Analiza: Veb nastup ponuđača poslovnog softvera u Srbiji 2014

Kvalitetna i na vreme plasirana informacija je jedina koja donosi novac u današnje vreme. Koliko je ova teorija primenljiva u praksi ponuđača poslovnog softvera u Srbiji? I šta potencijalni kupci poslovnog softvera mogu naći na sajtovima ponuđača?

Revizija centra podataka

Shares

revizija_datacentra1U predhodnoj sekciji je bilo govora o revizorskim kontrolama na nivou entiteta i to predstavlja prvi, osnovni i ključni korak u revizorskim procesima kojim se definišu opšta pravila rada procesa IT revizije. Međutim, to je samo početak. Sposobnost savremene automatizovane obrade poslovnih dokumenata i informacija je srž najmodernijih operacija u poslovnoj organizaciji. Posao IT revizora je da identifikuje i izmeri sprovođenje fizičkih i administrativnih kontrola kao i sposobnost sprovedenih kontrola da se ublaži rizik remećenja i prekida obrade podataka. U ovom izlaganju će se obuhvatiti sprovođenje IT revizije centra podata, poznatim i pod nazivima serverska soba, računski centar (data centar) i po potrebi procesi obnove podataka (recovery) u slučaju potencijalnih katastrofa. Važno je prihvatiti da u okviru ovog izlaganja nije pokriveno pitanje obezbeđivanja procesa i procedura sa kojim se vrši obezbeđivanje procesa poslovnog kontinuiteta. Neke od oblasti koje će da budu obuhvaćene u okviru ovog izlaganja, između ostalog uključuju:

  • Kapacitet – obim osnovnih kontrola
  • Operacije centra podatraka (računskog centra)
  • Sistem i elastičnost položaja centra podataka
  • Strategija obnove podata (recovery) u slučaju katastrofa

Danas centri podataka obezbeđuju kontrolu fizičkog pristupa infrastrukturi, kontrolu okruženja, elastično napajanje i mrežno priključivanje, sisteme protivpožarne zaštite i nekoliko različitih tipova primenjenih alarmnih sistema. Struktura centra podataka se projektuje da održava konstantno optimalno kompjutersko okruženje. Revizorska uloga je da proveri i potvrdi da su prisutni svi neophodni sistemi i procedure i da rade podesno da bi se zaštitila poverljivost, integritet i raspoloživost poslovnih informacija.

Sistemi alarma

Zbog moguće pojave vatre, vode, ekstremne temperature i nivoa vlažnosti, fluktacije električne energije i ugroženosti fizičkim upadom u centar podataka (i njegove operacije), interni IT revizori bi trebalo da posvete pažnju identifikaciji nekoliko različitih tipova sistema alarma koji bi trebalo da su primenjeni u okviru centra podataka. Interni IT revizori bi trebalo specijalno da pogledaju i razmotre prisustvo i funkcionisanje sledećih tipova alarma.

  • Burglar alarm ((Kontrolni panel burglar alarma predstavlja centralnu jedinicu montiranu na zid u kojoj su smešteni uređaji za detekciju i povezani i upravljani kablovi za alarm. Ovo uključuje uređaje kao što su zvona, sirene, kontakte na vratima, detektore pokreta, detektori dima itd. Tipični paneli se nalaze u uslužnim ormarima ili pristupnim sobama.)) , alarm protiv provale – upada je moguć sa (magnetnim vratima, senzorima na prozorima (za identifikaciju loma, stakla), senzorima za uočavanje kretanja i ponekad zvučnim senzorima, ili primenjenim kabinetom koji obuhvata više raznih tipova senzora protiv upada),
  • Alarm požara (najčešće senzori koji se aktiviraju na dim (pušenje), temperaturu, pojavu vatre, razdeljeni po zonama koje pokrivaju različite delove objekta centra podataka,
  • Alarm za vodu (najčešće sa senzorima ispod duplog poda blizu mogućih tačaka rizika, u blizini vodovodnih i kanalizacionih cevi kao i grejnih instalacija punjenih vodom),
  • Alarm vlažnosti (normalno sa senzorima postavljenim svuda u okviru objekta centra podataka),
  • Alarm o funkcionisanju elekrtrične energije (sa senzorima blizu logičke tačke ulaza),
  • Hemijski ili gasni alarm (ponekad u sobama sa akumulatorskim baterijama i blizu vazdušnog usisavanja kod klima uređaja).

Ovi alarmni sistemi će, normalno, blagovremeno snabdevati potrebnim informacijama operativni centar u okviru centra podataka. Operateri u okviru centra podataka su po pravilu edukovani kako da reaguju kod pojave alarmnih uslova, za specifične senzore. U savremenim centrima podatraka prisutne su i kamere za prismotru, da bi omogućile da se blagovremeno uoči i izoluje uzrok problema.

