onsdag 19 februari 2014

Här är it-avdelningens största misstag - TechWorld

Här är it-avdelningens största misstag - TechWorld



Du och dina it-kollegor gör alldeles för många fel, enligt
experterna. Här är deras bästa tips på hur ni råder bot på de vanligaste
bristerna och får en effektivare it-avdelning.  


Innehållsförteckning

FEL: Du standardiserar inte



Bristen på standardisering är skriande stor på många it-avdelningar,
enligt Joachim Nässlander, expert på tekniska lösningar för datacenter
på Microsoft. 
Joachim Näslander, Microsoft



– När du ska rulla ut x antal servrar blir det mycket lättare om du har någon sorts standard, men det flesta har inte det, säger han.


De som inte har en standard hamnar i
en diskussion om vilken typ av server det ska vara och hur den ska vara
konfigurerad. Dessutom får den mänskliga faktorn fritt spelrum: misstag
kan ske, och även om ingen klantar sig leder manuell installering av
servrar mycket lätt till bristande kvalitet ändå, anser Joachim
Nässlander.


– Har du fem olika människor som
installerar kan det ske på fem olika sätt. Problemet uppstår när kille
tre sedan ska felsöka kille fyras installation. När han dessutom passar
på att ändra lite i kille fyras installation uppstår ännu fler
kvalitetsproblem.


 

SÅ GÖR DU RÄTT 

Det finns flera sätt att rätta till det här felet, men det enklaste
och vanligaste är att använda de verktyg som finns i till exempel
Microsofts Configuration Manager eller Virtual Machine Manager, enligt
Joachim Nässlander.


– På så sätt blir servern konfigurerad som det är bestämt och du installerar även operativsystemet med verktyget.


Då blir det likadant varje gång, och det blir mycket lättare för dig att drifta plattformen, säger han.


Det finns även gott om verktyg och hjälpmedel från andra leverantörer.






FEL: Du automatiserar inte

Väldigt många fortsätter att jobba manuellt med sin it-produktion, trots
att det numera finns väldigt goda möjligheter till automatisering. Det
är ett allvarligt misstag, anser Jonas Feist, säljchef på och
medgrundare av Redbridge, ett företag som levererar it-tjänster med
fokus på öppna programvaror.


– Automatisering är otroligt
viktigt. Dels kostar det pengar att ha mycket personal, dels gör du fel
när du gör saker manuellt, som du sedan får försöka reda upp. Att jobba
manuellt är en stor källa till problem, säger han.


Du kanske anser att det inte finns någon anledning att automatisera enkla moment, men där har du fel, anser Joachim Nässlander.


– Oavsett om du loggar in på servern
på håll eller på konsolen i serverhallen så tar det ganska lång tid om
du ska hantera 5, 10 eller 100 servrar – även om det handlar om enkla
grejer. Dessutom kan som sagt manuellt klickande alltid leda till
problem också, säger han.


Under sommarmånaderna och julen är
det vanligt att inte släppa några nya releaser, på grund av att så många
olika kompetenser i personalen är på semester, enligt Jonas Feist.
Jonas Feist, Redbridge.


– Under de här perioderna funkar system ofta som bäst, eftersom igen
petar på dem. Men om du automatiserar kan du produktionssätta nya
releaser på somrarna också, säger han.


Det blir även möjligt att släppa ett par nya releaser i veckan i stället för ett par om året.


Joachim Nässlander anser att brist på automatisering och standardisering är det grundläggande problemet på mängder av it-avdelningar.


– Råder du bot på de här två
grejerna så har du löst 98 procent av dina problem. Har du inte
standardiserat hamnar du i diskussion med folk som inte har en aning om
hur man ska göra, och det är samma sak med automatiseringen. Det är ett
sätt att se till att det blir likadant varje gång. Och dessutom är tid
pengar om du har personal.


Att så många fortfarande inte automatiserar beror främst på omognad – man vet helt enkelt inte hur man ska göra, enligt Jonas Feist.


– Och någonstans förstår man ju även
att man inte kommer att behöva lika mycket folk när man börjar
automatisera på it-avdelningen, så man skyddar sitt eget område, säger
han.

 

SÅ GÖR DU RÄTT 

I och med att det enkelt går att beskriva exakt vad datorer ska göra
så går it-produktion teoretiskt sett att automatisera till 100 procent,
enligt Jonas Feist.


– Saker som har att göra med
egenskaper och beskrivning av en server går att spara. Du lägger
konfigurationerna på en eller flera centrala servrar och sedan
prenumererar servrarna på förändringarna som görs i konfigurationen
centralt. I öppen källkod-världen finns Chef, Puppet och andra produkter
som kan hantera det här.


