LITERATURA PODSTAWOWA
•
KLONOWSKI Zb. Systemy informatyczne zarządzania przedsiębiorstwem: modele
rozwoju i właściwości funkcjonalne, Oficyna Wydawnicza Politechniki Wrocławskiej,
Wrocław 2004.
•
KIJEWSKA A., Systemy informatyczne w zarządzaniu, Wydawnictwo Politechniki
Ś
ląskiej, Gliwice 2005
•
Informatyka ekonomiczna. red. nauk. WYRCZA St., Polskie Wydawnictwo Ekonomiczne,
Warszawa 2010.
LITERATURA DODATKOWA
•
Informatyka dla ekonomistów, pod red. NOWICKI A., PWN, 1998.
•
Informatyka gospodarcza, pod red. ZAWIŁA-NIEDŹWIEDZKI J., ROSTEK K.,
GĄSIORKIEWICZ A. Wydawnictwo C.H. Beck, 2010.
•
Inżynieria oprogramowania w projekcie informatycznym, pod red. GÓRSKI J.,
MIKOM, Warszawa, 1999.
•
ROSZKOWSKI J., Analiza i projektowanie strukturalne, HELION, Gliwice 2004.
•
SEJ-KOLASA M., Podstawy zarządzania informacją o środowisku, Wydawnictwo
Akademii Ekonomicznej im Oskara Langego, Wrocław 2002.
SYSTEM jest układem składającym się z części, gdzie:
•
części lub składniki są połączone razem w zorganizowany sposób, a pomiędzy nimi
występują określone relacje,
•
na części bądź składniki systemu mają wpływ różne oddziaływania spowodowane
występowaniem tych części w systemie. Te oddziaływania mogą się zmieniać,
•
układ coś robi – jest celowo zorientowany,
•
układ zostaje zidentyfikowany jako obiekt zainteresowania określonego środowiska
(otoczenia).
SYSTEM INFORMACYJNY to uporządkowany układ odpowiednich elementów,
charakteryzujących się pewnymi właściwościami i połączonych wzajemnie określonymi
relacjami.
ELEMENTY SYSTEMU INFORMACYJNEGO
a)
wejście systemu – informacje o zasileniach otrzymywanych z otoczenia systemu lub
opisujące badane zdarzenia i zjawiska występujące w danym przedsiębiorstwie;
b)
procesy przetwarzania – przekształcają dane wejściowe w informacje wyjściowe;
c)
wyjście systemu – jest rezultatem zachowania się wejścia i przebiegu zachodzących
procesów przetwarzania;
d)
informacyjne sprzężenie zwrotne – zapewnia osiągnięcie tzw. pożądanego stanu
systemu.
ZASOBY SYSTEMU INFORMACYJNEGO
Zasoby zapewniające funkcjonowanie systemu:
•
ludzkie - potencjał wiedzy ukierunkowany na rozwiązywanie problemów systemu;
użytkownicy pełniący role nadawców i odbiorców oraz adresaci technologii
informacyjnych;
•
informacyjne - zbiory danych przeznaczone do przetwarzania (bazy danych, metod,
modeli, wiedzy);
•
proceduralne - algorytmy, procedury, oprogramowanie;
•
techniczne - sprzęt komputerowy, sieci telekomunikacyjne, nośniki danych.
SYSTEM INFORMACYJNY
to system przeznaczony do:
•
przetwarzania danych (pochodzących z zewnętrznych i wewnętrznych źródeł) w
informację,
•
przekazywania tej informacji menadżerom na wszystkich szczeblach zarządzania,
wszystkich obszarów funkcjonalnych, tak aby możliwe było podejmowanie przez nich
w odpowiednim czasie efektywnych decyzji dotyczących planowania, kierowania i
kontrolowania odpowiednio do zakresów ich odpowiedzialności.
SYSTEM INFORMATYCZNY
to system informacyjny, który wykorzystuje technologię informatyczną (komputerową) do
wykonywania niektórych lub wszystkich zamierzonych działań.
POZIOMY SYSTEMU INFORMACYJNEGO
W typowej organizacji na system informacyjny badany przez analityka składają się trzy
poziomy:
•
nieformalny system informacyjny ,
•
formalny system informacyjny,
•
techniczny system informacyjny.
Nieformalny system informacyjny – zbiór wzorców i zachowań, które w procesie
socjalizacji poznają wszyscy pracownicy (tzw. kultura nieformalna).
Formalny system informacyjny – jawne nakazy dotyczące zachowania: zasady, regulaminy,
oficjalna struktura władzy.
Techniczny system informacyjny – opisujący organizację w kategoriach przepływu
komunikatów (np. o wykonanych planach, zrealizowanych transakcjach) oraz w kategoriach
działań związanych z przetwarzaniem danych niezbędnych do realizacji zadań organizacji.
Techniczny SI jest budowany zwykle jako wsparcie formalnego SI. Dawniej był to obieg
dokumentów, obecnie jest to system informatyczny.
SYSTEM INFORMATYCZNY to system informacyjny, który wykorzystuje technologi
ę
informatyczn
ą
(komputerow
ą
) do wykonywania niektórych lub wszystkich
zamierzonych działa
ń
.
Ź
ródło: Systemy informatyczne w zarz
ą
dzaniu, A. Kijewska, Wydawnictwo
Politechniki
Ś
l
ą
skiej, Gliwice 2005
W
ś
ród najwa
ż
niejszych funkcji systemu informatycznego znajduj
ą
si
ę
: gromadzenie,
przetwarzanie, przechowywanie i prezentacja informacji.
Stopie
ń
i sposób, w jaki te funkcje s
ą
realizowane przez rozwi
ą
zania IT w danym
przedsi
ę
biorstwie, zale
ż
y od prowadzonej działalno
ś
ci, stopnia
ś
wiadomo
ś
ci kadr w
zakresie mo
ż
liwo
ś
ci rozwoju systemów informatycznych, a tak
ż
e mo
ż
liwo
ś
ci
finansowych konkretnej firmy.
PODZIAŁ SYSTEMÓW INFORMATYCZNYCH
W celu opisu podstawowych własno
ś
ci u
ż
ytkowych wprowadza si
ę
podział
systemów według:
a) zakresu organizacyjnego,
b) obszaru funkcjonalnego,
c) zasi
ę
gu działania,
d) rodzaju wykonywanych działa
ń
,
e) zakresu obsługiwania funkcji zarz
ą
dzania.
Ad a)
Systemy informatyczne mog
ą
by
ć
zbudowane dla koncernu, jego oddziałów,
departamentów, jednostek organizacyjnych, a nawet dla indywidulanych osób.
Wyró
ż
nia si
ę
tu:
•
Informatyczne systemy działu,
•
Informatyczne systemy przedsi
ę
biorstwa,
•
Systemy mi
ę
dzyorganizacyjne.
Ad b)
Departamentowe systemy informatyczne odpowiadaj
ą
zazwyczaj tradycyjnym
obszarom funkcjonalnym.
•
Systemy finansowo ksi
ę
gowe.
•
Systemy finansowe.
•
Systemy produkcyjne.
•
System marketingowy.
•
Systemy zarz
ą
dzania zasobami ludzkimi.
Ad c) Zasi
ę
g działania systemów uwzgl
ę
dnia zakres obsługiwanych dziedzin
przedmiotowych przedsi
ę
biorstwa, okre
ś
lanych te
ż
jako funkcje i subfunkcje
techniczne. Zasi
ę
g ten mo
ż
e by
ć
ró
ż
ny. Wedle tego kryterium wyró
ż
nia si
ę
:
•
systemy cz
ą
stkowe (odcinkowe),
•
jednodziedzinowe,
•
wielodziedzinowe.
Współcze
ś
nie opracowywane i eksploatowane systemy informatyczne zarz
ą
dzania
s
ą
na ogół zintegrowanymi systemami wielodziedzinowymi.
NALE
Ż
Y PRZECZYTA
Ć
Z KSI
ĄŻ
KI KLONOWSKIEGO ROZDZIAŁ 2.2.
Ad d) Ze wzgl
ę
du na zakres wykonywanych działa
ń
wyró
ż
nia si
ę
:
•
systemy raportuj
ą
ce,
•
systemy kalkulacyjne,
•
systemy decyzyjne.
Typ systemu
Raportuj
ą
ce
Kalkulacyjne
Decyzyjne
Czynno
ść
analityczna
opis
przeliczanie
poznanie
Faza
analityczna
zbieranie danych
przeliczanie danych
strukturyzacja
informacji
w
postaci wariantów
decyzyjnych
Szczebel
zarz
ą
dzania
operacyjny
taktyczny
strategiczny
taktyczny
strategiczny
strategiczny
Ź
ródło: Radosi
ń
ski…
Ad e) Ze wzgl
ę
du na zakres wspomagania realizacji funkcji zarz
ą
dzania wyró
ż
nia
si
ę
:
•
systemy ewidencyjno-sprawozdawcze (SES),
•
systemy informowania kierownictwa (SIK),
•
systemy wspomagania decyzji (SWD)
•
systemy z baz
ą
wiedzy (SBW).
NALE
Ż
Y PRZECZYTA
Ć
Z KSI
ĄŻ
KI KLONOWSKIEGO ROZDZIAŁ 2.3 (str. 49-54)
Ź
ródło: Systemy informatyczne zarz
ą
dzania przedsi
ę
biorstwem, Zb. Klonowski
CHARAKTERYSTYKA SI wg POZIOMÓW ZARZ
Ą
DZANIA
Typ
SI
Rodzaj wej
ść
Przetwarzanie
Rodzaj wyj
ść
U
ż
ytkownicy
SBW
specyfikacja
problemu; bazy
wiedzy
modelowanie;
symulacje
modele; grafika;
propozycje rozwi
ą
za
ń
profesjonali
ś
ci;
pracownicy
techniczni
SWD niewielka liczba
danych lub du
ż
e
bazy danych dla
celów
analitycznych;
interaktywne;
symulacje,
analizy
specjalne raporty;
analizy decyzji;
odpowiedzi na
zapytania
eksperci;
konsultanci,
czasem
ś
rednie
kierownictwo
Bazy
Baza regu
ł
wnioskowania
J
ę
zyk bezpo
ś
redniego
u
ż
ytkownika
SES
SIK
SWD
SBW
Modu
ł
y pozyskiwania wiedzy
Ogólna zależność między typami systemów informatycznych.
Ź
ród
ł
o: Klonowski
U
ż
ytkownicy
U
ż
ytkownicy
U
ż
ytkownicy
U
ż
ytkownicy
Eksperci
System in
ż
ynierii wiedzy
Baza modeli
Zbiory danych
Programy u
ż
ytkowe
Interfejs
modele
analityczne;
narz
ę
dzia do
analizy danych
SIK
dane
zagregowane;
zewn
ę
trzne,
wewn
ę
trzne
grafika;
symulacje;
interaktywne
projekcje; odpowiedzi
na zapytania
zarz
ą
d,
wy
ż
sze
kierownictwo
SES
Podsumowuj
ą
ce
dane transakcji;
du
ż
e zbiory
danych
transakcje;
zdarzenia
sortowanie;
zestawienie;
ł
ą
czenie;
uaktualnianie
rutynowe
raporty; proste
modele; analizy
szczegółowe raporty;
listy; podsumowania
raporty
podsumowuj
ą
ce;
raporty wyj
ą
tków
personel
operacyjny,
kierownicy liniowi
ś
rednie
kierownictwo
ź
ródło: na podstawie A. Kijewska
Informatyzacja a komputeryzacja
Przesłanki uzasadniaj
ą
ce stosowanie typowych pakietów –
Klonowski str. 152-153
Strategie wdra
ż
ania SI
1)
Stopniowa (step by step) - Wdra
ż
anie systemu moduł po module lub dziedzina
po dziedzinie. Zaczyna si
ę
od modułów / obszarów najmniej nara
ż
onych na
niepowodzenie.
2)
Kompleksowa (big bang) - Jednoczesne wdra
ż
anie wszystkich modułów
systemu.
3)
Po
ś
rednia (middle size big bang) - Podział całego wdro
ż
enia na etapy, które
realizowane s
ą
mniej lub bardziej kompleksowo.
Wybór strategii wdra
ż
ania – czynniki
Czynniki, które nale
ż
y wzi
ąć
pod uwag
ę
przy wyborze:
•
czas,
•
dost
ę
pne zasoby,
•
rozmiar koniecznych zmian.
Konwersja
Konwersja oznacza przeniesienie informatyzowanych dziedzin do wdra
ż
anego
systemu informatycznego.
O wyborze metody konwersji decyduj
ą
cechy nowego systemu i informatyzowanego
przedsi
ę
biorstwa.
Wyró
ż
nia si
ę
cztery metody konwersji:
•
konwersja bezpo
ś
rednia - polega na natychmiastowym wprowadzeniu nowego
systemu w miejsce dotychczas u
ż
ytkowanego,
•
konwersja równoległa polega na równoległej pracy starego i nowego systemu
a
ż
do momentu osi
ą
gni
ę
cia pełnej niezawodno
ś
ci i stabilno
ś
ci nowego
systemu,
•
konwersja pilotowa polega na tym,
ż
e jedynie cz
ęść
u
ż
ytkowników
wykorzystuje nowy system, testuj
ą
c jego działanie przed wprowadzeniem go
do ogólnego u
ż
ytku,
•
konwersja fazowa polega na etapowym wprowadzaniu nowego systemu
poprzez
sukcesywne
instalowanie
nowych
modułów
zast
ę
puj
ą
cych
dotychczasowe metody pracy.
Wdra
ż
anie systemu informatycznego (wg. Niedzielskiej)
Wyró
ż
nia si
ę
trzy podstawowe etapy wdra
ż
ania systemu informatycznego:
1. Przygotowanie przedsi
ę
biorstwa
•
przygotowanie organizacyjne,
•
przygotowanie personelu,
•
przygotowanie bazy technicznej.
2. Przygotowanie systemu
•
instalacja systemu,
•
parametryzacja systemu,
•
modyfikacja systemu (adaptacja).
3. Próbna eksploatacja
Ad 1) Przygotowanie przedsi
ę
biorstwa
Przygotowanie
organizacyjne
Przygotowanie
personelu
Przygotowanie bazy
technicznej
•
Analiza
procesów biznesowych
•
Przygotowanie
u
ż
ytkowników
•
Weryfikacja
symboliki
•
Aktualizacja
bazy normatywnej
•
Wprowadzenie
zmian organizacyjnych
•
Szkolenie
u
ż
ytkowników
•
Pozyskanie
kadry informatycznej
•
Szkolenie kadry
informatycznej
•
Prace
projektowe
•
Wykonanie
•
Rozruch i
atestacja
Wdra
ż
anie systemu informatycznego (wg. Klonowskiego) –
Klonowski str. 153-155
Wst
ę
pny plan działania (informatyzacja)
•
Co chcemy osiągnąć?
•
W jakim czasie?
•
Kto, w jakim zakresie i w jaki sposób, przy użyciu jakich metod będzie
•
realizował wdrożenie?
•
Jaka będzie kolejność prac i ich intensywność?
•
Jak przejść od stanu istniejącego do pożądanego?
•
Ile to będzie kosztować?
Umowa
1.
Precyzyjne określenie przedmiotu umowy
2.
