητήρι…
Καταχωρήθηκε στις 8:29 πμ από Nikolaos Vasileiadis | Κατηγορία: Mrs Many Whys | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)

7/1/2011

Ημερολόγιο καταστρώματος

Στη SeCure εκμεταλλευτήκαμε την περίοδο των διακοπών για να εφαρμόσουμε και εμείς τις τεχνολογίες virtualization για τις οποίες τόσα σας έχουμε πει και γράψει. Επειδή ήμουν υπεύθυνος για το όλο έργο, μου ζήτησε το αφεντικό να γράψω κάτι τώρα που όλα τελείωσαν επιτυχώς.

Ο στόχος μας από την αρχή ήταν διττός. Θέλαμε να εξοικονομήσουμε ενέργεια (και άρα χρήματα) και να επιταχύνουμε τις διαδικασίες ανάκαμψης σε περίπτωση καταστροφής. Είχαμε πέντε διαφορετικούς server προκειμένου να εξυπηρετήσουμε όλες μας τις ανάγκες: Υπήρχε ένας domain controller και ένας Exchange Server ο οποίος ήταν επίσης domain controller. Η βάση του ERP και του SharePoint έτρεχε σε έναν SQL server ο οποίος επειδή ήταν ο ισχυρότερος «σήκωνε» και όλα τα Web site. Σε έναν δεύτερο SQL server έτρεχε η παλιά εφαρμογή ERP και σε έναν άλλον server έτρεχαν τα Terminal Services που χρησιμοποιούμε για να συνδεόμαστε εκ του μακρόθεν. Αν σκεφτεί κανείς ότι όλοι ήταν παλιάς τεχνολογίας μηχανήματα, καταλαβαίνει ότι η απόδοση δεν ήταν η αναμενόμενη.

Αποφασίσαμε λοιπόν να προμηθευτούμε δυο καινούριους server με ικανή μνήμη και δίσκο προκειμένου να στηρίξουμε όλες τις παραπάνω λειτουργίες σε virtual machine. Για να αποφασίσουμε πόσο χώρο θα χρειαζόμασταν αθροίσαμε το χώρο που χρησιμοποιούσαν όλοι οι server μαζί και τον διπλασιάσαμε. Φτάσαμε έτσι γύρω στο 1 TB το οποίο μοιράσαμε βέβαια στα δυο. Προμηθευτήκαμε λοιπόν δυο καινούριες μηχανές με τέσσερεις δίσκους των 146 GB η κάθε μία διαμορφωμένους σε RAID 5. Έτσι είχαμε ωφέλιμη χωρητικότητα της τάξης των 400 GB περίπου σε κάθε έναν. Στη μνήμη δεν κάναμε τσιγγουνιές και ζητήσαμε το μέγιστο που επέτρεπε ο κατασκευαστής, φτάνοντας τα 12 GB.

Μόλις παραλάβαμε τις νέες μηχανές τις θέσαμε σε λειτουργία και εγκαταστήσαμε το hypervisor που ήταν η τελευταία δωρεάν έκδοση του VMware. Αυτό έγινε στις αρχές Νοεμβρίου και δεν προχωρήσαμε αμέσως σε καμία εγκατάσταση αφού θέλαμε πρώτα να βεβαιωθούμε ότι το υλικό θα έβγαζε όλες τις παιδικές ασθένεις χωρίς να έχει ακόμα δεδομένα επάνω του. Αφού πέρασε κάποιο χρονικό διάστημα, δημιουργήσαμε την πρώτη virtual machine σε ρόλο νέου domain controller στο υπάρχον domain. Είχαμε αποφασίσει ότι δεν θα πειράξουμε το active directory διότι αφενός δεν έχει κανένα πρόβλημα και αφετέρου δεν είναι και εύκολο να ξαναφτιάξει κανείς όλες τις πολιτικές της SeCure. Μόλις ο virtual domain controller ανέλαβε το ρόλο του μεταφέραμε σε αυτόν όλα τα flexible single master operations του domain. Μετά από δυο μέρες επιβεβαιώσαμε ότι το replication είχε ολοκληρωθεί ελέγχοντας τα log file και αποδεσμεύσαμε τον παλιό domain controller. Δεν ξεχάσαμε φυσικά να παραμετροποίησουμε το W32Time service στη νέα μηχανή ώστε να έχουμε τη σωστή ώρα στο domain. Από τον παλιό φυσικό domain controller απεγκαταστήσαμε τα AD services (ξανατρέχοντας το DCPromo) και στη συνέχεια τον βγάλαμε και από το domain.