Den som använder Windows kan i stället ta hjälp av Configuration Manager, Orchestrator eller Powershell, enligt Joachim Nässlander.


– Powershell ingår gratis i Windows,
men det är en ganska hög tröskel in. Men när man väl kommit över den
går det ganska fort att lära sig att göra hyfsat avancerade saker mycket
enklare.


Powershell innehåller småfunktioner som är objektorienterade, vilket innebär att det liknar objektorienterad programmering på många sätt.


– Är du utvecklare förstår du det
ofta ganska snabbt, men för oss som inte är det kan det var en lite
längre startsträcka. Men det finns massor av bra handledningar på nätet,
så du behöver inte sitta ensam hemma på kammaren och uppfinna hjulet,
säger Joachim Nässlander.
 

FEL: Du använder gammal säkerhetsarkitektur

Det vanligaste felet när det gäller säkerhet är att organisationen har
en säkerhetsarkitektur som inte längre håller måttet, anser Jesper
Kråkhede, senior säkerhetsarkitekt på Ekelöw, ett konsultföretag inom
risk och säkerhet.


– Du kanske inbillar dig att
brandväggen löser alla problem, men information ligger inte bara internt
längre. Numera finns den även i molnet och smarttelefoner.


Tiden då allt kunde skyddas bakom
brandväggen – som i ett ägg – är alltså förbi. Du kan inte längre
fokusera på nätverksskydd utan måste börja skydda själva informationen,
anser Jesper Kråkhede.


– Precis som innan måste du skydda
informationsbärarna, det vill säga datorer och liknande, men att skydda
informationen i sig har blivit ännu viktigare, säger han.


 

SÅ GÖR DU RÄTT 

Första steget för att rätta till det här allvarliga felet är att göra en riskanalys, enligt Jesper Kråkhede.


– Det är A och O. På så sätt tar du
reda på vad du ska skydda dig mot. En riskanalys behöver inte vara något
avancerat – du gör den på en vecka, max.

 
Jesper Kråkhede, Ekelöw.
Steg två är att se till så att du har fungerande säkerhetskopiering.


– Många företag tar säkerhetskopior utan att ha tänkt på hur man ska kunna återställa exempelvis en databas som kommunicerar med andra system.


För att göra det behöver du ha koll på vilka andra system du måste backa upp om du är tvungen att backa upp databasen.


– Det är ingen trivial process. Du
måste ha en dokumenterad miljö så du vet hur informationen flödar. Men
har du koll på informationsflödena så kan du lösa andra problem också,
så det är inte bortslösad tid.


Många saknar dock verktyg för att
kunna dokumentera informationsflödena på ett vettigt sätt. Det kan i
sådana fall vara en god idé att skaffa ett sådant verktyg, till exempel
Vscope, anser Jesper Kråkhede.


Steg tre är att hitta sätt att jobba med olika säkerhetsmekanismer för att skydda dig mot de risker du identifierade i steg ett.


– Du kan använda Togaf som verktyg,
och Jericho 2.0 eller liknande som referenslösningar. Det gäller att
välja rätt säkerhetsmekanismer. Om du exempelvis har en server som
alltid är igång, är då hårddiskkryptering rätt väg att gå? Nej,
krypteringen är ju bara aktiv när datorn är avstängd.
  

FEL: Du vägrar använda standardlösningar

Många organisationer utvecklar egna system helt i onödan – de skulle
lika gärna ha kunnat använda betydligt billigare standardlösningar och
sluppit uppfinna hjulet själva. Det anser Mikael Nyström, senior
exekutiv konsult på Truesec, ett konsultföretag inom it-säkerhet och
infrastruktur.

 
Mikael Nyström, Truesec.
– Du kanske anser att ni har en så väldigt unik verksamhet så att ni
inte kan ha en standardlösning. Och visst, jag köper att verksamheten är
unik, men sättet ni gör grejer på är inte unikt.


De flesta verksamheter följer ett
känt mönster – exempelvis köpa in, förädla, sälja – och då fungerar ofta
en standardsystem utmärkt, anser Mikael Nyström.


 

SÅ GÖR DU RÄTT 

Om det finns en färdig lösning som passar din verksamhet till 60–70 procent så bör du köra på den, anser Jonas Feist.


– Då kan du använda systemet som det
är, och anpassa dina interna processer. Jag tror inte att det finns
någon anledning att bygga särskilt mycket eget i dag.


Ett allvarligt fel som det är
viktigt att inte begå är att skaffa ett färdigt system som passar till
80 procent och sedan anpassa de sista 20 procenten till det som
verksamheten verkligen vill ha, enligt Jonas Feist.