Przedmiot odbioru
3.
Gwarancja
4.
Szkolenie personelu
5.
Sposób płatności
Statystyki dotyczące projektów z branży IT w USA (według badań The Standish
Group)
Podstawowe elementy sukcesu w realizacji projektu (na podstawie wyników badań The
Standish Group)
•
Zaangażowanie klienta – 15,9%
•
Wsparcie kierownictwa – 13,9%
•
Jasno określone wymagania – 13,0%
•
Właściwe planowanie – 9,6%
•
Realistyczne oczekiwania – 8,2%
•
Mniejsze odstępy pomiędzy kamieniami milowymi – 7,7%
•
Kompetencje pracowników – 7,2%
•
Odpowiedzialność – 5,3%
•
Jasno postawione cele i wymagania – 2,9%
•
Ciężko pracujący, skupieni pracownicy – 2,4%
•
Pozostałe – 13,9
Do poczytania:
19-bledow-wdrozeniowych
http://dyrektor.nf.pl/Artykul/7847/19-bledow-
wdrozeniowych/oprogramowaniewdrozenia-wdrozenie-systemu-IT-systemy-IT/
Jak zawalić projekt informatyczny. Analiza wymagań.
http://www.projectcomplete.pl/articles/entry42
1.
Brak wydzielenia poszczególnych faz projektu.
Wdrożenie, z punktu widzenia odbiorcy, powinno być podzielone na pięciu kroków:
a.
Określenie oczekiwań związanych z nowym systemem
b.
Wybór dostawcy
c.
Doprecyzowanie modelu współpracy, podpisanie umów
d.
Faktyczne wdrożenie (instalacja, szkolenia)
e.
Podsumowanie i wnioski
Powinny to być niezależne procesy i rozpoczynanie następnego kroku powinno nastąpić
dopiero wtedy, gdy poprzedni jest w całości zakończony. Czasami łączy się dwa pierwsze
punkty procesu dopasowując zmiany w firmie do możliwości dostawcy. Sami dostawcy stają
się wtedy konsultantami, którzy poza dostawą systemu informatycznego zajmują się
optymalizacją procesów biznesowych. Takie połączenie nie wnosi wartości dodanej dla
klienta.
2.
Złe określenie oczekiwań
Częstym błędem jest zakup systemu informatycznego nie w celu wyeliminowania problemów
czy podniesienia funkcjonalności, a tylko dlatego, żeby go mieć. Konieczne jest określenie
jakie działanie systemu uznamy za sukces. Najlepiej nadają się do tego miary ilościowe typu
zwiększymy rotację do wyznaczonego poziomu czy zmniejszymy liczbę reklamacji lub
zwrotów o określony procent.
3.
Brak dokładnych analiz funkcjonalności systemu
System, który ma poprawić działanie przedsiębiorstwa musi być dokładnie przemyślany.
Większość funkcji da się zasymulować z użyciem środków zastępczych. Jeśli przewidujemy
zwiększenie szybkości pracy magazynu po wprowadzeniu jakiegoś ułatwienia przetestujmy
wcześniej to ułatwienie za pomocą żółtych karteczek, Excela i telefonów komórkowych. Nie
bójmy się pytać. Warto stracić dodatkowo kilka dni pytając o zdanie pracowników
fizycznych, niż kilkaset tysięcy na poprawki wdrożenia.
4.
Brak menedżera projektu
Kolejną ważną sprawą jest wyznaczenie osoby odpowiedzialnej za prowadzenie projektu.
Jeśli wybieramy do tego osobę, która ma również inne obowiązki, to od razu skazujemy
projekt na niepowodzenie. Sensowne wydaje się awansowanie wartościowego pracownika z
firmy, odcinając go od dotychczasowego zadania. Sprawdza się też zatrudnienie nowego
pracownika z zewnątrz, mającego odpowiednie doświadczenia w poprzedniej firmie lub
zatrudnienie zewnętrznej firmy lub niezależnego konsultanta.
5.
Za słabe umocowanie menedżera projektu
Klasyczny problem zarówno nowych osób (nie znają struktury i nieformalnych zwyczajów w
firmie) jak i awansowanych (niedawno byłeś mało znaczący, a teraz chciałbyś wydawać
polecenia). Menedżer od początku musi mieć bardzo mocną pozycję i silne wsparcie sponsora
projektu (najczęściej zarządu). Brak takiej pozycji może spowodować ucieczkę ludzi do
innych prac poza wdrożeniem.
6.
Brak odpowiedniej liczby osób zaangażowanych w projekt
Jeśli przy wdrożeniu mają pracować osoby, które jednocześnie muszą zająć się bieżącymi
sprawami, to na pewno najpierw będą wykonywać te bieżące sprawy, a później ... zabraknie
czasu na wdrożenie. Pod żadnym pozorem nie można na tym oszczędzać.
7.
Zła komunikacja wewnętrzna
Informatycy i przedstawiciele biznesu często mówią innymi językami. Jeśli menedżer
projektu nie rozumie obu slangów należy zadbać o taką integrację przedstawicieli obu
pionów, aby po wdrożeniu nie okazało się, że tylko jeden z działów jest zadowolony
(najczęściej zupełnie nie ten, który miał w założeniu na tym zyskać).
8.
Wybór złego dostawcy
Dostawcy chcą się nam zaprezentować z jak najlepszej strony, aby sprzedać swój system.
Większą wiedzę o dostawcach można zdobyć przez wizyty referencyjne u innych klientów i u
samego dostawcy. Należy ocenić sumienność, czyli wywiązywanie się dostawcy z
zobowiązań. Zewnętrzny konsultant może tu być pomocny, jeśli zna już część dostawców z
naszej branży. Osoba, która prowadziła już różne procesy wdrożenia lub pracowała wcześniej
u jakiegoś dostawcy wie natomiast, jak poprowadzić wizyty referencyjne, aby uniknąć,
nieświadomego czasami, wprowadzenia w błąd przez klientów dopieszczonych przez
dostawcę tuż przed wizytą.
9.
Pozorne oszczędności
Często ze względów politycznych wybiera się opcję, która jest tańsza w chwili wdrożenia,
jednak łączne koszty są większe. Te dodatkowe koszty można jednak ukryć i określić jako
niezwiązane z wdrożeniem. Przykładem może być zakup tańszego oprogramowania na
końcówki zamiast terminalowego, który wymaga wymiany stacji roboczych. Oszczędności na
systemie nie rekompensują kosztów wymiany komputerów, jednak wykonuje się tą wymianę
pozornie bez związku z zakupem systemu.
10.
Wymuszenie na dostawcy prac, których nie chce się podjąć
Przy wyborze dostawcy ważne jest dokładne słuchanie tego, co dostawca chce nam
zaoferować. Czasami propozycje dostawcy wynikają z większej niż nasza wiedzy o procesach
biznesowych, a czasami z braku możliwości zaimplementowania pewnej funkcjonalności w
swoim systemie. Generalnie największym błędem jest zmuszenie dostawcy (np. ceną) do
podjęcia się realizacji funkcjonalności lub terminu, który z góry uważają oni za zagrożony.
Niemal na pewno zaowocuje to błędami wdrożenia.
11.
Założenie, że czas jest z gumy
Jeśli prowadzący lub sponsor projektu już przy jego starcie zakłada, że w razie opóźnień
pracownicy podgonią pracując po godzinach, czy w soboty to na pewno projekt się przedłuży.
Planując harmonogram należy zakładać ortodoksyjne podejście do czasu pracy.
Nieprzewidzianych wypadków będzie na tyle dużo, że i tak trzeba będzie zaangażować ludzi
ponad miarę.
12.
Złe zapisy w umowach wdrożeniowych
W większości przypadków dostawcy starają się podpisywać umowy starannego wykonania, to
znaczy (w dużym uproszczeniu), gwarantują najlepsze możliwe podejście do pracy, lecz
wszędzie gdzie się da określają pracochłonność prac, a nie ich efekt. Dzięki temu dostawca
stawiany jest w lepszej pozycji, to znaczy po wykonaniu zakontraktowanej liczy
roboczogodzin może zażądać dodatkowych płatności za kontynuowanie prac. Wszędzie gdzie
się da należy więc zamienić zapisy typu szkolenie z modułu xxx dla 3 osób będzie trwało 3
dni i będzie kosztować yyy na za yyy zostaną przeszkolone 3 osoby z modułu xxx. Kryterium
ukończenia szkolenia będzie zzz. Dobre kryterium jest bardzo trudne do określenia, ale
gwarantuje w przyszłości oszczędność czasu i sporów z dostawcą. Koniecznie należy ustalić
wiarygodne kamienie milowe umożliwiające ocenę postępu prac wdrożeniowych Warto
określić kary umowne.
13.
Złe zapisy w umowach serwisowych
Należy bardzo uważać, które prace wykonuje dostawca w ramach gwarancji, a które w
ramach płatnego serwisu. Dokładnie należy określić co jest błędem krytycznym, aby
uniemożliwić dostawcy zakwalifikowanie najbardziej uciążliwych awarii do klasy błędów,
które mogą być usuwane dużo dłużej.
14.
Wewnętrzny bojkot nowego systemu
W trakcie wdrożenia równie silnie jak dostawcę należy kontrolować zachowanie we własnej
firmie. Nawet najlepsze podejście dostawcy może zostać rozłożone przez grupę niechętnych
zmianom pracowników. Pole do popisu będzie miał charyzmatyczny przywódca, który będzie
potrafił pokazać podwładnym, że to co dobre dla firmy może być też dobre dla pracowników.
15.
Zignorowanie znaczenie użytkowników kluczowych
Najlepszą według mnie metodą nauki nowego systemu jest tzw. wdrożenie metodą
kluczowych użytkowników. Przez dostawcę szkolone są tylko niektóre osoby, które później
przekazują wiedzę dalej. Najczęściej osoby takie w przyszłości otrzymują wyższe
uprawnienia do systemu i spośród nich wyłaniani są administratorzy funkcjonalni mający np.
uprawnienia do anulowania dokumentów. W trakcie wdrożenia to użytkownicy kluczowi
powinni uczestniczyć w kontroli, czy funkcjonalność zamówiona u dostawcy jest realizowana
we wdrażanych modułach. Oznacza to, że powinni mieć świadomość idei działania nowego
systemu. Użytkowników tych warto wyłonić już na etapie określania oczekiwań w stosunku
do systemu, wtedy zapewne włączą się w tworzenie projektu i łatwiej będzie im dokonywać
tej kontroli, gdyż będą to ich oczekiwania.
16.
Nieprzemyślany spsób wdrażania systemu szytego na miarę
Systemy, które są dopasowywane do naszych potrzeb przez parametryzację, modyfikację
skryptów bądź tworzenie nowych funkcjonalności mogą być wdrażane na dwa sposoby.
Pierwszy to wdrożenie typu „as is”, czyli dostawca wdraża u klienta system w wersji
standardowej, a następnie modyfikuje system w locie. Druga metoda to czekanie na
wykonanie wszystkich zmian i wdrażanie systemu dopasowanego. Oba rozwiązania mają
podobną siłę wad i zalet, więc decyzję o wyborze metody należy podejmować w kontekście
własnej sytuacji. Na pewno warto wdrażać część modułów metodą „as is” jak najszybciej, aby
umożliwić import danych masowych (indeksy towarowe, dostawcy itp.). Należy się raczej
wstrzymywać z wdrażaniem modułów, które po modyfikacji będą realizować całkowicie
odmienną funkcjonalność.
17.
Brak mierników postępu
Należy dokładnie określić momenty przełomowe projektu. Jeśli dostawca miał wykonać 3
podobne moduły za pomocą tego samego zespołu w 3 miesiące i deklarował, że każdy z
modułów zajmie mu miesiąc to nie wolno w trakcie wdrożenia przyjąć do wiadomości
tłumaczenia, że pierwszy moduł jest najtrudniejszy, a później będzie się wykorzystywało
fragmenty napisane wcześniej. Gdyby tak było, dostawca powinien nam to powiedzieć zanim
zacznie pracę. Skoro tego nie zrobił to oznacza, że szuka na siłę usprawiedliwienia. Jest to
właściwy moment na natychmiastową próbę podjęcia działań restrukturyzacyjnych zamiast
czekać do końca wyznaczonego czasu.
18.
Brak planu awaryjnego
Jeśli termin wdrożenia systemu informatycznego skorelowany jest z innymi działaniami
(budowa magazynu, otwarcie centrum handlowego, itp.) należy przewidzieć plan awaryjny na
wypadek, gdyby oprogramowanie nie było gotowe na czas. Plan awaryjny musi powstać
razem z planem głównym, gdyż przygotowanie do realizacji tego planu może przebiegać
niemal bezkosztowo razem z planem głównym i bardzo drogo w przypadku spóźnionej
realizacji. Przykładem może być niemożność skorzystania z sieci bezprzewodowej i
konieczność położenia dodatkowych kabli sieciowych. Przy pracach razem z innymi kablami
to tylko koszt kabla. Konieczność zrywania wykładzin, kucia ścian i podłóg aby doprowadzić
te kable w wykończonym, budynku to nie tylko pieniądze ale i czas.
19.
Brak wniosków powdrożeniowych
Częstym błędem jest brak wniosków wyciąganych z wdrożenia. Jakkolwiek sytuacja, gdy
dana firma dokonuje wielu wdrożeń jedno po drugim jest bardzo rzadka, jednak wdrożenie
jest projektem jak każdy inny. Innym rodzajem wniosków mogą być podwyżki, awanse,
zatrudnienia nowych pracowników lub (przykre ale prawdziwe) zwolnienia. Częstym błędem
zarządu, który generalnie nie wymaga wielkich nakładów, jest brak gratulacji i publicznych
pochwał zarówno dla osób uczestniczących w projekcie jak i dla całej załogi, że przetrwała
ten trudny okres..
Jak zawalić projekt informatyczny. Analiza wymagań.
Jest nieskończenie wiele błędów, które można popełnić w trakcie projektu. Jednak część z
nich jest popełniana dosyć często a ich skutki są wyjątkowo przykre. Warto więc o nich
opowiedzieć ku przestrodze. Podobnie jak trudno jest podać zestaw rad, który pozwoli
opanować na przykład jazdę na rowerze lub sztukę podrywania, tak samo prawie niemożliwe
jest wytłumaczenie jak zarządzać w projektach informatycznych. W tych dziedzinach bowiem
ważna jest nie książkowa wiedza a umiejętności, wypracowywane przez wielokrotne próby i
odpowiednią liczbę porażek. Co więcej, działania, które są wymagane w takich sytuacjach są
niepowtarzalne, dramatycznie zależą od sytuacji i ludzi których dotyczą: innymi słowy nie ma
gotowej recepty pasującej do różnych sytuacji. Można podać sprawdzone przykłady, dobre
praktyki, pomysły, ale ostateczny scenariusz jest zawsze budowany dynamicznie.
Jest jednak pewien zestaw działań, które można dość jednoznacznie określić i przewidzieć ich
skutek - są to antyporady. Jeżeli się do nich zastosuje, to dramatycznie zwiększamy ryzyko
klapy. Dla podrywania może to być zbyt szybkie przejście do sedna lub pytanie o Ex.
Niektóre antyporady mają to do siebie, że opisują powszechnie występujące błędy a ich
identyfikacja może pomóc w ich unikaniu.
