Sektori informacijsko-komunikacijskih tehnologija u tvrtkama žele biti prepoznani kao inovacijski centri i strateški poslovni partneri

Dobre namjere spora ostvarenja

U Hrvatskoj vodeći ljudi u državi ne razumiju potpuno važnost informatizacije javnog sektora, moguće koristi i porast učinkovitosti, a samim tim i smanjenje rashoda što bi mogla donijeti temeljita informatizacija poslovnih procesa.

PIŠE IVICA PERICA

Autor Ivica Perica završio je studij poslovne informatike na Charelston Southern University (SAD), a zvanje magistra znanosti u području informacijskog menadžmenta stekao je na Ekonomskom fakultetu u Zagrebu. Svoju profesionalnu karijeru započeo je u tvrtki Infodom gdje je proveo četiri godine na poziciji voditelja odjela za implementaciju i razvoj nakon čega se pridružio tvrtki Deloitte gdje je nakon osam godina napredovao i došao do pozicije direktora odjela za poslovno savjetovanje u Adriatic regiji zaduženog za javni sektor i EU usluge. Osim toga, Ivica je kao član ili voditelj sudjelovao u mnogim projektima iz područja restrukturiranja i optimizacije poslovnih procesa te kontrola, uspostave sustava upravljanja rizicima, analize i uspostave IT Governancea, interne revizije, provođenja IT revizija, implementacije raznih IT sustava i sl. u mnogim industrijama u cijeloj regiji. Također ima PMP, PRINCE2 i ITIL certifikate.

Deloitte već tradicionalno provodi godišnje CIO istraživanje u kojemu je za 2013. godinu sudjelovalo više od 700 ljudi na CIO (Chief Information Officer) funkciji te ostalih na vodećim pozicijama u IT sektoru iz cijeloga svijeta. Teme istraživanja bile su trenutna pozicija CIO funkcija u organizacijama, dodatne vrijednosti koje CIO donosi tvrtkama te pozitivni i negativni trendovi IT poslovanja u financijskom, javnom i privatnom sektoru.

Ludi na čelnim funkcijama upravljanja informacijsko-komunikacijskim sustavima u posljednje se vrijeme nalaze pred sve većim izazovima, s obzirom na to da poslovna rukovodstva mnogih tvrtki sve više shvaćaju kako primjena tih tehnologija može značajno pridonijeti razvoju i konkurentnosti njihova poslovanja. Cloud tehnologije, BYOD (Bring Your Own Device) te Big Data (veliki podaci) danas uvelike mijenjaju način poslovanja, a sukladno tomu mijenjaju se i vodeće funkcije u IT sustavima te u području sigurnosti IT sustava kako bi ostale upotrebljive i korisne u brzo mijenjajućem okruženju.
Jedan od glavnih zaključaka Deloitteova istraživanja bio je da ICT predstavlja ključnu ulogu u inovaciji poslovanja te podršku rastu i kompetitivnosti organizacija. Međutim, istraživanje je ukazalo i na glavni negativni aspekt takvog stanja - većina sudionika smatra da je sve teže pronaći, ali i zadržati zaposlenike koji razumiju industriju, poslovanje i nove trendove IT industrije i sigurnosti. Ta se izjava odnosi i na funkcije voditelja sigurnosti informacijskog sustava (CISO).
Glavni fokus svih informatičkih voditelja koji su sudjelovali u prošlogodišnjem istraživanju jest implementacija novih ICT rješenja kao odgovor na aktualne poslovne potrebe svojih kompanija, kao što je upravljanje Big Data, cloud, mobilne tehnologije i tehnologije društvenih mreža.


Grafički prikaz ključnih ciljeva koje anketirani informatički voditelji žele postići u 2014. (Izvor: Deloitte)

U svjetlu poruka CIO istraživanja, Ivica Perica direktor u tvrtki Deloitte Savjetodavne Usluge d.o.o. analizira stanje hrvatske ICT stvarnosti i sposobnost upravnog aparata za potrebne promjene. Deloitte je jedna od vodećih svjetskih tvrtki koja nudi profesionalne usluge iz područja revizije, upravljanja rizicima, poreza, poslovnog i financijskog savjetovanja te pravne usluge.

