Nädal 9: IT-juhtimine

Miks on IT-valdkonnas võimatu riske täielikult vältida?

Ma julgeks öelda, et see ei puuduta mitte ainult IT-d vaid sisuliselt kõiki valdkondi.

IT osas ma ütleks, et miks see võimatu tuleneb väga paljudest asjaoludest aga ma tooksin siin ühe analoogi. Nimelt vanasti oli ütlemine, et kui salongist uue auto ostad ja sellega esindusest välja sõidad on see juba vaba. Tuues selle sama IT valdkonda siis ma julgeks väita, et kui saad midagi valmis ja siis sellele leitakse väga kiirelt (kui mitte kohe) mõni haavatavus, mis tekitabki kohe riske

Võib olla IT-valdkonnas on riske võimatu täielikult vältida eelkõige seetõttu, et tehnoloogia ise on pidevas muutumises ja väga keeruline. Isegi kui süsteemid on hästi planeeritud ja turvatud, tekivad alati uued ohud, mida ei ole võimalik ette näha.

Esiteks arenevad küberohud väga kiiresti. Iga päev leitakse uusi turvaauke ning ründajad kasutavad üha nutikamaid meetodeid. See tähendab, et ka kõige paremini kaitstud süsteem ei ole kunagi täiesti turvaline.

Teiseks sõltuvad IT-süsteemid paljudest komponentidest – tarkvarast, riistvarast, võrkudest ja inimestest. Iga lüli selles ahelas võib põhjustada vea või rikke. Näiteks võib inimene teha eksimuse, tarkvaras võib olla viga või võib tekkida tehniline rike.

Ma arvan, et IT-valdkonnas ei saa riske täielikult vältida, sest süsteemid on keerukad, pidevas muutumises ning alati esineb ettearvamatuid turvaohte ja inimlikke vigu. Neid nn nõrkade lülide kohti on liiga palju, et olla veatu.

Murphy

Aga vaadakem laiemalt.

Rist maandada ja vältida 100% pole võimalik üheski valdkonnas. IT ei ole mingis eristaatuses selles osas.

Meedia on pidevalt täis artikleid, kuidas laev sõitis karile, lennuk kukkus alla, maja varises kokku, teedes on kaks kuud peale rajamist augud, ärimees läks raamatupidamisliku apsu tõttu vangi. See loetelu jätkub lõputult.

IT-valdkonnas ei saa riske täielikult vältida, kuna süsteemid on keerukad ja muutuvad pidevalt. Isegi kui kõik tundub turvaline, võivad tekkida uued vead, häkkimised või inimlikud vead. Lisaks sõltub it paljudest välistest teguritest, mida ei saa täielikult kontrollida. Seega saab riske ainult vähendada ja hallata, mitte täielikult kõrvaldada.

Valdkond muutub pidevalt ning uusi tehnoloogiaid ja ohte tekib kogu aeg juurde. Isegi parimate turvameetmete puhul võivad tekkida vead ja rünnakud.

Minu jaoks on kogu elu tohutu risk ja te ei saa puhtalt füüsiliselt arvutada kõiki riskisituatsioone, mis võivad teiega homme juhtuda.

Kui kuskil võrrandis on inimene osaline, siis pole kunagi võimalik riske täielikult vältida. :D

Riske on võimatu vältida, kuid nendega on võimalik arvestada. Kui vaadata partnerluse lepinguid siis keegi kunagi ei anna 100% uptime oma süsteemidele per year.
ITs peab arvestama, et turvanõrkused, ootamatud olukorrad ja palju erinevaid riske mis tekitavad vältimise võimatuks.

Elus peab alati riske võtma ning see on sama IT-s.
Räägiti ärinduses, et mida turvalisemaks sa asja ajad, seda kiiremini kulud kasvavad. See lihtsalt paneb su pankrotti. Firmad tavaliselt keskenduvad keskpunkti saavutamist selles graafikus, kus kulud ning turvalisus kohtuvad, ega sul ongi päris võimatu teha midagi IT-s millel polegi riske..

Kui jätta kõrvale riskide maandamise rahalise kulu, siis tehnoloogilisel poolel on alati risk et targemad häkkerid on tootjast targemad enda 0-day häkkidega. mõned hiina riiklikud ründajad on veel sõbralikud ja tahavad ainult luurata, aga teised nii sõbralikud ei ole ja terve infrastruktuur on õhku lastud tulemusena.

Riskide vältimine on võimatu kuna süsteemid pidevalt muutuvad. Nõrki kohti leitakse kiiremini kui neid suudetakse parandada ja enamasti kasutatakse ka kolmandaosapoolte tarkvara, mille turvalisus on enda kätest väljaspool.

Kui soovida ehitada süsteemi, mis on kõikide riskide vastu kaitstud, siis peaks see olema süsteem, mis pole mitte mingil moel ligipääsetav ning soovitatavalt ka välja lülitatud. Näiteks annaks saata süvakosmosesse satelliidi, millel puudub ühendus Maaga või peita IT süsteemid kohta, kus inimene neile kas ligi ei pääse.

Siiski ei väldiks selline lahendus täielikult riske, mistõttu peame me aktsepteerima IT-ga kaasnevaid riske ning püüdma neid vaid maandada.

Samas kuna nende lahenduste loomise juures on kaasatud inimesed ning inimesed on sellises suures süsteemis üsna nõrgad lülid, siis ei saa kunagi olla kindel, et keegi kogemata või meelega mõnda nõrkust kuhugi süsteemi ei tekita või ei paranda.

Ise olles kuulnud IT-juhtivatelt erinevaid lugusid ja ise mõeldes olen kuulnud väga palju erinevaid põhjuseid.
Kuid seal oleneb ka suunast millest räägik, kas personalist või süsteemidest endast. Tihti peale sihtasutustes olen märkand, et nende süsteem on nii kivisse raiutud, et nad ei ole nõus oma süsteemi arendama ja uuendama. Samas on ka personal, et kes vanemad olijad on aastaid või kümneid istunud endale juured alla siis nendel on kujunenud oma visioon mida muuta ei soovi.

Stephen Hawking on öelnud järgmist: "... Perfection simply doesn't exist.... without imperfection, neither you not I would exist"

Mitte üheski valdkonnas ei ole nii head turvalisust ega nii häid valikuid, et mitte ühtegi riski pole.

Riskide toimumisest me õpime, kui pole riske, pole ka õppimist.

Yin Yang... Pole riski pole auhinda.
Pidevalt kuulen, kes ei riski see veini ei joo.. või kuidas iganes keegi endale seda lauset kujundab.
Lihtsalt elus tuleb riske võtta.
Pealegi sa ei tea kunagi, mis personaal või süsteem teeb.