W tej serii artykułów postaram się przedstawić zestaw antyporad dla tworzenia
oprogramowania i pokazać jakie są skutki ich stosowania. Zaczynam tam, gdzie zaczyna się
każdy projekt: od określenia po co tworzony jest program i co będzie potrafił zrobić, czyli od
analizy wymagań.
Warto zacząć od tego, że analiza wymagań jest dobrym obszarem do zawalenia projektu, bo
sukces zależy od solidnych fundamentów i ich brak źle rokuje. Według raportu Extreme
Chaosopracowanego przez Standish Group, wśród dziesięciu najważniejszych czynników
wpływających na sukces projektu aż cztery są blisko związane z analizą wymagań:
2. Zaangażowanie użytkowniów
4. Jasno określone cele biznesowe
5. Zminimalizowany zakres projektu
7. Stabilne bazowe wymagania
Możemy więc zacząć od tej listy i mamy pierwszą wskazówkę do zawalenia projektu:
Unikaj zaangażowania użytkowników
Informatycy mają tendencję do unikania kontaktów z użytkownikami, z różnych względów.
Zwykle mają przekonanie, że wiedzą lepiej od nich, jakie są ich potrzeby. W końcu też są
użytkownikami komputerów i zwykle mają wyobrażenie o dziedzinie, którą ma wspierać
system, a ponadto mają doświadczenie, widzieli takie systemy, znają ludzi i biznes etc. To
może być prawda. Tkwi tu jednak niebezpieczeństwo: jeżeli przyjęte założenia i wyobrażenia
na temat potrzeb użytkowników są jednak fałszywe lub choćby nieprecyzyjne, to kiedy się o
tym dowiemy? Otóż nie stanie się to ani podczas projektowania, programowania, ani podczas
testowania a dopiero na samym końcu projektu. Koniec końców efekt pracy trafi pod osąd
użykowników, nie uciekniemy od tego. Jeżeli ważymy się odwlec ten moment na sam koniec,
to oznacza, że stać nas na hazardową rozrywkę o wysokiej stawce.
Jasne, wobec tego angażujemy użytkowników od początku i korzystamy z ich wiedzy
podczas trwania projektu. Pojawia się tylko pytanie, kogo konkretnie mamy angażować? W
ten sposób dochodzimy do drugiej antywskazówki:
Błędnie zidentyfikuj użytkowników produktu
Zaczynamy od odpowiedzi na fundamentalne pytanie: kto będzie używał naszego
oprogramowania? Jeżeli nie umiemy określić jasno tej grupy, to mamy spory kłopot. Kłopot
ten wygląda różnie w zależności od kontekstu biznesowego.
W projektach, w których opracowuje się gotowe oprogramowanie do masowej sprzedaży,
brak wiedzy o grupie docelowej grozi tym, że opracowany produkt nie będzie interesujący dla
nikogo. Dla niektórych zabraknie ważnych funkcji, inni stwierdzą, że jest sporo
niepotrzebnych, które komplikują i podrażają produkt. W efekcie ryzykujemy rynkową klapę.
Inna nieco sytuacja jest w przypadku oprogramowania produkowanego na zamówienie,bo
klient jest określony od samego początku i nie ma niebezpieczeństwa, że produkt nie zostanie
sprzedany. Nadal zależy nam oczywiście na satysfakcji użytkowników, bo od tego zależą
perspektywy współpracy w dłuższym czasie. Ale tu dochodzimy do sedna: Klient a
użytkownik to zwykle zupełnie inne osoby. Dlaczego? Kto formułuje wymagania dla
wykonawcy? Otóż będzie to kierownik projektu (od strony klienta), kierownik z działu w
którym ma być używane oprogramowanie lub jeszcze ktoś inny, kto spełnia dwa warunki: ma
dostateczną siłę przebicia i dostatecznie dużo czasu. Ale zwykle nie użytkownik. Do
użytkownika trzeba dotrzeć i przekonać do aktywnej współpracy. Innymi słowy - słuchać
należy niekoniecznie tego, kto najgłośniej mówi, a nawet nie tego, kto uzurpuje prawo
do podejmownia decyzji, bo to nie on może być tym kto ma najważeniejsze rzeczy do
powiedzenia.
Zwróćcie uwagę jeszcze na inny aspekt powyższej uwagi: kto inny opowiada o potrzebach
(użytkownik), kto inny decyduje o zakresie projektu (analityk, kierownik projektu). Mieszanie
tych ról może prowadzić do kłopotów, a konkretny przepis na nie brzmi:
Oddaj decyzję w ręce użytkowników
Taka rzecz się zdarza w przypadku oprogramowania wykonywanego na zamówienie. Jeżeli
osoba, która powinna być odpowiedzialna ze strony klienta za analizę wymagań nie ma
odwagi podejmować decyzji o funkcjonalności, pierwsze co zrobi, to odda je w ręcę
użytkowników (którzy "są najważniejsci"). Jest to prawie pewne metoda na uzyskanie zbioru
niezbornych życzeń, bez jasno określonych priorytetów i nijak pasujących do wizji całości.
Nie taki jest cel angażowania użytkowników - oni mają zostać wysłuchani i zrozumieni.
Poźniej ich potrzeby mają być przełożone na odpowiednie funkcjonalności, ale to jest rola
całkiem kogo innego.
Pozwól decydować deweloperom
Dlaczego to jest groźne? Otóż dlatego, że programiści są to inni ludzie niż przeciętny
użytkownik. Mają inne umiejętności, inne zamiłowania i inne kryteria oceny tego, co
pożyteczne (np. słynnyvi). Ta różnica ma szczególne znaczenie właśnie w fazie analizy
wymagań. W tym przypadku ważne są takie cechy jak empatia, umiejętność słuchania, dobre
zdolności komunikacyjne - cechy, których deweloperom często brakuje. I jeszcze jedno,
programiści od początku projektu szufladkują usłyszane rzeczy w zależności od tego, czy się
je da wykonać, jak będzie to trudne, jak wpłynie na elegancję wewnętrznej struktury projektu
itp. Innymi słowy przyjmują niekoniecznie najważniejsze w tej fazie kryteria.
Kończymy temat z kim rozmawiać i zmierzamy do grupy antyporad wynikających z
kolejnego z punktów z raportu Standish Group:
Unikaj jasnego określenia celów projektu (skup się na funkcjonalności)
Większość ludzi odruchowo "projektuje" sposób rozwiązania swoich problemów. W związku
z tym zapytani, jakie są cele projektu opowiedzą o swoim wyobrażeniu rozwiązania a nie o
źródłowym problemie. "Potrzebuję aplikacji, która ma mieć funkcję do przesyłania dzwięku i
żeby miała książkę adresową ze zdjęciami..." zamiast "mamy pracowników w trzech biurach:
musimy usprawnić i obniżyć koszty komunikacji między nimi". Brak jasno sformułowanych
celów biznesowych powoduje, że brakuje odniesienia i kryteriów dla decyzji dotyczących
poszczególnych funkcjonalności. Które są naprawdę potrzebne, z których można
zrezygnować, czy można zastąpić je innymi, które rozwiązują problem? Ze względu na brak
kryteriów odpowiedź zależeć będzie od gustu i siły przekonywania różnych udziałowców
projektów.
Zrezygnuj z zapisania wizji
Nawet jeśli wspomniane kwestie zostały przemyślane na początku projektu, to jest spora
szansa, że zostaną zapomniane w ferworze walki. Zwłaszcza, jeżeli projekt trwa dłużej niż
kilka miesięcy, zmieniają się uczestniczący w nim ludzie, następują większe zmiany zakresu,
wtedy łatwo stracić z oczu ustalone na początku cele. Brak pisemnego odniesienia -
krótkiego, jasnego, spójnego dokumentu, zbierającego główne założenia projektu, jest
dobrym przepisem na zdryfowanie projektu.
Zgódź się na wszystkie wymagania
Mając określone wspomniane cele mamy narzędzie umożlwiające podjęcie i obronę decyzji o
odrzuceniu pewnych wymagań czy wynikających z nich funcjonalności. Co się stanie jeśli nie
będziemy stawiać oporu pokusom rozbudowania systemu? Ludowe wyobrażenie jest takie, że
więcej funkcji w produkcie nie zaszkodzi, bo najwyżej nie będzie się ich używało. Ale to nie
jest prawda z dwóch powodów. Po pierwsze rosnący worek funkcji do zaimlementowania jest
sam w sobie sporym zagrożeniem dla projektu (patrz punkt 5. raportu Standish Group). Im
większy, tym dłużej trwa projekt, więcej kosztuje, później przynosi korzyści. Po drugie
wpływa na spójność aplikacji i wygodę użytkowania. Multum gadżetów, dodatków,
możliwości konfiguracji etc. może przesłonić istotę programu, ukryć jego najbardziej
kluczową ideę i odstraszać przeciętnych użytkowników. Warto przypomnieć kilka
programów, które odniosły ogromny sukces: Firefox, Skype, Gadu-Gadu, Del.icio.us, Google.
W stosunku do swoich konkurentów wcale nie miały przewagi w liczbie dostępnych funkcji -
raczej miały je bardzo starannie wyselekcjonowane i dopracowane.
Perfection is achieved not when there is nothing to add, but rather when there is nothing more
to take away. (Eric Raymond, The Cathedral and The Bazaar)
Everything should be made as simple as possible, but not simpler. (Albert Eistein)
Uznaj wszystkie funkcje za równie istotne
Podobnie jak podjęcie decyzji o selekcji funkcjonalności, również określenie wzajemnych
priorytetów poszczególnych funkcji wymaga pewnej odwagi, bo wskazanie mniej istotnych
elementów systemu oznacza przeznaczenie ich na pierwsze ofiary w przypadku braku czasu
i/lub sił w projekcie. Stąd częste naciski klienta do przyjęcia, że "wszystko jest istotne". W
konsekwencji, jak tylko zaczną się kłopoty, to zostaną "ucięte" dość przypadkowe funkcje,
potencjalnie kluczowe dla spełnienia celów biznesowych. Gdyby od początku zostały
uporządkowane według ważności i były realizowane w takiej kolejności, wtedy cięcia
automatycznie dotknęłyby tych najmniej ważnych.
Wiemy już z kim i o czym rozmawiać, zastanówmy się teraz, jakie niebezpieczeństwa tkwią
w sposobie rozmowy:
W rozmowach z użytkownikami używaj informatycznego żargonu
Szczególnie w naszym regionie geograficznym z różnych względów ludzie mają kłopot z
przyznaniem się, że czegoś nie rozumieją. Dlatego jeżeli w rozmowie z klientem będziemy
używali slangowych określeń i będziemy robili to z dostateczną dozą pewności siebie, to
mamy spore szanse, że nasz rozmówca nas nie zrozumie, ale mimo to uda, że zrozumiał.
Może się zdarzyć, że w miejscach wątpliwych dopowie sobie to, co sam sobie wyobraża -
potencjalnie coś zupełnie innego, niż przypuszczamy. Efekt tego nieporozumienia zostanie
odkryty dopiero po wykonaniu działającego oprogramowania, a próba udowodnienia, że to
my mieliśmy rację w niczym nie przybliży nas do sukcesu.
Pozwól dominować papierom
Papier jest narzędziem, które można użyć, jak każde narzędzie, dla swojej korzyści lub na
swoją szkodę. Najprostszy przepis na to drugie, to go nadużyć. Generowanie długich acz
mało treściwych dokumentów nie jest trudne przy obecnie dostępnych narzędziach. Warto
zdać sobie sprawę, że przy dzisiejszym tempie życia, każdy dokument dłuższy niż kilka stron
z ogromnym prawdopodobieństwem nie zostanie w ogóle przeczytany.
Oczywiście w piśmie można dodatkowo popełnić wszystkie grzechy dotyczące ustnej
komunikacji: można pisać niejasno i wieloznacznie, nadużywać żargonu, ukrywać istotne
myśli wśród stosu detali etc. Śmiało można zakładać, że większość osób onieśmielona
kilkusetstronicowym dokumentem pełnym trudnych pojęć i złożonych schematów, nabierze
nabożnego szacunku dla naszego profesjonalizmu, nie zada żadnego pytania, nie przyzna się
do nie zrozumienia i nie będzie przeszkadzała nam w pracy.
Pozwól na grupowe decyzje (zgniły kompromis)
Z pewnością byliście nieraz na spotkaniu, na którym wszyscy się przekrzykiwali, pouczali,
wymyślali celne riposty, ale podjęcie najprostszej decyzji zajmowało mnóstwo czasu. Co
więcej, ludzie w takiej grupie często sprawiają wrażenie, jakby nie mogli zrozumieć całkiem
prostych rzeczy. Przyczyn tego jest wiele, ale dla nas ważny jest wniosek: próba
podejmowania kluczowych decyzji na spotkaniach, zwłaszcza licznych, zapewni absolutnie
beznadziejną jakość podejmowanych ustaleń.
Zrezygnuj z use-case'ów i prototypów
Wspomniałem powyżej o problemach w jednoznacznym zdefiniowaniu celów projektu i wizji
rozwiązania, wynikających z różnicy w perspektywie użytkowników i projektantów systemu.
Jest kilka praktyk i narzędzi, które właściwie zastosowane zwiększają szansę na obopólne
zrozumienie. Zrezygnowanie z ich użycia jest niebezpieczną drogą na skróty.
Przypadki użycia (use case) są najpowszechniejszą techniką próbującą rozwiązać problem
bariery między światem użytkowników i projetantów. Dzięki swojej formie prowokują do
opisania przykładów, odnoszą się do konkretnych wyobrażeń i potrzeb, a przy tym są pisane
językiem zrozumiałym dla obu stron.
Doświadczenie pokazuje, że mimo wszelkich pomysłów na usprawnienie komunikacji
werbalnej, najłatwiej się porozumieć mając przed oczami prototyp rozwiązania. Obejrzenie
konkretnego okna, elementarne przejście w aplikacji procesu związanego z określonym
problemem, pozwala zwykle na zauważenie rzeczy niemożliwych do wymyślenia w
wielogodzinnych dyskusjach. Prototyp nie musi być kosztowny, w ostateczności może być to
zestaw kartek papieru z wizją kolejnych okienek. Nie buduje się mostów bez uprzedniego
zrobienia makiety, a przecież mosty są o niebo bardziej powtarzalnymi konstrukcjami niż
oprogramowanie!
Zrezygnuj z narzędzi do zarządzania wymaganiami
Przy większych projektach zapanowanie nad wymaganiami i ich losem w trakcie projektu
staje się trudne. Możliwe jest skorzystanie ze wsparcia narzędziowego, pozwalającego na
katalogowanie wymagań, kontrolę ich zmian oraz śledzenie powiązania między
wymaganiami a realizowanymi funkcjami systemu. Zrezygnuj z tego. Postaraj się rozproszyć
wymagania w wielu dokumentach, arkuszach, poczcie elektronicznej. Po paru miesiącach
spróbuj stwierdzić, czy wszystkie zostały spełnione.