22% - porast investicija u IT

Pozitivni indikatori provedenog istraživanja ukazuju da su investicije u informacijske tehnologije porasle za 22 % u odnosu na prethodne godine što je posljedično povećalo ICT budžete koje imaju na raspolaganju ljudi na CIO funkcijama. Oko 60 % budžeta otpada na standardne operativne poslove ICT okruženja dok se ostatak koristi za razvoj te unapređenje ICT sustava i poslovanja.
Kad govorimo o položaju CIO funkcije unutar organizacije, 61 % sudionika Deloitteova istraživanja smatra kako je njihova suradnja te partnerstvo s ostalim organizacijskim dijelovima kompanije još najviše ograničena na pružanje svakodnevnih operativnih usluga i podrške poslovanju, a ne na cjelovitu suradnju s ostalim odjelima kako bi kompaniji pružili stratešku vrijednost podataka visoke kvalitete i osigurali optimizaciju poslovnih procesa do primjenjive razine. Stoga većina sudionika u istraživanju smatra kako im je glavni cilj u 2014. učvrstiti svoju poziciju te da kao ravnopravni poslovni partneri pružaju kvalitetniju i potpuniju stratešku podršku ostalim poslovnim odjelima i upravi u svrhu podrške unapređenju tvrtkinog poslovanja.

64% - na početku krivulje učenja

Većina ispitanika smatra kako je jedna od ključnih strateških prednosti za budućnost upravljanje analitikom velikih podataka. No, unatoč prepoznanom trendu i mogućnostima, 64 % ispitanika potvrdilo je kako su oni i njihove tvrtke na samom početku krivulje učenja koje bi im omogućilo implementaciju nadolazećih tehnologija i softvera. S druge strane, pretežno su ograničeni na praćenje novih mogućnosti i istraživanje novih tehnologija, umjesto da ih implementiraju u svoja ICT okruženja.
Može se zaključiti kako mnogi CIO voditelji još nisu potpuno uvjereni da će nove metode analitike podataka te tehnologije koje omogućuju funkcionalno upravljanje velikim podacima, donijeti kompanijama dovoljno veliku korist kako bi opravdale trošak upuštanja u takve projekte.



Grafički pregled trendova koji su uz Big Data najviše zainteresirali ispitanu populaciju pokazuje sklonost poboljšanju mobilnosti korisnika informacijskih sustava te tehnologijama u oblaku. (Izvor: Deloitte)

5% IT budžeta na upravljanje sigurnošću

Učinkovito upravljanje rizikom
Upravljanje rizikom još je jedan od ključnih aspekata evolucijske uloge voditelja sigurnosti. Suvremeni voditelji sigurnosti uključeni su u odabir i implementaciju poslovnih prioriteta. To podrazumijeva prihvaćanje rizika da se ispune poslovni ciljevi, no proces može biti uspješan samo uz razumijevanje rizika prisutnih u poslovnom okruženju i uz kontinuirano usavršavanje. Takav pristup može biti koristan upravo u situaciji kad se unutar poslovnog okruženja sve više traže korisnički orijentirani uređaji.
° Ako član uprave želi koristiti privatni tablet da bi pristupio poslovnim aplikacijama, umjesto da mu voditelj sigurnosti kaže ne trebao bi ga podučiti o rizicima koje takav uređaj donosi i navesti ga da potpiše dokument kojim potvrđuje da razumije i prihvaća navedene rizike.
° Jednako važna stavka je i sposobnost voditelja sigurnosti da identificira propuštene poslovne prilike zbog nesklonosti prihvaćanju rizika ili zbog posljedica rizika koji je nekoć bio stvarna prijetnja, no sad se može reducirati na prihvatljivu razinu. Takvim pristupom upravljanju informacijskim rizicima unutar poslovnog okruženja, voditelj sigurnosti može uspostaviti nepobitan kredibilitet u poslovnom svijetu, unaprijediti konkurentnost tvrtke te ojačati veze s odjelom upravljanja rizicima, unutarnjom revizijom, ljudskim resursima, pravnom službom i svim drugim čimbenicima poslovnog procesa.