Postupak IT revizije centra podataka

Centar podataka je objekat koji je projektovan da smesti jedan ili više kritičnih informacionih sistema koji su vezani za poslovnu organizaciju. Ti sistemi su sastavljeni od kompjuterskog hardvera, jednog ili više operativnih sistema i programskih aplikacija. Aplikacije su poluga podrške specifičnim operativnim funkcionalnostima takvim kao što su izvršavanje komercijalnih poslovnih procesa, (naručivanje, upravljanje relacijama sa partnerom (Customer Relation Management – CRM)), proizvodnim procesima (lansiranje radnih naloga) i procesima računovodstva i finansija.

Po svojoj prirodi savremene mogućnosti obrade podataka su u osnovi hijerarhije poslovne organizacije, pa je to razlog zašto je izuzetno važno da postoje neophodne kontrole da bi se ublažio mogući rizik njihovog rada. Glavni centri pretnji između ostalog uključuju:

  • Prirodne pretnje, takve kao što su meterološki događaji, poplave, zemljotresi ili požari,
  • Pretnje nastale od ljudi, kao što su terorstički incidenti, pobune, krađe ili sabotaže,
  • Opasnost okruženja kao što su ekstremne temperature ili vlažnost,
  • Gubitak komunalnih usluga, kao što je električna energija ili telekomunikacije.

IT revizor bi trebalo da uoči i zabeleži da su mnoge od ovih pretnji fizičke po svojoj prirodi. U nastavku izlaganja ukazaće se na neke različite kontrole koje imaju za cilj ublažavaje ovih pretnji.

Plаn zа oporаvаk informаcionih sistemа u slučаju hаvаrije

Procenjujući različite rizike po informacije i informacione sisteme (naročito zbog neočekivanih havarija i/ili drugih destruktivnih delovanja) i planirajući preventivne mere za ublažavanje istih, poslovna organizacija bi trebalo da uspostavi anticipativne mere zaštite, sa kojima se mogu ublažiti mnoge vrste rizika poslovne organizacije. Kao jednu od najvažnijih pripremnih radnji je uspostavljanje efikasnih procedura kao preventivnih mera sa kojima će se obezbediti što brže vraćanje informacionih sistema i potrebnih raspoloživosti informacija u radno stanje posle nastale havarije.revizija_datacentra2

Mnoge strukovne organizacije (COSO, IIA, ISACA) kao i usvojeni standardi (na primer; serija standarda ISO 27000), revizorske kuće (PricewaterhouseCoopers, Deloitte Touche, Tohmatsu Limited, Ernst & Young i KPMG) kao i prateća stručna literatura, definišu mnoge kontrolne liste (checklists) koje pomažu internim IT revizorima u praktičnom radu. Tako na primer, knjiga IT revizija ((Chris Davis, Mike Schiller and Kevin Wheeler, IT revizija Savez računovođa i revizora Srbije, 2008)) definiše preko 40 kontrolnih tačaka koje su vezane za centar podataka, koje se po potrebi mogu i trebaju dekomponovati na mnogo detaljniji pristup. U nastravku se iznose samo neke od mogućih kontrolnih tačaka u okviru kontrolne liste (checklist), uz jedan nešto detaljnije obrađen primer.

Neki test koraci interne IT revizije i kontrole koje se odnose na centar podataka

  • Potrebno je da interni IT revizori ocene jedinice za fizičku autentifikaciju da bi odredili da li su podesne, kao i način na koji se one suštinski koriste i da li rade na adekvatan način,
  • Obaveza je da se na redovnoj osnovi vrši razmatranje dnevnika bezbednosti koji se odnosi na obilaske zgrade od strane stražara, kao i drugih pratećih dokumenta, da bi se ocenila efikasnost bezbedonosne personalne funkcije,
  • Potrebno je proveriti da li su osetljive oblasti adekvatno bezbedne (system sala, arhiva magnetnih medijuma i slično),
  • Zahteva se da se proveri da li sistemi toplote, ventilacije, klimatizacije održavaju konstantnu temperaturu unutar centra podataka,
  • Interni IT revizor bi trebalo da oceni i proceni da li centar podataka koristi elektronski štit (faradejev kavez) da bi se zaštitio od posledica radio emisija koje mogu da utiču na kompjuterski sistem ili da elektromagnetne emisije samog računara (ekrana) ne mogu koristiti u svrhe dobijanja neautorizovanog pristupa informacijama poslovne organizacije,
  • Potrebno je da interni IT revizori provere da li postoji uzemljenje kojim se vrši zaštita kompjuterskih sistema kao i kvalitet (merenja) tog uzemljenja.
  • Odredite da li centar podataka ima redududantno snabdevanje električnom energijom. Interni IT revizori bi trebalo da provere da li je osigurano da postoji stalnost napajanja električne energije kao uslov zaštite od gubitka podataka.

Prekid električne energije može da uzrokuje gubitak podataka dovodeći do iznenadnog prekida u radu i “spuštanja“, odnosno obaranja kompjuterkog sistema. Sistem besprekidnog napajanja (Uninterruptible Power SupplyUPS) i sistemi baterija ublažavaju taj rizik obezbeđujući 20 do 30 minuta napajanja električnom energijom, isto tako kao i rad stabilizatora električne energije za vreme normalnog korišćenja kroz stabilizaciju napona i frekvencije električne energije, pošto i stabilizator ima u okviru sebe sistem baterija a sprečiće pregorevanje uređaja na kojima su skladišteni podaci.