Pomiń oczywiste wymagania
Pewne wymogi są "oczywiste". Nawet jeśli nie zostaną zdokumentowane, to przecież
wszyscy o nich wiedzą. Zwykle z tego powodu jest szczególnie trudno zauważyć ich brak w
dokumentach projektowych. Zauważcie jednak, że dla różnych osób różne rzeczy są
oczywiste. To co jest absolutnie jasne dla użytkownika i projektanta, nie musi być takie dla
programisty (oni są inni). Nie wszystko może być też oczywiste, gdy od czasu gdy
prowadzono intensywne rozmowy z klientem minął rok. Na koniec zostajemy z
oprogramowaniem, które ma prawie wszystko, tylko nie spełnia właśnie oczywistych (czasem
najważniejszych) oczekiwań.
Ogranicz się do wymagań funkcjonalnych
Pomiń wymagania technologiczne: wydajnościowe, sprzętowe, zapewnienie bezpieczeństwa
itp. Spróbuj wyobrazić sobie, jak będzie wyglądała na końcu projektu zmiana systemu, by
spełniał te wymagania.
Oszczędzaj na analizie wymagań
Analiza wymagań kosztuje. Doświadczeni w bojach twierdzą, że cała faza projektowania
systemu zajmuje z grubsza jedną trzecią całego wysiłku w projekcie - sporą część tego czasu
zajmuje analiza wymagań. A przecież w tym czasie nie powstaje ani jedna pożyteczna linijka
kodu! Nie zgadzaj się na to - ogranicz czas na analizę, zacznij programować od samego
początku. Trudno najwyżej się to wszystko przerobi...
Pozwól rządzić polityce
W projekcie różni ludzie mają różne cele. Nie wszystkie z nich układają się w zgodzie z
interesem samego projektu. Wielu będzie chciało upiec swoje pieczenie nie licząc się ze
skutkami. Jeżeli przymkniesz na to oko lub nie znajdziesz sił na odparcie wpływu tych osób,
to cały merytoryczny wysiłek zostanie solidnie narażony.
Zrezygnuj z formalnego zatwierdzenia ustalonego zakresu
W momencie rozpoczynania fazy analizy wymagań jest zwykle już pewna ilość materiałów
źródłowych - materiały przetargowe, umowa, badania rynku, studium wykonalności itp. W
konsekwencji zbierane i ustalane wymagania z pewnością będą w pewnej mierze niespójne z
innymi dokumentami. Jeżeli nie uzyskamy formalnego zatwierdzenia, że ustalony zbiór
wymagań ma pierwszeństwo przed wszystkimi innymi materiałami, to później z pewnością
spotkamy się z sytuacją, w której ktoś będzie się powoływał na te inne źródła. Wszelkie
niejasności i niespójności będą mogły być wykorzystane do prób podważenia ustalonego
zakresu projektu.
Na koniec
W projektach nie ma złotych reguł. Wcale nie jest powiedziane, że projekt, w którym
pojawiają się opisane powyżej zjawiska, jest skazany na porażkę. Tym bardziej nie jest
prawdą, że zabezpieczenie się przed powyższymi błędami zapewni sukces. Niemniej są to
znaki ostrzegawcze, jak ktoś widzi ich zbyt wiele, to może znaczyć, że jedzie złą drogą i ma
małe szanse na dotarcie do celu.
Największe grzechy analizy wymagań
Brak zaangażowania użytkowników
Błędna identyfikacja użytkowników
Oddanie decyzji w ręce użytkowników
Oddanie decyzji w ręce deweloperów
Brak jasnych celów projektu
Brak pisemnej wizji projektu
Akceptacja wszystkich życzeń
Brak priorytetów
Dominacja papierów
Grupowe podejmowanie decyzji
Brak use-case'ów i prototypów
Brak narzędzi do zarządzania wymaganiami
Pominięcie oczywistych wymagań
Pominięcie wymagań niefunkcjonalnych
Zbytnia oszczędność na analizie wymagań
Zbytnie wpływy polityki
Brak formalnego zatwierdzenia ustalonego zakresu
Systemy informatyczne w przedsi
ę
biorstwie (przede wszystkim w logistyce)
•
BI - Business Intelligence - zbiór koncepcji, metod i procesów, maj
ą
cych na
celu optymalizacj
ę
podejmowanych decyzji. To przede wszystkim operacyjne
narz
ę
dzie analityczne pozwalaj
ą
ce nie tylko na ocen
ę
stanu obecnego, ale
równie
ż
zało
ż
onych planów i bud
ż
etów. Wyniki analiz prezentowane s
ą
w
formie gotowych raportów, wykresów i sprawozda
ń
, które uzupełniaj
ą
funkcje
raportuj
ą
ce systemów ERP.
•
SCM - Zarz
ą
dzanie ła
ń
cuchem dostaw - rozwi
ą
zania informatyczne, które
słu
żą
przedsi
ę
biorstwu do zarz
ą
dzania sieciowym ła
ń
cuchem dostaw. Dzi
ę
ki
nim
mo
ż
liwa
jest
synchronizacja
przepływu
materiałów
pomi
ę
dzy
poszczególnymi kooperantami, co wyra
ź
nie ułatwia firmie dostosowanie si
ę
do
okre
ś
lonego popytu rynkowego.
•
CPFR (Collaborative Planning, Forecasting and Replenishment) oznacza
wspólne prognozowanie, planowanie i uzupełnianie zapasów. Opiera si
ę
ono na
porozumieniu partnerów biznesowych w zakresie stałej wymiany informacji na
temat prognoz sprzeda
ż
y, zakupów i zapasów oraz planów promocji, produkcji i
dostaw wraz z ustaleniem sposobów identyfikacji i wyja
ś
niania zaistniałych
odchyle
ń
.
•
WMS – (Warehouse Management Systems ) – wykorzystywane do obsługi
procesów magazynowych. Gromadz
ą
one dane o rodzajach, ilo
ś
ci i podziale
miejsc składowania towarów oraz wiele informacji potrzebnych do
wspomagania operacji magazynowych zwi
ą
zanych z przemieszczaniem
wewn
ę
trznym, dostaw
ą
i wysyłk
ą
. W celu usprawnienia funkcjonowania
systemu i przepływu towarów, a wraz z nim informacji ka
ż
dy składowany w
magazynie produkt, paleta czy miejsce składowania posiada jako jednostka
logistyczna oznakowanie dzi
ę
ki, któremu jest identyfikowana.
Oraz:
VMI
VMI (vendor managed inventory), zwany równie
ż
SMI (supplier managed inventory).
Oznacza optymalizacj
ę
funkcjonowania ła
ń
cucha dostaw w wyniku zarz
ą
dzania
zapasami producenta lub dystrybutora przez dostawc
ę
, który decyduje o czasie i
wielko
ś
ci dostawy, gwarantuj
ą
c jednocze
ś
nie pełn
ą
dost
ę
pno
ść
produktów. VMI jest
procesem, w którym dostawca sam generuje zamówienia na rzecz klienta zgodnie z
jego potrzebami, na podstawie informacji otrzymywanych od odbiorcy. Instrument ten
najlepiej stosowa
ć
w odniesieniu do produktów o łatwym do przewidzenia popycie
oraz takich, dla których standardowa procedura zamówie
ń
jest kosztowna.
Rozwi
ą
zanie to odci
ąż
a odbiorc
ę
od ponoszenia kosztów zamro
ż
onego kapitału i od
ryzyka waha
ń
sezonowych.
VMI – korzy
ś
ci
• obie strony – redukcja bł
ę
dów w danych i w wykonywanych operacjach, poprawa
szybko
ś
ci przebiegu procesu, zaanga
ż
owanie w podwy
ż
szenie standardów obsługi
klienta finalnego, zacie
ś
nienie współpracy, zmniejszenie wymaganego kapitału
pracuj
ą
cego, kompresja czasu, ograniczenie liczby zwrotów oraz pilnych dostaw.
• producent lub dystrybutor – redukcja braków w zapasach i ich ogólnego poziomu,
spadek kosztów planowania oraz składania zamówie
ń
, poprawa poziomu obsługi
klienta, przeniesienie odpowiedzialno
ś
ci za utrzymywanie zapasów na dostawc
ę
,
uproszczenie procedur administracyjnych, zabezpieczenie przedsi
ę
biorstwa przed
negatywn
ą
sytuacja na rynkach dostarczanych materiałów i komponentów,
zaanga
ż
owanie konieczne tylko w przypadku wyst
ą
pienia problemów;
• dostawcy – minimalizacja bł
ę
dów w prognozowaniu, wpływ promocji łatwy do
uwzgl
ę
dnienia w planach zapasów, redukcja bł
ę
dów w zamówieniach, znajomo
ść
stanów zapasów pozwala na stosowanie priorytetów w realizacji dostaw,
przewidywanie potrzeb przed ich faktycznym wyst
ą
pieniem, optymalizacja produkcji,
zmniejszenie bł
ę
dów w prognozowaniu, stabilno
ść
relacji z klientem;
• ogólne – zredukowanie niepewno
ś
ci co do wysoko
ś
ci popytu, ni
ż
sze zapasy
wymagane w poszczególnych ogniwach ła
ń
cucha dostaw.
EDI
Elektroniczna wymiana danych (EDI, ang. Electronic Data Interchange) – transfer
biznesowej informacji transakcyjnej od komputera do komputera z wykorzystaniem
standardowych, zaakceptowanych formatów komunikatu.
• wymiana danych w formatach opisanych mi
ę
dzynarodowymi standardami, mi
ę
dzy
systemami informatycznymi partnerów handlowych, przy minimalnej interwencji
człowieka.
• EDI ł
ą
czy mo
ż
liwo
ś
ci informatyki i telekomunikacji. Umo
ż
liwia eliminacj
ę
dokumentów papierowych zwi
ę
kszaj
ą
c efektywno
ść
wszystkich działa
ń
zwi
ą
zanych z
handlem. EDI jest najprostszym sposobem realizacji transakcji handlowych z
pomini
ę
ciem
ż
mudnej pracy przy tworzeniu, kopiowaniu i przesyłaniu dokumentów
papierowych. EDI ł
ą
czy bezpo
ś
rednio systemy informatyczne współpracuj
ą
cych ze
sob
ą
firm.
• EDI umo
ż
liwia natychmiastowe przekazywanie informacji, które s
ą
zawarte w
typowych dokumentach handlowych. Zastosowanie standardowych i akceptowanych
na całym
ś
wiecie formatów danych zapewnia,
ż
e wszyscy uczestnicy wymiany
u
ż
ywaj
ą
tego samego j
ę
zyka. Dokument EDI jest odpowiednikiem papierowego
dokumentu handlowego o ustalonej mi
ę
dzynarodowej postaci, który został
przystosowany do celów elektronicznej transmisji danych.
• EDI nie jest rodzajem poczty elektronicznej. EDI polega na wymianie danych w
ustalonym formacie, pomi
ę
dzy systemami informatycznymi, nie pomi
ę
dzy lud
ź
mi.
Dane te mog
ą
by
ć
automatycznie przetwarzane przez komputer.
RFID
RFID (Radio Frequency Identification) – jest to system kontroli przepływu towarów w
oparciu o zdalny, poprzez fale radiowe, odczyt i zapis danych.
Technika ta pozwala na odczyt zapisanej na identyfikatorach informacji w sposób
zdalny i bezkontaktowy. Pierwotnie rozwi
ą
zanie to wykorzystywane było w
systemach umo
ż
liwiaj
ą
cych rejestracj
ę
czasu pracy. Coraz cz
ęś
ciej jednak
stosowane jest przez sieci handlowe, zakłady produkcyjne i w logistycznym ła
ń
cuchu
dostaw.
Podstawowymi elementami rozwi
ą
zania RFID s
ą
:
• Tagi – etykiety wykonane z samoprzylepnego cienkiego papieru lub tworzywa
sztucznego. Na ich powierzchni naniesiona jest
ś
cie
ż
ka anteny nadawczo-odbiorczej
i cieniutki układ elektroniczny,
• Anteny – które emituj
ą
sygnały radiowe w celu odczytania i zapisania na tagach
danych. Je
ś
li ci
ą
gła emisja nie jest wymagana, pole mo
ż
e by
ć
wł
ą
czane przez
czujnik. Czujnik mo
ż
e emitowa
ć
fale radiowe o zasi
ę
gu od kilku centymetrów do 30
metrów i wi
ę
cej w zale
ż
no
ś
ci od mocy wyj
ś
ciowej i u
ż
ytej cz
ę
stotliwo
ś
ci fal
radiowych.
Gdzie mo
ż
na zastosowa
ć
RFID?
• w handlu detalicznym,
• podczas kontroli produktów, zarówno w trakcie produkcji, jak i podczas napraw
serwisowych,
• w trakcie zarz
ą
dzania surowcami w magazynie - zapewnienia dost
ę
pno
ś
ci
najbardziej poszukiwanych towarów, unikania braków w magazynach,
• podczas obsługi zlece
ń
magazynowych - przyj
ę
cia i wydania towaru, przesuni
ę
cia
wewn
ą
trzmagazynowego, inwentaryzacji,
• podczas
ś
ledzenie obiektów w ła
ń
cuchu dostaw – do oznaczania przesyłek,
• jako identyfikacja pojazdów na parkingach i płatnych autostradach,
• w trakcie kontroli wej
ść
/wyj
ść
pracowników (go
ś
ci) na teren zakładu pracy,
• w trakcie kontroli czasu pracy,
• jako identyfikacja baga
ż
u na lotniskach,
• jako karty wst
ę
pu np. do klubów czy obiektów sportowych.
SYSTEMY KOMPLEKSOWO ZINTEGROWANE
Systemy te charakteryzuje wysoki poziom zastosowanych technologii informatycznych.
Rozwinięte systemy informatyczne wspomagające zarządzanie (SIZ) działające w środowisku
CIM i zintegrowane z jego podstawowymi komponentami są określane jako systemy
kompleksowo zintegrowane (kompleksowe).
Skrót CIM oznacza Computer Integrated Manufacturing (Komputerowo zintegrowane
wytwarzanie) i obejmuje poniższe systemy:
–
CAD- Komputerowo Wspomagane Projektowanie (Computer Aided Design),
–
CAE- Komputerowo Wspomagane Konstruowanie (Computer Aided Engineering),
–
CAP- Komputerowo Wspomagane Planowanie (Computer Aided Planning),
–
CAM- Komputerowo Wspomagane Wytwarzanie (Computer Aided Manufacturing),
–
CAQ- Komputerowo Wspomagana Kontrola Jakości (Computer Aided Quality Control).
„CIM obejmuje zintegrowane zastosowanie komputerów we wszystkich związanych z
produkcją obszarach działania przedsiębiorstwa. Obejmuje techniczno-informacyjne
współdziałanie między CAD, CAP, CAM, CAQ i PPS. W wyniku wdrożenia CIM powinna
być osiągnięta integracja funkcji, mających na celu wytworzenie produktu.
Warunkiem udanego zastosowania idei CIM jest wykorzystanie wspólnej bazy danych.”
Ź
ródło:
http://rafal.skirzynski.prv.pl/file2.htm
Cele, do jakich dąży strategia CIM:
–
Integracja procesów,
–
Automatyzacja,
–
Skracanie czasów,
–
Podniesienie wskaźnika elastyczności,
–
Wzrost efektywności,
–
Uproszczenie procesów.