Gledano sa sigurnosnog aspekta iz Deloitteovog stvarnog iskustva, ulaganja u upravljanje informacijskom sigurnošću u prosjeku iznose manje od 5 % ukupnog IT budžeta i prisutna su otprilike u polovici tvrtki iz financijskog, javnog i privatnog sektora. Zbog financijske krize smanjena su ulaganja u informacijske tehnologije čime je povećan i potencijalni rizik curenja podataka. Stoga ne čudi sve zastupljenije mišljenje da osim što smanjuje informacijski rizik uvođenje funkcije glavnog informatičkog direktora za sigurnost (CISO) štedi novac.
No, s definicijom uloge koju ima CISO valja biti oprezan.
Poslovni uspjeh sve se više oslanja na sposobnost tvrtke da balansira zahtjeve cyber prijetnji i regulatornu usklađenost s inovacijama i neizbježnim rastom. Time osoba zadužena za nadzor i kontrolu tih segmenata postaje glavni oslonac tvrtke. Danas se CISO (a u jednu ruku i CIO) prema standardnoj i uvriježenoj definiciji percipira kao osoba zadužena za upravljanje sigurnosnim kontrolama u području informatike, no tehnički gledano ta uloga nije dovoljno široka da obuhvati nove izazove koje neizbježno donose trendovi oblaka, bring your own device te upravljanje velikim podacima.
Ne tako davno od CISO-a ili njegova ekvivalenta očekivalo se isključivo definiranje tehničkih standarda i sigurnosnih politika, vrednovanje sigurnosnih kontrola prema regulatorima te osiguranje osobnih podataka. Posljednjih šest godina javlja se trend proširenja odgovornosti od komunikacije s višim menadžmentom različitih poslovnih procesa, eliminacija redundantnih kontrola te što brže inkorporiranje inovacija i rasta u kompanijine sigurnosne protokole.

Konačni cilj jest da CISO funkcionari evoluiraju od izdvojenih sigurnosnih eksperata i analizatora u savjetnike kako bi nove tehnologije mogle unaprijediti poslovanje uzimajući u obzir potencijalne rizike te koristeći tehničke pojmove iz poslovne terminologije kako bi izazove i rješenja pojasnili rječnikom razumljivim osobama izvan svog tehničkog djelokruga.
Svjedoci smo vremena u kojem ­cloud-tehnologija širi svoj utjecaj na poslovanje i društvo općenito. Postalo je očito - cloud-tehnologija svojim utjecajem na društvene medije, mobilne tehnologije i upravljanje podacima ima snagu promijeniti način poslovanja. Novonastali poslovni modeli i prilike koje pruža ­cloud-tehnologija donose i nov pogled na potrebe ustroja tvrtke, na agilnost i učinkovitost unutar procesa upravljanja informacijskim tehnologijama. Prihvaćanjem ­cloud-tehnologije tvrtke će potpuno ovisiti ne samo o internetskoj već i o mobilnoj prisutnosti te o sposobnosti da brzo rukuju golemim količinama podataka, kako bi u svakom trenutku bili dostupni korisnicima i pružili im što bolju uslugu. Zbog novonastale situacije i novih izazova na području informacijske sigurnosti u žarištu te promjene mogli bi biti CISO voditelji održavajući ravnotežu između troškova i stupnja sigurnosti na prihvatljivoj razini.