Στη συνέχεια ήρθε η σειρά του Exchange. Στήσαμε μια δεύτερη virtual machine σε ρόλο Exchange server και domain controller επίσης. Μεταφέραμε σιγά σιγά τα mailbox από τον παλιό Exchange server στο νέο και δεν ξεχάσαμε να μεταφέρουμε και τα public folder ενεργοποιώντας το replication. Ακολουθώντας πιστά τις επιταγές της Microsoft αφήσαμε τους δυο server να λειτουργούν παράλληλα για μια εβδομάδα ώστε να ολοκληρωθεί αναίμακτα η μεταφορά. Μετά από το πέρας του διαστήματος αυτού, απεγκαταστήσαμε τον Exchange Server από την παλιά μηχανή, απεγκαταστήσαμε τα AD services με το DCPromo και τον βγάλαμε και από το domain.

Η δουλειά με τον SQL server ήταν πολύ απλούστερη. Στήσαμε την εφαρμογή και απλώς κάναμε restore τις βάσεις από τον παλιό στο νέο χωρίς κανένα πρόβλημα. Ο SharePoint server στήθηκε σε χωριστό virtual machine και δημιουργήθηκε επίσης και χωριστός file server. Ουσιαστικά τη δουλειά του παλιού «δυνατού» SQL server την κάνουν τώρα τρία διαφορετικά virtual machine. Κανένα πρόβλημα και εδώ.

Το θέμα ήταν τι θα κάναμε με τον SQL server του παλιού ERP. Κανείς δεν μπορούσε να «ξαναστήσει» τη μηχανή αυτή η οποία αντιμετώπιζε πρόβλημα χώρου. Αποφασίσαμε να τη μεταφέρουμε όπως ήταν με τον Physical to Virtual Converter του VMware αυξάνοντας παράλληλα το χώρο των δίσκων της. Όλα πήγαν καλά.

Τέλος, ξαναστήσαμε έναν Terminal Server και μεταφέραμε τις άδειες από το παλιό μηχάνημα σε αυτόν.

Αυτή τη στιγμή έχουμε δυο πολύ δυνατά φυσικά μηχανήματα στα οποία εκτελούνται ως virtual machine επτά διαφορετικοί server. Η ταχύτητα απόκρισης έχει βελτιωθεί δραματικά ενώ το φορτίο του UPS έχει πέσει από το 35% που ήταν σε μόνιμη βάση στο 9%. Αν θεωρήσουμε μια αναλογική μείωση του λογαριασμού της ΔΕΗ, το κόστος των νέων μηχανών θα έχει αποσβεσθεί σε λιγότερο από 6 μήνες ενώ ο θόρυβος είναι επίσης μειωμένος.

Φτιάξαμε επίσης μια διαδικασία με βάση την οποία εκτός από το κανονικό backup παίρνουμε image όλων των virtual machine κάθε δυο εβδομάδες. Έχοντας έτσι τον δίσκο του backup και αυτόν των virtual machine (και οι δυο μεγέθους passport) μπορούμε μα ξαναστήρουμε την εταιρεία σε έξι ώρες όπως μετρήσαμε. Αυτός ο χρόνος κρίνεται ικανοποιητικός για τη SeCure.