Powiązanie technik wspomagających CIM
Ź
ródło:
http://rafal.skirzynski.prv.pl/file2.htm
ź
ródło: http://www.wmie.uz.zgora.pl/~jjablons/wyk/wyk8.pdf
ź
ródło:
http://www.wmie.uz.zgora.pl/~jjablons/wyk/wyk8.pdf
ZINTEGROWANE SYSTEMY INFORMATYCZNE
Modułowo zorganizowane systemy informatyczne, które zajmują się wszystkimi
(większością, częścią) sferami działalności przedsiębiorstwa.
Mówiąc o zintegrowanym systemie informatycznym (ZSI) należy mieć na uwadze:
•
system zarządzania zorganizowany modułowo - umożliwia etapowe wdrażanie tych
składowych, które są niezbędne z uwagi na specyfikę firmy.
•
obsługujący wszystkie sfery działalności przedsiębiorstwa - począwszy od
marketingu i planowania oraz zaopatrzeniu, poprzez techniczne przygotowanie
produkcji i jej sterowanie, dystrybucję, sprzedaż, gospodarkę remontową, aż do prac
finansowo-księgowych i kadrowych.
•
obsługujący wszystkie zasoby danych - procedury zarządzania, sterowanie i
regulacja procesów wytwórczych są przetwarzane przy wsparciu technologii
informatycznej.
Główne cechy ZSI
•
kompleksowość funkcjonalna - obejmuje wszystkie sfery firmy,
•
integracja danych i procesów - dotyczy wymiany informacji wewnątrz firmy jak i z
jej otoczeniem,
•
elastyczność strukturalna – (skalowalność) i funkcjonalna
•
dynamiczne dopasowanie przy zmiennych wymaganiach i potrzebach otoczenia,
•
otwartość - możliwość rozbudowy systemu i tworzenie nowych połączeń
zewnętrznych,
•
zaawansowanie merytoryczne - możliwość pełnego informatycznego wsparcia
procesów informacyjno-decyzyjnych,
•
zaawansowanie
technologiczne
-
zgodność
ze
standardami
sprzętowo-
programowymi oraz możliwość przenoszenia pomiędzy platformami,
•
zgodność z przepisami (np. ustawą o rachunkowości).
Standardy APICS (American Production & Inventory Control Society)
Podstawowe wyróżnione standardy, w ujęciu chronologicznym to:
•
planowanie potrzeb materiałowych (Material Requirements Planning ) oznaczone
jako MRP,
•
planowanie potrzeb materiałowych i zdolności produkcyjnej w zamkniętej pętli
(Cloosed-Loop MRP) oznaczone jako CL-MRP,
•
planowanie zasobów produkcyjnych (Manufacturing Resources Planning) oznaczone
jako MRP II.
Ostatni ze standardów (pochodzący z 1989 roku) jest reprezentowany przez wiele
zróżnicowanych poziomów zaawansowania.
Źródło: Klonowski
Źródło: Klonowski
Uniwersalne Równanie Produkcji jest to zestaw następujących pytań:
1.
Co ma zostać wyprodukowane i w jakim terminie, aby zaspokoić popyt niezależny?
2.
Czym należy dysponować i w jakim czasie żeby wykonać tą produkcję?
3.
Które z tych zasobów przedsiębiorstwo obecnie posiada?
4.
Co musi zostać zakupione, aby możliwe było wykonanie takiej produkcji?
Źródło: Klonowski
Źródło: Klonowski
SKŁADOWE SYSTEMU MRP II
•
Planowanie biznesowe (Business Planning) - tworzony jest tu ogólny plan działania
przedsiębiorstwa.
•
Bilansowanie produkcji i sprzedaży (Sales and Operation Planning - SOP) - w
wyniku tych działań powstaje plan produkcji i sprzedaży mające na celu realizacji
planu biznesowego. Plany te określają wzajemne zbilansowane wielkości sprzedaży,
produkcji oraz poziomu zapasów magazynowych w poszczególnych okresach. Plany
te
będą
wyznaczać
plany
wszystkich
innych
planów
operacyjnych
w
przedsiębiorstwie.
•
Zarządzanie popytem (Demand Management - DEM) - obejmuje prognozowanie i
planowanie sprzedaży oraz potwierdzanie zamówień klientów. Jej celem jest
określanie wielkości przyszłego popytu i ciągła aktualizacja tej wartości.
•
Harmonogramowanie planu produkcji (Master Production Scheduling - MPS) -
funkcja ta służy do zbilansowania podaży w kategoriach materiałów, zdolności
produkcyjnych, minimalnych zapasów względem popytu wyrażonego prognozami,
zamówieniami odbiorców, promocjami.
•
Planowanie potrzeb materiałowych (Material Requirements Planning - MRP) -
dzięki tej funkcji określone są harmonogramy zakupów, produkcji oraz montażu
wszystkich części składowych wyrobu wraz z priorytetami dla zaopatrzenia i
produkcji.
•
Wspomaganie zarządzania strukturami materiałowymi (Bill of Material
Subsystem) - dostarcza informacji koniecznych do obliczania wielkości zleceń
produkcyjnych i zaopatrzeniowych oraz ich priorytetów.
•
Ewidencja magazynowa (Inventory Transaction Subsystem - INV) - wspiera
prowadzenie ewidencji gospodarki magazynowej, dostarcza do innych funkcji
informacji o dostępnych zapasach elementów.
•
Sterowanie zleceniami (Schedule Receipts Subsystem - SRS) - kontroluje spływ
(przyjęcie na ewidencję) elementów zaopatrzeniowych i produkowanych, w tym
zaplanowanych przez MRP i MPS.
•
Sterowanie produkcją (Shop Floor Control - SFC) - umożliwia przekazywanie
informacji o priorytetach między osobą planującą produkcję a stanowiskami
roboczymi.
•
Planowanie zdolności produkcyjnych (Capacity Requirements Planning - CRP) -
służy do badania, czy opracowane plany produkcji i sprzedaży oraz harmonogramu są
osiągalne.
•
Sterowanie stanowiskami roboczymi (Input/Output Control) - wspomaga kontrole
wykonania planu zdolności produkcyjnych. Służy do kontroli kolejek na
poszczególnych stanowiskach roboczych, wielkości prac na wejściu i wyjściu
stanowiska.
•
Zaopatrzenie (Purchasing PUR) - funkcja ta wspomaga czynności związane z
nabywaniem towarów i usług od dostawców. Pozwala ona tworzyć zlecenie zakupu
czy harmonogram przyjęć dostaw.
•
Planowanie zasobów dystrybucyjnych (Distribution Resource Planning - DRP) -
wspomaga czynności związane z harmonogramowaniem przesunięć wyrobów
pomiędzy
punktami
sieci
dystrybucyjnej
oraz
planowaniem
produkcji
międzyzakładowej.
•
Narzędzia i pomoce warsztatowe (Tooling) - służy do planowania dostępności
właściwych narzędzi specjalnych, aby można było bez przeszkód wykonać plan
produkcji.
•
Planowanie finansowe (Financial Planning Interface) - zadaniem jego jest
umożliwienie pobierania z systemu MRP II danych o charakterze finansowym, ich
przetworzenie i przekazywanie do osób odpowiedzialnych za planowanie finansowe.
•
Symulacje (Simulation) - umożliwia ocenę wpływu wprowadzonych zmian do
poszczególnych elementów MRP II na plany finansowe, potrzeb materiałowych i
zdolności wykonawczych.
•
Pomiar wyników (Performance Measurement) - jest to forma ciągłej kontroli
efektywności wykorzystania systemu MRP II. Związane jest to z ustalaniem celów,
które MRP II ma osiągnąć i sprawdzaniem, jak udaje się te cele osiągnąć.
SYSTEMY ERP
ERP (ang. Enterprise Resource Planning), Planowanie Zasobów Przedsiębiorstwa (chętniej
tłumaczone przez producentów jako Zaawansowane Zarządzanie Zasobami) – określenie
klasy systemów informatycznych służących wspomaganiu zarządzania przedsiębiorstwem lub
współdziałania grupy współpracujących ze sobą przedsiębiorstw, poprzez gromadzenie
danych oraz umożliwienie wykonywania operacji na zebranych danych.
Wspomaganie to może obejmować wszystkie lub część szczebli zarządzania i ułatwia
optymalizację wykorzystania zasobów przedsiębiorstwa oraz zachodzących w nim procesów.
Systemy ERP są rozwinięciem systemów MRP II. Podstawowym ich elementem jest baza
danych, która jest zazwyczaj wspólna dla wszystkich pozostałych modułów. Moduły te
zwykle obejmują następujące obszary:
–
magazynowanie,
–
zarządzanie zapasami,
–
ś
ledzenie realizowanych dostaw,
–
planowanie produkcji;
–
zaopatrzenie,
–
sprzedaż,
–
kontakty z klientami;
–
księgowość;
–
finanse;
–
zarządzanie zasobami ludzkimi (płace, kadry).
W skład systemów ERP mogą wchodzić również inne moduły, jak np. moduł zarządzania
transportem, controlling, czy zarządzanie projektami. Systemy ERP są dosyć elastyczne i
umożliwiają dopasowanie ich do specyfiki poszczególnych przedsiębiorstw, m.in. dlatego, iż
poszczególne moduły mogą być wzajemnie niezależne od siebie (tzn. mogą pracować bez
obecności innych modułów).
Systemy ERP przeznaczone są zarówno dla przedsiębiorstw produkcyjnych, handlowych,
jak i usługowych.
Obsługują one zarówno instytucje, firmy handlowe, jak i usługowe oraz produkcyjne o
różnych typach produkcji. Specjalne wersje umożliwiają obsługę sprzedaży detalicznej i
mobilnej.
Największą zaletą najnowocześniejszych systemów ERP jest ich elastyczność i możliwość
dopasowania do specyfiki przedsiębiorstwa w każdej branży w zależności od jego potrzeb.
Dzięki zintegrowaniu modułów, które zawiera pakiet ERP, uzyskuje się płynność
współpracy różnych działów w firmie np. dane wystarczy wprowadzić tylko raz, a będą one
dostępne również dla innych aplikacji, obsługujących odrębne obszary funkcjonowania firmy.
Dzięki systemowi ERP praca zespołu jest zsynchronizowana. Możliwe jest sprawne
prowadzenie projektów, szybka wymiana informacji, a co za tym idzie również oszczędność
czasu i obniżenie kosztów.
Wdrożenie systemu ERP pozwala wydatnie poprawić efektywność działania całej firmy oraz
osiągnąć znaczące korzyści biznesowe:
–
w obszarze zarządzania zasobami ludzkimi,
–
w obszarze zarządzania finansami,
–
w obszarze logistyki,
–
w obszarze produkcji.
Źródło: Klonowski
STWIERDZONE KORZYŚCI Z WDROŻENIA SYSTEMU KLASY MRP II/ERP
•
zmniejszenie produkcji w toku o około 30%,
•
zwiększenie nawet o 50% terminowości wykonania zleceń,
•
skrócenie średniego czasu realizacji dostawy o 20%,
•
zmniejszenie niedoborów części do montażu o 75-90%,
•
wzrost wydajności produkcji o 10-20%,
•
zmniejszenie stanu zapasów magazynowych o 10-50%,
•
obniżenie kosztów zakupu o 7-5%,
•
zmniejszenie średniej liczby pracowników służb zaopatrzenia o 35,5%,
•
wzrost sprzedaży o 15-25%,
•
ulepszenie procesów organizacyjnych,
•
istotna poprawę przepływu informacji w firmie.
Idea audytu IT
Powstanie audytu informatycznego związane jest ze wzrostem złożoności systemów
informatycznych. Chodziło o zapewnienie kontrolowanego zarządzania (z określonym
poziomem ryzyka lub bez niego) systemami informatycznymi w organizacjach różnej
wielkości.
W zakres audytu informatycznego wchodzą przede wszystkim:
–
systemy informatyczne
–
związane z nimi zasoby (budynki, okablowanie i inne niezbędne do funkcjonowania
systemów informatycznych),
–
platformy systemowe,
–
sprzęt komputerowy,
–
licencje.
Zakres przedmiotowy audytu informatycznego jest bardzo szeroki: poczynając od oceny
zarządzania bezpieczeństwem pojedynczego systemu operacyjnego aż do oceny zarządzania
bezpieczeństwem systemów informatycznych w skali całej firmy. Należy jednak podkreślić,
ż
e audyt systemów informatycznych nie zajmuje się wyłącznie bezpieczeństwem. Jest
sposobem na otrzymanie aktualnych informacji dotyczących oprogramowania, licencji i
zasobów sprzętowych.
Audyt informatyczny może być samodzielnym przedsięwzięciem lub stanowić element
audytu finansowego lub operacyjnego. Znaczna część prac związana z audytem
informatycznym wykonywana jest bowiem na rzecz audytorów finansowych lub audytorów
wewnętrznych badających procesy organizacji.
Zadania Audytu IT (najistotniejsze)
•
przegląd zasad i procedur dotyczących systemów informatycznych mający na celu
ocenę, czy zostały one opracowane przy uwzględnieniu wymagań kierownictwa firmy
i istniejących przepisów wewnętrznych i zewnętrznych,
•
przegląd zasad i procedur dotyczących systemów informatycznych mający na celu
ocenę, czy są one efektywne, i zapewniają niezawodność przetwarzania i
bezpieczeństwo danych,
•
sprawdzenie, czy systemy i aplikacje zapewniają odpowiednie mechanizmy kontroli i
czy mechanizmy te zapewniają ochronę przed stratami lub poważnymi błędami,
•
ocena, czy systemy komputerowe, sieci telekomunikacyjne i programy komputerowe
posiadają odpowiednią dokumentację, a ich użytkownicy posiadają właściwe
umiejętności,
•
przegląd mechanizmów kontroli w aplikacjach służących do przetwarzania danych
mający na celu ocenę ich niezawodności, a także terminowości, dokładności i
kompletności przetwarzania danych,
•
przegląd zabezpieczeń fizycznych i logicznych sprzętu komputerowego i
oprogramowania,
•
przegląd zabezpieczeń fizycznych danych,
•
opracowywanie zaleceń działań korygujących w przypadku zidentyfikowania
problemów w zakresie zasad, procedur i mechanizmów kontroli,
•
przegląd procesu rozwoju aplikacji,
•
przegląd struktury organizacyjnej, podziału obowiązków i uprawnień w ramach
komórek informatycznych,
•
przegląd istnienia odpowiedniej struktury zapewniającej przeszkolenie pracowników
w różnych dziedzinach lub obecność pracowników, którzy mogą zastąpić kluczowych
pracowników w przypadku ich nieobecności.
Podział audytu IT ze względu na przedmiot:
–
zarządzanie projektem,
–
zarządzanie ryzykiem informatycznym,
–
zarządzania jakością,
–
zarządzanie umowami zewnętrznymi i wewnętrznymi.
Podział audytu IT ze względu na metodę badania.
–
Przeglądy – weryfikacja, czy system kontroli jest prawidłowo zbudowany, czy
gwarantuje osiąganie założonych celów.
–
Badania zgodności – ocena zgodności działania z ustanowionymi wymaganiami
(polityki, regulaminy, procedury). Nie ocenia się samych wymagań (zasadność,
skuteczność).
–
Testy penetracyjne – obejmują realizowanie procedur dowodowych w oparciu o
etyczny haking.