Cloud spoticanja

Usprkos pogodnostima, postoje i mnogi negativni aspekti cloud-tehnologije koji još sprečavaju njenu globalnu primjenu u svim industrijama. Kamen spoticanja kod oblaka je sigurnost. Kad je u pitanju oblak postoje brojne opcije kao što su IaaS (Infrastructure as a Service), PaaS (Platform as a Service) ili SaaS (Software as a Service) te možemo imati privatni, javni, hibridni ili community oblik. No, osim u slučaju privatnog clouda, činjenica je da se podaci u nekom trenutku nalaze i kod treće strane.
Sam koncept računalnog oblaka nije revolucionarna ideja, u informatičkom svijetu još od šezdesetih godina prošlog stoljeća. Cloud se kroz vrijeme razvijao i usavršavao pa je i sveprisutna virtualizacija računala jedan oblik oblaka. Ono što mu je dalo vjetar u leđa su javno dostupni cloud-servisi koji korisnicima za razmjerno malo novca omogućuju usluge koje su prije bile dostupne samo financijski dobro stojećima. Kod takvih servisa na istoj su infrastrukturi podaci brojnih različitih korisnika i tu se vraćamo problemu sigurnosti.
Kad svoje podatke dajemo nekomu na čuvanje, procesiranje i raspolaganje to dovodi do rizika pa se izlažemo opasnosti da dospiju negdje drugdje mimo našeg znanja i želje. Dakako, postoje ugovorne obveze kojima se pružatelj cloud-usluga obvezuje maksimalno zaštititi podatke, no jesmo li spremni povjeriti informacije koje su osnova cjelokupnog našeg poslovanja nekome tko nam jamči da će ih čuvati ugovorom? Kako će to tretirati regulatori, koji standardno kaskaju za novim tehnologijama?
Dakako, od potencijalne katastrofe ne štiti nas samo ugovor, podatke osiguravaju mnogi sigurnosni mehanizmi među kojima je najznačajnija kriptografija, no koncentrirat ćemo se na neke od najčešćih prijetnji koje se vežu za cloud.

  • Curenje podataka najgori je scenarij koji se može dogoditi nekoj kompaniji. Podaci koji dospiju u ruke konkurenciji ili postanu javno dostupni mogu imati za kompaniju nesagledive materijalne i reputacijske posljedice. Uzrok curenju podataka ne mora biti posljedica napada vještog pojedinca ili skupine koji će se domoći dobro čuvanih kriptografskih ključeva već može biti posljedica neadekvatno administriranog clouda ili lošeg dizajna servisa.
  • Gubitak podataka je jednako zastrašujući. Uzroci mogu biti raznovrsni od slučajnog brisanja kod pružatelja usluge, prirodnih katastrofa do gubitaka kriptografskih ključeva u slučaju da klijent kriptira podatke prije dostavljanja u cloud-servis. Kako bi se izbjegli takvi scenariji obje strane u procesu moraju poduzeti adekvatne mjere.
  • Prijetnje dolaze i u obliku naprednih vrsta napada kao što je preotimanje korisničkih računa na cloud-servisima i presretanje komunikacije između klijenta i servisa. U tom slučaju netko vam može preoteti podatke, a da toga ni u jednom trenutku niste bili svjesni. Tu prijetnju dodatno mogu pojačati nesigurno i neadekvatno kreirana korisnička sučelja prema cloud-servisu.
  • Nedostupnost podataka još je jedan od rizika koji se značajno povećava u cloudu. Iako je to oduvijek bio velik rizik i trebalo ga je tretirati, to je u cloudu još teže. Podaci su smješteni negdje daleko pa nedostupnost mogu uzrokovati razne komponente dok je prije oprema s podacima bila kod vas pa ste uz malo kreativnosti našli način kako opet doći do njih.
  • Rizik internih napadača kod pružatelja cloud-usluga može se umanjiti temeljitom procjenom samog pružatelja usluge prije nego što je ugovorite. Kako su pojavom clouda veliki resursi postali dostupni legitimnim korisnicima, jednako su dostupni i zlonamjernim napadačima koji ih mogu iskoristiti za izazivanja štete ili iskorištenja za vlastite operacije što prije nije bilo moguće.
 