Άξιζε πραγματικά τον κόπο και επιμένουμε να το δοκιμάσετε.
Καταχωρήθηκε στις 3:03 μμ από Nikolaos Vasileiadis | Κατηγορία: Mr. HackIt | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (3)
Ποιοι είναι οι κακοί;

Οι γνωστοί σας άγνωστοι VirKill και HackIt χαλαρώνουν δοκιμάζοντας κάποια script που έφτιαξαν. Σε μια στιγμή ανάπαυσης ο VirKill διαβάζει κάτι στο Internet και αρχίζει τη συζήτηση:

VirKill:

Είδες τι έγινε στην Κίνα; Ποιος τους ακούει τώρα. Πάλι με τις εταιρείες antivirus θα τα βάλουν όλοι και θα πρέπει να απολογούμαστε.

HackIt:

Λες για εκείνη την εταιρεία antivirus που έφτιαχνε ιούς; Και γιατί πρέπει εσύ να απολογείσαι; Δεν το κατάλαβα.

VirKill:

Διότι στα μάτια των πελατών και ειδικά αυτών που είναι στα ανώτερα κλιμάκια είμαστε όλοι ένοχοι. Δημιουργούμε το πρόβλημα για να μας πληρώνουν να το λύνουμε.

HackIt:

Μήπως δεν είναι έτσι; Δεν λέω για σένα και για μένα. Αλλά εγώ πάντα πίστευα ότι οι εταιρείες antivirus υποστηρίζουν την κατασκευή ιών.

VirKill:

Μη μου πεις ότι υποστηρίζεις κι εσύ τις θεωρίες συνωμοσίας; Είναι δυνατόν να φτιάχουν τους ιούς οι εταιρείες;

HackIt:

Δεν είπα ότι τους φτιάχνουν. Είπα ότι υποστηρίζουν την κατασκευή τους. Ασφαλώς και αν πας σε οποιαδήποτε από αυτές τις εταιρείες δεν θα βρεις ταμπέλα που να γράφει «Τμήμα Κατασκευής Ιών». Σίγουρα όμως με τον τρόπο τους δίνουν τις πληροφορίες που θέλουν οι κακοί για να κάνουν το έργο τους. Όπως ξέρεις πολύ καλά ένα toolkit που στόχο έχει να «προστατεύσει» μπορεί να χρησιμοποιηθεί και ανάποδα.

VirKill:

Πολύ τραβηγμένο αυτό που λες. Κάθε γλώσσα προγραμματισμού μπορεί να χρησιμοποιηθεί για την κατασκευή ιών. Τι σημαίνει αυτό; Ότι πρέπει να καταργήσουμε τις γλώσσες προγραμματισμού; Εγώ δεν μπορώ να φανταστώ ότι μια μεγάλη εταιρεία του χώρου θα διακινδύνευε τη φήμη της για να φτιάξει έναν ιό. Τα αποτελέσματα και η ζημία που θα είχε μόλις κάτι τέτοιο αποκαλυπτόταν θα ήταν ολέθρια. Και να είσαι σίγουρος ότι θα αποκαλυπτόταν διότι και σε αυτή την περίπτωση λειτουργεί ο ανταγωνισμός και η βιομηχανική κατασκοπεία. Όλες οι ανταγωνίστριές της θα πετούσαν τη σκούφια τους για να την εκθέσουν.

HackIt:

Όχι αν έκαναν και αυτές το ίδιο.

VirKill:

Δηλαδή τι θες να πεις; Ότι όλοι οι antivirus vendor έχουν συνωμοτήσει εναντίον μας; Μήπως βλέπεις πολλές ταινίες;

HackIt:

Δεν σου λέω κάτι πρωτότυπο. Εδώ και δεκαετίες οι εταιρείες όπλων με το ίδιο σκεπτικό λειτουργούν. Κάθε τόσο βλέπουν το φως στοιχεία για την εμπλοκή τους σε εμφύλιους πολέμους τους οποίους υποδαυλίζουν για να πουλούν τα όπλα τους. Ή μήπως δεν ακούς ειδήσεις;

VirKill:

Ακούω αλλά εδώ μιλάμε για κάτι άλλο.