Podział audytu IT ze względu na cele – można wówczas mówić o audytowaniu:
–
efektywności (na ile efektywnie działają struktury i systemy informatyczne),
–
bezpieczeństwa (na ile systemy i dane są chronione przed utratą integralności,
poufności i dostępności),
–
zgodności (na ile struktury i systemy informatyczne spełniają wymagania przepisów
prawnych i regulacji wewnętrznych),
–
rzetelności (na ile informacje pozyskiwane z systemów informatycznych oraz
tworzone w ramach struktur informatycznych są rzetelne).
Podział audytu IT ze względu na zasoby – można wówczas mówić o audytowaniu:
–
technologii (w tym systemów operacyjnych i sieci),
–
infrastruktury,
–
aplikacji,
–
danych.
Przykładowy zakres audytu wewnętrznego:
–
testy istniejących zabezpieczeń sprzętowych,
–
sprawdzenie bezpieczeństwa systemów backupowych,
–
sprawdzenie skuteczności systemów antywirusowych,
–
analiza zabezpieczeń programowych,
–
uwierzytelnianie i autoryzacja haseł użytkowników,
–
sprawdzenie możliwości dostępu osób nieuprawnionych,
–
identyfikacja i analiza zagrożeń.
Podział audytu IT
Ze względu na podmiot audytu informatycznego rozróżnienia się:
–
audyt sprzętu,
–
audyt oprogramowania,
–
audyt legalności.
Ze względu na cel wyróżnić można:
–
audyt efektywności,
–
audyt bezpieczeństwa,
–
audyt zgodności,
–
audyt rzetelności,
–
audyt polityki informatycznej i procedur.
Warianty audytu IT
–
Audyt pełny – dotyczy wszystkich komputerów. Powinny go zastosować firmy mające
uzasadnione wątpliwości co do posiadanych zasobów oprogramowania.
–
Audyt „próbki” – procedura audytu ograniczona jest do części (zazwyczaj 10-30%)
komputerów w firmie.
Audyt systemów informatycznych a audyt informatyczny
Audyt systemów informatycznych dotyczy badania i oceny ich funkcjonowania.
Audyt informatyczny ma miejsce, gdy systemy informatyczne wykorzystuje się na potrzeby
innych obszarów audytu wewnętrznego.
Audyt systemów informatycznych koncentruje się na zasobach:
•
fizycznych (komputery, nośniki pamięci),
•
intelektualnych (oprogramowanie wraz z dokumentacją),
•
kadrowych (użytkownicy, projektanci, programiści, administratorzy),
•
usługach i transakcjach związanych z nabyciem aplikacji,
•
usługach operatorskich i administracyjnych.
Przykład zagrożenia
Zagrożenia w zakresie danych
Obszar: logiczny dostęp do danych
Przyczyny:
1)
brak ochrony danych za pomocą identyfikatorów i haseł (także danych
biometrycznych) lub fizycznych identyfikatorów przechowujących certyfikaty
2)
poznanie przez osoby nieupoważnione haseł dostępu lub kluczy umożliwiających
rozszyfrowanie danych
3)
brak ochrony antywirusowej.
Rodzaje zagrożeń:
1)
odczytanie, modyfikacja lub usunięcie danych przez osoby nieupoważnione,
2)
zainfekowanie oprogramowania
3)
dokonanie transakcji bankowych, giełdowych przez osoby nieupoważnione
4)
kradzież tajnych informacji o działalności jednostki.
Zagrożenia związane ze środowiskiem
Przyczyny:
1)
niewłaściwe pomieszczenie (wilgotna piwnica, poddasze, nasłoneczniona weranda),
2)
kable sieciowe znajdujące się za blisko instalacji elektrycznej, odgromowej, kanałów
wentylacyjnych.
Rodzaje zagrożeń:
1)
fizyczne zniszczenie sprzętu informatycznego i nośników danych,
2)
błędy i przekłamania w przetwarzaniu.
W jaki sposób powinniśmy zabezpieczać dane osobowe, które posiada nasza
organizacja?
Poziom koniecznych zabezpieczeń, które musi podjąć organizacja, będzie różny w zależności
od tego jakie dane organizacja posiada (czy są to dane zwykłe czy wrażliwe) i w jakiej formie
je przetwarza (czy są one w postaci wykazów papierowych czy może w systemie
informatycznym). Fakt rejestracji zbiór danych nie ma znaczenia dla koniecznych do podjęcia
środków ochrony.
Stosuje się trzy poziomy bezpieczeństwa w systemie informatycznym:
Poziom podstawowy – stosujemy go gdy w systemie informatycznym są przetwarzane
dane zwykłe oraz gdy żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom podwyższony – stosujemy go gdy w systemie informatycznym przetwarzane są
dane osobowe wrażliwe żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom wysoki – stosuje się go gdy przynajmniej jedno urządzenie systemu
informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią
publiczną.
Do każdego z tych poziomów stosuje się inne, adekwatne środki bezpieczeństwa.
Poziom podstawowy:
obszar, miejsce, pomieszczenia, budynki, w których są przechowywane dane osobowe
powinien być zabezpieczony przed dostępem dla osób trzecich (podczas nieobecności
osób upoważnionych do przetwarzania danych);
osoby nieuprawnione mogę przebywać w/w obszarze tylko za zgoda administratora
danych lub w obecności osoby upoważnionej do przetwarzania danych;
w systemie informatycznym, który służy do przetwarzania danych trzeba stosować
mechanizmy kontroli dostępu do tych danych;
system informatyczny powinien być zabezpieczony przed działaniem oprogramowania,
które ma na celu nieuprawniony dostęp do informacji oraz przed utratą danych
spowodowanych awarią zasilania;
jeżeli do uwierzytelniania użytkowników stosuje się hasło, jego zmiana powinna być
dokonywana nie rzadziej niż co 30 dni (hasło składa się z min. 6 znaków);
konieczne jest tworzenie kopii danych, które znajdują się w systemie informatycznym
jeżeli dane znajdują się w komputerze przenośnym, osoba, która go używa musi
zachować szczególną ostrożność i stosować środki ochrony kryptograficznej;
urządzenia, dyski i inne nośniki informacji, które są przeznaczone do likwidacji,
przekazania komuś, naprawy pozbawia się danych lub uniemożliwia ich odczytania.
Poziom podwyższony:
stosuje się wszystkie wcześniej wymienione zasady;
jeżeli do uwierzytelniania użytkowników stosuje się hasło, powinno się ono składać z 8
znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.
Poziom wysoki:
stosuje się wszystkie wcześniej wymienione zasady;
administrator stosuje środki ochrony kryptograficznej wobec danych wykorzystywanych
do uwierzytelnienia, które są przesyłane w sieci publicznej;
system informatyczny chroni się przed zagrożeniami z sieci publicznej poprzez
wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym
dostępem.
Najczęstsze błędy prowadzące do utraty danych
Cisco prezentuje badania dotyczące problemu nieautoryzowanego dostępu do infrastruktury i
sieci oraz świadomego udostępniania poufnych informacji firmowych.
Warszawa, 29 października 2008 r. - Firma Cisco® przedstawiła wyniki przeprowadzonych
ostatnio globalnych badań z dziedziny zabezpieczeń. Zwracają one uwagę na liczne
ryzykowne działania pracowników, które mogą prowadzić do jednego z najpoważniejszych
dla przedsiębiorstw problemów związanych z bezpieczeństwem: utraty informacji
korporacyjnych. Badanie wskazuje na często popełniane przez pracowników z całego świata
błędy prowadzące do wycieku danych. Wyniki zostały oparte na ankietach przeprowadzonych
wśród ponad 2000 pracowników i informatyków w 10 krajach. Wykazują one, że dla różnych
krajów i kultur charakterystyczne są odmienne ryzykowne zachowania pracowników.
Analizując wyniki badania przedsiębiorstwa będą mogły dostosować swoje plany zarządzania
ryzykiem, tak, aby zapobiegać zagrożeniom z uwzględnieniem uwarunkowań lokalnych, a
jednocześnie zachować zasięg globalny.
Badania te, przeprowadzone przez InsightExpress, amerykańską firmę zajmującą się analizą
rynku, zostały zlecone przez Cisco w celu zebrania informacji na temat zabezpieczeń i
wycieków danych oraz ich konsekwencji ponoszonych przez firmy w momencie, gdy styl
życia pracowników i ich środowisko pracy podlegają gwałtownym zmianom. W miarę jak
przedsiębiorstwa przechodzą od scentralizowanego do bardziej rozproszonego modelu
prowadzenia działalności, w którym wykorzystywani są pracownicy zdalni, granice między
życiem osobistym, a pracą zacierają się. Zmiana sposobu funkcjonowania przedsiębiorstw,
podobnie jak zmiana stylu życia pracowników, stały się możliwe w dużym stopniu dzięki
upowszechnieniu urządzeń i aplikacji do pracy zespołowej, wykorzystywanych do celów
zawodowych i prywatnych. Należą do nich telefony komórkowe, laptopy, aplikacje Web 2.0,
urządzenia wideo i inne media społeczne.
W tym zmieniającym się środowisku biznesowym przeprowadzono badanie, które objęło
1000 pracowników i 1000 informatyków działających w różnych branżach i firmach różnej
wielkości w 10 krajach: Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech,
Włoszech, Japonii, Chinach, Indiach, Australii i Brazylii. Wybrano właśnie te kraje, ponieważ
reprezentują one zróżnicowane kultury społeczne i biznesowe oraz ustabilizowane i
rozwijające się gospodarki oparte na wykorzystaniu sieci komputerowych na różnych
poziomach zaawansowania.
"Nie przeprowadziliśmy tych badań po to, aby tworzyć poczucie zagrożenia" - powiedział
John N. Stewart, dyrektor ds. bezpieczeństwa w Cisco. "Bezpieczeństwo jest bezwzględnie
zależne od ludzkich zachowań, dlatego firmy różnych wielkości i pracownicy we wszystkich
branżach muszą wiedzieć, w jaki sposób ich działania mogą zwiększać ryzyko i powodować
utratę danych oraz co to w konsekwencji oznacza dla poszczególnych osób i całych
przedsiębiorstw. Taka wiedza pomoże firmom wzmocnić kontakty między swoimi
poszczególnymi jednostkami biznesowymi, dostosować programy informacyjne i
szkoleniowe do uwarunkowań lokalnych oraz lepiej zarządzać ryzykiem. Krótko mówiąc,
procedury zapewniania bezpieczeństwa mogą być bardziej skuteczne."
Oto dziesięć najbardziej wartych podkreślenia wyników badań:
1. Zmiana ustawień zabezpieczeń na komputerach. Jeden na pięciu pracowników zmienia
ustawienia zabezpieczeń urządzeń w przedsiębiorstwie, aby obejść reguły wprowadzone
przez dział informatyczny i móc korzystać z niedozwolonych w firmie witryn WWW.
Przypadki takie występowały najczęściej w krajach o gospodarce rozwijającej się, jak
Chiny czy Indie. Na pytanie o powody tego postępowania ponad połowa tych
pracowników (52%) odpowiedziała, że po prostu chcieli uzyskać dostęp do określonych
witryn internetowych, a co trzeci oświadczył, że nikogo nie powinno interesować, jakie
strony odwiedza.
2. Wykorzystanie niedozwolonych aplikacji. Siedmiu na dziesięciu informatyków
powiedziało, że pracownicy korzystający z niedozwolonych aplikacji i witryn WWW
(blokowane media społeczne, oprogramowanie do pobierania plików muzycznych, sklepy
internetowe) powodują nawet połowę przypadków utraty danych w firmach. Opinia ta była
szczególnie rozpowszechniona w Stanach Zjednoczonych (74%) i Indiach (79%).
3. Nieautoryzowany dostęp do sieci lub infrastruktury. W zeszłym roku dwóch na pięciu
informatyków spotkało się z przypadkami korzystania przez pracowników z obszarów sieci
lub infrastruktury firmowej, do których nie mieli uprawnień. Przypadki tego typu
występowały najczęściej w Chinach, gdzie niemal dwie trzecie ankietowanych miało
styczność z tym problemem. Dwie trzecie wszystkich respondentów, którzy potwierdzili
występowanie tego zjawiska, spotkało się z nim wielokrotnie w ciągu zeszłego roku, a
14% nawet co miesiąc.
4. Udostępnianie poufnych informacji o firmie. Po zasygnalizowaniu problemu tajności
poufnych danych handlowych firmy jeden na czterech ankietowanych (24%) przyznał w
rozmowie, że ujawniał takie dane osobom spoza przedsiębiorstwa, przyjaciołom, rodzinie
lub nawet nieznajomym. Najczęściej udzielane odpowiedzi na pytanie o powody takiego
postępowania wskazywały na potrzebę zasięgnięcia opinii, co do własnych pomysłów lub
po prostu potrzebę porozmawiania, a także zawierały przekonanie, że nie ma w nim
niczego nagannego.
5. Udostępnianie urządzeń firmowych. Na pytanie o to, czy dane nie trafiają w ręce
nieuprawnionych osób, prawie połowa pracowników (44%) odpowiedziała, że udostępnia
firmowe urządzenia innym osobom, w tym i takich, którzy nie są pracownikami firmy, bez
nadzoru.
6. Korzystanie z tych samych urządzeń i kanałów komunikacji do celów zawodowych i
prywatnych. Niemal dwie trzecie pracowników przyznało, że nagminnie korzysta z
komputerów firmowych do celów osobistych, takich jak pobieranie plików muzycznych,
zakupy, operacje bankowe, prowadzenie blogów, rozmowy na czatach i inne. Połowa
pracowników korzysta z prywatnych kont poczty elektronicznej do komunikacji z
klientami i współpracownikami, przy czym tylko 40% uzyskało na to zgodę działu
informatycznego.
7. Brak zabezpieczeń urządzeń. Przynajmniej jednemu na trzech pracowników zdarza się
odejść od biurka, pozostawiając niezabezpieczony komputer po zalogowaniu. Ci sami
pracownicy pozostawiają też na noc na swoich biurkach laptopy, często bez wylogowania
się, zwiększając ryzyko kradzieży urządzeń i nieautoryzowanego dostępu do danych
przedsiębiorstwa i danych osobistych.
8. Zapisywanie nazw użytkownika i haseł. Jeden na pięciu pracowników zapisuje nazwy
użytkownika systemu i hasła na własnym komputerze lub pozostawia takie notatki na
swoim biurku, w otwartych szafkach, a nawet na kartkach przyklejonych do komputerów.
W krajach takich jak Chiny (28%) pracownicy zapisują dane logowania do osobistych kont
finansowych na urządzeniach firmowych, narażając się tym samym na straty. Fakt, że
zostawiają te urządzenia bez dozoru, jeszcze bardziej podnosi współczynnik ryzyka.
9. Utrata przenośnych urządzeń pamięci masowej. Prawie co czwarty (22%) pracownik
wynosi dane firmowe przy użyciu urządzeń pamięci masowej poza teren przedsiębiorstwa.
Najczęściej zdarza się to w Chinach (41%). Powstaje wtedy ryzyko zgubienia lub
kradzieży tych urządzeń.