Jedan od glavnih zaključaka Deloitteova istraživanja bio je da ICT predstavlja ključnu ulogu pri inovaciji poslovanja te podršku rastu i kompetitivnosti kompanija

Kad je riječ o trendovima i smjeru razvoja informacijskih sustava te posebno sigurnosti, posljednjih je godina nezaobilazna tema već spomenuti cloud koji je postao okosnica svakog razgovora, plana i strategije gdje se spominje razvoj ili unapređenje informacijskog sustava. Odlično zvuči ideja da svoje sustave i podatke stavite negdje i više ne brinete o njima, a kad vam zatreba određena informacija dobijete je na zahtjev - odmah. A za to vam treba samo računalo, pristup internetu i cloud.
Iako u paketu s cloudom stižu i mnoge prijetnje, on nedvojbeno donosi mnogo toga dobroga, no prije nego što se odlučite za cloud i za pružatelja usluga, postavite si pitanje biste li i kome dali na raspolaganje vlastiti život kao što pružatelju cloud-usluga dajete život svoje kompanije.

Hrvatska: dobre namjere, spora ostvarenja

Odgovor na pitanje relevantnosti ICT-a u javnom sektoru daje činjenica kako je trenutno aktualno nekoliko projekata pod vodstvom Ministarstva uprave. U proteklih nekoliko godina vidljiv je i trend porasta informatizacijskih projekata vezanih uz Europsku uniju i njene projekte.
Prema mišljenju mnogih stručnjaka što se tiče informacijske tehnologije u Hrvatskoj, jedan od važnijih problema jest da vodeći ljudi u državi ne razumiju potpuno važnost informatizacije javnog sektora, moguće koristi i porast učinkovitosti, a samim tim i smanjenje rashoda što bi mogla donijeti temeljita informatizacija poslovnih procesa. Takvo mišljenje se nameće pretežno zbog nedostatka koordiniranih velikih strateških informatičkih projekata na državnoj razini.

48% IT budžeta potrošeno na poštanske i telekom usluge

Dodatno uočen problem u upravljanju informacijskim sustavima je loše upravljanje budžetom za informacijske sustave. Prema izvješću Ministarstva uprave za 2012. od ukupnog budžeta koji je iznosio oko milijardu kuna za sve IT projekte tijela javne uprave na godišnjoj razini, oko 480 milijuna kuna potrošeno je na telefonske i poštanske usluge.
Neučinkovita je i koordinacija informatičkih projekata pa se zajednički resursi troše tako da se po različitim državnim upravama provode isti ili slični projekti na različitim zasebnim resursima. Naprimjer središnja tijela državne uprave imaju oko 500 domena i 200 registara na kojima se nalazi oko 2000 baza podataka, tako da je u prosjeku svaki građanin upisan najmanje 16 puta u različitim tijelima državne uprave.
Zaključak: morala bi postojati centralizirana i jedinstvena baza podataka u centraliziranom i integriranom sustavu, te bi trebalo kreirati jedinstvene i standardizirane procese na razini državnih uprava. Rezultati unapređenja u tom smjeru bi imali dugoročno pozitivan efekt na državne rashode i na učinkovitost funkcioniranja cjelokupnih procesa.
Ministarstvo gospodarstva pripremilo je i objavilo Industrijsku strategiju Republike Hrvatske za razdoblje od 2014.-2020. Među ključnim industrijskim granama pojavljuje se i informacijsko-komunikacijska industrija. U sklopu dokumenta analizirani su globalni trendovi, trendovi u Europskoj uniji te stanje i perspektive razvoja u Republici Hrvatskoj. Kao glavni problemi ističu se brze promjene i potreba za kontinuiranim ulaganjem koje nije moguće zbog nedostatka kapitala, sporo prihvaćanje novih tehnologija na državnoj razini i spora informatizacija poslovnih procesa, slaba infrastruktura i smanjenje investicija, nizak udio širokopojasnog pristupa internetu. Dalje, u mobilnoj mreži postotak je oko 20 %, prosječna brzina spajanja na internet gotovo je na europskom dnu, slabi poticaji za tvrtke koje imaju vlastiti razvoj, nizak stupanj potražnje za uslugama kao posljedica slabe svijesti o prednostima ICT rješenja, malo domaće tržište i velika konkurencija te niska razina ulaganja u javnom sektoru.
Premda je iz strategije vidljivo da je nedostatak kapitala i ulaganja u informacijske tehnologije jedan od većih problema u informatizaciji javnog sektora, to ne umanjuje činjenicu da je Vlada prepoznala važnost informatizacije te je tijekom 2012. osnovala povjerenstvo za koordinaciju informatizacije javnog sektora. Neke od osnovnih zadaća povjerenstva su unapređenje pravnog okvira za razvoj elektroničke uprave te razmatranje strateških, planskih i provedbenih dokumenata primjene informacijske i komunikacijske tehnologije. Dodatni zadatak je koordinacija, nadzor i usvajanje standarda i projekata iz područja informacijske i komunikacijske tehnologije s posebnim naglaskom na Digitalnu agendu (Digital Agenda for Europe). Nadalje zadaće povjerenstva uključuju uspostavu zajedničke informacijske i komunikacijske infrastrukture, jedinstvenog sustava za razmjenu podataka, središnjeg sustava za identifikaciju i autentikaciju za pristup elektroničkim uslugama.