Kako

Sistem rezervnog napajanja posredstvom baterija ili UPS-a nudi momentalno snabdevanje električnom energijom u slučaju gubitka mrežne električne energije. revizija_datacentra3To rešenje je tipično projektovano da obezbedi negde između 20 minuta i jednog sata rada kompjuterskog sistema za izvršavanje i završavanje pojedinih radnih zadataka. Istovremeno, ovi uređaji obezbeđuju dovoljno vremena koje je potrebno generatoru električne energije da se pokrene, stabilizuje i počne da generiše električnu energiju. UPS po pravilu takođe izvršava funkciju stabilizacije električne energije zato što su ovi uređaji logički postavljeni između izvora električne energije i opreme kompjuterskog centra. Kada se direktno koristi električna energija, baterije su konstantno na punjenju. Do konverzije dolazi ako je električna energija izgubljena, odnosno u prekidu, tada baterije počinju da se troše. Interni IT revizor bi trebalo da obavi intervju sa menadžerom objekta centra podataka i da posmatra UPS sistem i proceni snagu njegovih baterija kao backup sistem napajanja i da proveri da li je UPS sistem centra podataka zaštitio sve bitne i kritične kompjuterske sisteme i reagovao u adekvatnom vremenu.

  • Osigurajte da je personal centra podataka utreniran da izvršava nihove poslovne funkcije,
  • Osigurajte da je kapacitet centra podataka planiran da izbegne nepotrebne prekide,
  • Proverite da su prisutne procedure koje osiguravaju sprovođenje bezbednog memorisanja i raspoređivanja sistemskih medija,
  • Itd…

U daljem izlaganju izložičemo dalji nastavak oblasti i postupke u kojima deluje interna IT revizija.

  • Koraci revizije opšte mrežne opreme
  • Mrežna i komunikaciona infrastruktura
  • Revizija windows operativnih sistema
  • Middleware i revizija baze podataka
  • Revizija aplikacija
  • Revizija kompanijskih projekata
  • Okvir i standardi
  • Forenzičko računovodstvo
  • Forenzička IT revizija

About the Author Stanislav Polić

Stanislav R. Polić diplomirani inženjer elektrotehnike, smer telekomunikacija, Elektrotehnički fakultet Univerzitet u Beogradu. Magistar organizacionih nauka, smer informacioni sistemi: “Informacioni sistem interne banke”, kod mentora profesora Dr Mihajla Jaukovića, Fakultet organizacionih nauka, Univerzitet u Beogradu. Doktor biotehnickih nauka, Doktorirao na Poljoprivrednom fakultetu, smer Agroekonomija Univerzitet u Beogradu, kod mentora Profesora Branka Ž. Ljutića sa temom “Ekspertni sistemi za upravljanje obrtnim kapitalom u društvima kapitala u Agraru“, 2001 godine. Koautor više knjiga iz oblasti primenjene informatike u poslovnim sistemima. Ima više objavljenih naučnih i stručnih radova iz oblasti primenjene informacione tehnologije. Stalni je saradnik u naučnim i profesionalnim časopisima Revizor, Revizija, Računovodstvo, Berza. Ovlašćeni ispitivač Saveza računovođa i revizora Srbije - SRRS, oblast informacionih tehnologija za zvanja: samostalni računovođa, ovlašćeni računovođa i računovođa. Član "Jugoslovenske asocijacije revizora-JAR" i član Upravnog odbora, Predsednik sekcije za informacione tehnologije, član "Jugoslovenskog instituta revizora-JIR". Član YU EDI asocijacije i član upravnog odbora JU EDI asocijacije. Koautor idejnog projekta EDI tehnologije - Zavod za obračun i plaćanje: "Pilotski EDI servis platnog prometa prema UN / EDIFACT standardima", Beograd 1995. Koautor Jugoslovenskog računovodstvenog standarda JRS 33 i izdvojene metodologije za ocenu kvaliteta računovodstvenog softvera, Savez računovođa i revizora Srbije i Jugoslavije. Učestvovao u ekspertskim timovima za uvođenje informacionih sistema u prehrambenoj industriji (mlekara, prerada hrane), prerada stočne hrane, duvanska industrija. Učestvovao u menadžment konsalting studijama Fakulteta organizacionih nauka, Univerzitet u Beogradu, za planiranje u poslovnim sistemima (brodogradilište, fabrike i sl.). Učestvovao u projektovanju informacionog sistema u više jugoslovenskih preduzeća koja su osnovana u inostranstvu. Član Poslovnog odbora PKB Korporacije, Beograd, 1992-97, oblast informacionih tehnologija, član Nadzornog odbora, 1997-99, Predsednik nadzornog odbora PKB Korporacije, 1998

Izveštaj: Poslovni softver u Srbiji 2014

Poslovni softver i rešenja već odavno predstavljaju osnov za efikasno upravljanje poslovanjem. Cloud je sve bliže i više ne predstavlja samo svetski trend, već se i na našem tržištu pojavljuje sve više i više rešenja ovog tipa.

Preuzmi izveštaj!