10. Dopuszczanie osób postronnych do pomieszczeń firmowych. Ponad jedna piąta (22%)
pracowników w Niemczech pozwala, aby osoby spoza przedsiębiorstwa przebywały bez
dozoru w pomieszczeniach firmy. Średni wynik w tym badaniu to 13%. Natomiast 18%,
wchodząc na teren przedsiębiorstwa, wpuszczało ze sobą nieznane osoby.
"Przedsiębiorstwa w coraz większym stopniu umożliwiają swoim pracownikom pracę
zespołową oraz funkcjonowanie mobilne" - powiedział Stewart. "Bez nowoczesnych
technologii zabezpieczających, reguł, wiedzy i świadomości dane firm są wystawione na
większe ryzyko. Obecnie dane są przenoszone, wykorzystywane, zapisywane w programach,
przechowywane na urządzeniach, poza tradycyjnym środowiskiem firmowym, na przykład w
domach, w podróży, w miejscach publicznych, w samolotach i pociągach. Ta tendencja
będzie się utrzymywać. Aby skutecznie chronić dane, konieczna jest na początek wiedza na
temat zagrożeń typowych dla danej branży, a następnie zastosowanie na tej podstawie
odpowiednich technologii, reguł i programów podnoszenia świadomości."
Stewart powiedział również, że wnioski na temat zachowań płynące z przeprowadzonych
badań mogą pomóc firmom opracowywać programy edukacyjne dla pracowników na
poziomie regionalnym i dostosowywać globalne plany zarządzania ryzykiem. Przedstawił też
następującą listę zalecanych procedur zapobiegania utracie danych:
Wiedz wszystko o swoich danych i sprawnie nimi zarządzaj: Wiedz, gdzie i jak są one
przechowywane, udostępniane i wykorzystywane.
Traktuj i chroń dane tak, jakby były to twoje własne pieniądze: Uświadamiaj
pracownikom, w jaki sposób ochrona danych przekłada się na zyski i straty finansowe.
Stosuj formalne standardy bezpiecznego postępowania: Określ globalne cele
strategiczne i twórz lokalne programy edukacyjne dostosowane do kultury danego kraju i
dominujących w nim zagrożeń.
Twórz kulturę zaufania: "Pracownicy, którzy czują się pewnie, informują o groźnych
zdarzeniach, dzięki czemu dział informatyczny może szybciej rozwiązywać problemy" -
powiedział Stewart.
Dbaj o świadomość w kwestiach bezpieczeństwa, edukację i szkolenia: Myśl globalnie,
ale konkretne programy dostosowuj do uwarunkowań lokalnych, biorąc pod uwagę kulturę
i charakterystyczne dla niej zagrożenia.
"Ochrona danych wymaga pracy zespołowej w całej firmie. Odpowiedzialność nie spoczywa
już tylko na działach informatycznych" - podsumował John N. Stewart, dyrektor ds.
bezpieczeństwa w Cisco.
Phishing i scam: techniki hakerów
Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o publikacji artykułu pt.
"Oszukańczy spam", którego autorką jest Natalya Zablotskaya, analityk spamu pracująca w
firmie Kaspersky Lab. W artykule opisano, w jaki sposób wiadomości spamowe są
wykorzystywane w celu uzyskania dostępu do informacji osobistych oraz wyłudzenia
pieniędzy od użytkowników.
Eksperci z firmy Kaspersky Lab określają spam jako anonimowe, niechciane wiadomości e-
mail. Większość z nich to reklamy, istnieje jednak kilka kategorii spamu, który służy innym
celom. Do spamu "niereklamowego" zalicza się jeden z najniebezpieczniejszych typów
spamu - wiadomości, których celem jest oszukanie odbiorców.
Phishing
Phishing jest terminem stosowanym na określenie najbardziej niebezpiecznego rodzaju
oszukańczego spamu. Spamerzy wykorzystują wiadomości phishingowe do uzyskania danych
osobowych - loginów użytkownika, haseł, numerów kart kredytowych oraz PIN-ów - przy
pomocy których kradną pieniądze. Celem ataków phishingowych są zwykle użytkownicy
bankowości online oraz systemów płatności elektronicznej.
Wiadomości phishingowe imitują korespondencję legalnych organizacji (banków,
przedsiębiorstw finansowych lub systemów płatności). Jednak w przeciwieństwie do
wiadomości wysyłanych przez te organizacje wiadomości phisherów namawiają odbiorców
do "potwierdzenia" swoich danych osobowych pod tym czy innym pretekstem. Wiadomości
te zawierają odsyłacz do fałszywej strony, na której użytkownicy proszeni są o wprowadzenie
swoich poufnych danych, które następnie dostają się w ręce przestępców. Fałszywa strona
stanowi zwykle dokładną kopię oficjalnej strony organizacji, która rzekomo wysłała
wiadomość (adres nadawcy również jest fałszywy), tak aby użytkownicy niczego nie
podejrzewali.
W niektórych przypadkach, po wprowadzeniu przez użytkownika jego danych przeglądarka
przekierowuje go na prawdziwą stronę, przez co prawdopodobieństwo, że ofiara zacznie coś
podejrzewać, jest jeszcze mniejsze.
Innym wariantem phishingu jest imitacja strony internetowej wykorzystująca luki w
zabezpieczeniach oprogramowania zainstalowanego na komputerze użytkownika w celu
pobrania trojana, który następnie gromadzi różne dane (np. hasła do kont bankowych) i
przekazuje je swojemu "właścicielowi". Co więcej, zainfekowana w ten sposób maszyna
może stać się częścią sieci zombie i być wykorzystywana do przeprowadzania cyberataków
lub wysyłania spamu.
Aby zwieść użytkowników, którzy nie zwracają uwagi na wygląd odwiedzanej strony, ale na
jej adres, spamerzy maskują adresy URL, tak aby jak najbardziej przypominały oryginalne.
Phishing rozpoczął się od rejestrowania na serwerach darmowych usług hostingowych nazw
domen przypominających nazwy domen atakowanych stron, z czasem jednak zaczęto
stosować bardziej wyrafinowane metody.
Istnieją jednak również bardziej prymitywne metody oszukiwania użytkowników.
Użytkownik otrzymuje na przykład wiadomość wysłaną w imieniu administratora strony lub
działu pomocy technicznej, w której pod tym czy innym pretekstem proszony jest o
natychmiastowe wysłanie hasła do swojego konta na podany w wiadomości adres.
Użytkownik zostaje ostrzeżony, jeśli tego nie zrobi, jego konto zostanie zamknięte.
Phisherzy w rosyjskim Internecie stosują tę sztuczkę w celu uzyskania dostępu do kont e-
mail. Kontrola nad pocztą elektroniczną użytkowników pozwala cyberprzestępcom na
uzyskanie dostępu do danych osobowych ofiary na innych serwisach internetowych poprzez
żądanie nowych haseł dla tych serwisów.
Kolejną popularną metodą przechwytywania haseł do poczty elektronicznej jest wysyłanie
wiadomości, w których oferuje się uzyskanie hasła innego użytkownika z wykorzystaniem
"luki w systemie tworzenia kopii zapasowych haseł". W celu uzyskania dostępu do cudzego
konta odbiorca takiego spamu musi wysłać login ofiary oraz swoje własne hasło na podany
adres i w określonym formacie. Nie trzeba mówić, że gdy taki "łowca haseł" skorzysta z tego
typu oferty, sam stanie się ofiarą cyberprzestępców.
Celem ataków phishingowych są głównie zachodnie systemy płatności online oraz banki
online posiadające dużą liczbę klientów. Obecnie jednak phisherzy wzięli na swój celownik
również banki online w rosyjskojęzycznym Internecie.
Najlepszym tego przykładem jest atak na klientów banku Alfa Bank. Cyberprzestępcy działali
według standardowego planu: podszywając się pod administrację banku, wysłali wiadomości
zawierające odsyłacz do fałszywej strony internetowej, na której użytkownicy proszeni byli o
wprowadzenie swojego loginu i hasła w celu uzyskania dostępu do systemu bankowości
internetowej. Strona wyglądała identycznie jak strona banku Alfa Bank. Użytkowników,
którzy byli na tyle nieostrożni, że kliknęli odsyłacz czekała kolejna niespodzianka - na ich
komputer pobierał się szkodliwy program. Tej samej metody użyto podczas przeprowadzania
ataku na systemy WebMoney oraz Yandex.Money. Celem ataków phishingowych byli
również klienci Citibanku.
Ponadto cyberprzestępcy wielokrotnie podszywali się pod administrację rosyjskiego systemu
e-mail, prosząc użytkowników o podanie ich loginów i haseł.
Wyłudzanie pieniędzy przy pomocy spamu
Oprócz phishingu cyberprzestępcy stosują wiele innych sztuczek. Spamerzy najczęściej
żerują na naiwności ofiary, na ich słabości do prezentów - cechach ludzkich, które
wykorzystują wszyscy oszuści. Aby osiągnąć swoje cele, cyberprzestępcy opracowali różne
techniki.
Nigeryjski szwindel
Jak sugeruje nazwa, technika ta została wymyślona przez Nigeryjczyków, obecnie jednak
wykorzystywana jest przez cyberprzestępców na całym świecie.
Klasyczny nigeryjski szwindel zwykle opiera się na tym samym scenariuszu: spamerzy
wysyłają wiadomości, w których podszywają się pod przedstawiciela bogatej rodziny
(zazwyczaj afrykańskiej), która straciła swoją pozycję w wyniku wojny domowej, zamachu
stanu, kryzysu gospodarczego lub represji politycznych. Autor prosi - zwykle słabym
angielskim - o pomoc w odzyskaniu dużej sumy pieniędzy poprzez dokonanie przelewu
pieniężnego z jednego konta bankowego na inny. W zamian za pomoc oferowany jest udział
w odzyskanym majątku - zwykle odsetek przelanej kwoty. Podczas takiej "misji" niezbędny
jest pomocnik ochotnik, który zapłaci wymagane opłaty (pokryje koszty przelewu lub opłaty
prawne itd.). Kwota, jaką trzeba zapłacić, jest stosunkowo niewielka w porównaniu z
obiecywaną nagrodą, jednak po dokonaniu transakcji wszelki kontakt z "wdową po obalonym
dyktatorze" lub "synem zmarłego zdymisjonowanego premiera" urywa się. Czasami gdy
ofiara czeka na obiecany przelew, dostaje dalsze prośby o więcej pieniędzy na pokonanie
nieprzewidzianych trudności.
Niekiedy oszust podaje się za wysokiej rangi skorumpowanego urzędnika państwowego,
który dokonał defraudacji i został postawiony przed sądem, dlatego nie może wywieźć
pieniędzy z kraju. Aby przelać skradzione pieniądze, musi posiadać dostęp do jakiegoś konta
bankowego. Odbiorcy takiej wiadomości proponuje się odsetek przelanej kwoty w zamian za
pomoc. Jednak gdy tylko cyberprzestępca przejmie kontrolę nad jego kontem, wykrada z
niego wszystkie pieniądze.
Historie wymyślane przez nigeryjskich scamerów są tak twórcze, że w 2005 roku zostały
nawet wyróżnione Anty-Noblem w dziedzinie literatury. Tego typu scam pojawił się również
w Rosji. W 2005 roku krążyły wiadomości w języku angielskim pochodzące rzekomo od
przyjaciół i krewnych zdymisjonowanego oligarchy Mikhaila Khodorkovsiego. Była to
jedyna wyraźna rosyjska odmiana scamu; inne w niczym nie różniły się od powszechnie
wykorzystywanych taktyk.
Istnieje też romantyczny wariant nigeryjskiego oszustwa polegający na wysyłaniu
wiadomości - rzekomo od panny młodej z egzotycznego kraju - wraz z załączonym zdjęciem
afrykańskiej piękności. Celem scamerów są głównie osoby zarejestrowane na internetowych
portalach randkowych. Jeśli odbiorca takiej wiadomości rozpocznie wymianę korespondencji,
zostanie poczęstowany wzruszającą historię będącą świetnym materiałem na scenariusz opery
mydlanej: moi krewni zostali zabici; nie wolno mi wyjechać z kraju; tak naprawdę jestem
bogatą dziedziczką... W trzecim e-mailu dziewczyna poprzysięga już dozgonną miłość,
prosząc swego "wybawcę", aby pomógł jej opuścić kraj wraz z jej milionami - oczywiście w
zamian za hojną nagrodę. Ta romantyczna historia służy jako przykrywka standardowego
nigeryjskiego oszustwa. Nie trzeba już chyba mówić, że "wybawca" musi opłacić pewne
koszty wstępne, które mogą wynosić tysiące, a nawet dziesiątki tysięcy dolarów. Aby uczynić
historię bardziej przekonującą, w całej sprawie uczestniczy "pastor" lub "adwokat". W
ostatnim etapie historii występują sfałszowane papiery.
Fałszywe wygrane na loterii
Jest to rodzaj scamu podobny do oszustwa nigeryjskiego. Polega na wysyłaniu fałszywych
powiadomień o wygranej na loterii, w której zwycięzców losuje są spośród adresów e-mail
lub numerów telefonu, i oferowaniu im "darmowych" prezentów jako nagrody. Aby
wiadomość wyglądała bardziej przekonująco, scamerzy załączają zdjęcie nagrody, numer
losu, certyfikat rejestracji/licencji oraz inne nieprawdziwe informacje. Podobnie jak w
poprzednim rodzaju oszustwa, aby otrzymać nagrodę, "zwycięzca" musi dokonać przelewu
pieniędzy na wskazane w wiadomości konto.
Pojawiły się również rosyjskojęzyczne wersje takich wiadomości. Ich treść została
przetłumaczona z angielskiego oryginału przy pomocy translatora online.
Odbiorcy takich wiadomości powinni pamiętać, że udział w loterii nie jest możliwy bez
zgody uczestnika. Jeśli nie wyraziłeś zgody (i nic nie wiesz na temat loterii, w której rzekomo
wygrałeś), najprawdopodobniej jesteś celem oszustów, którzy próbują wyłudzić pieniądze od
ciebie i innych użytkowników Internetu.
"Błędy" w systemach płatności, "magiczne fundusze", generatory kodów
Ten rodzaj spamu polega na informowaniu odbiorcy wiadomości o luce w zabezpieczeniach
wykrytej w systemie płatności, na której można "zarobić". Spamerzy opisują lukę i
wyjaśniają, w jaki sposób można ją wykorzystać do zarobienia pieniędzy. Metoda ta
zazwyczaj polega na wysłaniu określonej sumy do "magicznego funduszu". Użytkownik ma
dostać ponad dwukrotność przelanej sumy. Oczywiście "magiczny fundusz" należy do
cyberprzestępców, a użytkownik nigdy nie ujrzy nie tylko swoich pieniędzy, ale również
obiecanej zapłaty. Co więcej, istnieje niewielkie prawdopodobieństwo, że ofiary powiadomią
o oszustwie organy ścigania.
Innym rodzajem oszustwa jest oferowanie generatorów kart kredytowych - systemów
służących do wyciągania pieniędzy z kont innych osób. Ten rodzaj scamu opiera się na
przekonaniu osób, skuszonych wizją otrzymania prezentu, do podania swojego numeru karty
kredytowej (lub karty wykorzystywanej do płatności elektronicznych) oraz hasła w celu
aktywowania programu do generowania kart kredytowych. Programy te zwykle są płatne,
jednak użytkownik dowiaduje się, że będzie mógł wyciągnąć pieniądze z 1 do 3 kont za
darmo. Gdy próbuje wykraść pieniądze z kont innych osób, wprowadzone przez niego dane
wędrują do cyberprzestępców, którzy przy ich pomocy mogą uzyskać dostęp do jego konta.