HackIt:

Αντιθέτως μιλάμε για το ίδιο ακριβώς πράγμα. Ο πόλεμος μεταφέρεται στο διαδίκτυο και οι ιοί δεν είναι παρά όπλα μαζικής καταστροφής.

VirKill:

Όχι διαφωνώ. Άλλο πράγμα οι ιοί και άλλο τα όπλα μαζικής καταστροφής.

HackIt:

Ναι καλά…

Η συζήτηση συνεχίστηκε για πολύ ώρα χωρίς κανένας να πείσει τον άλλον. Δεν ήταν η πρώτη φορά άλλωστε…
Καταχωρήθηκε στις 2:31 μμ από Nikolaos Vasileiadis | Κατηγορία: Dr. VirKill | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (0)
Το password και τα μάτια σας

Πάνω από 1.3 εκατομμύρια κωδικοί διέρρευσαν στο διαδίκτυο μετά από επίθεση hacker. Το αποτέλεσμα είναι ότι ισάριθμοι χρήστες είναι πλέον ανήσυχοι για το περιεχόμενο των e-mail τους εκτός αν …διαβάζουν το SeCure News και αλλάζουν τον κωδικό τους συχνά. Όπως έχουμε πολλές φορές τονίσει από αυτήν εδώ τη στήλη δεν αρκεί να προσέχουμε εμείς, πρέπει να προσέχουν και οι άλλοι. Επειδή σήμερα αγοράζουμε υπηρεσίες από διάφορες εταιρείες των οποίων την πολιτική και τα μέτρα ασφαλείας δεν ελέγχουμε, θα πρέπει να υποθέτουμε πάντοτε το χειρότερο. Άσχετα με το τι διαφημίζει και πόσο καλά προωθεί ο κάθε πάροχος τις υπηρεσίες του εμείς για να είμαστε σίγουροι θα πρέπει να υπολογίζουμε ότι η τρύπα στην ασφάλεια μπορεί να προκύψει την επόμενη μέρα και να έχουμε πάρει τα μέτρα μας. Συχνή αλλαγή κωδικών, εσωτερικό επίπεδο ασφάλειας και κρυπτογράφηση είναι τα τρία πράγματα που μπορούμε να κάνουμε χωρίς να εξαρτώμαστε από κανέναν. Και εξηγούμαι:

Για το ότι πρέπει να αλλάζουμε συχνά τους κωδικούς πρόσβασης έχω πει πολλά στο παρελθόν και δεν θα σας κουράσω ξανά. Με τον όρο «εσωτερικό επίπεδο ασφάλειας» εννοώ ασφαλώς ότι επιβάλλεται να χρησιμοπούμε το δικό μας firewall άσχετα με το πακέτο που έχουμε αγοράσει από τον πάροχο και το αν αυτό περιλαμβάνει ασφάλεια ή όχι. Μην αρκείστε στα μέτρα ασφαλείας που παρέχονται με τη σύνδεσή σας ειδικά αν πρόκειται για εταιρική σύνδεση και όχι για το σπίτι σας. Η κρυπτογράφηση τέλος μας σώζει από την περίπτωση που όλα τα άλλα αποτυγχάνουν. Στην περίπτωση των άτυχων χρηστών του συγκεκριμένου συμβάντος, δεν ανησυχούν αυτοί των οποίων τα e-mail ήταν κρυπτογραφημένα. Ακόμα και στην περίπτωση διαρροής κανείς δεν θα μπορούσε να διαβάσει τίποτα.
Καταχωρήθηκε στις 1:57 μμ από Nikolaos Vasileiadis | Κατηγορία: Sir DoRight | Μόνιμη σύνδεση | Αποστολή της καταχώρησης με ηλεκτρονικό ταχυδρομείο | Σχόλια (2)
1 - 10 Επόμενο

 ‭(Κρυφό)‬ Συνδέσεις διαχείρισης