programske storitve za mala podjetja
Mikro in mala podjetja problematiko poslovnih podatkov večinoma rešujejo s tabelami v Excelu. Le malo jih uporablja poslovne informacijske sisteme, in to predvsem zaradi razmeroma dragih in za povprečnega uporabnika prezahtevnih rešitev. Ob drugi programski opremi, kot so različni pisarniški programi (MS Office, OpenOffice ...) ter profesionalni programi, ki jih potrebujejo za opravljanje svoje osnovne dejavnosti, je namreč težko najti sredstva za dodatno programsko in strojno opremo, kaj šele za strokovnjaka, ki bi za to skrbel.
Idealna rešitev za takšna podjetja so poslovne aplikacije v obliki storitve. A jih na slovenskem trgu primanjkuje. Ob pregledu ponudbe smo odkrili samo dve: MiniMax podjetja SAOP ter e-Računi podjetja IT Consulting Gorišek. DataLab sicer ponuja možnost mesečnega najema licence za Pantheon, ki ga je mogoče gostovati v partnerskem podatkovnem središču, a je treba skleniti licenčno pogodbo za vsaj 6 let, kar ni v ravno v duhu koncepta programske opreme kot storitve (software as service – SAS). Vasco svojega sistema še ni dodelal do te mere, da bi lahko deloval kot storitev, prav tako Andersen še ni ponudil Birokrata v tej obliki.
PREDNOST POSLOVNE PROGRAMSKE OPREME KOT STORITVE
Največja je ta, da uporabniki programja nimajo pri sebi in se ne ukvarjajo z vzdrževanjem, nadgradnjami, s strojno opremo ter z administracijo sistema. Uporabniki do funkcionalnosti poslovnega informacijskega sistema, dostopajo prek spletnega brskalnika in za uporabo plačujejo fiksno mesečno ceno.
IN SLABOST?
Uporabnike povsem upravičeno skrbita varnost in zasebnost podatkov. Toda predvsem zaradi pomanjkanja preglednosti dela oziroma postopkov pri ponudnikih. Razvijalci so sicer poskrbeli za overjanje uporabnikov (MiniMax s certificiranim digitalnim potrdilom, e-Računi z uporabniškim imenom in geslom) ter za šifriranje podatkov, ki se pretakajo prek interneta, niso pa poskrbeli za standardno varovanje. Standardno v smislu izpolnjevanja varnostnih standardov, kot sta ISO 17799 ali ISO 27000. Prvi namreč opredeljuje postopke za zagotavljanje neprekinjenega poslovanja, drugi pa postopke za celovito obvladovanje varnostnih tveganj. V splošnem pa gre za to, da so podatki res pravilno varnostno shranjeni, da so ti postopki vedno enaki in preverjeni ter da je zagotovljena zasebnost uporabnikovih podatkov. Oba omenjena ponudnika sicer izvajata redne (dnevne) varnostne kopije podatkov, ki jih shranjujeta še na dislociranih lokacijah, kar naj bi odpravilo možnosti izgube podatkov. Vendar pa bi moral kupec, da bi se prepričal, ali je vse to res, kar je zapisano v njunih pogodbah, najeti revizorja informacijskih sistemov, ki bi pregledal stanje postopkov in opreme. Tega pa mala podjetja niso sposobna, zato morajo verjeti na besedo.
ZAKAJ STANDARDI
Če želi podjetje standardizirati obvladovanje podatkov v skladu z varnostnimi standardi ISO, mora prilagoditi postopke in opremo, kar v praksi preveri tudi certifikacijska hiša. Certifikati se obnavljajo vsako leto, tako da mora ponudnik vse postopke vzdrževati v zavedenem stanju ter ponovno certificirati vsak nov postopek. Certifikat ustreznosti določenemu varnostnemu standardu kupcem storitev takega podjetja zagotavlja, da so njegove storitve res takšne, kot jih opredeljuje. Iz tega tudi sledi, da je na primer ponudnik, ki je certificiran s standardom ISO 27000, materialno odgovoren za škodo na podatkih ali za izgubo podatkov, ki se hranijo pri njem. Če ponudnik teh standardov ne izpolnjuje, pa so tveganja za kupce bistveno večja, predvsem pa ni opredeljene materialne odgovornosti.