Odmianą tego oszustwa jest oferowanie generatorów kart, przy pomocy których można
zapłacić za usługi telefonii komórkowej lub internetowe. W tym przypadku do "generatora
kart" należy wprowadzić kod nieaktywowanej karty. Kod ten będzie czymś w rodzaju modelu
do "powielenia". Podobnie jak w przypadku kart kredytowych, wprowadzone dane wpadają w
ręce cyberprzestępców, podczas gdy program imituje proces kalkulacyjny. Gdy ofiara czeka
na wyniki, cyberprzestępcy wykorzystują jej kartę do opłacenia swoich rachunków.
Dziurawe kasyna
Inny rodzaj scamu polega na wysyłaniu wiadomości o następującej treści: "Po wielu
godzinach gry wykryliśmy dziurę w skrypcie, która pozwala na wygranie w kasynie online.
Administratorzy jeszcze jej nie zauważyli!" Następnie umieszczany jest szczegółowy opis
strategii umożliwiającej "wygranie" oraz odsyłacz do strony kasyna. W rzeczywistości
wiadomości te nie są wysyłane z pobudek altruistycznych, a rzekoma luka w skrypcie nie
istnieje. Oszuści realizują następujący plan: użytkownik klika zawarty w wiadomości
odsyłacz i wchodzi na stronę kasyna, a spamer otrzymuję pewną część kwoty, którą przegra.
Inne wiadomości wysyłane w ramach takiego oszustwa oferują pobranie (czasem zakup) i
zainstalowania programu umożliwiającego wykorzystanie takiej luki w zabezpieczeniu. W
rzeczywistości program ten to spyware.
Pokusa szybkiego zysku
Tego typu scam zwykle rozpoczyna się od następujących słów: "To nie jest spam. Mamy dla
ciebie propozycję zarobienia pieniędzy, którą trudno odrzucić. Wiadomość ta zostanie
wysłana do ciebie tylko raz, jeśli ją zignorujesz, do końca życia będziesz żałował straconej
szansy". Opisany dalej plan przypomina typową piramidę finansową: użytkownik musi
zapłacić autorowi określoną sumę pieniędzy, a następnie przesłać wiadomość innej osobie,
aby otrzymać tę samą kwotę wraz z częścią zysku od osób na niższym szczeblu. Uczestniczy
kuszeni są wizją osiągnięcia bajecznych zysków, w rzeczywistości jednak tracą na całym
interesie własne pieniądze.
Skuteczniejszym sposobem wyłudzenia pieniędzy są oferty pracy. Oszuści udają
pracodawców i obiecują "potencjalnym pracownikom" wysokie dochody praktycznie za nic.
Kwalifikacje nie są wymagane, a po nawiązaniu kontaktu z potencjalną ofiarą, oszuści proszą
ją o opłacenie kosztów uzyskania bardziej szczegółowych informacji oraz pokrycie opłat
pocztowych. Użytkownicy mają to zrobić możliwie jak najszybciej, ponieważ wakat może
objąć ktoś inny.
Czasami scamerzy przeprowadzają ataki na konkretne cele, wysyłając "atrakcyjne oferty" na
adresy użytkowników zarejestrowanych na portalach z ofertami pracy. Otrzymują propozycje
pracy w rzeczywistych międzynarodowych firmach zajmujących się wydobyciem złota lub
diamentów, wytwarzaniem sprzętu medycznego, produkcją chemikaliów i szczepionek lub
działających w branży bankowości inwestycyjnej czy budowlanej. Oferowana praca zwykle
odpowiada obszarowi działalności aplikanta i wymaga jego kwalifikacji i doświadczenia. W
trakcie wynikają jednak "koszty administracyjne" i pieniądze ofiary lądują w kieszeni
scamera.
Szantaż
W celu wyłudzenia pieniędzy spamerzy wykorzystują nie tylko atrakcyjne oferty, ale również
uciekają się do gróźb. Groźby najczęściej wyrażane są w następujący sposób: przestaniemy
wysyłać spam tylko wtedy, gdy nam zapłacisz. Zdarzają się jednak bardziej przerażające
groźby, takie jak wiadomości od "zabójcy", który żąda pieniędzy w zamian za życie ofiary.
Oszustwa przez SMS
Oprócz klasycznych sztuczek pochodzących z zachodniego segmentu Sieci popularnością w
rosyjskim Internecie cieszy się obecnie oszustwo, w którym przekonuje się użytkowników do
wysłania wiadomości tekstowych na krótkie kody. Krótkie kody są wydzierżawiane przez
operatorów telefonii komórkowych, a osoby wysyłające na nie wiadomości obciąża się
opłatami. Większość pieniędzy pobieranych w ramach opłaty za teksty wysyłane na krótkie
kody przekazywana jest stronie wydzierżawiającej kod.
Scamerzy stosują różne sposoby, aby nakłonić swoje ofiary do wysłania wiadomości na krótki
kod, od oferowania darmowego dostępu do Internetu i wszelkiego rodzaju nagród, do
otwartych gróźb zablokowania jego skrzynki pocztowej, jeśli nie wyśle wiadomości SMS.
W jednej z takich masowych wysyłek oferowano nawet opcję zrezygnowania z otrzymywania
dalszych wiadomości. Spamer zapewniał, że chce być "praworządnym obywatelem" i
powołując się na rosyjską ustawę o reklamie z 1 lipca 2007 roku poprosił użytkowników, aby
usunęli swoje adresy ze spamerskiej bazy danych, wysyłając "darmową" wiadomość SMS.
Spamer twierdził, że po wysłaniu wiadomości SMS użytkownicy otrzymają odsyłacz do
strony internetowej zawierającej spamerskie bazy danych, z których będą mogli usunąć dane
dotyczące swojego konta e-mail. Nie trzeba mówić, że prawdziwy cel tych wiadomości nie
miał nic wspólnego z przestrzeganiem prawa.
Bardziej zaawansowane odmiany oszustwa z wykorzystaniem SMS-ów mogą obejmować
odsyłacz do specjalnej strony internetowej, na której użytkownik proszony jest o wysłanie
wiadomości SMS na krótki kod. Tak wyrafinowany plan ma na celu złapanie nawet
najostrożniejszych użytkowników.
Wniosek
Według systemu klasyfikacji firmy Kaspersky Lab, wiadomości spamowe zaliczane są do
kategorii "Oszustwa komputerowe". W 2007 roku udział tej kategorii w całym spamie
wynosił 7%. Jednak w pierwszym kwartale 2008 roku spadł do 2,5%.
Mimo że udział oszukańczych wiadomości w całym spamie spada, ten rodzaj spamu staje się
coraz bardziej niebezpieczny: spamerzy doskonalą swoje umiejętności, a przeprowadzane
przez nich ataki są na konkretne cele. Dlatego aby nie wpaść w sidła "życzliwych", którzy
oferują szybką i łatwą drogę do wzbogacenia się, użytkownicy poczty e-mail muszą być
ostrożni, nawet jeśli wykrycie bardziej zaawansowanych sztuczek spamerskich jest trudne.
Jeżeli chodzi o phishing, przed oszustwem tym należy chronić się za pomocą odpowiednich
programów, takich jak Anti-Spam czy zapora sieciowa.
Aby uniknąć przykrych niespodzianek, najlepiej nie wierzyć w "dobre intencje" spamerów i
zainstalować oprogramowanie zapewniające skuteczną ochronę przed spamem, phishingiem i
szkodliwymi programami. Zalecenia te mogą wydawać się trywialne, jednak stosowanie się
do nich pozwoli ci nie stracić zarówno danych na komputerze jak i pieniędzy.
Podpis elektroniczny
Zgodnie z polską ustawą przez podpis elektroniczny należy rozumieć dane w postaci
elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są
logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
Klucz zarówno prywatny jak i publiczny to nic innego jak ciąg bitów, którego postać zależy
jednak od podpisywanej wiadomości i oczywiście od osoby, która go podpisuje. Może on
przybrać postać ciągu tekstowego
Funkcje e-podpisu
•
funkcja uwierzytelniająca – pozwala stwierdzić czy podpis został utworzony z
użyciem klucza prywatnego odpowiadającego kluczowi publicznemu.
•
gwarancja niezaprzeczalności – umożliwia stwierdzenie na zasadzie domniemania, że
pod danym dokumentem podpisała się osoba, na która wystawiono klucz prywatny.
•
gwarancja integralności danych – polega ona na ochronie wiadomości przed
wprowadzeniem do niej zmian przez osoby do tego nieupoważnione.
•
funkcja identyfikacyjna – polega na potwierdzeniu tożsamości nadawcy wiadomości.
Pozwala stwierdzić kto jest zarejestrowany jako właściciel danego klucza prywatnego.
•
gwarancja poufności – ma ona zapewnić ochronę danych przed ingerencją osób
trzecich.
Rodzaje podpisu elektronicznego wyróżniane przez UE
•
podpis elektroniczny, czyli deklaracja tożsamości autora złożona w formie
elektronicznej pod dokumentem. Może to być na przykład podpis pod emailem lub
zeskanowany podpis odręczny wklejony w dokument PDF.
•
zaawansowany (bezpieczny) podpis elektroniczny, czyli podpis, który za pomocą
odpowiednich środków technicznych (kryptograficznych) jest jednoznacznie i w
sposób trudny do sfałszowania związany z dokumentem oraz autorem. Kategoria ta
odnosi się do większości systemów tradycyjnie nazywanych podpisem elektronicznym
i wykorzystujących różne algorytmy kryptograficzne dla zapewnienia bezpieczeństwa.
•
kwalifikowany podpis elektroniczny, czyli taki podpis zaawansowany, który został
złożony przy pomocy certyfikatu kwalifikowanego oraz przy użyciu bezpiecznego
urządzenia do składania podpisu.
Dokument opatrzony podpisem elektronicznym może być – przy spełnieniu dodatkowych
przesłanek – równoważny pod względem skutków prawnych dokumentowi opatrzonemu
podpisem własnoręcznym. Podpis elektroniczny będzie mógł być uznany za równoważny
podpisowi własnoręcznemu jeśli spełnia warunki umożliwiające uznanie go za podpis
elektroniczny bezpieczny.
Zgodnie z ustawą bezpieczny podpis elektroniczny to podpis elektroniczny, który:
•
jest przyporządkowany wyłącznie do osoby składającej ten podpis,
•
jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej
podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu
elektronicznego i danych służących do składania podpisu elektronicznego,
•
jest powiązany z danymi, do których został dołączony, w taki sposób, że
jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Funkcja „skrótu”, funkcja mieszająca lub funkcja haszująca - funkcja, która
przyporządkowuje dowolnie dużej liczbie (wiadomości) krótką, zwykle posiadającą stały
rozmiar,quasi-losową wartość (tzw. „skrót” nieodwracalny wiadomości). W informatyce
funkcje skrótu pozwalają na ustalenie krótkich i łatwych do weryfikacji sygnatur dla dowolnie
dużych zbiorów danych. Takie sygnatury mogą chronić m.in. przed przypadkowymi lub
celowo wprowadzonymi modyfikacjami danych (sumy kontrolne).
Zastosowanie podpisu elektronicznego
•
handel elektroniczny
•
zdalna praca
•
transport
•
sektor finansowy
•
sektor publiczny
•
administracja rządowa i samorządowa
•
księgi notarialne i księgi wieczyste
•
rejestry znaków towarowych i patentów
•
usługi pocztowe
•
sądownictwo
•
publiczna opieka zdrowotna
Jak powstaje i działa podpis elektroniczny?
•
Nadawca tworzy dokument elektroniczny, dla którego odpowiednim programem
tworzony jest skrót gwarantujący integralność danych.
•
Podpis cyfrowy generowany jest w procesie szyfrowania skrótu wiadomości przy
wykorzystaniu klucza prywatnego zapisanego na karcie.
•
Odbiorca przesyłki deszyfruje podpis za pomocą klucza publicznego nadawcy i
uzyskuje skrót wiadomości wygenerowany przez nadawcę.
•
Wiadomość wraz z podpisem można przesłać przez Internet.
Zasada działania podpisu elektronicznego
Zakupy elektroniczne na rynku przedsiębiorstw
Handel przez platformy e-commerce B2B w Polsce stanowi 5% wszystkich transakcji
zawieranych
pomiędzy
firmami
–
donosi
blog
Ideas
to
Action
(
http://ideas2action.pl/2011/10/20/jak-wyglada-sprzedaz-b2b-w-polsce/
).
Jednocześnie
wartość wymiany handlowej w segmencie B2B szacuje się obecnie na 120 mld złotych
rocznie, co oznacza, że jest to 8 razy więcej niż wartość transakcji konsumenckich
zawieranych przez handel internetowy B2C.
WYKORZYSTANIE NARZĘDZI ELEKTRONICZNYCH W PROCESIE ZAKUPU
Źródło: Prezentacja „Aukcje elektroniczne”, Z.B. Danek
SYSTEM ZAKUPOWY (E-PROCUREMENT)
Sposób organizacji procesu zaopatrzeniowego w oparciu o rozwiązania systemowe.
Charakteryzuje się zautomatyzowanym obiegiem dokumentów pomiędzy kupującym a
dostawcami.
Pracownicy we wszystkich jednostkach organizacji mają dostęp do jednolitego systemu
obsługującego proces zakupów, który obejmuje cały proces od momentu zgłoszenia
zapotrzebowania aż do sprawdzenia płatności.
CECHY FIRM ODNOSZĄCYCH NAJWIĘKSZE KORZYŚCI Z ZASTOSOWANIE
SYSTEMU E-PROCUREMENT:
•
rozbudowaną i rozproszoną geograficznie strukturą organizacyjną,
•
wysokimi kosztami zakupów, które stanowią znaczącą pozycję w budżecie (np.
zakłady produkcyjne),
•
dużą liczbą dostawców,
•
różnorodnością zakupywanych produktów.
ELEKTRONICZNE ROZWIĄZANIA W PRAWIE ZAMÓWIEŃ PUBLICZNYCH
Nowelizacja Ustawy Prawo Zamówień Publicznych z 2004 r i kolejne dała firmom szerszy
dostęp do rozwiązań elektronicznych.
W Prawie Zamówień Publicznych wymienione są następujące narzędzia:
•
licytacje elektroniczne,
•
dynamiczne systemy zakupów,
•
aukcje elektroniczne.
Wyszukiwarka
Podobne podstrony:
Opracowanka, warunkowanie
OPRACOWANIE FORMALNE ZBIORÓW W BIBLIOTECE (książka,
postepowanie w sprawach chorob zawodowych opracowanie zg znp
opracowanie 7T#2
opracowanie testu
Opracowanie FINAL miniaturka id Nieznany
Opracowanie dokumentacji powypadkowej BHP w firmie
przetworniki II opracowane
Opracowanie Programowanie liniowe metoda sympleks
Nasze opracowanie pytań 1 40
haran egzamin opracowane pytania
201 Czy wiesz jak opracować różne formy pisemnych wypowied…id 26951
IE opracowanie 2013r dr J Barcik
więcej podobnych podstron