– Dels är det en stor kostnad att
fixa de där sista procenten, dels sitter du i en jävla fälla när det
kommer en ny release från leverantören, för då måste du göra om de där
20 procenten igen, säger han.


För att veta om det funkar med en
färdig lösning eller inte måste du förstå din verksamhet och vad det
egentligen är du gör, enligt Jesper Kråkhede.


– I Nederländerna hade man ett
jättekomplext system för p-böter, tills någon kom på att man kunde
använda ett helt vanligt säljsystem istället. Man kunde helt enkelt se
det som att man sålde en p-bot till en kund i stället för att man gav
böter, säger han.

 

FEL: Du patchar bara Microsoft

Det är alltför vanligt att företag bara patchar Microsofts programvara
och sedan lutar sig tillbaka och tror att säkerhetsjobbet är gjort,
enligt Jesper Kråkhede.


– Många glömmer allt annat, som mjukvara från VMware, Adobe och så vidare. Och det kommer hela tiden nya sårbarheter.

 

SÅ GÖR DU RÄTT 

Du måste lägga in alla produkter du har i din cykel för patchhantering, anser Jesper Kråkhede.


– Och om du inte kan patcha, se då
till så att det inte går att komma åt den produkten utifrån. Du bör även
fråga dig om du verkligen måste ha kvar en produkt som är erkänt osäker
och som du inte kan patcha, säger han.
 

FEL: Du har ingen testmiljö

Många mindre företag har inte någon testmiljö, enligt Joachim Nässlander.


– Det som hindrar många är att det
blir en kostnad: Du behöver ha fler värdmaskiner och fler licenser. Men
det är fel att titta bara på kostnaden för anskaffningen – kostnaden för
att få upp din produktion igen om något går åt fanders är mycket
större, säger han.

 

SÅ GÖR DU RÄTT 

Det är ganska enkelt att sätta upp en testmiljö, framför allt nu när det mesta är virtualiserat, anser Joachim Nässlander.


– När du har en testmiljö behöver det inte komma som en överraskning att något inte fungerar, till exempel när du ska patcha något.

 

 

FEL: Du har noll koll på licenserna

Ytterligare ett område där det ständigt begås fel är när det gäller att
se till att vara korrekt licensierad, enligt Jonas Feist.


– Den snabba utvecklingen av
hårdvara och virtualisering leder till att it-avdelningarna inte hänger
med. Du måste förstå hur du ska bygga din miljö utifrån vad det kostar
licensmässigt. Men i dag finns ett jättestort glapp mellan
it-avdelningens kunskap om licenser och hur man bygger miljöer, och
därmed är nästan alla svenska företag med allra största sannolikhet
underlicensierade.


Om du till exempel byter ut din fyra
år gamla server med två kärnor mot en ny med åtta kärnor så blir du
enligt många leverantörers licensregler underlicensierad om du inte
köper till mer licenser.


– Det sorgliga är ju leverantörerna
inte alltid är så snälla mot ditt företag om du blir påkommen med att
vara underlicensierad. De kanske inte vill ge företaget rabatt efter en
sådan händelse.


Joachim Nässlander håller med om att det här är allvarlig risk.


– Om du är underlicensierad eller om
du har fel licenser så blir inte licenserna så billiga längre om du
blir påkommen. Och det här gäller inte bara Microsoft, säger han.


Det gäller såväl för annan proprietär mjukvara som för stora delar av den öppna programvara som används av företag, enligt Jonas Feist.


– Öppen programvara är ju egentligen
bara att ladda ner. Men sedan finns det ju program speciellt för
företag och då betalar du till en leverantör för att programvaran är
uppdaterad, testad och får support. Då går det inte att köra hur som
helst, utan det är reglerat hur du får använda produkten.


 

SÅ GÖR DU RÄTT 

Alla större it-avdelningar bör ha en licensansvarig person eller avdelning, anser Jonas Feist.


– Annars blir det här ett stort
problem förr eller senare. Ofta sätter man tyvärr okunnigt folk på att
hantera det här, eller ibland till och med leverantörer som Atea eller
Dustin, men de är ju inte inne hos dig varje dag, och de är ju dessutom
intresserade av att sälja mer, säger han.


På en större it-avdelning är det ett
heltidsjobb att hela tiden hålla koll att organisationen har rätt
licenser. Men det räcker inte att en enda person dediceras åt
licenshanteringen, anser Jonas Feist.


– It-arkitekter och driftansvariga
skulle behöva gå kurser i licenshantering oftare. De är med och påverkar
infrastrukturens uppbyggnad och då måste de också kunna licenser. Det
här är ett område som rör sig hela tiden, och ibland är det så att du
måste tänka om – du kan kanske inte bygga på det gamla sättet längre.
  