Sudionici u istraživanju većinom navode kako im je glavni cilj za ovu godinu učvrstiti svoju poziciju i postati ravnopravni poslovni partneri u pružanju podrške unapređenju poslovanja

Novi trendovi vezani uz upravljanje informacijskim sustavima, jasno su vidljivi i pregledom najava novih direktiva EU.
Krajem siječnja 2014. godine agencija Europske unije ENISA (European Network and Information Security Agency), koja se bavi pitanjima sigurnosti informacija i informacijskih mreža, objavila je seriju studija na temu upravljanja informacijskom sigurnošću unutar razvoja integralnog europskog sustava e-Uprave te preporuke kako unaprijediti sigurnost i pouzdanost tih sustava.
Europska unija pokrenula je tri pilot-projekta e-Uprava u svrhu analize ostvarivosti projekta, vrednovanja utjecaja na upravni aparat, identifikacije nedostataka te detekcije područja za poboljšanje-napredak: epSOS za zdravstvo, e-CODEX za pravosuđe te PEPPOL za trgovinu i transport. Kao temeljne smjernice o kojima treba voditi računa pri razvoju i implementaciji sustava e-Uprave, u svrhu unapređenja pouzdanosti e-usluga za građane Europske unije, agencija je prepoznala potrebu da instrumenti digitalne ovjere (vremenski pečat, e-dostava, e-potpis) budu razvijeni u skladu s lokalnom i europskom legislativom te da se unutar sustava e-Uprave poštuje načelo kontinuiteta poslovanja.
Također, preporučuje se primjena e-potpisa kao najpouzdanijeg mehanizma ovjere, korištenje end-to-end enkripcije te postojanje revizijskog traga u obliku operativnih-sistemskih zapisa. Pri uspostavi učinkovitog sustava e-Uprave kao temeljna pretpostavka učinkovitog upravljanja informacijskom sigurnošću ističe se potreba stalnog nadzora sigurnosti informacijskog sustava putem učestalih procjena rizika kako bi se održao korak s tehničkim napretkom i svladalo buduće izazove.
Hrvatska vlada je odlukom o pokretanju projekta e-Građani (Narodne novine, br. 52/2013.) započela proces kojim se od 2014. godine želi građanima omogućiti komunikacija s javnim sektorom putem interneta preko portala koji će objediniti informacije o radu Vlade i ministarstava, informacije o javnim uslugama te omogućiti siguran pristup elektroničkim uslugama korištenjem elektroničkog identiteta posredstvom jedne ili više prihvatljivih vjerodajnica za elektroničku identifikaciju (npr. korisničko ime-zaporka, token, digitalni certifikat i sl.). S obzirom na to da je Hrvatska punopravna članica Europske unije, očekuje se da će se smjernice Europske agencije za sigurnost informacija i informacijskih mreža odraziti na dizajn i implementaciju projekta e-Građani. Nadalje, digitalizacijom državne uprave upravna su tijela jače izložena rizicima vezanim uz informacijsku sigurnost pa se očekuju i veća ulaganja u informacijsku sigurnost te već opisane promjene u ulogama CISO te CIO funkcija.