PROBLEMATIČNO VARNOSTNO SHRANJEVANJE
Ponudniki programske opreme kot storitve običajno hranijo operativne podatke iz poslovanja eno ali dve leti od nastanka. Uporabnik mora na primer za podatke o poslovanju v letu 2006 od 1. 1. 2008 sam skrbeti oziroma jih varnostno shraniti. To pa je za mala podjetja spet velika težava, saj nimajo ne opreme ne znanja, da bi lahko podatke hranili recimo za dobo 10 let.
Glede varnostnega shranjevanja je v Sloveniji več možnosti oziroma ponudnikov storitev podatkovnih središč, ki poleg gostovanja programske opreme omogočajo tudi varnostno shranjevanje podatkov. Ti ponudniki pa so še bolj kritični glede varnostnih standardov kot ponudniki programskih storitev, saj morajo podatke varovati dolgoročno.
ZAVAJANJE KUPCEV
Med tremi večjimi ponudniki storitev gostovanja samo podjetje SIMT v svojem podatkovnem središču izpolnjuje standard ISO 27000. Podjetje Podatkovno središče, d.o.o., na svojih spletnih straneh sploh ne omenja kakršnegakoli varnostnega standarda, niti nam na vprašanje o izpolnjevanju standardov niso odgovorili. Primer ponudnika, ki z oglaševanjem standardizacije dejansko zavaja kupce pa je podjetje FMC. Slednje naj bi izpolnjevalo varnostne standarde NATO, ki pa ne obstajajo! V podjetju nam na vprašanje, katere varnostne standarde ISO izpolnjujejo, tudi niso odgovorili. Pri raziskavi, kaj bi lahko pomenili varnostni standardi NATO, pa smo prišli do zaključka, da je to lahko le preverjanje oseb (NATO Security Clearance) ter preverjanje z napravami (Fascility Security Clearance), kar podjetje potrebuje, če pride poslovno v stik z zaupnimi podatki. Preverjanje oseb na prošnjo podjetja izvede ministrstvo za obrambo in je v praksi na primer manj zahtevno kot preverjanje oseb za upravno območje, ki ga opravlja MNZ. Pomembno pri vsem tem je, da pri teh »standardih« ne gre za preverjanje postopkov varnostne hrambe ter spremljanje posegov na podatkih in sistemih, vključno z nadzorom pristopa, temveč le za preverjanje ljudi, ki stopajo poslovno ali operativno v stik z nekaterimi občutljivimi podatki
Poslovanje malih podjetij je z informacijskega vidika bistveno bolj problematično kot poslovanje srednjih in velikih organizacij. Predvsem zato, ker sama ne znajo dovolj dobro poskrbeti za svoje podatke in zato tudi ne morejo oceniti kakovosti tovrstnih zunanjih storitev. Prav to dejstvo pa nekateri ponudniki informacijskih storitev zaenkrat izrabljajo, da kupcem ponujajo nepopolne in tvegane storitve. Resda standardi niso vse in ima lahko ponudnik svoje postopke še bolje izvedene, kot jih predpisuje kakšen standard. Zato lahko podjetje ob izbiranju ponudnika za varovanje podatkov ali gostovanje programske opreme preveri njegove reference iz obvladovanja informacijske infrastrukture in storitev v velikih podjetjih. Vsako podatkovno središče namreč zaradi rasti podatkov in uporabnikov postane enako zahtevno za obvladovanje kot podatkovna središča največjih bank ali telekomunikacijskih podjetij.
Moj mikro, Junij 2008 | Piše: Jaka Žorž |