FEL: Ingen koll på avtalen med leverantörerna

Många it-avdelningar har dålig koll på när avtalen med leverantörerna
går ut, och när det är dags för förhandling, anser Jonas Feist.


– Helt plötsligt kommer en förnyelse
av ett avtal, och då har du ju tappat momentum att kunna förhandla. Då
är det förmodligen bara att betala, för annars skulle avtalet ha sagts
upp för flera månader sedan, säger han.


Det här innebär att du kanske åker
på en förhöjd supportavgift, och att du inte har möjlighet att plocka
bort något du inte längre har nytta av.


– Företag sparar både här och där,
men när det kommer till att hålla koll på avtalen med leverantörerna är
kostnadsmedvetenheten oftast inte alls tillräckligt hög, säger Jonas
Feist.


 

SÅ GÖR DU RÄTT 

Du bör skapa en kalender där du skriver in när det är dags att ta en
diskussion med de olika leverantörerna inför att det är dags för
avtalsförnyande, anser Jonas Feist, Redbridge. Dessutom bör
it-avdelningen ha en person som är speciellt ansvarig för avtalen.


– Annars blir det lätt så att man inte har full koll på vem som äger avtalet och vad som var syftet med avtalet från början.


Joachim Nässlander på Microsoft håller med om att det är viktigt att hålla koll på avtalen med leverantörerna.


– Det kan ju påverka priserna ganska
mycket. Du måste vara medveten om hur dyrt det kan bli om du inte
omförhandlar dina avtal. Det finns även system som hjälper dig att hålla
koll, precis som det finns för licenshanteringen.

 



FEL: Du inbillar dig att Apple är säkert

Det är ett alltför vanligt fel att tro att Apples produkter är säkra och inte behöver något extra skydd, anser Jesper Kråkhede.


– Alla datorer och program byggs av
människor och människor gör fel. Dessutom kör du andra program på
datorn, och det dyker upp sårbarheter i dem hela tiden, säger han.

 

SÅ GÖR DU RÄTT 

Se till att skaffa rätt säkerhet, helt enkelt.


– Säkerhet är som en liter mjölk i
solen. Den går bra att dricka nu, men efter ett tag har den surnat; även
om något är säkert nu så vet du inte hur det är nästa vecka, säger
Jesper Kråkhede.
 

FEL: Du är förändrings-obenägen

Många utgår från vad de har, inte vad det är de vill ha, enligt Mikael
Nyström på Truesec. Den här inställningen kan leda till stagnation och
sämre resultat.


– Det är genom att göra annorlunda
man kan vinna något. Det sitter alldeles för många gamla rävar runt om i
landet som är ovilliga att förändras och som tror att de kan allt
själva, säger Mikael Nyström.

 

SÅ GÖR DU RÄTT 

Ändra attityd! är Mikael Nyströms kortfattade råd.


– Det är två saker jag inte
accepterar att folk säger när jag är ute hos en kund: ”så har vi alltid
gjort” och ”så har vi aldrig gjort förut”.


Joachim Nässlander tror dock inte att det är så enkelt att ändra inställning.


– Tyvärr tror jag att det kokar ner
till personlighetstyp. Det finns två typer av it-arbetare: De som tycker
att det är kul med förändring och som snabbt hänger på nya grejer, och
de som tycker att allt ska vara som det alltid har varit. Har du en
it-avdelning som består av folk som tycker att det var bättre förr så är
enda lösningen att anställa fler som har den andra inställningen.

 



FEL: Du har foliehatt

Det händer att den som ansvarar för säkerheten är paranoid och leder säkerhetsarbetet på helt fel håll, enligt Jesper Kråkhede.


– Du sitter där med foliehatt och
skyddar företaget mot NSA, men glömmer att hålla igång verksamheten. Du
säkrar alldeles för mycket, så att det blir alldeles för svårjobbat och
dyrt, säger han.


Eller så fokuserar du på att skydda
företaget mot något med oerhört liten risk att drabbas av, exempelvis
bios-virus som använder ljud som attackväg, i stället för att fixa de
dåligt uppdaterade virusskydden på dina maskiner.


– Du har inte gjort en riskanalys,
eller så är riskanalysen gjord av en tekniker som inte har koll på de
verkliga riskerna utan fokuserar på någon obskyr teknisk detalj.


 

SÅ GÖR DU RÄTT 

Lösningen är ganska trivial: Det handlar helt enkelt om att ledningen
måste ta kontroll över säkerheten och faktiskt göra en riskanalys som
teknikerna sedan ska förhålla sig till, anser Jesper Kråkhede.
 

Inga kommentarer:

Skicka en kommentar