О технологии: ASP - друг или враг?
Джон Ксенакис
Начало в выпусках: #131
Сомнения
Когда я готовил статью, у меня возникли некоторые сомнения. Насколько они обоснованы, решайте сами.
Во-первых, NetLedger оказалась единственной компанией, которая захотела сообщить, сколько у нее клиентов (2000 оплачивают услуги и 35 000 тестируют бесплатную демо-версию). Спасибо Стивену Вулфу (Stephen Wolfe), вице-президенту по управлению продукцией компании, за то, что раскрыл цифру, которая очень важна для оценки надежности провайдера.
Intacct и ManagedOps не пожелали поделиться сведениями о числе платных пользователей. Цены у них выше, чем у NetLedger, а пользователей, по моему (непроверенному) мнению, - гораздо меньше.
Я пообщался с компанией Genesis Innovations (конкурент ManagedOps), и мне сказали, что услугами Great Plains ASP у них пользуются 9 платных клиентов и более 1300 тестируют полнофункциональную демо-версию.
В штате компаний-поставщиков работают в среднем по 100-200 человек. Соответственно, зарплата и сопутствующие расходы составляют ежегодно от 5 до 15 млн. долларов. Сколько же платных клиентов нужно ASP, чтобы продолжать выплачивать зарплату, после того как инвесторы потребуют свою прибыль? Нехитрая арифметика - и вы поймете мою озабоченность.
О пользе демо-версий
В США миллионы малых предприятий, и, несомненно, любой поставщик может выжить, заполучив хотя бы крошечную долю рынка. Но пока этого нет, и, похоже, все от этого далеки.
Я расспросил компании о демо-версиях. Intacct и NetLedger, как и Genesis Innovations, разрешают тестировать свои онлайновые системы несколько недель. В ManagedOps были в шоке - в шоке! - когда я заговорил о бесплатной демо-версии их системы. Они отказались даже обсуждать это.
Думаю, онлайновые демо-версии будут приобретать все большую важность как инструмент маркетинга для всех поставщиков ASP. Они могут снизить риск перехода "вслепую" на новый бухгалтерский пакет. Один из "любимых" кошмаров финансиста: а вдруг новая система не пойдет?
По словам Чарльза Чунинга (Charles Chewning) из консалтинговой фирмы Solutions Inc., неудача с бухгалтерской системой - явление нередкое. "Недавно я беседовал с человеком, который потратил 80 000 долларов на систему и затем избавился от нее, потому что она не подошла, - говорит Чунинг. - Неудача обходится дорого. Гораздо дороже, чем просто покупка ПО".
Сделаем вывод: поставщик должен быть внимательнее к пользователю, предоставлять больше информации о своей продукции. Следует разместить в он-лайне подробные демо-версии с полными характеристиками системы, позволить пользователю "поработать" с ней, прежде чем он примет решение об окончательном переходе.
Тест безопасности Gartner Group
Gartner Group предоставила тест, который необходимо применять для проверки любого ASP, чьими услугами вы собираетесь воспользоваться. Ответ "нет" на любой из вопросов указывает на серьезную уязвимость и наличие риска для приложения и данных.
Сетевой уровень:
- Требует ли ASP двухфакторной идентификации для административного контроля всех маршрутизаторов и брандмауэров? Поддерживается ли 128-битное шифрование и двухфакторная идентификация для связи клиентской локальной сети с рабочей магистралью ASP?
- Проводит ли ASP (или опытная консалтинговая компания) проверку на проникновение извне не реже, чем раз в квартал, и аудит сетевой безопасности - хотя бы раз в год? Имеются ли документированные требования к безопасности клиентской сети (с функциями контроля)?
Платформа операционной системы (ОС) (обычно Windows NT или Unix):
- Может ли ASP представить документы о правилах усиления ОС в своей сети и на других серверах? Усиление ОС включает: удаление всех ненужных служб (например, Telnet или FTP); отключение всех неиспользуемых каналов связи (например, портов TCP/IP); установку всех требуемых пэтчей безопасности; минимизацию учетных записей системного администратора и доступа к регистрации/аудиту системы.
- Если ASP располагает клиентские приложения на одном физическом сервере, есть ли у него документированный набор средств управления, которые обеспечивают разделение данных и информации о безопасности между приложениями клиентов?
Программное обеспечение:
- Проверяет ли ASP надежность скриптов и кода интегрирования, которые добавляются к коммерческим приложениям? Как он это делает?
- Предусмотрены ли услуги по выявлению вторжения в приложение или транзакцию?
- Документированы ли стандарты и процессы безопасности, которые используются для создания интерфейсов с другими системами?
Операции:
- Осуществляет ли ASP проверку личности работников, которые имеют административный доступ к серверам и приложениям?
- Может ли ASP представить документированные процессы для: оценки безопасности ОС и приложений; установки пэтчей безопасности и служебных пакетов?
- Применяется ли технология однократной записи для хранения контрольных отчетов и журналов безопасности?
- Имеются ли документированные процессы для выявления вторжения, реагирования на инцидент и эскалации/расследования инцидента?
- Является ли ASP членом Форума групп борьбы с компьютерными преступлениями (FIRST), а если нет, использует ли услуги организации - члена Форума? Применяет ли "аварийные" службы с теми же операциями и процедурами безопасности?
- Предоставляет ли системным пользователям услуги идентификации?
- Имеет ли документированные процессы для добавления, удаления и проверки ключей безопасности для всех пользователей?
- Если используется аутсорсинг услуг идентификации, есть ли у исполнителя документированный процесс для управления и проверки пользовательских ключей?
Конечные пользователи:
- Имеет ли персонал ASP, отвечающий за безопасность, опыт работы в соответствующей области более 3 лет?
- Есть ли у более чем 75% такого персонала сертификат CISSP или другой сертификат специалиста по информационной безопасности?
- Может ли ASP представить документированные процессы системы поддержки для идентификации посетителей и переустановки (resetting) контроля доступа?
John Xenakis; xot@jxenakis.com.